Обработка персональных данных что означает: Обработка персональных данных — Санкт-Петербург

Разное 

Содержание

обработка, защита, согласие на обработку — СКБ Контур

1. Закон распространяется на все организации — и коммерческие, и бюджетные

Под персональными данными, как следует из ст. 3 №152- ФЗ, подразумевается любая информация, имеющая отношение к физлицу: информация, указанная в паспорте (ФИО, дата рождения, адрес регистрации, семейное положение и др.), а также сведения об образовании, занимаемой должности, зарплате и даже росте, весе, цвете глаз и др.

Закон распространяется абсолютно на все организации. Поскольку в каждой организации есть работники, то их данные так или иначе используются при заключении трудового договора, начислении зарплаты и в других случаях. Персональные данные вносятся в личные дела сотрудников, которые хранятся у кадровиков.

Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных. Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2. Компании могут использовать данные различных категорий субъектов

С каждой из категорий субъектов персональных данных компанию связывает определенный тип правоотношений. Некоторые компании обрабатывают персональные данные не только работников, но и клиентов, например, производственные компании. Так, компании из сферы услуг (автошколы, салоны красоты, парикмахерские, туристические агентства и др.) взаимодействуют с клиентами-физлицами, обрабатывая их персональные данные с целью предоставления, например, дисконтных карт. Интернет-магазины собирают данные физлиц, чтобы осуществлять доставку товаров.

Существует определенная категория лиц, которая не является ни клиентами, ни работниками компании, однако она передает свои данные в организацию, где они хранятся и обрабатываются. К такой категории относятся соискатели, принимающие участие в конкурсе на вакансию и передающие потенциальному работодателю свои персональные данные в виде резюме или анкеты на сайте компании.

Сотрудники могут работать в организации по договору подряда. Оформляя человека по такому договору, компания может не запрашивать у него сведений о семейном положении или ограничений по здоровью. В случае с работником, оформленным по трудовому договору, компания должна это делать.

У товариществ собственников жилья нет ни работников, ни клиентов. Это сообщество, в котором состоят члены. Существуют и другие виды организаций с подобной структурой и без трудовых или гражданских правоотношений: общественные организации, политические партии, религиозные организации и др.

3. Обработке подлежат персональные данные, отвечающие целям их обработки

Важно понимать, какие данные каких субъектов используются, чтобы устанавливать цель обработки персональных данных.

Организациям необходимо иметь представление не только о том, данные каких категорий субъектов они обрабатывают, но и с какой целью они это делают, исходя из специфики деятельности. Например, у интернет-магазина и автошколы цель обработки данных может заключаться в выполнении условий договора с клиентами.

4. Необходимо знать, какие именно данные нужно использовать

Закон требует от компаний понимания, какие именно персональные данные в отношении каждой категории субъектов они обрабатывают.

Очевидно, что если в случае с работником необходимо знать об ограничениях по здоровью для начисления социальных выплат, имеются ли у него дети до 18 лет, чтобы предоставить ему налоговый вычет, то в отношении клиента интернет-магазина, который заказал товар, эти сведения не нужны. В этом случае достаточно знать имя, адрес и телефон покупателя.

Закон запрещает обрабатывать персональные данные, которые не требуются для достижения цели их обработки.

Достигнув цели обработки данных, компания должна прекратить обработку этих данных. Так, если интернет-магазин осуществил доставку товара клиенту, то в дальнейшем ему уже не потребуются его номер мобильного телефона и адрес доставки.

5. Необходимо понимать, когда требуется согласие на обработку данных

Для каждой категории субъектов (работников, клиентов, соискателей и др. ) определяется цель обработки данных. Порой эта цель заключается в выполнении требований определенных законов. В этом случае организация может абсолютно спокойно собирать данные соответствующей категории и обрабатывать их. Так, в отношении работников организации выполняют трудовое законодательство, многие кредитные и финансовые организации обязаны на своем официальном сайте публиковать сведения об аффилированных лицах, ОАО должно размещать у себя на сайте информацию о структуре акционеров.

Если цель обработки данных какой-то категории субъектов установлена компанией самостоятельно, исходя из специфики деятельности, то она должна взять согласие об обработке персональных данных у субъекта данных (ст. 9 №152- ФЗ). Например, если компания принимает на работу сотрудника по трудовому договору, то по трудовому законодательству она должна знать, как его зовут, где он прописан, какое у него образование. И эти сведения компания может получать у человека без его согласия. Если же компания собралась выплачивать сотруднику зарплату на банковскую карту и планирует передавать сведения о нем в банк, то она обязана взять на это согласие, так как прямого требования передавать персональные данные в банк для выплаты заработной платы в законе нет.

Если интернет-магазин после доставки товара планирует рассылать клиентам SMS-сообщения о скидках, то он должен заранее сформулировать эту цель и взять с клиентов согласие на использование данных именно с этой целью. В ч.1 ст.15 №152- ФЗ есть упоминание о том, что рекламные контакты с клиентами совершаются только с их согласия.

Закон отдельно выделяет требования для данных, неправомерные действия с которыми могут нанести вред субъекту персональных данных. Речь идет о специальной категории персональных данных (ст. 10 №152- ФЗ) и биометрических персональных данных (ст. 11 №152-ФЗ).

К биометрическим данным относятся сведения, которые отражают физиологические особенности человека и необходимы для установления его личности (например, если в компании используются системы контроля доступа). К специальной категории данных относятся сведения о национальной, расовой принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья и интимной жизни. Эти данные выделяются в отдельную категорию, так как закон прямо запрещает их использовать, за исключением ряда случаев (один из них — если субъект дал на то свое письменное согласие).

Отдельно закон говорит о передаче данных за границу (ст. 12 №152- ФЗ).

С учетом всех базовых принципов, описанных выше, требования к обработке данных можно разделить на три больших блока (ст. 19 №152- ФЗ):

1. Правовые меры

Организация решает, как будет соблюдать законодательство, оформляет решение в виде внутренних документов, например, «Политики в отношении обработки персональных данных», издает приказ, в котором назначает ответственного за организацию процесса обработки персональных данных и т д.

2. Организационные меры

Эти меры связаны с деятельностью компании. Закон требует, чтобы «Политика в отношении обработки персональных данных» была доступна для всех категорий субъектов персональных данных. Ее рекомендуется размещать на информационном стенде, где с ней смогут ознакомиться не только работники, но и клиенты.

По закону любой субъект персональных данных может написать в компанию письмо с требованием уточнить, обрабатывает ли она его данные. Если обрабатывает, то какие данные, с какой целью и на каком основании. Также любой субъект имеет право потребовать прекратить обработку своих персональных данных.

Рассмотрение этого письма и подготовка ответа на него — деятельность, относящаяся к организационным мерам. О том, как отвечать на такие письма, уточняется в ст. 20-21 №152-ФЗ.

3. Технические меры

Связаны с использованием средств защиты информации. Это могут быть как примитивные средства — сургучовые печати, решетки на окнах, так и высокотехнологичные способы — антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты и др.

При обработке персональных данных организации следует:
  1. Разобраться, с данными каких категорий субъектов она имеет дело, на каком основании и с какой целью она их использует.
  2. Ознакомиться с законом и решить, как будут выполняться требования, отразить это в локальных нормативных актах.
  3. Принять соответствующие организационные меры. Например, опубликовать «Политику в отношении обработки персональных данных» и  быть готовой выполнять те организационные требования, которые необходимы в ходе операционной деятельности.
  4. Позаботиться о технических мерах, понять, какие технические меры должны быть приняты, обеспечить принятие этих мер.

Существенное дополнение: в рамках текущего законодательства ни у одного контролирующего органа нет полномочий на то, чтобы контролировать выполнение технических мер у коммерческих частных организаций. Роскомнадзор может контролировать только выполнение правовых и организационных мер у частных компаний. Поэтому о четвертом шаге можно говорить формально: закон предоставляет возможность коммерческим компаниям большую свободу в выборе технических мер. Что касается государственных организаций, то для них требования по использованию средств защиты информации четко определены и подробно описаны.

Игорь Луканин, руководитель продукта «Контур. Персональные данные»

Что такое «Согласие на обработку персональных данных»

В 2005 году Российская Федерация ратифицировала Конвенцию Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (Страсбург, 28 января 1981 г.). С ратификацией этого международного документа наша страна и мы, её граждане вступили в новую социально-экономическую формацию, в которой полномочия государства и права человека вторичны относительно прав «операторов». Во исполнение Конвенции в 2006 году в России поспешно принят ФЗ-№152 «О персональных данных» (далее ФЗ-№152), который во всех базовых положениях повторяет Конвенцию. ФЗ-№152 действует с 2006 года, однако до последнего времени при походе в библиотеку или к стоматологу человеку не приходилось давать полный отчёт о своей жизни: себе, семье, работе, собственности.

Жёсткий и тотальный сбор информации обо всех сторонах жизни человека начался только в связи с принятием ФЗ-№210 «Об организации предоставления государственных и муниципальных услуг». Здесь-то и заработали заблаговременно принятые Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» и ФЗ-№152. Именно на основании ФЗ-№152 в последнее время гражданам предлагают подписывать различные бланки «о согласии на обработку их персональных данных» по месту работы, учёбы, в детском саду, который посещает ребёнок. Собирают наши «добровольные» согласия школы, поликлиники, библиотеки, все социальные учреждения. Подсуетились и магазины, которые при предоставлении скидки раздают анкеты, где мелким шрифтом включена фраза о согласии на обработку персональных данных.

 

Прежде чем дать такое согласие, человеку необходимо знать, что стоит за понятиями, употребляемыми в бланках

1. В соответствии с ФЗ-№152 персональные данные – это любая информация, относящаяся прямо или косвенно к физическому лицу.

2. Понятие «обработка персональных данных» имеет далеко не такое невинное значение как большинству из нас кажется. В соответствии с п. 3 статьи 3 ФЗ-№152, «обработка» включает в себя любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3. Очень важно понятие «оператор». Нужно помнить, что оператор независимо от желания человека самостоятельно решает какие персональные данные он собирает и какие действия с этими данными человека совершает.

В соответствии с ФЗ-№152 оператор это – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

4. Что прячется за понятием «использование персональных данных»?

Поскольку операторам предоставлено право любых действий с нашими персональными данными, то и принятие юридически значимых решений охватывается этим правом.

Давая согласие на обработку своих персональных данных, человек соглашается на совершение операторами любых действий и манипуляций с любой своей, в том числе и конфиденциальной информацией.

5. В соответствии с ФЗ-№152 «распространение» – это действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Поскольку персональные данные – это любая информация о человеке, то распространение – это фактически не контролируемое человеком ознакомление с его самой конфиденциальной информацией любых физических и юридических лиц по усмотрению оператора.

Если оператор сочтёт необходимым, то в процессе обработки-распространения может осуществляться и трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

6. ФЗ-№152 даёт практически безграничные возможности для любых манипуляций с нашими персональными данными любому оператору, получившему согласие человека «на обработку персональных данных».

Формальная фраза бланков о праве человека отозвать согласие на обработку персональных данных ничего не решает. К моменту отзыва персональные данные человека уже разосланы в различные базы, где они остаются и используются. Кроме того, отзыв согласия чреват репрессивными мерами оператора. Некоторые операторы предупреждают о них сразу, а другие будут применять на практике без предупреждения. В статью 9 ФЗ-№152 внесены изменения, дающие оператору право продолжать обработку персональных данных и после отзыва согласия на обработку. А изменения в статье 6 этого закона допускают обработку персональных данных без согласия человека при оказании государственных и муниципальных услуг, включая регистрацию на едином портале государственных услуг. Если следовать логике этих положений, никакие электронные услуги не будут оказываться при отказе человека на обработку его персональных данных.

Итак, в информационном обществе на первый план выходит новое лицо – оператор, диктующий свои условия гражданам и государству.

7. Тысячи граждан по религиозным убеждениям не могут принять автоматизированный способ учета персональных данных, который основывается на использовании личных идентификаторов (СНИЛС, ИНН и других), штрихового кодирования информации, создании баз персональных данных, доступ в которые осуществляется на основании цифровых идентификаторов личности. Использование личных цифровых идентификаторов в любых правоотношениях нарушает право действовать под своим именем, гарантированное статьей 19 Гражданского кодекса РФ. Для верующего человека замена имени цифровым идентификатором неприемлема, поскольку происходит фактическая замена имени, данного при Крещении, цифровым номером, который является пожизненным и становится обязательным условием доступа к любым правам и услугам.

Однако отказ от использования автоматизированного способа учета персональных данных не лишает граждан прав, гарантированных Конституцией РФ. Первые примеры санкций за отказ предоставить всю информацию о себе в полное распоряжение оператора уже имеются. Так называемые операторы в ответ на отказ дать согласие на обработку персональных данных прекращают гражданам выплату дотаций, не оказывают медицинскую помощь и др. Учащиеся сообщают об угрозах не допустить к экзаменам или не выдать аттестат. Это является грубейшим нарушением прав граждан.

В Конституции РФ права граждан на социальное обеспечение, медицинскую помощь, образование и другие не обусловлены обязательным согласием на обработку персональных данных. Конституция имеет прямое действие и высшую юридическую силу. Граждане имеют право требовать реализации всех своих прав и в случае отказа на обработку персональных данных.

8. 4 февраля 2013 года Архиерейским Собором Русской Православной Церкви принят Документ «Позиция Церкви в связи с развитием технологий учета и обработки персональных данных».

В Документе говорится, что тысячи граждан на основе своих конституционных прав и по религиозной мотивации отказываются от использования новой идентификационной системы.

Церковь считает особенно важным принцип добровольности принятия любых идентификаторов и указывает, что необходимо проявлять уважение к конституционным правам граждан и не дискриминировать тех, кто отказывается от принятия электронных средств идентификации.

Церковь считает недопустимым ограничение прав граждан в случае отказа дать согласие на обработку персональных данных.

В п. 5 говорится: «В связи с тем, что обладание персональной информацией создает возможность контроля и управления человеком через различные сферы жизни (финансы, медицинская помощь, семья, социальное обеспечение, собственность и другое), возникает реальная опасность не только вмешательства в повседневную жизнь человека, но и внесения соблазна в его душу. Церковь разделяет опасения граждан и считает недопустимым ограничение их прав в случае отказа человека дать согласие на обработку персональных данных».

Подробнее – в книге О. А. Яковлевой «Новые технологии и права человека» (тел. издательства 8-800-200-84-85, Интернет-магазин www.zyorna.ru).

 

В Москве можно заказать книгу в магазинах:

http://www.russdom.ru/node/46

Магазин «Русский дом»

Адрес: Москва, Малый Кисельный переулок, дом 4, стр.1

Тел.:8-495- 621- 43-53, 621-35-02

 

http://www.oranta-book.ru/prais-list/

т.8(495)973-04-46

т.8(901)553-04-46

 

МАГАЗИН «СРЕТЕНИЕ», г. Москва, Б. Лубянка, 19, Тел. (495) 628-82-10, http://sretenie.com/book/element.php?ID=40836

 

http://www.labirint.ru/books/335535/

8-800-555-0863

 

http://www.ozon.ru/context/detail/id/10797479/

8 800 100 05 56

 

http://www.sprinter.ru/books/novye-tehnologii-i-prava-cheloveka-yakovleva-2079272.html

8 (499) 922-66-05, 8 (905) 509-24-33

 

http://www.otchiy.ru/shop/UID_1453.html

+7 926 926 0427

+7 495 633 0802

 

http://www. zlatoriza.ru/catalog/item/27991

Православный магазин «Риза»

125167, Москва, ул. Красноармейская, д. 2, строение 4, проезд до станции метро «Динамо»

Телефон +7 (495) 223 22 97

 

 

Подробности – на сайте http://rodinaprav.info в разделе «Издания». Правовая информация – на сайте «Союза правоcлавных юристов» http://rodinaprav.info.

 

Просьба сообщать о фактах нарушения ваших прав при отказе от обработки персональных данных в «Союз православных юристов».

Адрес: 115573, Москва, а/я 137, Яковлевой О.А.

[email protected]

Политика обработки персональных данных

Настоящая Политика содержит описание принципов и подходов ООО «ПРО ВОСТОК» в отношении обработки и обеспечения безопасности персональных данных, обязанности и ответственность ООО «ПРО ВОСТОК» при осуществлении такой обработки.
ООО «ПРО ВОСТОК» полностью обеспечивает соблюдение прав и свобод граждан при обработке персональных данных, в том числе обеспечивает защиту прав на неприкосновенность частной жизни, личной и семейной тайн.

При обработке персональных данных в ООО «ПРО ВОСТОК» строго соблюдаются следующие принципы:

  • не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • не допускается обработка персональных данных, которые не отвечают целям обработки. Содержание и состав обрабатываемых персональных данных в ООО «ПРО ВОСТОК» соответствует заявленным целям обработки;
  • при обработке персональных данных обеспечивается точность, достаточность, а в необходимых случаях актуальность персональных данных;
  • хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, а также федеральные законы РФ и договоры, сторонами которыx, выгодоприобретателем или поручителем по которым является субъект персональных данных;
  • обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных законодательством РФ.
  • Субъектами персональных данных, обработка которых осуществляется ООО «ПРО ВОСТОК», являются:
  • кандидаты на трудоустройство;
  • работники;
  • представители контрагентов;
  • клиенты – физические лица;
  • представители корпоративных клиентов – юридических лиц.

Цели обработки персональных данных

Целью обработки персональных данных кандидатов на трудоустройство является подбор и найм персонала в ООО «ПРО ВОСТОК».
Целью обработки персональных данных работников является организация учета персонала ООО «ПРО ВОСТОК» для обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении, пользования различного вида льготами в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами РФ, в частности Федеральным законом от 1.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 27. 07.2006 г. № 152-ФЗ «О персональных данных».
Целями обработки персональных данных представителей контрагентов является заключение и исполнение договоров, сторонами которых являются контрагент и ООО «ПРО ВОСТОК», а также исполнение требований законодательства РФ.
Целями обработки персональных данных клиентов является исполнение требований законодательства РФ и исполнение договоров, проведение маркетинговых и иных исследований и оказание сервисных услуг.
Конфиденциальность персональных данных и возможность передачи персональных данных третьим лицам
Доступ к персональным данным ограничивается в соответствии с федеральными законами РФ и локальными правовыми актами ООО «ПРО ВОСТОК».
ООО «ПРО ВОСТОК» не разглашает полученные им в результате своей профессиональной деятельности персональные данные.

Работники ООО «ПРО ВОСТОК», получившие доступ к персональным данным, принимают обязательства по обеспечению конфиденциальности обрабатываемых персональных данных, которые определены:

 
  • трудовым договором;
  •  инструкциями в части обеспечения безопасности персональных данных.

Доступ к персональным данным, обрабатываемым в ООО «ПРО ВОСТОК», на основании и во исполнение нормативных правовых актов предоставляется органам государственной власти по их письменному запросу (требованию). ООО «ПРО ВОСТОК» вправе предоставлять персональные данные третьим лицам на основании поручения обработки персональных данных, при этом ответственность перед субъектами персональных данных несет ООО «ПРО ВОСТОК».
Безопасность персональных данных

ООО «ПРО ВОСТОК» предпринимает необходимые технические и организационные меры информационной безопасности для защиты персональных данных от несанкционированного доступа, изменения, раскрытия или уничтожения, путем внутренних проверок процессов сбора, хранения и обработки данных и мер безопасности, а также осуществления мер по обеспечению физической безопасности данных для предотвращения несанкционированного доступа к системам, в которых ООО «ПРО ВОСТОК» хранит персональные данные.
Права и обязанности субъектов персональных данных
ООО «ПРО ВОСТОК» предпринимает разумные меры для поддержания точности и актуальности имеющихся персональных данных, а также удаления персональных данных в случаях, если они являются устаревшими, недостоверными или излишними, либо если достигнуты цели их обработки. Субъекты персональных данных несут ответственность за предоставление ООО «ПРО ВОСТОК» достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.
В случаях, если Вы как субъект персональных данных хотите узнать, какими персональными данными о Вас располагает ООО «ПРО ВОСТОК», либо дополнить, исправить, обезличить или удалить любые неполные, неточные или устаревшие персональные данные, либо хотите прекратить обработку ООО «ПРО ВОСТОК» Ваших персональных данных, либо имеете другие законные требования, Вы можете в должном порядке и в соответствии с действующим законодательством РФ реализовать такое право, обратившись к ООО «ПРО ВОСТОК» по приведенному ниже адресу.
При этом в некоторых случаях (например, если Вы хотите удалить Ваши персональные данные или прекратить их обработку) такое обращение также может означать, что ООО «ПРО ВОСТОК» больше не сможет предоставлять Вам услуги, для оказания которых необходимым и обязательным условием является получение и обработка ООО «ПРО ВОСТОК» Ваших персональных данных.
Для выполнения Ваших запросов и/или обращений ООО «ПРО ВОСТОК» может потребовать установить Вашу личность и запросить дополнительную информацию, подтверждающую Ваше участие в отношениях с ООО «ПРО ВОСТОК», либо сведения, иным образом подтверждающие факт обработки персональных данных ООО «ПРО ВОСТОК». Кроме того, действующее законодательство РФ может устанавливать ограничения и другие условия, касающиеся упомянутых выше Ваших прав.
Адрес для направления запросов и/или обращений субъектами персональных данных: 115162, г. Москва, ул. Шаболовка, д. 31, с. 23, 2 эт., в ООО «ПРО ВОСТОК».
Обратная связь
Если у Вас есть дополнительные вопросы или предложения относительно этой Политики, Вы можете в любое время связаться с ООО «ПРО ВОСТОК» по адресу
[email protected] .

для тех, кому нужно быстро разобраться

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

Биометрические персональные данные

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.

Иные персональные данные

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

  1. Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
  2. Иные данные — это просто дополнительная информация, они часто могут меняться.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

  1. Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
  2. Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Кратко: Кто является оператором персональных данных? Тот, кто собирает ПДн, хранит их у себя на серверах, анализирует, изменяет и передает.

Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

  1. Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
  2. Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
  3. Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
  4. В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Защита персональных данных при аутсорсинговой обработке. Плюсы и минусы

Обработка персональных данных… многие слышали, читали об этом, но понять до конца трудно, «что это такое и с чем это едят».

Любому лицу, организации, государственному органу (это операторы по обработке персональных данных), которому физическое лицо (субъект персональных данных) передало личную информацию о себе, необходимо соблюсти множество требований законодательства при обработке этой информации, в том числе, но не ограничиваясь, федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее-Закон).

Статья 3 Закона называет обработкой персональных данных (далее — ПДн) любое действие или их совокупность, совершаемых с использованием средств автоматизации или без использования таковых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор ПДн

Оператор ПДн должен обеспечить построение эффективной системы защиты ПДн, а именно, выполнение требований:

  • Федерального закона от 27.07.2006 г. № 152-ФЗ
  • Федерального закона от 27.07.2006 г. № 149-ФЗ
  • Указа Президента РФ от 17.03.2008 г. № 351
  • Постановления Правительства РФ от 01.11.2012 г. № 1119
  • Постановления Правительства РФ от 15.09.2008 г. № 687
  • Приказа ФСТЭК России от 18.02.2013 г. № 21
  • Методики ФСТЭК России от 14.02.2008 г.
  • Приказа ФСБ России от 10.07.2014 г. № 378
  • Типовых требований ФСБ России от 21.02.2008 г
  • Приказа Роскомнадзора от 05.09.2013 г. № 996

Все это множество требований и особенностей их исполнения при обработке ПДн, конечно, наталкивает Вас на размышления: «Не воспользоваться ли услугами специализирующейся на этой теме компании и не передать ли эти задачи/обязанности на аутсорсинг?».

Да, в соответствии с частями 3-5 статьи 6 Закона, оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта ПДн на основании поручения оператора. Форма и характер такого поручения законодательством не установлена, поэтому считаем возможным заключать как отдельный договор поручения между оператором и аутсорсером, так и включить обязательства требования по ПДн в содержание другого договора (например, агентского, оказания услуг).

И, сразу, пара важных моментов – согласие субъекта ПДн все-равно должно быть получено именно Вами и еще придется составить договор с партнером – аутсорсером (агентом, исполнителем).

Итак, оператор ПДн имеет право отдать обработку ПДн на аутсорсинг при соблюдении порядка получения согласия на обработку ПДн у субъекта ПДн, соответствующего всем требованиям законодательства.

Важно еще раз подчеркнуть, что аутсорсер не должен получать согласие субъекта ПДн на обработку его ПДн – это обязанность оператора ПДн, как и защита ПДн в целом. Аутсорсер оператора ПДн обязан соблюдать принципы и правила обработки ПДн, но не обязан получать согласие субъекта ПДн. Ответственность перед субъектом ПДн за действия указанного лица несет оператор.

Плюсы и минусы аутсорсинга при обработке и защите персональных данных

Основными плюсами аутсорсинга при обработке и защите ПДн:

  • Экономия сил, времени и средств на проекте по построению системы защиты ПДн;
  • Требования законодательства по построению системы защиты ПДн лежат в основном на аутсорсере;
  • Компания – аутсорсер обладает высококвалифицированными специалистами.

Минусы аутсорсинга:

  • Риск утечки информации;
  • Зависимость от внешних исполнителей.

Следует отметить что в современных реалиях передача обработки ПДн на аутсорсинг — неплохой способ сэкономить и при этом выполнить все необходимые требования законодательства о защите ПДн, доверив обработку персональных данных специализированной компании, например, на основании договора поручения, которым можно минимизировать риски аутсорсинга обработки ПДн.

Так, договором мы можем определить не только регламент обработки ПДн, обязательства сторон, но и установить жесткую ответственность за их нарушение, определить внесудебный порядок взыскания штрафа и/или неустойки. И, рекомендуем объяснить аутсорсеру, что включение в договор, может, на первый взгляд «драконовских» штрафных санкций, не имеет целью «нажиться за счет партнера», а лишь призвать его к качественному выполнению принятых на себя обязательств, дополнительно «простимулировать». Ведь в итоге, в случае утечки ПДн, претензий субъектов ПДн и/или контролирующих органов, ответственность будет нести именно оператор ПДн.

Политика обработки персональных данных — ДРАЙВ

Драйв попал в реестр организаторов распространения

информации. Что это значит?

Настоящая Политика обработки Персональных данных (далее — Политика) определяет общие принципы и порядок обработки Персональных данных Пользователей Сайта и меры по обеспечению их безопасности в Обществе с ограниченной ответственностью «Драйв».

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Данные — иные данные о Пользователе (не входящие в понятие Персональных данных).

Законодательство — действующее законодательство Российской Федерации.

Оператор — ООО «Драйв», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку Персональных данных, а также определяющее цели обработки Персональных данных, состав Персональных данных, подлежащих обработке, действия (операции), совершаемые с Персональными данными.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Пользователю).

Пользователь — лицо, прошедшее процедуру регистрации на Сайте и имеющее доступ к Сайту посредством сети Интернет.

Предоставление персональных данных — действия, направленные на раскрытие Персональных данных определенному лицу или определенному кругу лиц.

Сайт — сайт, принадлежащий Оператору и расположенный в сети Интернет по адресу www.drive.ru.

Субъект персональных данных — Пользователь (физическое лицо), к которому относятся Персональные данные.

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.1. Настоящая Политика в отношении обработки Персональных данных разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями и дополнениями), другими законодательными и нормативными правовыми актами и определяет порядок работы с Персональными данными Пользователей и (или) передаваемых Пользователями и требования к обеспечению их безопасности.

1.2. Мероприятия по обеспечению безопасности Персональных данных являются составной частью деятельности Оператора.

2.1. Обработка Персональных данных Оператором осуществляется в соответствии со следующими принципами:

2.1.1. Законность и справедливая основа обработки Персональных данных. Оператор принимает все необходимые меры по выполнению требований Законодательства, не обрабатывает Персональные данные в случаях, когда это не допускается Законодательством, не использует Персональные данные во вред Пользователю.

2.1.2. Обработка только тех Персональных данных, которые отвечают заранее объявленным целям их обработки. Соответствие содержания и объема обрабатываемых Персональных данных заявленным целям обработки. Недопущение обработки Персональных данных, несовместимых с целями сбора Персональных данных, а также избыточных по отношению к заявленным целям их обработки.

Оператор обрабатывает Персональные данные исключительно в целях исполнения договорных обязательств перед Пользователем.

2.1.3. Обеспечение точности, достаточности и актуальности Персональных данных по отношению к целям обработки Персональных данных. Оператор принимает все разумные меры по поддержке актуальности обрабатываемых Персональных данных, включая, но не ограничиваясь реализацией права каждого Субъекта получать для ознакомления свои Персональные данные и требовать от Оператора их уточнения, блокирования или уничтожения в случае, если Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки.

2.1.4. Хранение Персональных данных в форме, позволяющей определить Пользователя Персональных данных, не дольше, чем этого требуют цели обработки Персональных данных, если срок хранения Персональных данных не установлен федеральным законодательством, договором, стороной которого или выгодоприобретателем по которому является Пользователь.

2.1.5. Недопустимость объединения созданных для несовместимых между собой целей баз данных Информационных систем Персональных данных.

3.1. Обработка Персональных данных Оператором осуществляется в следующих случаях:

3.1.1. При наличии согласия Пользователя на обработку его Персональных данных. Согласие дается путем заполнения электронной формы, расположенной на Сайте по адресу https://www.drive2.ru/signup/, активации чек-бокса и нажатия кнопки «Зарегистрироваться».

3.1.2. Персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с Законодательством.

3.2. Оператор не раскрывает третьим лицам и не распространяет Персональные данные без согласия Пользователя, если иное не предусмотрено Законодательством.

3.3. Оператор не осуществляет Трансграничную передачу Персональных данных Пользователей в страны, не обеспечивающие адекватную защиту.

3.4. Предоставляя Пользователям возможность использования Сайта, Оператор, действуя разумно и добросовестно, считает, что Пользователь:

3.4.1. Обладает всеми необходимыми правами, позволяющими ему регистрироваться и авторизовываться на Сайте и использовать его;

3.4.2. Осознает, что некоторые виды информации, переданные им другим Пользователям, не могут быть удалены самим Пользователем.

3.5. Оператор не проверяет достоверность получаемой (собираемой) информации о Пользователях, за исключением случаев, когда такая проверка необходима в целях исполнения положений действующего применимого законодательства и/или обязательств перед Пользователем.

4.1. Оператор собирает и хранит только те Персональные данные, которые необходимы для предоставления услуг Пользователю, для осуществления рассылки материалов информационно-рекламного характера Пользователю посредством Сайта. При этом сбор Персональных данных может осуществляться как посредством Сайта, так и при обмене данными посредством электронной почты при заключении договора с Оператором в простой письменной форме.

4.2. Оператор обрабатывает Персональные данные в целях:

4.2.1. Предоставления доступа к Сайту;

4.2.2. Оказания услуг Пользователю либо юридическому лицу (индивидуальному предпринимателю), представителем которого является Пользователь;

4.2.2. Направления Пользователю рекламных и информационных рассылок посредством смс-уведомлений или электронной почты, предоставления бонусов и проведения стимулирующих мероприятий;

4.2.3. Для связи с Пользователями в случае необходимости, в том числе для направления уведомлений, информации и запросов, связанных с оказанием услуг, а также обработки заявлений, запросов и заявок Пользователей;

4.2.4. Для проведения статистических и иных исследований на основе обезличенных персональных данных.

4.3. Оператор обрабатывает следующие Персональные данные:

4.3.1. Персональные данные, которые вводятся Пользователем в Регистрационной форме при Регистрации:

адрес электронной почты.

4.3.2. Персональные данные, вносимые в Личном кабинете на Сайте:

  • фамилия имя отчество;
  • данные о транспортном средства (марка и модель)
  • дата рождения;
  • город проживания;
  • фото.

4.3.3. Данные, дополнительно предоставляемые Пользователем по запросам Оператора, направляемым Пользователю в случае возникновения соответствующей необходимости, например для целей пресечения нарушения прав и законных интересов третьих лиц. Оператор вправе, в частности, запросить у Пользователя копию документа, удостоверяющего личность, либо иного документа, содержащего имя, фамилию, фотографию Пользователя, а также иную дополнительную информацию, которая, по усмотрению Оператора, будет являться необходимой и достаточной для идентификации такого Пользователя и позволит исключить злоупотребления и нарушения прав третьих лиц.

4.4. В целях, указанных в пп. 4.2.1–4.2.4 Соглашения, Оператор обрабатывает следующую иную информацию/данные:

4.4.1. Стандартные технические и иные данные, автоматически получаемые Оператором при доступе Пользователя к Сайту и последующих действиях Пользователя на Сайте (месторасположение в определенный момент времени, IP-адрес, вид операционной системы устройства Пользователя, разделы Сайта, посещаемые Пользователем).

4.4.2. Информация, полученная в результате действий Пользователя на Сайте.

4.4.3. Информация, полученная в результате действий других Пользователей на Сайте.

4.5. В отношении Персональных данных и иных Данных Пользователя сохраняется их конфиденциальность, кроме случаев, когда указанные данные являются общедоступными.

4.6. Оператор имеет право сохранять архивную копию Персональных данных и иных Данных, в том числе после удаления аккаунта Пользователя.

4.7. Оператор имеет право передавать Персональные данные и иные Данные Пользователя без согласия Пользователя следующим лицам:

4.7.1. Государственным органам, в том числе органам дознания и следствия, и органам местного самоуправления по их мотивированному запросу.

4.7.2. Партнерам Оператора c целью выполнения договорных обязательств перед Пользователем.

4.7.3. В иных случаях, прямо предусмотренных действующим законодательством РФ.

4.8. Оператор имеет право передавать Персональные данные и иные Данные третьим лицам, не указанным в п. 4.7 настоящей Политики, в следующих случаях:

4.8.1. Пользователь выразил свое согласие на такие действия.

4.8.2. Передача необходима в рамках использования Пользователем Сайта.

4.8.3. Передача происходит в рамках продажи или иной передачи бизнеса (полностью или в части), при этом к приобретателю переходят все обязательства по соблюдению условий настоящей Политики.

4.9. Оператор осуществляет автоматизированную и неавтоматизированную обработку Персональных данных и иных Данных.

4.10. Доступ к информационным системам, содержащим Персональные данные, обеспечивается системой паролей. Пароли устанавливаются уполномоченными сотрудниками Оператора и индивидуально сообщаются работникам Оператора, имеющим доступ к Персональным данным / Данным.

4.11. При получении Оператором Персональных данных запроса, содержащего отзыв Субъекта Персональных данных согласия на обработку Персональных данных, Оператор в течение 30 (тридцати) календарных дней с момента его получения обязан удалить Персональные данные.

Персональные данные Пользователя удаляются из Сайта при удалении Оператором информации, размещаемой Пользователем, а также Личного кабинета Пользователя по запросу Пользователя или по собственной инициативе в случаях, предусмотренных Лицензионным соглашением. После удаления Персональных данных Пользователя из Сайта Оператор хранит их на своих электронных носителях в течение установленного законодательством Российской Федерации срока.

4.12. Оператор не несет ответственности за разглашение Персональных данных Пользователя другими Пользователями Сайта и пользователями сети Интернет, получившими доступ к таким данным. Оператор рекомендует Пользователям ответственно подходить к решению вопроса об объеме информации о себе, размещаемой на Сайте.

5.1. Пользователь может в любой момент изменить (обновить, дополнить) Персональные данные, информацию о себе в своем Личном кабинете на Сайте, при условии, что такие изменения и исправления содержат актуальную и достоверную информацию, посредством направления письменного заявления Оператору или внесения изменений в своем Личном кабинете на Сайте.

5.2. Пользователь в любой момент имеет право удалить Персональные данные / Данные.

6.1. Оператор обеспечивает конфиденциальность обрабатываемых им Персональных данных / Данных в порядке, предусмотренном Законодательством. Обеспечение конфиденциальности не требуется в отношении:

6.1.1. Персональных данных после их обезличивания.

6.1.2. Персональных данных, доступ неограниченного круга лиц к которым предоставлен Пользователем либо по его просьбе (далее — Персональные данные, сделанные общедоступными Пользователем).

6.1.3. Персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с Законодательством.

6.1.4. Не является нарушением конфиденциальности Персональных данных предоставление Оператором информации третьим лицам, действующим на основании договора с Оператором для исполнения обязательств перед Пользователем.

7.1. Пользователь принимает решение о предоставлении своих Персональных данных Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку Персональных данных должно быть конкретным, информированным и сознательным и предоставляется Пользователем в момент его регистрации на Сайте Оператора либо в момента акцепта соглашения с Оператором, а также в любой позволяющей подтвердить факт его получения форме, если иное не установлено Законодательством.

7.2. Персональные данные лиц, вступивших в договорные обязательства с Оператором, содержащиеся в единых государственных реестрах юридических лиц и индивидуальных предпринимателей, являются открытыми и общедоступными, за исключением сведений о номере, дате выдачи и органе, выдавшим документ, удостоверяющий личность физического лица. Охраны их конфиденциальности и согласия Пользователей на обработку не требуется.

7.3. В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, Оператор обязан получить предварительное согласие Пользователя на предоставление его Персональных данных и предупредить лиц, получающих Персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.

8.1. Пользователь имеет право на получение информации, касающейся обработки его Персональных данных / Данных. Пользователь вправе требовать от Оператора уточнения его Персональных данных, их блокирования или уничтожения в случае, если Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.2. Если Пользователь считает, что Оператор осуществляет обработку его Персональных данных с нарушением требований Законодательства или иным образом нарушает его права и свободы, Пользователь вправе обжаловать действия или бездействие Оператора в уполномоченном органе по защите прав Субъектов Персональных данных или в судебном порядке.

8.3. Пользователь имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

9.1. К настоящей Политике и отношениям между Пользователем и Оператором, возникающим в связи с применением Политики, подлежит к применению право Российской Федерации.

9.2. Все возможные споры подлежат разрешению в соответствии с Законодательством по месту регистрации Оператора. Перед обращением в суд Пользователь должен соблюсти обязательный досудебный порядок и направить Оператору соответствующую претензию в письменном виде. Срок ответа на претензию составляет 30 (тридцать) рабочих дней.

9.3. Если по тем или иным причинам одно или несколько положений Политики будут признаны недействительными или не имеющими юридической силы, это не оказывает влияния на действительность или применимость остальных положений Политики.

9.4. Оператор имеет право в любой момент изменять настоящую Политику (полностью или в части) в одностороннем порядке без предварительного согласования с Пользователем. Все изменения вступают в силу на следующий день после размещения на Сайте.

9.5. Пользователь обязуется самостоятельно следить за изменениями Политики обработки персональных данных путем ознакомления с актуальной редакцией.

Тел.: +7 495 514-21-42

Адрес: 125212, г. Москва, Головинское шоссе, 5к1, офис 13015

E-mail: [email protected].

Дата размещения на сайте 7 июня 2021 года

Обработка персональных данных | Офис Уполномоченного по защите данных

Под обработкой персональных данных понимаются такие действия, как сбор, хранение, использование, передача и раскрытие персональных данных. Все действия, связанные с персональными данными, от планирования обработки до удаления персональных данных, представляют собой обработку персональных данных.

Все данные, относящиеся к идентифицированному или идентифицируемому лицу, являются личными данными.Такая информация, как имена, номера телефонов, данные о местонахождении и информация о врожденных заболеваниях бабушек и дедушек человека, составляет личных данных .

Контроллер — это физическое или юридическое лицо, которое определяет цели и средства обработки персональных данных. Контроллер может быть ассоциацией, которая собирает информацию о своих членах, больницей, обрабатывающей истории болезни, интернет-магазином или службой социальных сетей.

Процессор — это физическое лицо или организация, которые обрабатывают персональные данные от имени контролера.Обработчик может быть маркетинговым агентством, занимающимся маркетингом другой компании, или поставщиком ИТ-услуг, имеющим доступ к личным данным, собранным контролером.

Принципы защиты данных и обработка персональных данных

Персональные данные всегда должны обрабатываться в соответствии с принципами защиты данных, указанными в законодательстве о защите данных.

Принципы защиты данных гласят, что личные данные должны быть

  • обрабатывается законно, справедливо и прозрачно по отношению к субъекту данных обрабатывается конфиденциально и безопасно
  • , собранные и обработанные для конкретной и законной цели
  • взимается только в размере, необходимом для целей обработки
  • обновляется по мере необходимости — неточные личные данные должны быть немедленно удалены или исправлены, а
  • хранится в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это необходимо для целей, для которых обрабатываются персональные данные.

Руководство по конфиденциальности данных: определения, пояснения и законодательство

Конфиденциальность данных или конфиденциальность информации — это раздел безопасности данных, связанный с надлежащим обращением с данными — согласием, уведомлением и нормативными обязательствами. В частности, практические проблемы конфиденциальности данных часто вращаются вокруг:

  1. Передаются ли данные третьим сторонам и каким образом.
  2. Как данные собираются или хранятся на законных основаниях.
  3. Нормативные ограничения, такие как GDPR, HIPAA, GLBA или CCPA.

В этом руководстве мы рассмотрим, почему конфиденциальность данных важна и как она связана с безопасностью данных. Затем мы рассмотрим законодательство, регулирующее конфиденциальность данных в нескольких ключевых странах и в нескольких ключевых отраслях. Наконец, мы дадим вам несколько способов улучшить конфиденциальность ваших данных как в личной, так и в деловой среде.

Получите бесплатное основное руководство по соответствию и нормативным требованиям США по защите данных

Как мы увидим, безопасность и конфиденциальность данных тесно связаны, и поэтому обеспечение конфиденциальности данных означает использование полного решения безопасности, подобного тому, что предлагает Varonis.

Почему важна конфиденциальность данных?

Есть две причины, по которым конфиденциальность данных является одной из наиболее важных проблем в нашей отрасли.

Данные — один из важнейших активов компании. С развитием экономики данных компании находят огромную ценность в сборе, совместном использовании и использовании данных. Такие компании, как Google, Facebook и Amazon, построили империи на вершине экономики данных. Прозрачность в том, как компании запрашивают согласие, соблюдают свою политику конфиденциальности и управляют собранными данными, имеет жизненно важное значение для укрепления доверия и подотчетности с клиентами и партнерами, которые рассчитывают на конфиденциальность.Многие компании осознали важность конфиденциальности на собственном горьком опыте из-за получивших широкую огласку неудач в отношении конфиденциальности.

Во-вторых, конфиденциальность — это право человека быть свободным от незваного наблюдения. Безопасное существование в своем пространстве и свободное выражение своего мнения за закрытыми дверями имеет решающее значение для жизни в демократическом обществе.

«Конфиденциальность — основа нашей свободы. У вас должны быть моменты сдержанности, размышлений, близости и уединения », — говорит д-р Энн Кавукян, бывший комиссар по информации и конфиденциальности Онтарио, Канада.

Доктор Кавукян кое-что знает о конфиденциальности данных. Она наиболее известна своим лидерством в разработке концепции Privacy by Design (PbD), которая теперь служит краеугольным камнем для многих современных законов о конфиденциальности данных.

Конфиденциальность данных и безопасность данных

Организации обычно считают, что защита конфиденциальных данных от хакеров означает, что они автоматически соблюдают правила конфиденциальности данных. Это не тот случай.

Безопасность данных и конфиденциальность данных часто используются как взаимозаменяемые, но между ними есть явные различия:

  • Data Security защищает данные от взлома внешними злоумышленниками и злоумышленниками.
  • Data Privacy управляет тем, как данные собираются, передаются и используются.

Рассмотрим сценарий, в котором вы приложили все усилия для защиты информации, позволяющей установить личность (PII). Данные зашифрованы, доступ ограничен, имеется несколько перекрывающихся систем мониторинга. Однако, если эта PII была собрана без надлежащего согласия, вы могли нарушить правила конфиденциальности данных, даже если данные находятся в безопасности.

Защита данных — сила, стоящая за нашим правом на конфиденциальность

Несмотря на недавние достижения в законодательстве и практике конфиденциальности данных, конфиденциальность потребителей регулярно нарушается или нарушается компаниями и правительствами.Это заставило некоторых утверждать, что потребители уже проиграли войну за конфиденциальность.

Хотя вы можете получить защиту данных без конфиденциальности данных, вы не можете обеспечить конфиденциальность данных без защиты данных.

Обеспечение конфиденциальности данных означает, что вы не та зловещая компания, которая жадно собирает все личные данные ваших клиентов — будь то пассивное отслеживание местоположения, приложения, тайно поглощающие вашу личную адресную книгу, или веб-сайты, записывающие каждое нажатие вашей клавиши.

Вместо этого сотрудники должны регулярно проходить обучение по защите данных, чтобы они понимали процессы и процедуры, необходимые для обеспечения надлежащего сбора, совместного использования и использования конфиденциальных данных как части портфеля безопасности данных.

Конфиденциальность информации также включает правила, необходимые компаниям для защиты данных. По мере того, как во всем мире растет количество правил защиты данных, глобальные требования и требования к конфиденциальности также будут расширяться и меняться. Однако неизменным является адекватная защита данных: это лучший способ гарантировать, что компании соблюдают закон и гарантируют конфиденциальность информации.

Продукты

Varonis являются одними из самых передовых доступных средств защиты данных. По этой причине наши системы используются для защиты конфиденциальности потребителей во всем мире.

Различные определения конфиденциальности данных

Хотя большинство людей согласны с важностью конфиденциальности данных, и все согласны с тем, что защита данных лежит в основе обеспечения конфиденциальности, само определение «конфиденциальности данных» является общеизвестно сложным.

Ни один из упомянутых в этой статье законов — GDPR, CCPA или HIPAA — не определяет точно, что они подразумевают под конфиденциальностью данных. Вместо этого содержащиеся в них положения предлагают ряд передовых методов и разъясняют права потребителей и предприятий.Поскольку все законодательные акты индивидуальны, попытка точно определить, что подразумевается под «конфиденциальностью», может быть чрезвычайно сложной.

Ситуация не улучшится, если мы ограничим нашу сферу действия одним законодательным актом. Европейский GDPR, возможно, является наиболее обширным и всеобъемлющим законодательным актом о конфиденциальности данных. К сожалению, это также сбивает с толку: New York Times еще в мае 2018 года назвала это «большим запутанным беспорядком». Закон предоставляет гражданам ряд прав, в том числе право на переносимость данных (что позволяет людям перемещать свои данные между платформами) и право не подчиняться решениям, основанным на автоматизированной обработке данных (запрещая, например, использование алгоритм отклонения соискателей на работу или ссуды).

Проблема в том, что практические последствия этих правил невероятно сложны. GDPR — как и многие другие законы ЕС — стремится представить компромисс между различными системами и ценностями многих различных национальных государств. Из-за этого «многие ученые и менеджеры данных, которые будут подчиняться закону, считают его непонятным» и сомневаются, что его полное соблюдение вообще возможно.

Для предприятий в США это может стать огромной проблемой. Подчинение как GDPR, так и CCPA является проблемой, потому что определение конфиденциальности данных, используемое в этих двух законодательных актах, и способ, которым они определяют «добросовестное использование» данных, сильно различаются.Вот основные отличия:

  • Во-первых, вы должны признать, что CCPA применяется к резидентам Калифорнии (хотя и несколько странно), независимо от того, где находится ваша компания. Аналогичным образом GDPR защищает права граждан ЕС, независимо от того, где находится ваша компания. Если вы имеете дело с гражданами ЕС или Калифорнии, вы застрахованы.
Раздел 1798.140 (7) G CCPA, показывающий определение жителя Калифорнии
  • CCPA защищает права жителей Калифорнии не продавать свои данные компаниями.Компании, работающие с калифорнийцами (то есть все компании, у которых есть веб-сайт), должны включать ссылку «не продавать мою личную информацию» на своих домашних страницах, чтобы дать потребителям право отказаться от продажи своей информации. GDPR, с другой стороны, не рассматривает эту проблему.
  • Еще одно ключевое отличие состоит в том, что согласно статье 6 GDPR компании должны продемонстрировать, что у них есть правовая основа для обработки информации о клиентах. CCPA, с другой стороны, не требует от вас обоснования сбора или обработки личных данных.
Статья 6 GDPR, показывающая правовые основы обработки данных.
  • GDPR также содержит конкретные правила о том, как данные о состоянии здоровья могут быть собраны и сохранены. GDPR определяет «биометрические данные» и «генетические данные» как два отдельных типа персональных данных, тогда как в соответствии с CCPA такая информация относится к единой категории «персональная информация».
  • GDPR применяется ко всем компаниям, работающим с данными, тогда как CCPA применяется только к коммерческим предприятиям.
  • В некотором смысле GDPR строже, когда речь идет об управленческих процессах, необходимых для достижения соответствия. Законодательство требует, чтобы в компаниях назначались «сотрудники по защите данных». CCPA не требует этого, пока соблюдаются другие положения нормативного акта.
  • Что касается штрафов, которые могут быть наложены в соответствии с обоими законодательными актами, также существуют огромные различия. Статья 83 GDPR гласит, что компании могут быть подвергнуты штрафам в размере до 20 миллионов евро или 4% от общего мирового оборота.Для некоторых компаний это может быть огромная сумма, и Google уже оштрафован на 50 миллионов евро за нарушение конфиденциальности данных во Франции. CCPA, с другой стороны, гораздо более снисходительный: компаниям дается льготный период в 30 дней для устранения нарушения, а затем штрафуют только 2500 долларов за нарушение.

Короче говоря, разные определения конфиденциальности данных, используемые только в этих двух законодательных актах (не говоря уже о HIPAA или других законодательных актах), крайне сбивают с толку. То, что считается «разумным», значительно различается в каждом законе, как и штрафы за их нарушение.

На практике это означает, что компании, работающие с частными данными, должны выходить за рамки закона, чтобы гарантировать, что их методы обработки данных намного превосходят требования, предусмотренные законодательством. Мы скоро поговорим о том, как это сделать, но сначала давайте подробнее рассмотрим уже упомянутые законодательные акты.

Законы и законы о конфиденциальности данных

К счастью, законодатели признали важность регулирования конфиденциальности данных и необходимость возложения на компании ответственности за данные конечных пользователей.

Компании теперь должны определять, какие законы и законы о конфиденциальности данных влияют на их пользователей. Например, вы должны знать, откуда поступают данные (страна и штат), какую личную информацию они могут содержать и методологию использования.

Давайте подробнее рассмотрим, как последние правила конфиденциальности данных влияют на пользователей и компании. Вот четыре наиболее важных законодательных акта о конфиденциальности данных.

GDPR: законы ЕС о конфиденциальности данных

Вступивший в силу в мае 2018 года, GDPR направлен на защиту личных данных граждан ЕС и уже оказывает серьезное влияние на компании в Европе.GDPR имеет множество аспектов и множество задач, которые компании должны выполнять для достижения и поддержания соответствия GDPR. К ним относятся, но не ограничиваются:

  • Явное согласие пользователей на подписку
  • Право запрашивать данные у компаний
  • Право на удаление ваших данных

GDPR дает потребителям определенные права на их данные, а также возлагает обязательства по безопасности на компании, хранящие их данные. Для компаний одним из сложных аспектов законодательства является требование отвечать на запросы о доступе к темам.

Реальность такова, что большинство организаций не могут легко найти, предоставить или удалить личные данные человека по запросу. Многие ИТ-директора и сотрудники по обеспечению конфиденциальности данных полагаются на программное обеспечение, отвечающее требованиям GDPR, которое автоматически обнаруживает и классифицирует личные данные, чтобы обеспечить их защиту и помочь ускорить запросы доступа к данным.

Конфиденциальность данных в здравоохранении

Несмотря на то, что в ЕС действует GDPR, одним из наиболее важных законов США о защите данных и конфиденциальности на федеральном уровне является HIPAA — положение о конфиденциальности данных, которое было введено для защиты личной информации о здоровье пациентов.

Поставщики медицинских услуг всегда были привлекательной мишенью для утечки данных. На самом деле медицинские записи чрезвычайно ценны — примерно в 10-20 раз более ценны, чем номера кредитных карт. Вот почему они должны убедиться, что соответствуют требованиям HIPAA.

Несмотря на то, что Конгресс принял HIPAA в 1996 году, призывы к еще большей защите конфиденциальности данных усилились: количество утечек данных стало рекордным, а скорость, с которой компании используют и продают собранные ими данные о своих пациентах, быстро растет.

К счастью, в декабре 2000 года Министерство здравоохранения и социальных служб США (HHS) издало Правило конфиденциальности, чтобы выполнить мандат HIPAA по защите конфиденциальности индивидуально идентифицируемой медицинской информации.

Если вам интересно, как можно сравнить GDPR и HIPAA, имейте в виду, что GDPR охватывает даже более широкий охват, чем HIPAA, и не фокусируется исключительно на данных о здоровье. GDPR призывает к защите «конфиденциальных личных данных», включая защиту данных о здоровье. Итог: GDPR сопоставим с нормативными требованиями HIPAA.

Конфиденциальность данных для финансовых учреждений

Еще один нормативный акт, который должен быть в вашем распоряжении, — это Закон Грэмма-Лича-Блайли (GLBA). GLBA требует, чтобы финансовые учреждения защищали финансовые данные потребителей. Для этого воспользуйтесь классификацией, чтобы быстро определить, где хранятся ваши конфиденциальные финансовые данные.

Достижение соответствия GLBA дает множество преимуществ. Это снижает возможные штрафы и репутационный ущерб из-за несанкционированного обмена или потери конфиденциальных финансовых данных.Конечно, GLBA — это не то же самое, что GDPR ЕС, но скоро Америка получит свою собственную.

Новаторские законы США о конфиденциальности данных

В США конфиденциальность данных также регулируется рядом других законов. Некоторые из них действуют на государственном уровне, а некоторые распространяются на всю страну. Эти законы представляют собой новаторский подход к обеспечению конфиденциальности данных в стране и в некоторых случаях идут намного дальше, чем действующее законодательство, которое касается отдельных секторов.

CCPA, например, — это закон в Калифорнии, который расширяет защиту конфиденциальности данных в этом штате.Компании, работающие в штате Калифорния, должны быть готовы к 1 января 2020 г., чтобы CCPA выявлял и обнаруживал личную информацию, выполнял запросы на доступ к данным и защищал данные потребителей. CCPA дает потребителям право контролировать, как компании собирают и используют их личные данные. Это означает, что компании должны иметь возможность быстро и точно находить и классифицировать конфиденциальные данные, чтобы они могли идентифицировать данные, подпадающие под действие CCPA, и выполнять запросы доступа к данным (DSAR).

Точно так же COPPA, Закон о защите конфиденциальности детей в Интернете, направленный на защиту конфиденциальности детей младше 13 лет, был принят еще в 1998 году. Этот закон предусматривает, что компании должны запрашивать разрешение родителей на сбор данных о детях, а также уточняет способ хранения и обработки этих данных.

Несколько штатов рассматривают законы, аналогичные законам Калифорнии, и, похоже, законодатели заинтересованы в повышении безопасности и конфиденциальности данных в других секторах.Некоторые даже предлагали создать Федеральный департамент кибербезопасности для стандартизации этих законов по всей стране, но на данный момент ситуация по-прежнему представляет собой лоскутное одеяло из различных нормативных актов.

Другие законы о конфиденциальности данных

Хотя упомянутые выше законы являются наиболее важной нормативно-правовой базой, когда речь идет о конфиденциальности данных, вы также должны знать, что существуют законы о конфиденциальности данных, которые применяются к определенным типам компаний или к определенным типам данных.

Что из этого применимо к вашему бизнесу, будет зависеть как от вашего сектора, так и от того, как вы храните и обрабатываете данные, но стоит проверить положения о соответствии ISO 27001, FISMA и Sox.

Varonis может помочь вам добиться соответствия всем этим структурам, предоставив решения для полной защиты данных, которые обеспечат безопасность ваших данных и полное соответствие с действующим законодательством. Если вы хотите обсудить свои требования к конфиденциальности данных, позвоните нам сегодня.

Советы по защите данных

Если вы прочитали вышесказанное, вы, вероятно, задаетесь вопросом, как обеспечить конфиденциальность данных. В этом разделе мы дадим вам несколько советов о том, как это сделать, независимо от того, являетесь ли вы бизнесом или просто заинтересованным потребителем.

Советы по обеспечению конфиденциальности данных, ориентированных на бизнес

Ранее мы писали о том, как предприятия могут обеспечить безопасность данных, и, поскольку существует связь между безопасностью данных и конфиденциальностью данных, наши советы также помогут вам обеспечить конфиденциальность данных, которые вы храните как компания.

Эти методы включают:

  • Обеспечение осведомленности о проблемах и методах безопасности и конфиденциальности данных для каждого сотрудника вашей компании. Вам следует интегрировать обучение по вопросам конфиденциальности данных в свою общую программу обучения, и оно должно быть частью процесса адаптации новых сотрудников.
  • Убедитесь, что вы пользуетесь преимуществами имеющихся бесплатных инструментов безопасности. Сюда входят решения для зашифрованного хранилища, менеджеры паролей и VPN. Эти небольшие инструменты могут значительно снизить вашу уязвимость для атак, их легко использовать и устанавливать.
  • Отслеживайте свою сеть на предмет подозрительной активности, чтобы вы могли вовремя обнаружить атаку и уменьшить ущерб.
  • Не стоит недооценивать интерес хакеров к вашей компании, потому что она небольшая или только начинающая — взломы и атаки затрагивают организации любого размера, включая начинающие и малые предприятия.
  • Внедрить модель нулевого доверия. Как сказал нам Сиван Техила, основатель компаний Leading Cyber ​​Ladies и Cyber19w, «Zero Trust ограничивает доступ ко всей сети, изолируя приложения и сегментируя доступ к сети на основе разрешений пользователей, аутентификации и проверки пользователей.С Zero Trust политика принудительного применения и защиты легко реализуется для всех пользователей, устройств, приложений и данных, независимо от того, откуда пользователи подключаются. Этот ориентированный на пользователя подход делает проверку авторизованных объектов обязательной, а не необязательной. Этот образ мышления «доверяй, но проверяй» абсолютно необходим для сегодняшних организаций ».

Советы по обеспечению конфиденциальности данных, ориентированные на потребителей

Как потребитель, вы не можете полностью контролировать, как компании хранят ваши данные и насколько хорошо они хранят их в тайне.Тем не менее, вы можете предпринять ряд простых шагов, которые могут улучшить конфиденциальность ваших данных. Хороший первый шаг — ознакомиться с доступными инструментами обеспечения конфиденциальности. Это означает как минимум VPN для шифрования вашего интернет-соединения и менеджер паролей для повышения безопасности ваших онлайн-аккаунтов.

  • Используйте многофакторную аутентификацию для дополнительных уровней безопасности и убедитесь, что важные учетные записи не могут быть легко взломаны в случае взлома паролей. Предпочтительно использовать параметры MFA, не основанные на SMS.Многие онлайн-компании теперь предлагают многофакторную аутентификацию бесплатно, поэтому попросите их внедрить ее в вашу учетную запись.
  • Знайте, что шпионское ПО в IoT означает для конфиденциальности данных: это была одна из самых больших историй в области кибербезопасности за последний год, и она указывает на важность обновления всех ваших IoT-устройств с помощью новейшего программного обеспечения безопасности.
  • Часто выполняйте резервное копирование данных. Если хранилище данных когда-либо будет взломано, у вас будет больше шансов сохранить эти данные, если у вас есть безопасная резервная копия.
  • Следите за странными запросами, орфографическими и грамматическими ошибками, ярким контентом с клик-приманкой и прочими вещами, которые могут показаться «неуместными».

Как Varonis помогает обеспечить конфиденциальность данных

Для достижения нирваны конфиденциальности данных организациям необходимо решение для обеспечения безопасности данных, которое защищает корпоративные данные, предотвращает утечки данных, снижает риски и помогает обеспечить соответствие нормативным требованиям. В Varonis наш подход к безопасности данных, связанный с повышением конфиденциальности данных, включает:

Управление доступом к конфиденциальным и регулируемым данным

Вы никогда не услышите, чтобы кто-то жаловался на слишком большой доступ.Вот почему регулярные проверки прав с помощью DatAdvantage и DataPrivilege гарантируют, что только нужные люди имеют доступ к нужным данным: неограниченный доступ подвергает компании риску утечки данных, кражи или неправомерного использования. Если вы хотите быстрее достичь минимальных привилегий и соответствия требованиям, Automation Engine поможет вам в этом, чтобы вы могли автоматически исправлять глобальный доступ и исправлять разрешения файловой системы.

Соблюдайте надлежащие нормативные требования

Любите вы или ненавидите, но нормативные требования являются базовым уровнем, который обеспечивает достижение целей конфиденциальности данных для обеспечения свободы, близости и уединения.С помощью Data Classification Engine вы найдете и классифицируете регулируемый и конфиденциальный контент. После этого у вас будет возможность автоматически переносить данные туда, где они должны быть, а также выполнять запросы доступа к данным по мере необходимости.

Мониторинг и обнаружение подозрительного поведения в отношении конфиденциальных данных

Вооружение вашей организации с помощью DatAlert означает, что у вас будет постоянный мониторинг и оповещение обо всех данных вашей организации. Это означает, что компании могут выявлять и отслеживать личные данные потребителей, отслеживать, кто к ним обращается, выделять необычные действия и сообщать о странных действиях, которые регулируются и являются конфиденциальными.В конечном счете, знание того, что ваши данные всегда в безопасности, также обеспечивает конфиденциальность данных.

Новости и ресурсы о конфиденциальности данных

Конфиденциальность данных стала основной проблемой за последний год, и эта проблема появилась во всех крупных газетах. Однако, если вы хотите быть в курсе последних новостей в области конфиденциальности данных, также стоит проверить специализированные СМИ: WIRED часто публикует статьи о конфиденциальности данных, как это делают HackerNoon и InfoSecurity Magazine.

Вот некоторые из самых значительных событий в области конфиденциальности данных на данный момент:

CCPA в Калифорнии вступает в силу

По мере того, как 2019 год подходит к концу, все взоры прикованы к следующему году, когда в штате Калифорния вступит в силу CCPA. Этот закон представляет собой самые строгие меры защиты конфиденциальности данных в США на данный момент, и компании готовились к его внедрению в течение многих лет. Ключевой вопрос заключается в том, сможет ли такой закон в конечном итоге применяться по всей стране.

Google Project Nightingale вызывает опасения по поводу конфиденциальности данных

Что касается потребительской стороны уравнения, то в последнее время в большинстве дискуссий доминировало разоблачение «проекта соловья», соглашения о совместном использовании данных между Google и Ascension, вторым по величине поставщиком медицинских услуг в США.Хотя этот обмен данными был полностью законным, он дал людям новую информацию о том, сколько личных данных они делятся и как они обрабатываются.

Индия вводит новый закон о конфиденциальности данных

Согласно новостям из дальних стран, Индия в настоящее время принимает национальное законодательство, контролирующее, что компании могут делать с личными данными. Новый закон основан на аналогичных рамках ЕС и США и потенциально окажет огромное влияние на растущий технологический сектор страны.

Часто задаваемые вопросы о конфиденциальности данных

Даже после получения всей этой информации у вас могут возникнуть вопросы о конфиденциальности данных.Мы здесь, чтобы помочь.

Q: Существует ли глобальный закон о конфиденциальности данных?

A: Нет. Законы о конфиденциальности данных в любом случае относительно новы и не имеют мировых стандартов. Тем не менее, многие компании обращаются к GDPR — европейскому закону о защите данных — как к руководству по правильному хранению и управлению конфиденциальностью данных, даже если они не ведут бизнес в ЕС. В зависимости от сектора и местоположения к вашему бизнесу будут применяться разные законы, поэтому обязательно проверьте свои обязанности.

Q: Можем ли мы защитить наши данные в других странах?

A: Опять же, из-за фрагментарного характера законов о конфиденциальности данных может быть чрезвычайно сложно обеспечить безопасность ваших данных, если вы отправляете их за границу.Ключевым моментом для заинтересованного потребителя является обмен информацией только с компаниями, которые открыто и честно заявляют о своей политике конфиденциальности и не будут продавать вашу информацию тому, кто предложит самую высокую цену.

Q: Как компании могут обеспечить конфиденциальность данных при использовании публичных облаков?

Выберите правильного облачного провайдера. По правде говоря, у большинства компаний не будет времени или ресурсов, чтобы нанять специального специалиста по облачной безопасности. Поэтому лучшим решением для большинства будет выбор поставщика облачных услуг, который также предоставит вам функции безопасности и может проконсультировать вас о ваших юридических обязанностях.

Последнее слово

Конфиденциальность данных важна по ряду причин. Как потребитель, вы должны знать, что ваши данные хранятся и используются целым рядом компаний, и убедитесь, что вы не делитесь больше, чем должны. В конце концов, конфиденциальность — это фундаментальное право.

Конфиденциальность данных для компании еще более важна. Возможно, вам придется выполнить юридические обязательства в отношении того, как вы собираете, храните и обрабатываете личные данные, а несоблюдение требований может привести к огромному штрафу.Если вы станете жертвой взлома, последствия с точки зрения потери дохода и доверия клиентов могут быть еще хуже.

Вот почему мы создали комплексное решение безопасности, которое обеспечивает расширенные функции защиты данных. DatAdvantage и DataPrivilege гарантируют, что доступ к вашим данным имеют только те люди, которые должны иметь доступ к вашим данным, и вы сможете легко и эффективно работать над соблюдением конфиденциальности данных.

Обработка персональных данных

Общий регламент ЕС по защите данных (GDPR) является частью шведского законодательства.Общее положение о защите данных предназначено для защиты основных прав и свобод людей, в частности их права на защиту и контроль над своими личными данными.

Для Статистического управления Швеции GDPR влечет за собой более строгие требования к обработке и информации о личных данных. Вся обработка ваших личных данных Статистическим управлением Швеции осуществляется в соответствии с действующим законодательством о защите данных.

Политика Статистического управления Швеции по защите данных (pdf)

Здесь вы можете узнать больше о том, как определяются персональные данные и что подразумевается под их обработкой, а также о том, как вы можете связаться со Статистическим управлением Швеции, если вы хотите воспользоваться своими правами в соответствии с GDPR.

Статистическое управление Швеции, корпоративный идентификационный номер 202100-0837, адрес Klostergatan 23, SE-701 89 Örebro, является контролером персональных данных, которые обрабатываются Статистическим управлением Швеции. Агентство также может быть обработчиком личных данных при производстве статистики от имени другого статистического агентства.

Что считается личными данными?

Согласно GDPR, персональные данные означают любую информацию, которая относится к прямо или косвенно идентифицированному или идентифицируемому живому физическому лицу.Типичные личные данные включают личные идентификационные номера, имена и адреса; зашифрованные данные и различные типы электронных идентификаторов также являются личными данными, если они могут привести к идентификации физического лица.

Персональные данные, которые были обезличены (псевдонимизированы), но могут использоваться для повторной идентификации человека, остаются личными данными и подпадают под действие GDPR.

Что означает обработка персональных данных?

Обработка персональных данных в принципе относится к любой операции, выполняемой с персональными данными, такой как сбор, регистрация, хранение, координация или распечатка данных.Статистическое управление Швеции обрабатывает ваши личные данные при производстве статистики и при контакте с вами.

Обработка персональных данных при производстве статистики

Какие из ваших личных данных мы обрабатываем?

Статистическое управление Швеции обрабатывает, среди прочего, ваше имя и адрес электронной почты.

Цель и правовая основа обработки ваших персональных данных

Чтобы иметь возможность связаться с вами, Статистическое управление Швеции обрабатывает личные данные, собранные через его веб-сайт, в ходе таких действий, как:

  • Общие вопросы
  • Подписка на информационные бюллетени
  • Микроданных заказов

Не забывайте отправлять только релевантную и запрошенную информацию.

Кто может получить доступ к вашим личным данным?

В качестве отправной точки ваши личные данные обрабатываются только Статистическим управлением Швеции. Ваши личные данные также могут быть переданы операторам, которые обрабатывают личные данные от имени агентства в качестве обработчика личных данных.

Статистическое управление Швеции является государственным учреждением и подчиняется принципу публичного доступа к официальным документам. Это означает, что документы Статистического управления Швеции, включая личные данные, могут стать официальными документами, которые могут быть выпущены по запросу.

Передача персональных данных в третью страну

Как правило, Статистическое управление Швеции обрабатывает ваши персональные данные только в пределах ЕС / ЕЭЗ.

Как долго мы храним ваши личные данные?

Статистическое управление Швеции не будет обрабатывать ваши персональные данные дольше, чем разрешено действующим законодательством, постановлениями или правительственными решениями.

Ваши права

У вас есть ряд прав в соответствии с GDPR. Эти права по сути означают, что вам должна быть предоставлена ​​информация о том, когда и как обрабатываются ваши личные данные, и что вы должны иметь возможность контролировать свои личные данные.

Есть некоторые исключения из этих прав. Если ваши персональные данные являются частью большой выборки персональных данных для статистики, существуют положения, согласно которым Статистическое управление Швеции не обязано информировать вас о том, когда и как ваши персональные данные обрабатываются в этой выборке.

В определенных случаях у вас есть право на исправление, удаление («право на удаление») или ограничение вашей информации («право на ограничение обработки»). В некоторых случаях у вас также есть право получить и использовать ваши личные данные в другом месте («право на переносимость данных») и право возражать против использования ваших личных данных.

У вас есть право на доступ к информации о ваших персональных данных, которые мы обрабатываем, и на бесплатное получение копии этих персональных данных (стенограмма регистрации).

Расшифровка реестра в соответствии с GDPR

Статистическое управление Швеции не обрабатывает персональные данные для автоматизированного принятия решений.

Если вы считаете, что Статистическое управление Швеции обрабатывает относящиеся к вам данные способом, противоречащим GDPR, вы имеете право подать жалобу в Управление по защите данных Швеции.Если вы хотите воспользоваться своими правами или связаться с нами по поводу нашей обработки ваших личных данных, вы можете это сделать.

Персональные данные и конфиденциальные данные: в чем разница?

Закон о защите данных в Великобритании изменился в результате Brexit. Вы можете найти самое последнее руководство здесь .

В основе GDPR (Общего регламента по защите данных) лежит понятие «личные данные».

Но что представляют собой личные данные? Классифицируются ли имена и адрес электронной почты как личные данные? А как насчет фотографий и идентификационных номеров?

И какое место занимает связанное с этим понятие «конфиденциальные личные данные»?

Если вы не уверены в разнице между личными и конфиденциальными данными, продолжайте читать.Мы объясняем все, что вам нужно знать, и приводим примеры личных и конфиденциальных личных данных.

Что такое личные данные?

Проще говоря, персональные данные — это любая информация, которую кто-то может использовать для идентификации с некоторой степенью точности живого человека.

Например, адрес электронной почты [email protected] »считается личными данными, поскольку указывает на то, что в компании X может быть только один Джон Смит.

Точно так же ваш физический адрес или номер телефона считаются личными данными, потому что с вами можно связаться, используя эту информацию.

Личные данные также относятся ко всему, что может подтвердить ваше физическое присутствие где-либо. По этой причине ваши записи с камер видеонаблюдения являются личными данными, как и отпечатки пальцев.

Пока это звучит достаточно просто, но все становится сложно, если учесть, что каждый фрагмент информации не нужно брать отдельно.

Организации обычно собирают и хранят несколько частей информации о субъектах данных, и собранная информация может считаться персональными данными, если ее можно собрать вместе для определения вероятного субъекта данных.

Думайте об этом как о масштабной игре «Угадай, кто»?

При определенных обстоятельствах любое из следующего может считаться персональными данными:

  • Имя и фамилия
  • Домашний адрес
  • Адрес электронной почты
  • Номер идентификационной карты
  • Данные о местоположении
  • Адрес Интернет-протокола (IP)
  • Рекламный идентификатор вашего телефона

Вы могли подумать что чье-то имя — это всегда личные данные, но, как объясняет ICO (Управление информационного комиссара), все не так просто:

«Само по себе имя Джон Смит не всегда может быть личными данными, потому что есть много людей с таким именем.Однако, если имя сочетается с другой информацией (например, адресом, местом работы или номером телефона), этого обычно бывает достаточно для точной идентификации одного человека ».

Тем не менее, ICO также отмечает, что имена не обязательно нужны для идентификации кого-либо:

«Тот факт, что вы не знаете имени человека, не означает, что вы не можете идентифицировать [их]. Многие из нас не знают имен всех своих соседей, но мы все еще можем их идентифицировать.”

Что такое конфиденциальные личные данные?

Конфиденциальные персональные данные — это особый набор «особых категорий», которые требуют дополнительной защиты. Сюда входит информация, относящаяся к:

  • Расовое или этническое происхождение;
  • Политические взгляды;
  • Религиозные или философские убеждения;
  • Членство в профсоюзе;
  • Генетические данные; и
  • биометрические данные (где обрабатываются для однозначной идентификации кого-либо).

Конфиденциальные личные данные должны храниться отдельно от других личных данных, предпочтительно в запираемом ящике или картотеке.

Как и в случае с личными данными в целом, их следует хранить на ноутбуках или портативных устройствах только в том случае, если файл был зашифрован и / или был псевдонимом.

Получение согласия

Распространенное заблуждение относительно GDPR состоит в том, что все организации должны запрашивать согласие на обработку персональных данных.

Фактически, согласие является лишь одним из шести законных оснований для обработки персональных данных, и строгие правила в отношении законных запросов на согласие делают его наименее предпочтительным вариантом.

Однако бывают случаи, когда согласие является наиболее подходящей основой, и организации должны знать, что им необходимо явное согласие на обработку конфиденциальных персональных данных.

Подобные нюансы распространены во всем GDPR, и любая организация, которая не потратила время на тщательное изучение своих требований, может оказаться в затруднительном положении.

Это может привести к длительному ущербу, например, к принудительным мерам, штрафам регулирующих органов, плохой прессе и потере клиентов.

Избегайте нормативных штрафов с помощью обучения GDPR

Получите полное представление о GDPR и практическое понимание последствий и юридических требований для организаций с помощью нашего однодневного учебного курса GDPR Foundation.

Курс даст вам четкое представление об основных элементах GDPR и даст возможность получить более глубокое понимание, задав вопросы тренеру во время обучения.

Версия этого блога была первоначально опубликована 18 июля 2018 г.

Обработка персональных данных | Услуги администрирования и поддержки

Ключевые определения

Персональные данные
«Любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу, то есть тому, которое может быть идентифицировано, прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или один или несколько факторов, специфичных для к физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого человека.«

Информация, подпадающая под это определение: , всегда , подпадающая под действие GDPR.

Конфиденциальные личные данные
«Персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах; данные, касающиеся здоровья или половой жизни и сексуальной ориентации; генетические данные или биометрические данные».

Это особая категория персональных данных, подлежащая дополнительной защите в связи с ее конфиденциальным характером.

В целях предоставления некоторых вспомогательных услуг для студентов и сотрудников (например, предоставления разумных поправок на инвалидность или консультационных услуг), для соблюдения некоторых юридических обязательств или в связи с типом исследовательской деятельности, проводимой в Колледже, этот тип данных имеет отношение к нам.

Обработка данных

Согласно определению GDPR, это очень широкое понятие. По сути, это означает все, что делается с личными данными или с ними, включая простой сбор, хранение и удаление.

Контроллер данных

«Физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. Колледж будет контролировать большую часть обрабатываемых им персональных данных. . »

Процессор данных
«Физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который обрабатывает персональные данные от имени контролера.«

Могу ли я обрабатывать личные данные?

Согласно GDPR, вам разрешается обрабатывать личные данные только при наличии законных оснований, которых шесть. Это:

Договорная необходимость

Когда обработка необходима для заключения или выполнения контракта с субъектами данных (или по их запросу до заключения контракта).

Соблюдение юридических обязательств

Когда обработка необходима для соблюдения юридического обязательства в соответствии с законодательством ЕС или законодательством государства-члена.

Общественный интерес

Когда обработка необходима для выполнения задачи, выполняемой в общественных интересах или при исполнении официальных полномочий, возложенных на Колледж. Это включает обучение и исследования в интересах общества.

Законный интерес (кроме государственного органа)

Когда обработка необходима для целей законных интересов, преследуемых Колледжем, за исключением случаев, когда они перекрываются интересами, основными правами или свободами затронутых субъектов данных, которые требуют защиты.Это не относится к , а не к , к обработке, выполняемой государственными органами, такой как наша учебная деятельность или исследования в общественных интересах.

Жизненные интересы

Когда обработка необходима для защиты «жизненно важных интересов» субъекта данных или другого физического лица.

Согласие

Когда обработка была разрешена субъектом данных. См. Ниже пояснения о том, что означает согласие.

Это относительно не изменилось по сравнению с предыдущим законом, но согласие теперь должно считаться последним , поскольку согласно GDPR требуется более высокий стандарт согласия.ICO разработало интерактивный инструмент для руководства, который вы можете использовать, чтобы оценить, можете ли вы обрабатывать личные данные.

Согласие

Согласие должно быть :

  • Специальный
  • Информировано
  • Предоставляется бесплатно (выполнение контракта не должно зависеть от согласия субъекта данных на действия по обработке, которые не являются необходимыми для выполнения этого контракта)
  • Возможность подтверждения
  • Можно отозвать
  • Согласие, а не отказ
  • Получено соответствующим способом
  • Отлично от прочего

Могу ли я обрабатывать конфиденциальные личные данные?

Вы можете обрабатывать конфиденциальные персональные данные, если, помимо выполнения одной из ранее предоставленных законных оснований для обработки, также выполняется одно из следующих условий:

Судебные иски

Обработка необходима для предъявления, исполнения или защиты судебных исков или для судов, действующих в их судебном качестве.

Законы о занятости и социальном обеспечении

Обработка необходима в контексте трудового законодательства или законов, касающихся социального обеспечения и социальной защиты.

Существенный общественный интерес

Обработка необходима по причинам существенного общественного интереса и происходит на основании закона, который, среди прочего, соразмерен преследуемой цели и защищает права субъектов данных.

Жизненные интересы

Обработка необходима для защиты жизненно важных интересов субъекта данных (или другого лица), если субъект данных не может дать согласие.

Медицинская диагностика и лечение

Обработка необходима для лечения, проводимого специалистами в области здравоохранения, включая оценку работоспособности сотрудников и управление системами и службами здравоохранения или социального обеспечения.

Благотворительные или некоммерческие организации в отношении своих членов

Обработка осуществляется в ходе законной деятельности благотворительной или некоммерческой организации в отношении ее собственных членов, бывших членов или лиц, с которыми она регулярно контактирует в связи с ее целями.

Здравоохранение

Обработка необходима по причинам общественного интереса в области общественного здравоохранения (например, для обеспечения безопасности лекарственных средств).

Данные, явно обнародованные субъектом данных

Обработка относится к личным данным, которые субъект данных явно обнародовал.

Архивирование в общественных интересах, для исторических, научных, исследовательских или статистических целей

Обработка необходима для архивирования в общественных интересах, для исторических, научных, исследовательских или статистических целей, при соблюдении соответствующих мер безопасности .

Явное согласие

Обработка осуществляется с явного согласия субъекта данных

Что мне нужно, чтобы рассказать людям об их данных?

Вы должны предоставить субъектам данных информацию об их правах и ваших обязанностях в отношении обработки их персональных данных. Обычно это уведомление о конфиденциальности, которое должно быть кратким, прозрачным, понятным и легкодоступным. Любая информация, предоставляемая детям, должна быть особенно простой и понятной.

Это должно быть сделано во время получения данных или, как минимум, в течение разумного периода времени (не более одного месяца) после сбора данных.

Если вы хотите обрабатывать персональные данные (в том числе собирать их впервые от частных лиц), вам следует проверить, подпадает ли предлагаемая обработка уже под действие одного из уведомлений о конфиденциальности Колледжа.

Если это : вы должны предоставить ссылку на эту политику в точке сбора.

Если это не так, и вы предлагаете собирать данные впервые: вам следует использовать шаблон уведомления о конфиденциальности [Word] и подготовить отдельное уведомление о конфиденциальности.Это должно отображаться в точке сбора данных. Если вам потребуется помощь, вы можете связаться с сотрудником по защите данных.

Если это не так, и вы предлагаете использовать уже собранные данные для цели, о которой субъекты данных не были проинформированы, когда они предоставили свои данные (дальнейшая обработка данных): , вам следует связаться с сотрудником по защите данных. Вам и сотруднику по защите данных необходимо будет рассмотреть, совместима ли такая дальнейшая обработка с первоначальной целью и, следовательно, является ли она законной.Нам также необходимо будет рассмотреть, следует ли снова информировать субъектов данных о предлагаемой дальнейшей обработке их данных. В таком случае им потребуется предоставить необходимую информацию в шаблоне уведомления о конфиденциальности [Word] . Способ связи может быть почтовым или электронным, но будет зависеть от того, что, скорее всего, будет получено и прочитано.

Шесть принципов защиты данных

Шесть принципов применимы к обработке личных данных. Здесь их обсуждает Евгений Моякин.

Может быть любопытно узнать, как должна происходить обработка персональных данных и существуют ли какие-то фундаментальные принципы, применимые к ней. Давайте обсудим их здесь, а пока вы будете их рассматривать, подумайте об обработке данных, в которой вы участвуете, и ответите для себя на вопрос, применимы ли эти принципы. Шесть принципов защиты данных составляют основу обработки персональных данных и имеют решающее значение. Эта обработка должна основываться на принципах, изложенных в статье 5 (1) GDPR. Первый принцип касается законности, справедливости и прозрачности . Это требует, чтобы персональные данные обрабатывались законным, справедливым и прозрачным образом по отношению к субъектам данных. Прозрачность подразумевает, что любая информация и сообщения, касающиеся обработки персональных данных, должны быть легкодоступными и понятными. Кроме того, в этом отношении необходимо использовать ясный и простой язык. В частности, этот принцип гарантирует, что субъект данных получит информацию о личности контролеров и целях обработки персональных данных. Второй принцип — это принцип ограничения цели . Это означает, что личные данные должны собираться только для определенных, явных и законных целей, и их дальнейшая обработка не может быть совместима с этими целями. Однако следует иметь в виду, что дальнейшая обработка в целях общественного интереса, научных или исторических исследований или статистических целей не считается несовместимой с первоначальными целями и поэтому разрешена.Поскольку третий принцип , нам нужно сослаться на минимизация данных . В соответствии с этим принципом личные данные должны быть адекватными, актуальными и ограничиваться тем, что необходимо в отношении целей, для которых они обрабатываются. По сути, это означает, что данные не могут быть обработаны, если их обработка не требуется для достижения вышеупомянутых целей. Точность — это четвертый принцип. означает, что требуется обеспечить точность и актуальность личных данных там, где это необходимо.Неточные персональные данные — с учетом целей их обработки — должны быть немедленно удалены или исправлены. Пятый принцип — это ограничение хранения . Это означает, что личные данные должны храниться в форме, позволяющей идентифицировать субъектов данных, не дольше, чем это необходимо для целей обработки. Хранение этих данных в течение более длительных периодов времени разрешается, если обработка данных направлена ​​на достижение целей в интересах общества, научных или исторических исследований или статистических целей.Тем не менее, и в этих случаях права и свободы субъектов данных должны быть защищены. Наконец, шестой принцип целостности и конфиденциальности требует, чтобы при обработке личных данных была обеспечена соответствующая безопасность личных данных. Это должно включать защиту от несанкционированной или незаконной обработки, уничтожения и повреждения.Для выполнения этого требования должны быть приняты соответствующие технические или организационные меры: такие меры безопасности данных могут включать использование механизмов шифрования, аутентификации и авторизации. В дополнение к шести принципам защиты данных GDPR вводит в статье 5 (2) GDPR принцип подотчетности , без которого они не могут быть реализованы. Согласно этому принципу, контролер несет ответственность за соблюдение принципов, перечисленных в статье 5 (1) GDPR и рассмотренных выше, и должен иметь возможность продемонстрировать свое соблюдение им.Эта и другие обязанности контроллеров будут рассмотрены более подробно позже в курсе.

© Университет Гронингена

Когда можно обрабатывать личные данные?

Какое правовое основание вам следует использовать, зависит от двух вещей:

  1. Тип обрабатываемых вами персональных данных.Правила защиты данных различают личные данные и конфиденциальные личные данные. Закон о защите данных также предусматривает особые правила, среди прочего, для обработки номеров социального страхования. Вы можете узнать больше об этой категоризации в разделе «Что такое личные данные?».
  2. Ситуация, при которой обработка персональных данных необходима. Это исполнение контракта? Юридическое обязательство? Это вопрос выполнения задач государственного органа? Часто контекст обработки персональных данных определяет, какая правовая основа имеет отношение к контроллеру.

Юридические основы

Персональные данные могут обрабатываться без согласия, если это необходимо для целей:

  1. Договор с субъектом данных
  2. Юридические обязательства контролера
  3. Жизненно важные интересы субъекта данных или другого физического лица
  4. Задача в общественных интересах или осуществление государственной власти
  5. Законный интерес, не превышающий интересы или права субъекта данных;

Пункт 5 не распространяется на обработку персональных данных государственными органами и чаще всего не должен использоваться для обработки персональных данных, касающихся детей.

Обработка конфиденциальных персональных данных

Термин «конфиденциальные персональные данные» охватывает, в частности, расу, политические убеждения, религиозные убеждения, информацию о здоровье и сексуальную ориентацию.

Как правило, обработка конфиденциальных персональных данных запрещена, но есть ряд исключений из этого запрета.

Во-первых, конфиденциальные личные данные могут обрабатываться без согласия, если субъект данных опубликовал данные заранее.

Кроме того, вы можете обрабатывать конфиденциальные личные данные, если это необходимо для целей:

  1. Обязанности и права контролера или субъекта данных
  2. Жизненные интересы субъекта данных или другого физического лица, если невозможно дать согласие;
  3. Отношение политической, философской, религиозной или профсоюзной некоммерческой организации к информации о членах
  4. Решение или рассмотрение судебного иска
  5. Основные социальные интересы
  6. Обработка медицинских профессий в секторе здравоохранения
  7. Обработка для архивов, научных или исторических исследований или для статистических целей

Помимо наличия правовой основы (см. Выше) для обработки конфиденциальной информации, вы также должны иметь возможность определить одно из исключений из запрета на обработку конфиденциальных данных.

Согласие

Как правило, обработка персональных данных всегда возможна, если субъект данных дал согласие.

Однако для того, чтобы согласие было действительным, оно должно быть добровольным, конкретным, информированным и явным. Это означает, среди прочего, что согласие не может быть дано молча и что отказ от согласия не может иметь связанных (ненужных) негативных последствий.

Кроме того, согласие всегда можно отозвать. Таким образом, согласие не всегда является наиболее подходящим правовым основанием.Кроме того, если вы инициировали обработку на основании согласия, вы обычно связаны целью, для которой субъект данных был проинформирован при получении согласия.

Термин «согласие» широко используется вне закона о защите данных, и его значение и требования к его действительности могут различаться. Если вы основываете обработку персональных данных на согласии, важно, чтобы вы соответствовали требованиям для получения согласия на защиту данных. Например, согласия, не связанные с защитой данных, используются в сфере здравоохранения или социального управления.Однако это часто относится к операциям обработки, когда согласие не является правовой основой для обработки, но когда, например, законодательство дает субъекту данных возможность воздержаться от обработки.

Обработка данных об уголовных преступлениях и номер социального страхования (номер CPR)

Информация об уголовных преступлениях не может обрабатываться государственной администрацией, за исключением случаев, когда это необходимо для выполнения задач органа.Кроме того, информация не может быть разглашена за исключением случаев:

  1. Субъект данных дал свое явное согласие на раскрытие,
  2. Раскрытие информации должно быть сделано для защиты частных или общественных интересов, которые явно превышают интересы, оправдывающие секретность, включая интересы субъекта данных,
  3. Раскрытие информации необходимо для осуществления деятельности органа или требуется для принятия решения органом; или
  4. Раскрытие информации необходимо для публичного выполнения частных или корпоративных задач.

Частные органы могут обрабатывать данные об уголовных преступлениях, если субъект данных дал свое явное согласие. Кроме того, обработка может происходить там, где это необходимо для защиты законного интереса, и этот интерес явно превышает рассмотрение субъекта данных. Частные организации не могут раскрывать информацию без явного согласия субъекта данных. Однако раскрытие информации может осуществляться без согласия, если оно предназначено для защиты общественных или частных интересов, в том числе интересов заинтересованного лица, которые явно выходят за рамки интересов конфиденциальности.

Государственные органы могут обрабатывать информацию о личном идентификационном номере для целей уникальной идентификации или в качестве регистрационного номера.

Частные лица могут обрабатывать персональные данные только когда:

  1. Это следует из законодательства,
  2. Субъект данных дал свое согласие в соответствии со статьей 7 Положения о защите данных;
  3. Обработка осуществляется исключительно в научных или статистических целях или в случае раскрытия информации, касающейся идентификации личности, когда передача является естественной частью нормальной работы предприятий и т. Д.такого рода, и когда раскрытие важно для обеспечения однозначной идентификации субъекта данных или раскрытие требуется государственным органом; или
  4. Условия, изложенные в § 7, выполнены.

Персональные идентификационные номера не могут быть опубликованы, если не было дано согласие в соответствии со статьей 7 Общего регламента защиты данных.

Основные требования к обработке

Важно знать, что понятие «обработка» охватывает ряд различных способов обработки личных данных.Если у вас есть право выполнять одну конкретную форму обработки данных — например, сбор — это автоматически не означает, что вы также имеете право выполнять другие формы обработки — например, раскрытие — тех же данных.

Обычно нет сомнений в том, что, когда государственный орган или частная компания должны собирать определенную информацию, они также должны систематизировать, регистрировать, использовать и удалять ее. Однако не очевидно, что информация также может быть раскрыта другим лицам.Эти вопросы необходимо оценивать отдельно.

Кроме того, для обработки персональных данных предварительным условием является выполнение общих и основных принципов. Эти принципы не обеспечивают правовой основы для обработки персональных данных, но всегда должны соблюдаться в случае обработки в соответствии с правилами защиты данных.

Особые формы обработки

Ряд операций по обработке данных регулируется Законом о защите данных.

Это:

  • Правовые информационные системы (§ 9)
  • Обработка для статистических или научных исследований (§ 10)
  • Трудовые отношения (§ 12)
  • Маркетинг (§ 13)
  • Архивы (§ 14)
  • Агентства кредитной информации (§§ 15-21)

.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *