Обработка персональных данных что это такое: Что значит обработка персональных данных: кем и по каким правилам осуществляется

Разное 

Содержание

Способы обработки персональных данных — SearchInform

Современный мир ограничивает право человека на защищенность информации о себе и своей частной жизни. Информация предоставляется во множестве случаев государственным организациям и коммерческим компаниям, и далеко не все из них обеспечивают ее конфиденциальность. Когда персональные данные человека поступают в распоряжение фирмы, признаваемой оператором ПДн, с ними могут происходить различные действия, информацию о которых человек получает, подписывая согласие на обработку. Средства и способы обработки персональных данных определяются федеральными законами.

Нормативно-правовое регулирование

В российском правовом поле термин «персональные данные» появился в начале 2000-х годов. Он был позаимствован из европейского и американского законодательства. Целью введения в национальное законодательство новой концепции стала защита информации о частной жизни человека, его здоровье, имуществе от посягательств злоумышленников.

Классификация действий с персональными данными

Закон «О персональных данных» называет несколько видов действий, которые могут производиться с поступившими в распоряжение организации персональными данными. Этот перечень ограничен и расширительному толкованию не подлежит. Таким образом, оператор ПДн может производить с ними следующие действия:

  • сбор – это фактическая передача персональных данных от их субъекта оператору;
  • запись – может происходить и ручным, и машинным способом;
  • систематизация – техническое действие, облегчающее обработку персональных данных для оператора;
  • накопление – термин не имеет самостоятельного значения и предполагает хранение информационных массивов на материальных носителях или с использованием средств автоматизации до момента их уничтожения;
  • хранение – законодатель устанавливает множество требований к способам физической и технической защиты персональных данных;
  • уточнение – под этим термином могут подразумеваться или обновление, или изменение информации;
  • извлечение – здесь предполагается перенос персональных данных из памяти средств автоматизации на материальные носители;
  • использование;
  • передача – этот термин рассматривает такие способы предоставления к данным доступа третьим лицам, как распространение, предоставление. Распространение предполагает, что сведения становятся доступными неограниченному кругу лиц, которые могут получить их, зайдя на открытый сайт, купив газету или компакт-диск с информацией; для предоставления характерно совершение тех же действий, но в отношении нескольких субъектов, определенных соглашением или иным способом;
  • обезличивание – этот способ обработки предусмотрен системами безопасности, он практически исключает возможность выделения персональных данных конкретного лица из общей для всех базы. Обезличивание может происходить только в условиях применения способа обработки данных при помощи средств автоматизации. Если оно используется, выделение данных одного субъекта из массива возможно только при применении специальных средств;
  • блокирование – под ним подразумевается временное прекращение любых действий с персональными данными. Блокировка производится по заявлению субъекта персональных данных или по требованию регулятора.
    Если она необходима, обработка сведений возможна только в целях их уточнения;
  • удаление – оно отличается от уничтожения, так как производится в целях коррекции персональных данных или для решения иных технических задач;
  • уничтожение – это те шаги, которые не только уничтожают персональные данные, обрабатываемые ручным или автоматизированным способом, но и полностью исключают их восстановление. Важно: если данные находились на материальных носителях, вместе с ними уничтожаются и сами носители. Уничтожение происходит по требованию субъекта персональных данных или по истечении срока их обработки.

Способы обработки

Также в статье 3 закона «О персональных данных» четко определяет, что выделяются два способа обработки персональных данных:

  • с использованием средств автоматизации;
  • без них.

Такое же понимание можно найти в нормативных актах Роскомнадзора. Под автоматизированным способом обработки законодатель и ведомство понимают совершение любых действий с персональными данными, которые связаны с использованием средств вычислительной техники.

Закон не раскрывает термин «средства вычислительной техники» конкретно, но очевидно, что под ними понимаются информационные системы. Для способа обработки персональных данных средствами автоматизации есть одно серьезное ограничение. Ни одно решение, на основании которого могут быть изменены права или обязанности гражданина, не может быть принято только исходя из результатов обработки сведений средствами вычислительной техники.

Соответственно, ручной способ обработки персональных данных – это занесение их на материальные носители вручную и дальнейшая работа с такими носителями. Закон в дальнейшем не конкретизирует особенности организации работы каждым способом, предоставляя это сделать ФСТЭК России. Ведомство, в свою очередь, определяет требования к автоматизированному способу обработки и используемым для него средствам. С точки зрения ручного способа действуют или общие принципы, или организационные меры, затрудняющие физический доступ к персональным данным путем разграничения функционала сотрудников.

Так же работают требования по физической защите помещений.

Принципы обработки

Федеральный закон утверждает, что любая обработка персональных данных должна быть основана на определенных принципах, которых должен придерживаться каждый оператор. Среди них:

  • законность и справедливость – цели обработки персональных данных должны быть законными, все субъекты и операторы должны находиться в равных условиях;
  • конкретность – обработка персональных данных должна осуществляться только для достижения конкретных целей и задач, заранее определенных оператором. Не допускается обработка любыми способами, если она несовместима с провозглашенными целями;
  • недопущение избыточности – оператор должен обрабатывать только тот объем персональных данных, которые соответствуют назначенным целям. Недопустимо запрашивать у субъекта персональных данных избыточную информацию;
  • точность, достаточность и актуальность – все некорректные сведения должны удаляться или оператором самостоятельно или по заявлению субъекта, при изменении данных они должны своевременно актуализироваться;
  • минимальная идентификация – хранение ПДн в условиях использования средств автоматизации должно происходить таким образом, чтобы идентифицировать их субъекта можно было бы только строго определенное время и для решения определенных задач.

Условия обработки

Во избежание привлечения к административной ответственности необходимо придерживаться и установленных законодательством условий обработки персональных данных. Среди основных:

1.обработка персональных данных допускается тогда, когда человек выразил на это согласие и не отозвал его;

2.в отсутствие согласия обработка допускается в строго определенных законом случаях. Это такие ситуации, как возложение на оператора обязанностей по осуществлению деятельности, для которой необходима обработка персональных данных, или если этого требуют международные договоры или Федеральные законы Российской Федерации, действующие в значимых областях, например, в сфере защиты от терроризма. К этой же сфере регулирования относится ситуация, когда ПДн предоставляются государственным или федеральным органам власти для исполнения их установленных законом обязанностей;

3.она также допускается без согласия субъекта персональных данных при осуществлении любых судебных процессов, уголовных, гражданско-правовых, в сфере конституционного права, для разрешения споров или для исполнения судебного акта. Так, персональные данные граждан беспрепятственно предоставляются судебным приставам.

Частным, но не менее важным случаем обработки ПДн любыми средствами и способами без согласия субъекта будет ситуация, когда это необходимо для защиты жизни и здоровья человека. Допускается и обработка персональных данных в работе журналистов, если они не нарушают права лиц на тайну частной жизни или иные интересы. Отдельные нормы регулируют условия обработки персональных данных лиц, которые находятся под государственной охраной.

Способы обработки персональных данных государственными и муниципальными органами

Закон о персональных данных устанавливает дополнительные требования к способам и методам их обработки для государственных или муниципальных органов. Так, для них могут быть установлены определенные способы обезличивания, затрудняющие определение принадлежности информации тому или иному лицу. Также для них установлено ограничение на любое использование ПДн или обозначение их принадлежности такими способами, которые могли бы оскорбить чувства конкретных лиц или социальных групп. Ни один способ обработки данных государственными органами и учреждениями не должен ограничить права человека.

Любой оператор, будь то частная фирма или государственная организация, определяя, каким способом он будет обрабатывать предоставленные ему персональные данные, должен строго придерживаться установленных законом принципов. Это позволит избежать и неправомерного использования сведений, и привлечения оператора к ответственности. 

Автоматизированная и неавтоматизированная обработка персональных данных в информационных системах

Приводя бизнес в соответствие с действующими нормативами законодательства в отношении сбора, хранения и передачи личной информации, ИП и руководителям крупных компаний приходится столкнуться с тем, что есть отдельные правила для неавтоматизированной и автоматизированной обработки ПДн. Оператору необходимо правильно трактовать пункты законов и подзаконных актов, чтобы не нарушать их и обеспечить необходимый уровень информационной безопасности на предприятии.

Общие правила совершения операций с ПДн

Осуществляя сбор частных сведений, физическое или юридическое лицо должно придерживаться определенных требований вне зависимости о того, какой

способ обработки персональных данных используется: автоматизированный или неавтоматизированный. Этого требует вступивший в силу в 2006 году закон № 152-ФЗ, согласно которому:

  • получение и последующие операции должны выполняться на законном основании с предварительным уведомлением субъекта и получением его согласия;
  • длительность хранения ПДн определяется временем, необходимым для достижения целей обработки, если иное не прописано в законодательных актах или подписанном сторонами соглашении;
  • при утрате необходимости в обработке персданные должны быть уничтожены;
  • использование личной информации может осуществляться четко в рамках легальных целей и предварительно определенных задач.
    Это     значит, что автоматизированная или неавтоматизированная обработка ПДн не может осуществляться, если предполагает использование сведений, собранных для других целей;
  • запрещено объединение БД, где содержатся ПДн, собранные для выполнения несовместимых между собой задач;
  • оператору надлежит обеспечить достаточность и точность информации, а неточные и неполные ПДн уничтожать либо уточнять.

Что значит неавтоматизированная обработка персональных данных: особенности и требования к работе с ПДн

Разобраться в том,

что такое неавтоматизированная обработка персональных данных, помогает основной регулирующий нормативно-правовой акт по данному вопросу: Постановление Правительства № 687, принятое 15.09.2008.

Постановление Правительства № 687

В соответствии с пунктом первым Положения, утвержденного указанным Постановлением, неавтоматизированной обработкой являются любые действия с персональными данными, при условии, что использование, уточнение, распространение и уничтожение персональных данных осуществляются при непосредственном участии человека. Причем обработку нельзя признать автоматизированной только потому, что персональные данные содержатся в информационной системе или извлечены из нее.

Таким образом использование, уточнение, распространение и уничтожение персональных данных при неавтоматизированной обработке должно осуществляться без использования электронно-вычислительных технологий. Проще говоря, обработка персональных данных будет являться неавтоматизированной при условии, что используемые персональные данные набраны, например, на электронной печатной машинке (что в настоящее врем практически не встречается) и распечатаны на листе бумаги (материальном носителе), при условии что они не будут сохранены в памяти, или откопированы на ксероксе.

Кроме того, необходимо обратить внимание на следующие принципы обработки ПДн без использования средств автоматизации:

  • сведения, при использовании которых не применяется вычислительная техника, должны быть обособленными и фиксироваться на бланках, в специальных формах или на других физических носителях;
  • не допускается объединение на одном носителе личной информации, которая будет обрабатываться для несовместимых целей, а для каждой категории ПДн необходима отдельная форма, бланк и т.д.;
  • обработка персональных данных считается неавтоматизированной, если осуществляется хранение, передача, уточнение и уничтожение сведений при непосредственном участии человека;
  • сотрудники, допущенные к неавтоматизированной обработке, предварительно информируются о требованиях работы с ПДн, наказании за их нарушение и внутренних правилах предприятия в этой области;
  • для получения согласия от субъектов ПДн могут применять типовые формы документов, где должны быть указаны цели обработки и виды собираемой информации;
  • по каждой категории сведений необходимо определить место размещения материального носителя и лицо, ответственное за обеспечение его безопасности. Дополнительно необходимо создать условия, в которых ПДн будут защищены от внешних и внутренних угроз.

Автоматизированная обработка персональных данных: что это и какие АС существуют

Под автоматизированной обработкой персональных данных понимается их обработка при помощи средств вычислительной техники. Средствами вычислительной техники могут быть электронные вычислительные машины, комплексы и сети, вспомогательные и периферийные устройства, в том числе и установленное программное обеспечение. Системы, которые осуществляют подобные операции, отличаются между собой уровнем полномочий субъектов доступа, наличием разных уровней конфиденциальности, режимом функционирования (индивидуальный, коллективный). Также выделяют 4 уровня защищенности, отличающиеся по требованиям к обеспечению безопасности. Определение уровня защищенности призвано упростить и ускорить подбор мер защиты при работе с персональными данными. В зависимости от УЗ автоматизированная система должна быть оснащена различными средствами защиты.

На оператора возлагается обязанность по созданию ограничений доступа, проведению мероприятий для профилактики несанкционированного получения ПДн сторонними лицами, назначению ответственных за безопасность АС лиц, своевременному выявлению утечки сведений, контролю уровня защищенности и незамедлительному восстановлению системы. Построение эффективности СЗПДн требует профессиональных знаний и навыков, которые есть у специалистов нашего Центра. Обращайтесь к нам, чтобы проконсультироваться по поводу обеспечения защиты АС и оптимизации неавтоматизированной обработки ПДн.

Данная статья актуализирована с учетом последних изменений Федерального закона «О персональных данных» от 31 декабря 2017 года.

Политика конфиденциальности — Соглашение об обработке данных — Zistemo

Введение в Соглашение об обработке данных

Настоящее Соглашение об обработке данных («DPA») формирует основу для отношений между вами, Клиентом, в качестве контроллера данных, и DAYquiri, поставщиком услуг, в качестве обработчика данных в соответствии с законодательством о защите данных, в частности с Общим регламентом защиты данных («GDPR»). »).

Это важное Соглашение, формирующее договорную основу для обработки нами данных от вашего имени. В нем объясняется, как ваши данные могут быть обработаны, и его цель. Мы обрабатываем ваши персональные данные только по мере необходимости и по вашим указаниям, как указано в Соглашении.

Из-за объема нашей клиентской базы было бы невозможно заключить индивидуально подписанные соглашения с каждым из наших Пользователей. Мы также надеемся, что простота согласия с этим DPA гарантирует, что принятие новых Условий в соответствии с GDPR займет у вас как занятого владельца бизнеса меньше времени.

Этот DPA гарантирует вам, что мы, как ваш обработчик данных, соблюдаем требования, вытекающие из GDPR. Вы также можете быть уверены, что мы поддерживаем необходимые соглашения со всеми нашими третьими сторонами. Сведения о вашей компании заполняются автоматически в вашей учетной записи, когда вы принимаете Условия использования и Политику конфиденциальности, включая настоящий DPA. Ваши данные всегда будут представлять самую последнюю информацию, которую вы нам предоставили. DPA подробно описан ниже для вашего сведения.

Соглашение об обработке данных

Между:

Имя клиента (далее «Клиент» или «Контроллер данных») [Эта информация будет автоматически заполнена после завершения регистрации]

и

DAYquiri GmbH, Freier Platz 10, 8200 Schaffhausen, Швейцария (далее «zistemo» или «обработчик данных»)

каждая «партия»; вместе «стороны»,

ПРИНЯЛИ СОГЛАСИЕ с условиями настоящего Соглашения об обработке данных (далее «DPA» или «Соглашение») о защите персональных данных в отношении обработки персональных данных, когда Клиент выступает в качестве контроллера данных, а zistemo выступает в качестве обработчика данных, для выполнения обязательства по оказанию услуг, изложенные в Соглашении об оказании услуг (подробнее см. ниже). В рамках выполнения этих обязательств по оказанию услуг zistemo будет обрабатывать определенные Персональные данные от имени Контроллера данных в соответствии с условиями настоящего договора. Каждая сторона соглашается и гарантирует, что условия настоящего договора также будут полностью применимы к ее Аффилированным лицам, которые могут участвовать в операциях по обработке Персональных данных для проекта, определенного в Соглашении об оказании услуг. В частности, zistemo гарантирует, что все Субобработчики действуют в соответствии с условиями настоящего Соглашения при обработке Персональных данных Клиента.

Введение и определения:

Персональные данные определяются как любая информация, относящаяся к субъекту данных, по которой он может быть прямо или косвенно идентифицирован, в частности, посредством ссылки на такой идентификатор, как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или на один или больше факторов, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического или юридического лица (где применимо)

Все другие определения, упомянутые в настоящем документе, включая термины «Контролер данных» и «Обработчик данных», определяются соответствующими законами о защите данных, включая Общий регламент ЕС по защите данных 2016/679 от 27 апреля 2016 г. (далее «GDPR»).

Конфиденциальные персональные данные не считаются обрабатываемыми в рамках службы приложений, предлагаемой обработчиком данных, и поэтому исключаются из условий настоящего Соглашения.

Регистрируясь для использования программы zistemo и принимая Положения и условия, включая Политику конфиденциальности и настоящий DPA, стороны соглашаются в соответствии со всеми национальными законами о защите данных и GDPR, что настоящее Соглашение регулирует отношения между Контролером данных и Обработчиком данных. , определение обработки персональных данных zistemo данных Клиента. Настоящее Соглашение имеет преимущественную силу, если только оно не было заменено другим подписанным DPA, в котором указано, что оно имеет преимущественную силу по отношению к настоящему Соглашению.

Целью обработки компанией zistemo Персональных данных для Клиента является обеспечение полного использования Клиентом Сервиса и выполнение настоящего Соглашения. zistemo обеспечивает постоянный достаточный уровень безопасности Персональных данных.

Обе стороны тем самым подтверждают свои полномочия на подписание Соглашения.

Обязанности обработчика данных:

Обработчик данных должен обрабатывать все персональные данные от имени Контроллера данных и следовать его инструкциям. Заключая настоящее Соглашение, zistemo (и любые субобработчики, с которыми у Обработчика данных заключено юридическое соглашение об оказании услуг) получает указание обрабатывать Персональные данные Клиента:

  • В соответствии со всеми применимыми законами о конфиденциальности данных
  • Для выполнения своих обязательств по Условиям использования Сервиса
  • в соответствии с дальнейшими инструкциями Контролера данных
  • , как описано в настоящем Соглашении

В рамках предоставления Приложения обработчик данных должен всегда предоставлять Клиенту адекватные решения, сопровождающие дальнейшее развитие его бизнеса с помощью услуги. Обработчик данных отслеживает, как Клиент использует Приложение, чтобы делать наилучшие предложения, предоставлять соответствующие услуги в любое время и участвовать в отправке наиболее точных сообщений, чтобы обеспечить постоянную простоту использования и удовлетворение. Поскольку обработка персональных данных из Приложения является частью этого, они обрабатываются только в соответствии с настоящим DPA и применимым законодательством и передаются только по мере необходимости, чтобы обеспечить лучший опыт для Клиента.

Если обработчик данных считает, что инструкция контроллера данных нарушает GDPR или другие правила защиты данных, обработчик данных немедленно сообщит об этом контроллеру данных.

Принимая во внимание доступную технологию и стоимость внедрения, а также объем, контекст и цель Обработки, Оператор данных обязан принять все разумные меры, включая технические и организационные меры, для обеспечения достаточного уровня безопасности в отношении риска и категории Персональных данных, подлежащих защите (статья 32 GDPR). Обработчик данных должен помочь Контролеру данных с соответствующими техническими и организационными мерами по мере необходимости и с учетом характера обработки и категории информации, доступной Обработчику данных, для обеспечения соблюдения обязательств Контроллеров данных в соответствии с применимыми законами о защите данных (обязательство для ответа на заявки в соответствии с главой III GDPR / статьями 32-36 GDPR). Обработчик данных должен без неоправданной задержки уведомить Контролера данных, если обработчику данных станет известно о нарушении безопасности.

Кроме того, обработчик данных должен, насколько это возможно и законно, информировать Контролера данных, если запрос на информацию о хранимых данных запрашивается (запрос на доступ к данным) любыми органами, которым они должны его предоставить. Обработчик данных будет отвечать на такие запросы после получения разрешения от Контроллера данных. Обработчик данных также не будет раскрывать информацию о настоящем Соглашении, за исключением случаев, когда это требуется по закону, например, по решению суда.

Если Контроллеру данных требуется информация или помощь в отношении безопасности данных, документации или информации о том, как Обработчик данных обычно обрабатывает Персональные данные, он может запросить эту информацию у Обработчика.

Обработчик данных, его сотрудники и любые Аффилированные лица должны обеспечивать конфиденциальность в отношении Персональных данных, обрабатываемых в соответствии с Соглашением. Это положение продолжает применяться после расторжения Соглашения, независимо от причины расторжения.

Обязанности контроллера данных:

Контроллер данных подтверждает, подписывая настоящее соглашение, что при использовании Приложения он сможет свободно обрабатывать свои данные в соответствии со всеми правовыми требованиями по защите данных, включая GDPR. Они дают прямое согласие на обработку своих Персональных данных в любое время при использовании Сервиса.

Контролер данных может отозвать это согласие на любом этапе, но тем самым прекращает действие Соглашения, и Обработчик данных больше не сможет предоставлять Услуги.

У Клиента есть законное основание для обработки Персональных данных Обработчиком данных (включая любых субобработчиков) с использованием услуг zistemo.

Контроллер данных всегда несет ответственность за точность, целостность, содержание и надежность Персональных данных, обрабатываемых обработчиком данных. Они выполнили все обязательные требования в отношении уведомления или получения разрешения от соответствующих государственных органов в отношении обработки персональных данных. Они также выполнили свои обязательства по раскрытию информации перед соответствующими органами в отношении обработки Персональных данных в соответствии со всеми применимыми законами о защите данных.

У Контролера данных должен быть точный список категорий Персональных данных, которые он обрабатывает, особенно если такая обработка отличается от категорий, перечисленных Обработчиком данных в Приложении A.

Субподрядчики

Контролер данных настоящим дает общее согласие на привлечение субподрядчиков в связи с обработкой данных.

Обработчик данных обязуется информировать Контролера данных о любых изменениях, касающихся привлечения или замены дополнительных субподрядчиков. При условии, что Контролер данных не возражает в течение двух недель, участие или замена будут считаться утвержденными. В случае возражения обработчик данных может расторгнуть DPA с уведомлением не менее чем за две недели. В этом случае обработчик данных больше не обязан предоставлять услуги, связанные с обработкой персональных данных! данные клиента от имени Контролера данных. Остальные положения Основного соглашения не затрагиваются прекращением действия DPA.

Кроме того, обработчик данных обязан

  • , чтобы посредством письменного соглашения гарантировать, что все субподрядчики по существу связаны теми же обязательствами, которые применяются к Обработчику в соответствии с настоящим DPA.
  • взять на себя ответственность перед Контролером данных, если субподрядчики не соблюдают свои обязательства по защите данных в соответствии с письменным соглашением по смыслу раздела а).

Международная передача данных

Обработчик данных может обрабатывать персону! данные в пределах Европейской экономической зоны («ЕЭЗ») или в странах, где Европейская комиссия решила, что они обеспечивают адекватный уровень защиты.

Обработчик данных может передавать только личность! данные субподрядчикам, зарегистрированным в странах, которые, по мнению Европейской комиссии, не обеспечивают адекватный уровень защиты данных, если обработчик данных обеспечивает соблюдение требований, изложенных в главе V GDPR, в частности, путем заключения Модуля 3 Стандарта Договорные положения, принятые Комиссией ЕС (Решение 2021/914/ЕС) с субподрядчиками.

Если Стандартные договорные условия, принятые Комиссией ЕС (Решение 2021/914/ЕС), будут признаны недействительными, заменены, аннулированы или иным образом сформулированы таким образом, что они больше не представляют адекватных гарантий для передачи данных в третьи страны, Стороны обязуются найти альтернативное решение, которое соответствует применимым законам о защите данных и обеспечивает законность передачи персоны! данные в третьи страны.

Технические и организационные меры (ТОМ)

Обработчик данных обязуется принять необходимые технические и организационные меры для обеспечения соблюдения применимых законов о защите данных и настоящего DPA. Обзор технических и организационных мер, принятых Обработчиком данных, включен в Приложение B. Контролер данных подтверждает, что технические и организационные меры, предусмотренные в Приложении B, являются адекватными.

Обработчик данных обязан уведомлять Контролера данных о любых существенных изменениях технических или организационных мер. Обработчик гарантирует, что такие изменения не приведут к снижению уровня защиты.

Срок действия договора:

Соглашение остается в силе до тех пор, пока Обработчик данных обрабатывает Персональные данные с использованием Обработчиком данных Сервисного приложения и если оно не будет заменено другим подписанным DPA, который сообщает о своем приоритете над настоящим Соглашением.

Расторжение договора:

После прекращения любой подписки контроллер данных также может удалить все данные своей учетной записи. После выполнения процедуры удаления данных, инициированной контроллером данных, обработчик данных удаляет все Персональные данные, за исключением тех, которые они обязаны хранить в соответствии с любыми применимыми правовыми требованиями, и в таком случае они будут храниться в соответствии с техническими и организационными мерами безопасности. в DAYquiri.

Контроллер данных имеет все возможности для извлечения всех своих Персональных данных в приложении-службе. Если Контролер данных запрашивает помощь в поиске данных, связанные с этим расходы определяются по соглашению между Сторонами и основываются на сложности запрашиваемого процесса и времени на его выполнение в выбранном формате.

Изменения к Соглашению:

Изменения к Соглашению оформляются отдельным Приложением к Соглашению. Если какое-либо из положений Соглашения будет признано недействительным, это не влияет на остальные положения. Стороны заменяют недействительные положения положением закона, отражающим цель недействительного положения.

Аудиты:

Контролер данных имеет право инициировать проверку обязательств Обработчика данных по Соглашению один раз в год. Если это требуется от обработчика данных в соответствии с применимым законодательством, проверки могут повторяться один раз в год. Подробный план аудита должен быть предоставлен с подробным описанием объема, продолжительности и даты начала не менее чем за четыре недели до предполагаемой даты начала. Стороны вместе решают, должна ли третья сторона проводить аудит. Однако Контролер данных может разрешить Обработчику данных провести проверку безопасности нейтральной третьей стороной по выбору Обработчика данных, если это среда обработки, в которой обрабатываются данные нескольких контроллеров данных.

Если предлагаемый объем аудита соответствует отчету о сертификации ISAE, ISO или аналогичному сертификационному отчету, проведенному квалифицированным сторонним аудитором в течение предыдущих двенадцати месяцев, и обработчик данных подтверждает, что в рассматриваемых мерах не было существенных изменений, это будет удовлетворить любые запросы, полученные в течение этого периода времени. Аудиты не могут необоснованно мешать обычной деятельности Обработчика данных. Контролер данных несет ответственность за все расходы, связанные с его запросом на аудиторскую проверку.

Ответственность и юрисдикция:

Ответственность за действия, возникающие в результате нарушения положений настоящего Соглашения, регулируется положениями об ответственности и компенсации, изложенными в Условиях подписки в разделе 13. Это также относится к любому нарушению со стороны субпроцессоров Обработчика данных. Настоящее Соглашение регулируется судами Соединенного Королевства, которые обладают исключительной юрисдикцией для разрешения любого спора, касающегося его.

Категории личной информации и обычные категории обработки

А. Цель обработки

  • Цель учета
  • Надлежащий учет
  • Выставление счетов
  • Управление персоналом
  • Уход и управление данными сотрудников
  • Уход и управление данными клиентов
  • Ведение и управление данными о поставщиках
  • Документация рабочего времени

B. Категории личной информации

  • Имя
  • Адрес(а)
  • Номер(а) телефона
  • Адрес(а) электронной почты
  • Любые номера счетов и/или банковские реквизиты

C.

Обычные категории обработки
  • Сотрудники Контролера данных
  • Должность сотрудников Контролера данных
  • Отдел сотрудников Контролера данных
  • Рабочее время сотрудников контроллера данных
  • Отпуск сотрудников контроллера данных
  • Контакты контролера данных (телефон/электронная почта/адреса/и т. д.)
  • Клиенты контроллера данных
  • Банковская информация контроллера данных
  • Сотрудники их клиентов
  • Контакты их клиентов (телефон/электронная почта/адреса/и т. д.)
  • Клиенты их клиентов
  • Банковская информация клиентов их клиентов
  • Контакты их поставщиков (телефон/электронная почта/адреса/и т. д.)
  • Банковская информация о клиентах их поставщиков

Приложение А Субподрядчики

Приложение B Технические и организационные меры «ТОМ»


Обработка персональных данных (GDPR) | Swerim

Вы всегда должны чувствовать себя в безопасности, предоставляя Swerim личные данные. Мы делаем все возможное, чтобы защитить ваши данные от несанкционированного доступа. Вся обработка персональных данных осуществляется в соответствии с Общим регламентом ЕС по защите данных (GDPR).

Что такое персональные данные?

Персональные данные — это любая информация, которая может быть связана с вами как с физическим лицом. Например, ваше имя, личный адрес электронной почты, личный номер телефона и так далее. Информация, связанная с компаниями, такая как идентификационные номера компании, номер телефона компании, электронная почта, связанная с компанией или должностью и т. д., не считается персональными данными. Личный идентификационный номер индивидуального предпринимателя регистрируется, поскольку он одновременно является идентификационным номером компании.

Сбор и согласие

Swerim собирает персональные данные как по цифровым, так и по аналоговым каналам (например, веб-сайты, семинары, встречи с клиентами, по телефону и т. д.). Данные хранятся во внутренних базах данных клиентов компании.

Мы всегда запрашиваем ваше согласие, если нам нужно сохранить ваши личные данные для определенной цели. Исключения могут иметь место:

  • Когда мы обязаны хранить ваши данные в соответствии с требованиями законодательства (например, Законом о бухгалтерском учете Швеции).
  • Когда вы или ваша компания вступаете с нами в деловые отношения (законный интерес).

Использование и цель

Мы никогда не собираем больше информации, чем требует ситуация, и только для определенных целей. К таким целям относятся:

  • предоставление продукта или услуги
  • маркетинговая деятельность
  • юридические требования
  • набор персонала

Мы редко обрабатываем конфиденциальные данные, но это может произойти. Если вы лично решите предоставить нам информацию такого типа, Swerim считает, что вы дали свое согласие на регистрацию данных в соответствии с целью, явно указанной в связи с отправкой данных. Например, когда вы лично предоставляете информацию о ценовых предпочтениях перед семинаром, а Swerim этого не требует.

Веб-сайт и социальные сети

Веб-сайт Swerim

Веб-сайт Swerim использует файлы cookie. Узнайте больше о файлах cookie на сайте swerim.se .

Аккаунты Swerim в социальных сетях

Персональные данные можно найти в аккаунтах Swerim в социальных сетях при условии, что они не классифицированы. Не допускаются оскорбительные/оскорбительные комментарии и информация, содержащая конфиденциальные личные данные. Если такие будут обнаружены, о них будет сообщено в отдел маркетинга Swerea или веб-мастеру [на] swerea.se и незамедлительно удалено.

Внешние системы/поставщики

В тех случаях, когда внешние поставщики или партнеры имеют доступ к системам, в которых доступны персональные данные, мы создали так называемые «соглашения о сотрудничестве», чтобы обеспечить безопасную обработку и защиту данных. .

Как долго хранятся личные данные?

Мы храним ваши персональные данные до тех пор, пока это необходимо для выполнения задачи, для которой персональные данные были собраны и сохранены.

Право доступа

Вы имеете право раз в год запрашивать информацию о том, какие персональные данные о вас или вашей компании мы обрабатываем. Запрос на информацию должен быть отправлен в письменной форме ответственному за персональные данные в дочерней/материнской компании Swerim, применимой к вашему запросу.

Право на исправление и право на удаление

Вы можете в любое время запросить исправление ваших личных данных или удалить их из нашего реестра, если вы не можете сделать это самостоятельно. Мы исправим или удалим ваши данные без неоправданной задержки.

Чтобы запросить исправление или удаление, см. контактную информацию ниже. Обратите внимание, что могут существовать юридические ограничения и другие правила, которые ограничивают ваши вышеупомянутые права.

К кому обращаться по вопросам обработки персональных данных?

Если у вас есть какие-либо вопросы об обработке персональных данных Swerim, пожалуйста, свяжитесь с Privacy [at] swerea.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *