Обработка персональных данных это: Что значит обработка персональных данных: кем и по каким правилам осуществляется

В некоторых случаях закон предусматривает не просто согласие в любой доказанной форме, а согласие в письменном виде. Закон «О персональных данных» описывает пять таких ситуаций:

• включение персональных данных в общедоступные источники;
• обработка специальных категорий персональных данных;
• обработка биометрических персональных данных;
• трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов;
• принятие решений, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных.

При этом два случая в законе «О персональных данных» явным образом не прописаны. К ним относятся:

• распространение персональных данных членов (участников) общественного объединения или религиозной организации;
• передача ПДн третьим лицам, если условием лицензии на осуществление деятельности оператора является запрет на такую передачу.

Остались вопросы?

Полезный вебинар о переносе ПНд в облако:

Источник.

И обязательно следите за новыми материалами первого блога о корпоративном IaaS. В следующей статье мы рассмотрим зоны ответственности заказчика и облачного провайдера, поговорим об особенностях аутсорсинга обработки ПДн, а также расскажем, на что следует обратить внимание при выборе провайдера, предлагающего услуги по «ФЗ-152».

Политика обработки персональных данных

1. Общие положения

1.1 Общество с ограниченной ответственностью Торговый дом «Керамин Северо-Запад» (далее по тексту – Оператор) ставит соблюдение прав и свобод граждан одним из важнейших условий осуществления своей деятельности.

1.2 Политика Оператора в отношении обработки персональных данных (далее по тексту — Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта azoriceramica. ru. Персональные данные обрабатывается в соответствии с ФЗ «О персональных данных» № 152-ФЗ.

2. Основные понятия, используемые в Политике:

2.1 Веб-сайт — совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу azoriceramica.ru;

2.2 Пользователь – любой посетитель веб-сайта azoriceramica.ru;

2.3 Персональные данные – любая информация, относящаяся к Пользователю веб-сайта azoriceramica.ru;

2.4 Обработка персональных данных — любое действие с персональными данными, совершаемые с использованием ЭВМ, равно как и без их использования;

2.5 Обезличивание персональных данных – действия, результатом которых является невозможность без использования дополнительной информации определить принадлежность персональных данных конкретному Пользователю или лицу;

2.6 Распространение персональных данных – любые действия, результатом которых является раскрытие персональных данных неопределенному кругу лиц;

2. 7 Предоставление персональных данных – любые действия, результатом которых является раскрытие персональных данных определенному кругу лиц;

2.8 Уничтожение персональных данных – любые действия, результатом которых является безвозвратное уничтожение персональных на ЭВМ или любых других носителях.

3. Оператор может обрабатывать следующие персональные данные:

3.1 Адрес электронной почты Пользователя

3.2 Номер телефона Пользователя

3.3. Фамилию, имя, отчество Пользователя

3.4. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).

4. Цели обработки персональных данных

4.1 Цель обработки адреса электронной почты, номера телефона, фамилии, имени, отчества Пользователя — почтовая рассылка новостей компании. Также Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес [email protected].

4.2 Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.

5. Правовые основания обработки персональных данных

5.1 Оператор обрабатывает персональные данные Пользователя только в случае их отправки Пользователем через формы, расположенные на сайте azoriceramica.ru. Отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.

5.2 Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).

6. Порядок сбора, хранения, передачи и других видов обработки персональных данных

6.1 Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.

6.2 Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства.

6.3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их, направив Оператору уведомление с помощью электронной почты на электронный адрес Оператора [email protected] с пометкой «Актуализация персональных данных».

6.3 Срок обработки персональных данных является неограниченным. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление с помощью электронной почты на электронный адрес Оператора [email protected] с пометкой «Отзыв согласия на обработку персональных данных».

7. Заключительные положения

7.1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты [email protected].

7.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. В случае существенных изменений Пользователю может быть выслана информация на указанный им электронный адрес.

Обработка персональных данных — Аппарат Уполномоченного по защите данных

Под обработкой персональных данных понимаются такие действия, как сбор, хранение, использование, передача и раскрытие персональных данных. Все действия, связанные с персональными данными, от планирования обработки до удаления персональных данных, представляют собой обработку персональных данных.

Все данные, относящиеся к идентифицированному или идентифицируемому лицу, являются личными данными.Такая информация, как имена, номера телефонов, данные о местонахождении и информация о врожденных заболеваниях бабушек и дедушек человека, составляет личных данных .

Контроллер — это физическое или юридическое лицо, которое определяет цели и средства обработки персональных данных. Контроллер может быть ассоциацией, которая собирает информацию о своих членах, больницей, обрабатывающей истории болезни, интернет-магазином или службой социальных сетей.

Процессор — это физическое лицо или организация, которые обрабатывают персональные данные от имени контролера.Обработчик может быть маркетинговым агентством, занимающимся маркетингом другой компании, или поставщиком ИТ-услуг, имеющим доступ к личным данным, собранным контролером.

Принципы защиты данных и обработка персональных данных

Персональные данные всегда должны обрабатываться в соответствии с принципами защиты данных, указанными в законодательстве о защите данных.

Принципы защиты данных гласят, что личные данные должны быть

• обрабатывается законно, справедливо и прозрачно по отношению к субъекту данных обрабатывается конфиденциально и безопасно
• , собранные и обработанные для конкретной и законной цели
• взимается только в размере, необходимом для целей обработки
• обновляется по мере необходимости — неточные личные данные должны быть немедленно удалены или исправлены, а
• хранится в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это необходимо для целей, для которых обрабатываются персональные данные.

Обработка персональных данных

Информация о том, как LKAB обрабатывает персональные данные

Luossavaara-Kiirunavaara AB (publ) и / или другая компания / компании в группе LKAB, которые обрабатывают ваши персональные данные (именуемые ниже: «LKAB», «мы», «нас» или «наш»), либо индивидуально или совместно, контролеры в отношении соответствующей обработки персональных данных. Для нас крайне важно, чтобы ваша конфиденциальность была защищена при использовании наших услуг.Здесь вы найдете информацию о том, какие личные данные мы собираем о вас, почему мы их собираем и как мы их используем. Не стесняйтесь обращаться к нам, если у вас есть какие-либо вопросы (см. Контактную информацию внизу страницы).

Обработка ваших личных данных происходит в соответствии с положениями Общего регламента защиты данных (также известного как GDPR).

1. Собранные персональные данные

От соискателей

Мы обрабатываем персональные данные, которые вы предоставляете нам, когда вы подаете заявление о приеме на работу, включая данные, которые вы предоставляете в своих документах заявки (включая любые приложения), а также любые персональные данные, которые создаются в результате вашего контакта с нами в связи с прикладной процесс; для администрирования вашего приложения.Предоставляемые нам персональные данные включают ваше имя и контактные данные. Как заявитель, вы несете ответственность за точность информации, которую вы нам предоставляете.

От сотрудников

Мы обрабатываем персональные данные, необходимые для выполнения наших обязательств и защиты наших прав как работодателя. Обрабатываемые персональные данные включают:

• идентификационная информация (например, имя, номер социального страхования и номер сотрудника),
• контактные данные (например, адрес и номер телефона),
• информация, необходимая для административных целей, заработной платы и налоговых выплат (например, банковские реквизиты и информация, относящаяся к различным пособиям), вопросов страхования и случаев социального страхования (например, связанных с плохим здоровьем),
• сведения о ближайших родственниках, должности в секторе организации и договорных отношений, а также о непосредственном менеджере,
• сведения о приобретенных навыках и информация из обзоров развития,
• информация о входе и выходе с наших сайтов и объектов,
• информация в производственных и производственных системах, а также в системах управления делами и отчетности,
• информация в переписке по электронной почте, а также в минутах и ​​других подобных отчетах,
• информация, необходимая для использования въездных карт, e.грамм. на оплату питания и топлива,
• в некоторых случаях — изображения, данные журнала, данные о местоположении и данные, полученные в ходе видеоконференций и телефонных встреч.

Для получения дополнительной информации об обработке персональных данных, которая выполняется во время вашей работы, см. Бизнес-систему LKAB (законы и другие требования: GDPR).

От тех, кто работает у одного из наших клиентов, поставщиков или деловых партнеров

Мы обрабатываем: имя, номер телефона, адрес электронной почты, адрес, должность, должность и описание должности.Данные, касающиеся въезда и выезда на наши сайты и объекты и с них, записываются, в некоторых случаях вместе с данными о местоположении, видео- и аудиозаписями, а также записями камер наблюдения (дополнительную информацию см. Ниже). Кроме того, личные данные обрабатываются по мере необходимости для администрирования / управления делами в рамках соглашений с клиентами, поставщиками и / или деловыми партнерами, а также любые личные данные, которые могут потребоваться для обработки для достижения целей, описанных ниже. .Что касается обработки персональных данных тех, кто работает в LKAB от имени поставщика, информацию о нашей обработке данных также можно найти в Справочнике поставщика.

От инвесторов

Информацию для инвесторов о нашей обработке персональных данных можно найти здесь: Информация для инвесторов

От посетителей наших объектов / объектов

Мы обрабатываем ваше имя, информацию о компании, которую вы представляете, а в некоторых случаях — контактные данные и изображения.Во время вашего визита также может быть записано время вашего входа и выхода, а в некоторых случаях и данные о местоположении. На объектах и ​​объектах, где работает камера наблюдения, могут быть записаны ваши изображения (подробнее см. Ниже).

Видеонаблюдение за теми, кто присутствует / входит в помещения / объекты LKAB

Видеонаблюдение работает в нескольких местах: на промышленных площадках и объектах, а также на стратегических барьерах и проходах к таким объектам и объектам и обратно.

Персональные данные, обрабатываемые в рамках видеонаблюдения, состоят из изображений физических лиц.

От посетителей нашего общедоступного веб-сайта

Мы обрабатываем ваш IP-адрес и данные об используемом вами ИТ-оборудовании (например, информацию о вашей операционной системе и о том, осуществляется ли ваш визит через компьютер или мобильный телефон). Мы также используем файлы cookie для обработки информации о вашем посещении нашего веб-сайта. См. Ниже дополнительную информацию об использовании файлов cookie.

Когда вы общаетесь с нами, регистрируете профиль на нашем веб-сайте или связываетесь с нами, чтобы подписаться на информацию, предоставленные вами данные (такие как имя, контактные данные и детали вашего дела) будут обработаны.

Печенье

Мы также используем файлы cookie для сбора информации о том, как вы используете наши услуги. Вы можете прочитать об использовании файлов cookie здесь.

В случае законодательного требования или спора

Обрабатываются данные, которые необходимы для выполнения данного законодательного требования или для защиты наших интересов в случае спора.Эти личные данные могут включать, например, имена, контактные данные и личные идентификационные номера.

2. Назначение, правовое основание и срок хранения

Мы обрабатываем ваши персональные данные для следующих целей в связи с вашим заявлением о приеме на работу и / или во время вашей работы:

• Чтобы мы могли обработать и изучить ваше заявление о приеме на работу (например, для создания информационного досье). Согласно шведскому закону о дискриминации, мы обязаны хранить все документы вашего заявления в течение двух лет после заполнения вакансии, на которую вы подали заявку.Если вы не выразите желание, чтобы данные хранились дольше, данные будут удалены по истечении этого времени. Если вы подали заявку на несколько позиций, период начинается с позиции, на которую вы подали заявку последней.
• Для обеспечения возможности администрирования законодательных и договорных прав и обязательств во время вашей работы в качестве работодателя (например, выплата заработной платы, проверка рабочего времени, решение вопросов социального страхования и предоставление информации в налоговое управление Швеции и другие органы).

Ваши личные данные также будут обрабатываться, чтобы LKAB могла управлять и распределять работу внутри Группы, управлять вашими авторизациями, позволять другим людям в Группе связываться и общаться с вами, а также позволять вам использовать основные системы (например, в качестве систем управления производством или делами) и вашей входной карты. Ваши личные данные будут обрабатываться, когда вы используете службы определения местоположения, чтобы в случае аварии LKAB могла определить ваше местоположение на территории LKAB.

Персональные данные, полученные в результате вашей работы, хранятся до тех пор, пока LKAB требуются данные для целей, для которых выполняется обработка, и / или для соблюдения юридических обязательств и для рассмотрения любых юридических претензий, связанных с работой. Более длительные периоды хранения необходимы, например, для анализа пенсий или будущих расследований производственных травм.

Правовая основа для обработки: Обработка необходима для того, чтобы мы могли выполнять наши обязательства и защищать наши права на основании трудового договора, заключенного с вами (или который должен быть заключен с вами на основании заявления о приеме на работу) и на основании договорных соглашений, таких как коллективные договоры, пенсионные соглашения, обзоры заработной платы и т. д.Таким образом, ваши личные данные могут обрабатываться в системах управления персоналом. Обработка также может быть основана на обязательстве, наложенном на нас законом или другим нормативным актом (известном как юридическое обязательство). Например, у нас есть юридическое обязательство хранить определенную информацию во время и после вашего трудоустройства.

В некоторых случаях обработка персональных данных во время вашей работы может быть основана на балансе интересов, например, если нам нужно обработать данные; в системе ввода, в связи с коммуникацией и документацией или в контексте системы управления делами.В отношении заявлений о приеме на работу обработка будет основываться на балансе интересов, когда считается, что наша заинтересованность в обработке персональных данных перевешивает любую возможную заинтересованность в отказе от обработки данных.

Мы обрабатываем ваши персональные данные для следующих целей в связи с подачей заявок на авторизацию на промышленных площадках / шахтах / объектах и ​​в связи с посещением вышеупомянутых сайтов:

Для проверки и администрирования: заявок на авторизацию и доступ; приложения и использование въездных карт, ключей, меток в метро и доступа автотранспорта.Чтобы гарантировать, что только те лица, которые имеют право находиться на объекте / объекте и в различных частях объекта / объекта, могут получить доступ к объекту / объекту; чтобы гарантировать вашу безопасность и безопасность других людей, а также защитить нашу собственность. В отношении вышеуказанных приложений и способов использования вы регистрируете личные данные, необходимые для проверки и администрирования. Персональные данные хранятся до тех пор, пока существует необходимость (например, в случае с входными картами, до тех пор, пока существует потребность в доступе к определенному объекту).Ваши личные данные будут обрабатываться с помощью служб определения местоположения, чтобы в случае аварии LKAB могла определить ваше местоположение на территории LKAB.

Правовая основа для обработки: Обработка необходима для соблюдения юридических обязательств, касающихся рабочей среды и / или которые предназначены для обеспечения того, чтобы доступ к определенным объектам / объектам был предоставлен только достаточно квалифицированному персоналу.

Обработка персональных данных в связи с контролем доступа необходима для защиты нашего интереса в том, чтобы знать, кто имеет доступ к нашим сайтам и присутствует на них; среди прочего, для обеспечения безопасности.В этом случае обработка ваших личных данных, таким образом, основана на балансе интересов, при котором наш законный интерес в обработке личных данных, например, для обеспечения защиты доступа, перевешивает любой возможный интерес в отказе от обработки данных.

Мы обрабатываем ваши персональные данные для следующих целей, когда вы работаете у одного из наших клиентов, поставщиков или деловых партнеров:

Чтобы мы могли выполнять наши обязательства и защищать права, связанные с контрактами (или предполагаемыми / прекращенными контрактами) с вашим работодателем или клиентом, а также выполнять различные виды администрирования задач, связанных с такими контрактами.Ваши личные данные также обрабатываются, чтобы LKAB могла управлять и распределять работу внутри Группы и проверять ваши полномочия, а также чтобы другие лица в Группе могли связываться с вами и общаться с вами. В некоторых случаях ваши личные данные будут обрабатываться с использованием служб определения местоположения, чтобы LKAB могла определить ваше местоположение на сайте / объекте LKAB, особенно в случае аварии или по другим причинам безопасности. Персональные данные будут храниться только до тех пор, пока это необходимо для достижения вышеупомянутых целей.

Правовая основа для обработки: Обработка ваших личных данных необходима для защиты интересов, связанных с нашим бизнесом. Любое нарушение конфиденциальности, от которого вы страдаете, перевешивает нашу заинтересованность в обработке ваших данных (баланс интересов). Обработка также может быть необходима для того, чтобы мы могли реализовать меры, связанные с предполагаемыми, текущими и прекращенными соглашениями с компанией / организацией, сотрудником или подрядчиком которой вы являетесь.

Мы осуществляем видеонаблюдение для следующих целей:

Для облегчения проезда транспортных средств и людей на промышленные объекты и объекты и от них, для предотвращения и расследования аварий и других инцидентов, связанных с безопасностью, для обеспечения того, чтобы на наши объекты и объекты допускались только уполномоченные лица, для предотвращения и расследования уголовных преступлений, и для защиты производственных и логистических процессов в целях планирования, эффективности и безопасности. Материал, записанный камерами, не хранится дольше, чем это необходимо для выполнения цели видеонаблюдения.

Правовая основа для обработки: Мы рассматриваем нашу заинтересованность в обработке персональных данных посредством видеонаблюдения для указанных целей, чтобы перевесить вторжение в частную жизнь, которому может подвергнуться человек, находящийся под наблюдением. Таким образом, камера наблюдения основана на законном интересе (который составляет правовую основу для наблюдения).

Если люди входят на наши сайты и объекты без разрешения, существует риск инцидентов, связанных с безопасностью и безопасностью, которые могут затронуть как человека, который пытается получить несанкционированный доступ к сайту, так и сотрудников и других лиц, законно находящихся на рассматриваемом сайте.

Мы обрабатываем информацию о ваших посещениях нашего общедоступного веб-сайта в следующих целях:

Когда вы посещаете наш сайт, некоторые данные о ваших действиях будут сохранены на странице. Как упоминалось выше, данные, которые могут быть сохранены, включают информацию об используемом вами ИТ-оборудовании, ваш IP-адрес и файлы cookie. Обычно мы не сможем идентифицировать вас с помощью хранимых данных. Мы обрабатываем данные, чтобы оценивать и улучшать веб-сайт, чтобы понять, как посетители используют веб-сайт, и обеспечить функциональность веб-сайта.Данные будут храниться столько времени, сколько необходимо для выполнения вышеупомянутых целей, но не более 24 месяцев.

Правовое основание для обработки: Обработка ваших данных для целей, описанных выше, основывается на законном основании согласия. Как посетитель, вы можете дать согласие на использование файлов cookie на веб-сайте. Это согласие, которое является добровольным, подразумевает явное согласие с тем, что мы обрабатываем ваши данные.

Мы обрабатываем ваши персональные данные для следующих целей, когда вы регистрируете профиль на нашем веб-сайте или связываетесь с нами любым другим способом, чтобы подписаться на информацию или заказать печатную информацию:

Мы обрабатываем персональные данные, чтобы обеспечить администрирование вашего заказа и доставку заказанной вами информации.Мы храним ваши личные данные в течение 12 месяцев после окончания подписки или доставки вашего заказа, чтобы обеспечить отслеживаемость ваших сообщений с нами.

Правовая основа для обработки: Обработка персональных данных для целей, описанных выше, происходит на правовой основе с учетом баланса интересов. Обработка необходима как для нашего, так и для вашего законного интереса в обеспечении того, чтобы вы получали запрошенную информацию. Считается, что вышеупомянутые интересы перевешивают любые интересы в отношении отказа от обработки данных.

Мы обрабатываем ваши персональные данные для следующих целей, когда вы общаетесь с нами, например, через форму на нашем веб-сайте или по электронной почте:

Мы обрабатываем личные данные, чтобы мы могли ответить на ваш вопрос, учесть ваши комментарии и обработать ваше дело. Мы стремимся свести к минимуму хранение данных, но продолжительность хранения персональных данных зависит от цели обработки, о которой идет речь.

Правовая основа для обработки: Обработка персональных данных для целей, описанных выше, происходит на правовой основе с учетом баланса интересов.Обработка необходима как для нашего, так и для вашего законного интереса в решении вашего вопроса. Считается, что интерес перевешивает любые интересы в отказе от обработки данных.

Мы обрабатываем ваши персональные данные для следующих целей в связи с предъявляемыми к нам законодательными требованиями или в случае спора:

Юридическое обязательство по обработке ваших личных данных может быть основано на юридических или нормативных требованиях, которым мы подчиняемся. Мы также можем обрабатывать ваши персональные данные для предъявления, утверждения или защиты судебных исков.Мы храним данные до тех пор, пока у нас есть обязательства, или до тех пор, пока продолжается спор.

Правовая основа для обработки: Правовая основа для обработки заключается в том, что обработка необходима для соблюдения юридического обязательства или для нашего законного интереса в установлении, утверждении или защите наших юридических требований.

В случае сотрудников могут иметь место другие формы обработки персональных данных, кроме упомянутых выше.За такую ​​обработку персональных данных ответственное подразделение LKAB предоставит вам необходимую информацию.

4. Внутренние и внешние получатели персональных данных

LKAB может раскрывать ваши персональные данные другим компаниям Группы по мере необходимости для административных или иных целей, имеющих отношение к деятельности Группы.

LKAB может раскрывать ваши персональные данные внешним получателям, например государственным органам и организациям сотрудников, когда это требуется в соответствии с юридическим обязательством.Персональные данные также могут быть переданы компаниям и другим юридическим лицам по другим причинам; если LKAB наняла такое юридическое лицо в качестве помощника / подрядчика, например, для выполнения определенной задачи. Однако в таком случае LKAB должна заключить соглашение об обработке данных с юридическим лицом, чтобы гарантировать, что последнее обрабатывает персональные данные в порядке, установленном законодательством и любыми инструкциями.

5. Ваши права

У вас есть ряд прав в соответствии с Общим регламентом защиты данных (GDPR).

Право на информацию

Вы имеете право получать информацию о том, когда и как обрабатываются ваши личные данные. Вы имеете право получать информацию об обработке во время сбора ваших личных данных, а также по вашему запросу.

Право доступа к вашим личным данным

Вы имеете право быть проинформированным посредством выписки из реестра, какие персональные данные о вас мы обрабатываем, как эти данные обрабатываются, цель обработки и получатели или категории получателей, которым мы раскрываем данные о ты.

Выписка из реестра обычно предоставляется вам не позднее, чем через месяц с даты получения вашего запроса.

В некоторых случаях информация, содержащаяся в выписке из реестра, не может или не может быть раскрыта, например, из-за положений другого законодательства или когда раскрытие информации может нанести ущерб третьей стороне.

Право на исправление

Вы имеете право потребовать исправления неточных личных данных. Если вы являетесь сотрудником, у вас есть доступ к определенным личным данным о вас, которые зарегистрированы в нашей системе управления персоналом (например, ваш адрес и номер телефона).Таким образом, у вас будет доступ для самостоятельного исправления данных.
Если вы подали заявление о приеме на работу у нас, вы несете ответственность за то, чтобы личные данные, которые вы указали в своем заявлении, были правильными во время подачи заявления. Мы не будем исправлять такие данные.

Право на удаление личных данных / право на забвение

Персональные данные необходимо удалить в следующих случаях:

• Если данные больше не нужны в связи с целями, для которых они были собраны.
• Если обработка основана на вашем согласии, и вы отзываете свое согласие.
• Если обработка выполняется в целях прямого маркетинга, и вы возражаете против обработки данных.
• Если вы возражаете против обработки персональных данных, которая осуществляется на законных основаниях осуществления официальных полномочий или законных интересов, и нет законных интересов, которые перевешивают ваши интересы.
• Если персональные данные были обработаны незаконно.
• Если стирание требуется для выполнения юридических обязательств.
• Если личные данные относятся к ребенку и были собраны в связи с созданием ребенком профиля в социальной сети.

Если данные удаляются по вашему запросу, мы также должны проинформировать о таком удалении тех, кому мы предоставили ваши данные. Однако это не применяется, когда это оказывается для нас невозможным или чрезмерно обременительным. Вы также имеете право запросить информацию о том, кому мы предоставили ваши данные.

Исключения из права на стирание и обязанности информировать других могут в некоторых случаях применяться, когда это необходимо для защиты других важных прав (таких как право на свободу выражения мнений и информации) или если необходимо разрешить нам, чтобы выполнить юридическое обязательство.

При подаче запроса на удаление должен состояться диалог между LKAB как контролером и вами как лицом, запрашивающим удаление.

Право на ограничение обработки

В некоторых случаях вы имеете право потребовать, чтобы обработка ваших личных данных была ограничена только определенными конкретными целями.

Вы можете, например, потребовать ограничения обработки до тех пор, пока точность данных не будет исследована после вашего запроса на исправление. Вы имеете право получить информацию о прекращении действия ограничения.

Право на возражение против обработки

В определенных случаях вы имеете право возражать против обработки нами ваших личных данных. Право на возражение применяется, когда персональные данные обрабатываются на основе баланса интересов.

Если вы возражаете против обработки, мы можем продолжить обработку данных только в том случае, если мы сможем продемонстрировать убедительные законные основания для обработки данных, которые имеют приоритет над вашими интересами, правами и свободами, или если обработка происходит для создания, осуществления или защита судебных исков.

Вы всегда имеете право возражать против использования ваших личных данных в целях прямого маркетинга. Такое возражение может быть сделано в любое время. Если будет выдвинуто возражение против обработки в целях прямого маркетинга, ваши личные данные больше не могут обрабатываться для таких целей.

Право на переносимость данных (право на передачу личных данных)

Если вы предоставили нам свои личные данные, вы имеете право в определенных случаях получать и использовать ваши личные данные в другом месте (право на переносимость данных).Обязательным условием для этого является обработка ваших личных данных на основании согласия или для выполнения контракта. Это право распространяется только на те личные данные, которые вы нам предоставили.

Право на подачу жалобы

Если вы считаете, что мы обработали ваши персональные данные неправильно, вы имеете право подать жалобу в Управление по защите данных Швеции.

6. Контактная информация

Luossavaara-Kiirunavaara AB (publ) и / или другая компания / компании в группе LKAB, которые обрабатывают ваши персональные данные, индивидуально или совместно являются контролерами в отношении соответствующей обработки персональных данных.

Следующая компания была назначена в качестве единого контактного лица в отношении обработки персональных данных компаниями, входящими в Группу: Luossavaara-Kiirunavaara AB (publ), org. нет. 556001-5835, адрес Box 952, 971 28 Лулео, адрес электронной почты [email protected] и номер телефона 0771 760 000.

Если у вас есть какие-либо вопросы об обработке персональных данных внутри Группы, вы можете связаться с координатором LKAB GDPR по адресу электронной почты [email protected].

Обработка персональных данных — CESSDA TRAINING

Вот несколько вопросов и ответов о том, как реализовать требования GDPR на практике в исследовательском проекте, по результатам вебинара CESSDA 2019

Вопрос: Я исследователь-постдок, проводящий качественное исследование, опрашиваю женщин о жестоких отношениях.Я буду использовать псевдонимы для каждой опрошенной женщины. Респондентов все еще можно идентифицировать по истории, которую они рассказывают. Это личная информация? Если да, то какое правовое основание мне следует использовать для этого исследования?

A: Да, это личная информация. В этом случае правовым основанием может быть согласие, которое следует запросить у женщин, участвующих в исследовании. Еще один аспект, о котором следует помнить, — это сбор данных, которые позволят идентифицировать других людей, у которых, возможно, не было запроса на согласие, например, партнеров, совершивших насилие.Таким образом, вы также можете обрабатывать личные данные людей, у которых не запрашивалось согласие. В этом случае площадка для обработки может быть общественным интересом, и аргумент будет заключаться в том, что исследование имеет ценность для общества. Если проект позволяет, такие партнеры могут быть проинформированы об обработке их данных, если это не представляет риска для участвующих женщин.

Q: Я провожу онлайн-опрос, используя Qualtrics, спрашивая 5000 человек по всей Европе, за какую политическую партию они голосовали на недавних европейских выборах, а также записываю их этническую принадлежность и другую демографическую информацию.Подходит ли это под обработку данных специальных категорий? Если да, как мне получить явное согласие на сбор этой информации?

A: Первое, что нужно учитывать, это то, сколько идентифицирующей / личной информации собирается во время опроса, наряду с политическими взглядами и этнической принадлежностью. Это помогает решить, классифицируются ли эти данные как особые категории. Если не собираются данные, позволяющие идентифицировать респондентов, GDPR не применяется. Если идентифицирующая информация собирается, это квалифицируется как данные особой категории, и поэтому потребуется явное согласие.Один из способов добиться этого — получить двойное согласие, при котором согласие на обработку собранных персональных данных будет запрашиваться в начале и в конце анкеты.

Qualtrics — компания из США, и благодаря переговорам с различными европейскими исследовательскими учреждениями Qualtrics теперь обрабатывает собранные в ЕС данные только для опросов в ЕС. Это означает, что Qualtrics можно использовать в качестве инструмента для опросов, которые должны соответствовать GDPR.

Q: Каковы правила GDPR при использовании административных или регистровых данных, содержащих личную информацию?

A: Если согласие не получено от физических лиц при сборе административных или регистровых данных, то наиболее распространенной правовой основой для дальнейшего использования является публичная задача.Если можно получить согласие, это будет предпочтительнее.

В: GDPR четко указывает на то, что форма согласия должна быть простой и понятной, но сейчас я должен предоставить так много дополнительной информации моим собеседникам. Как мне это сделать?

A: Лучший способ предоставить эту информацию участникам — использовать информационный буклет и форму согласия. Вы можете предоставить информацию в письменной листовке. Если вы проводите собеседование с людьми, вы также можете объяснить содержание буклета лично, чтобы убедиться, что люди его понимают.

В: Если исследователь привозит электронное устройство через границу в третью страну, отправляет электронное письмо или публикует личные данные в Интернете, считается ли это передачей данных?

A: Электронное письмо, содержащее личные данные, отправленное из Европы кому-либо в неевропейскую страну, действительно будет представлять собой передачу данных. Электронное устройство, содержащее личные данные, переносимое через границу в третью страну, будет представлять собой передачу данных, если личные данные будут переданы другому лицу.Если личные данные публикуются в Интернете, это зависит от того, хранятся ли данные и кто может получить к ним доступ. Если это открыто опубликовано, это можно рассматривать как передачу данных.

Q: Каковы последствия защиты данных для международных партнерств и исследовательских проектов, когда в них участвуют страны, не входящие в ЕС?

A: Если личные данные будут обрабатываться / обрабатываться в рамках исследовательской деятельности партнерства в ЕС, то будет применяться GDPR. Одним из решений может быть то, что европейские партнеры требуют, чтобы их партнеры, не являющиеся членами ЕС, имели соответствующие меры конфиденциальности / защиты данных и чтобы согласие давали все субъекты, независимо от того, находятся они в Европе или нет.Это не всегда может быть легко или возможно. Однако можно найти такие решения, как анонимизация данных, шифрование данных, использование защищенных серверов, и партнеры могут учиться друг у друга. Хорошая практика также заключается в регистрации всех пользователей и целей использования личных данных.

В: Применяется ли GDPR к персональным данным, собранным за пределами Европейской экономической зоны (ЕЭЗ) и переданным в ЕЭЗ для анализа?

A: Да, будет, потому что после хранения в ЕЭЗ они будут классифицироваться как личные данные.

В: Существуют ли примеры исследований, в которых использование согласия в качестве правовой основы для обработки личных данных было бы неприемлемым?

A: Скрытое исследование — это пример, когда согласие не является подходящим основанием для обработки, поскольку запрос согласия приведет к отрицательному результату исследования. В скрытых исследованиях лучшим основанием, вероятно, будет публичное задание. По-прежнему важно, чтобы исследование придерживалось этических принципов, а исследователь открыто рассказывал о процессе, используемом в публикациях.

Q: Как мы можем соблюдать GDPR при изучении легко идентифицируемых групп населения, например, при опросах кандидатов, участвующих во всеобщих выборах, или опросах членов научной ассоциации?

A: Во-первых, вам нужна правовая основа для обработки персональных данных. Самым распространенным правовым основанием для этого сценария может быть согласие. Если вы получили согласие изучаемых людей, вы можете предоставить информацию о риске быть идентифицированным в опубликованных результатах опроса и запросить согласие на этом основании.Если правовая основа для обработки персональных данных является публичной задачей, вы должны предоставить информацию об исследовании населению, чтобы убедиться, что они могут управлять своими правами в соответствии с GDPR.

Q: Как «право на забвение» применяется в исследовательской среде?

A: Право на забвение применяется в исследованиях, но не является абсолютным правом. Лучшая практика — как можно яснее проинформировать участников об этом праве и объяснить, что оно означает, а что может не означать.Например, если были опубликованы данные, в которых можно идентифицировать людей, например, документ, содержащий цитату, на которую было дано разрешение. Тогда, если участник захочет, чтобы о нем забыли, будет очень сложно отозвать бумагу. Так что дайте участникам четкое представление о том, что они могут сделать с этим правом и до какого момента они могут отказаться от исследования и попросить о том, чтобы о них забыли.

В: Требуется ли оценка воздействия на защиту данных (DPIA) только в научных исследованиях конфиденциальных данных, касающихся уязвимых субъектов?

A: DPIA требуется для обработки данных, которая может привести к высокому риску для прав и свобод человека.На практике это означает, что применяются хотя бы два из этих критериев (примеры можно найти в рекомендациях Рабочей группы по защите данных 248):

• оценка или выставление баллов
• автоматизированное принятие решений с юридическим или аналогичным значительным эффектом
• Систематический мониторинг
• конфиденциальные данные
• данных обработано в большом масштабе
• наборов данных, которые были сопоставлены или объединены
• данные об уязвимых субъектах данных
• инновационное использование или применение технологических или организационных решений
• передача данных через границы за пределы Европейского Союза
• , когда обработка сама по себе не позволяет субъектам данных осуществлять право или использовать услугу или контракт.

В то же время DPIA — хороший инструмент обучения. Для исследовательского проекта, который включает сбор личных данных, очень полезно совместное заседание исследователя с юридическим лицом и техническим специалистом для определения передовых методов защиты данных. Это помогает понять контекст и помогает определить общие проблемы, решения и меры по снижению рисков.

Q: Как оценка воздействия на защиту данных (DPIA) проводится в различных учреждениях для исследований?

A: Если исследование проводится в сотрудничестве более чем одного учреждения с разделенными обязанностями, одного DPIA, выполненного одним из учреждений, должно быть достаточно, а другие партнерские учреждения должны применять тот же DPIA.Проблемы могут возникнуть, когда в исследовании участвуют учреждения, которые внедряют DPIA в разных странах, при этом политики или требования могут различаться в этих странах, например, в отношении безопасности данных, прав собственности на данные, различного понимания получения согласия и того, какую правовую основу использовать для обработки. личные данные.

Вопрос: Как исследователям следует правильно обращаться с GDPR в контексте открытых данных?

A: Для личных данных важен девиз открытого доступа «как можно более открытый, как можно более закрытый».Политическое или общественное стремление к открытому доступу и открытой науке не означает, что индивидуальные права, предоставленные законодательством, могут быть отменены. Следовательно, для личных данных ключом является «закрытие по мере необходимости».

В: Какова применимость «законных интересов» в исследованиях с использованием искусственного интеллекта (ИИ)?

A: Использование ИИ — это особая форма использования личных данных, и законный интерес может быть правовой основой для ИИ. Более важна структура, предоставляемая руководящими принципами и рекомендациями Группы высокого уровня по ИИ: этические принципы для заслуживающего доверия ИИ и Политика и регулирование инвестиций для заслуживающего доверия ИИ.

Q: Если организация в США является обработчиком псевдонимизированных данных граждан ЕС и ключ для повторной идентификации субъектов существует только в ЕС, поэтому организация в США не может повторно идентифицировать субъектов, применяется ли GDPR? юридическому лицу в США? Обязана ли организация из США подписывать контракт, если этого требует организация из ЕС?

A: Если организация в США не имеет доступа к ключу, то теоретически данные будут классифицироваться как анонимные. Если ключ когда-либо будет выпущен или юридическое лицо в США получит к нему доступ, то данные будут определены как псевдонимизированные данные или личные данные.Организации нужно будет решить, будет ли лучше подписать соглашение о переработке, учитывая риски, на которые они хотят пойти.

Q: В исследовательских проектах, которые планируют использовать данные, собранные с платформ социальных сетей, как исследователи могут согласовать право на неприкосновенность частной жизни с общедоступными данными?

A: Получение согласия было бы лучшим подходом при использовании данных социальных сетей. Таким образом, даже если данные социальных сетей находятся в открытом доступе, исследователи должны по возможности спрашивать согласия людей, чей контент в социальных сетях они добывают.В некоторых случаях публичное задание может быть использовано как правовое основание.

В: Сходятся ли или расходятся ли европейские страны в выборе правовой основы для обработки персональных данных в исследованиях по всей Европе, особенно при рассмотрении вопроса о том, будет ли в исследовании использоваться согласие или публичное задание?

A: Великобритания настоятельно поощряет использование общественных задач в качестве юридического основания в исследованиях, в то время как многие другие европейские страны выступают за согласие. Мнение Великобритании может поставить под угрозу права участников.В будущем мы сможем оценить, как это изменилось. В случае с Германией можно скорее увидеть расходящуюся тенденцию, поскольку федеральное правительство предоставило возможность определения положениям 16 федеральным землям. Они воспользовались шансом, и восемь человек ввели определение «анонимных данных», которое раньше использовалось в Законе о защите данных Германии. Но все они видят в согласии основную основу для исследований.

Q: Следует ли рассматривать репозитории данных и архивы данных как обработчики данных или контроллеры данных? Является ли архивирование данных исследования из проекта частью первоначальной обработки исследования или представляет собой отдельную дальнейшую обработку?

A: В большинстве случаев архивы данных, вероятно, будут рассматриваться как обработчики данных.Тем не менее, некоторые архивы данных также могут быть задействованы в проведении исследований для проектов, что может привести к тому, что они станут совместным контролером с исследовательским институтом.

Различные архивы данных в разных странах могут иметь разный взгляд. Некоторые будут рассматривать все сборники данных как потенциально личные данные и рассматривать их как таковые. GDPR больше не будет применяться только в том случае, если данные будут считаться полностью анонимными. В других архивах используется двухуровневый подход, предусматривающий определенные процедуры для анонимных данных и другие для персональных данных.Архив может архивировать личные данные, если для этого есть законное основание. Важно поддерживать связь с командой исследовательского проекта.

Что такое GDPR, его требования и факты?

Компании, которые собирают данные о гражданах в странах Европейского союза (ЕС), должны соблюдать новые строгие правила защиты данных клиентов. Общий регламент по защите данных (GDPR) устанавливает новый стандарт прав потребителей в отношении их данных, но компании столкнутся с трудностями, поскольку они внедряют системы и процессы для обеспечения соответствия.

Соответствие вызовет некоторые опасения и новые ожидания групп безопасности. Например, GDPR широко рассматривает, что составляет личную идентификационную информацию. Компаниям потребуется такой же уровень защиты для таких вещей, как IP-адрес человека или данные файлов cookie, что и для имени, адреса и номера социального страхования.

GDPR оставляет многое для интерпретации. В нем говорится, что компании должны обеспечивать, например, «разумный» уровень защиты личных данных, но не определяется, что считается «разумным».«Это дает руководящему органу GDPR большую свободу действий, когда дело доходит до оценки штрафов за утечку данных и несоблюдение требований.

Время на исходе, чтобы уложиться в крайний срок, поэтому CSO собрала все, что нужно знать любому бизнесу о GDPR, а также рекомендации по выполнению его требований. Многие из требований не относятся напрямую к информационной безопасности, но необходимые для выполнения процессы и системные изменения могут повлиять на существующие системы и протоколы безопасности.

Что такое GDPR?

Европейский парламент принял GDPR в апреле 2016 года, заменив устаревшую директиву о защите данных 1995 года.Он содержит положения, требующие от предприятий защиты личных данных и конфиденциальности граждан ЕС в отношении транзакций, которые происходят в государствах-членах ЕС. GDPR также регулирует экспорт личных данных за пределы ЕС.

[ Связано: -> Как подготовиться к приближающемуся Общему регламенту защиты данных ]

Положения одинаковы во всех 28 странах-членах ЕС, что означает, что компании должны соблюдать только один стандарт в ЕС.Однако этот стандарт довольно высок, и для его соблюдения и управления большинством компаний потребуется вложить значительные средства.

Почему существует GDPR?

Краткий ответ на этот вопрос — обеспокоенность общественности по поводу конфиденциальности. В Европе в целом уже давно действуют более строгие правила использования компаниями личных данных своих граждан. GDPR заменяет Директиву ЕС о защите данных, которая вступила в силу в 1995 году. Это было задолго до того, как Интернет стал центром онлайн-бизнеса, которым он является сегодня.Следовательно, директива устарела и не затрагивает многие способы хранения, сбора и передачи данных сегодня.

Насколько реальна обеспокоенность общественности по поводу конфиденциальности? Это очень важно, и оно растет с каждой новой серьезной утечкой данных. Согласно отчету RSA о конфиденциальности и безопасности данных, для которого RSA опросила 7500 потребителей во Франции, Германии, Италии, Великобритании и США, 80% потребителей заявили, что потеря банковских и финансовых данных является главной проблемой. Утерянная информация о безопасности (например,g., пароли) и идентификационная информация (например, паспорта или водительские права) вызвали озабоченность 76% респондентов.

Тревожной статистикой для компаний, занимающихся данными о потребителях, является то, что 62% респондентов отчета RSA заявили, что в случае взлома они обвинят компанию в потере данных, а не хакера. Авторы отчета пришли к выводу, что «по мере того, как потребители становятся более информированными, они ожидают большей прозрачности и оперативности от управляющих их данными.”

Недоверие к тому, как компании обращаются со своей личной информацией, побудило некоторых потребителей принять собственные меры противодействия. Согласно отчету, 41% респондентов заявили, что намеренно фальсифицируют данные при подписке на услуги онлайн. Проблемы безопасности, желание избежать нежелательного маркетинга или риск перепродажи данных были среди их главных забот.

Отчет также показывает, что потребители не так легко простят компанию, если происходит нарушение, раскрывающее их личные данные.72% респондентов в США заявили, что они бойкотируют компанию, которая, по всей видимости, игнорирует защиту их данных. Пятьдесят процентов всех респондентов заявили, что они с большей вероятностью будут делать покупки в компании, которая может доказать, что серьезно относится к защите данных.

«По мере того, как компании продолжают свои цифровые преобразования, более широко используя цифровые активы, услуги и большие данные, они также должны нести ответственность за ежедневный мониторинг и защиту этих данных», — заключил отчет.

Какие типы данных о конфиденциальности защищает GDPR?

• Основная идентификационная информация, такая как имя, адрес и идентификационные номера
• Интернет-данные, такие как местоположение, IP-адрес, данные cookie и RFID-метки
• Медицинские и генетические данные
• Биометрические данные
• Расовые или этнические данные
• Политические взгляды
• Сексуальная ориентация

На какие компании влияет GDPR?

Любая компания, которая хранит или обрабатывает личную информацию о гражданах ЕС в странах ЕС, должна соблюдать GDPR, даже если у них нет бизнес-присутствия в ЕС.Конкретные критерии для компаний, которые должны соответствовать:

• Присутствие в стране ЕС.
• Нет присутствия в ЕС, но обрабатывает личные данные жителей Европы.
• Более 250 сотрудников.
• Менее 250 сотрудников, но его обработка данных влияет на права и свободы субъектов данных, не является случайной или включает определенные типы конфиденциальных личных данных. Фактически это означает почти все компании. Опрос PwC показал, что 92% компаний U.Компании S. считают GDPR высшим приоритетом защиты данных.

В новом опросе, проведенном Propeller Insights при спонсорской поддержке Netsparker Ltd., руководители спрашивали, какие отрасли больше всего пострадают от GDPR. В большинстве случаев (53%) сектор технологий пострадал больше всего, за ним следовали интернет-магазины (45%), компании-разработчики программного обеспечения (44%), финансовые услуги (37%), онлайн-услуги / SaaS (34%) и розничные / потребительские товары. (33%).

Кто в моей компании будет отвечать за соблюдение требований?

GDPR определяет несколько ролей, которые несут ответственность за обеспечение соответствия: контроллер данных, обработчик данных и сотрудник по защите данных (DPO).Контроллер данных определяет, как обрабатываются персональные данные и для каких целей они обрабатываются. Контролер также несет ответственность за соблюдение требований внешних подрядчиков.

[ Связано: -> Требования GDPR повышают глобальные ставки защиты данных ]

Обработчиками данных могут быть внутренние группы, которые поддерживают и обрабатывают записи личных данных, или любая аутсорсинговая фирма, которая выполняет все или часть этих действий. GDPR возлагает на обработчиков данных ответственность за нарушения или несоблюдение.Тогда возможно, что и ваша компания, и партнер по обработке, например поставщик облачных услуг, будут нести ответственность за штрафные санкции, даже если вина полностью ложится на партнера по обработке.

GDPR требует, чтобы контроллер и процессор назначили DPO для наблюдения за стратегией безопасности данных и соблюдением GDPR. Компании должны иметь DPO, если они обрабатывают или хранят большие объемы данных граждан ЕС, обрабатывают или хранят специальные личные данные, регулярно контролируют субъектов данных или являются государственным органом.Некоторые государственные организации, такие как правоохранительные органы, могут быть освобождены от требования DPO.

Согласно опросу Propeller Insights, 82% компаний-респондентов заявили, что у них уже есть штатные сотрудники, хотя 77% планируют нанять нового или заменяющего DPO до крайнего срока 25 мая. Этот наем не заканчивается на DPO. Около 55% респондентов сообщили, что наняли как минимум шесть новых сотрудников, чтобы обеспечить соблюдение GDPR.

Как GDPR влияет на контракты с третьими сторонами и клиентами?

GDPR возлагает равную ответственность на контроллеры данных (организацию, владеющую данными) и обработчики данных (внешние организации, которые помогают управлять этими данными).Сторонний процессор, не соответствующий требованиям, означает, что ваша организация не соответствует требованиям. Новое постановление также содержит строгие правила сообщения о нарушениях, которые должен соблюдать каждый в цепочке. Организации также должны информировать клиентов об их правах в соответствии с GDPR.

Это означает, что все существующие контракты с обработчиками (например, поставщиками облачных услуг, поставщиками SaaS или поставщиками услуг по расчету заработной платы) и клиентами должны четко определять обязанности. В пересмотренных контрактах также необходимо определить последовательные процессы управления и защиты данных и сообщения о нарушениях.

«Самая большая работа связана с закупками внутри компании — вашими сторонними поставщиками, вашими поставщиками, которые обрабатывают данные от вашего имени», — говорит Мэтью Льюис, руководитель международной практики банковского дела и регулирования в компании Axiom, предоставляющей юридические услуги. «Существует целая группа поставщиков, которые имеют доступ к этим личным данным, и GDPR очень четко определяет, что вам необходимо убедиться, что все эти третьи стороны соблюдают GDPR и обрабатывают данные соответствующим образом».

Клиентские контракты также должны отражать нормативные изменения, — говорит Льюис.«Клиентские контракты принимают различные формы, будь то интерактивные переходы по ссылкам или официальные соглашения, в которых вы берете на себя обязательства в отношении того, как вы просматриваете, получаете доступ и обрабатываете данные».

Прежде чем эти контракты можно будет пересмотреть, руководители предприятий, ИТ-отделы и группы безопасности должны понять, как данные хранятся и обрабатываются, и согласовать соответствующий процесс отчетности. «Технологическим группам, директорам по информационным технологиям и группе управления данными требуется довольно масштабное упражнение, чтобы понять, какие данные подходят для компании, где они хранятся или обрабатываются и куда экспортируются за пределы компании.Как только вы поймете эти потоки данных и их влияние на бизнес, вы можете начать определять поставщиков, на которых вам нужно больше всего сосредоточиться как с точки зрения информационной безопасности, так и с точки зрения управления этими отношениями в будущем и того, как вы запомните это в контракте сам », — говорит Льюис.

GDPR может также изменить отношение бизнес-групп и специалистов по безопасности к данным. Большинство компаний рассматривают свои данные и процессы, которые они используют для добычи полезных ископаемых, как актив, но это восприятие изменится, говорит Льюис.«Учитывая явное согласие GDPR и компании, которым необходимо более детально разбираться в данных и потоках данных, теперь существует целый ряд обязательств, связанных с накоплением данных», — говорит Льюис. «Это совершенно другое мировоззрение как с точки зрения законодательства, так и с точки зрения соблюдения требований, но, возможно, более важно для того, как бизнес думает о накоплении и использовании этих данных, а также для групп информационной безопасности и того, как они думают об управлении этими данными»

«Данные уходят из фирмы разными способами, — говорит Льюис.«Хотя директора по информационным технологиям и технологические группы должны иметь возможность отслеживать все это, вам также необходимо установить защиту». Эти меры защиты должны быть прописаны в контракте, чтобы сторонние фирмы понимали, что они могут и не могут делать с данными.

Льюис отмечает, что, пройдя процесс определения обязательств и ответственности, он подготавливает компанию к оперативному соблюдению GDPR. «Если один из ваших поставщиков скажет:« Вы были взломаны вчера вечером », знают ли они, кому звонить и как реагировать в рамках соблюдения нормативных требований», — говорит он.

72-часовое окно отчетности, которое требует GDPR, делает особенно важным, чтобы поставщики знали, как правильно сообщать о нарушении. «Если поставщик был взломан, а вы являетесь одним из тысяч клиентов, уведомляют ли они ваш отдел закупок, сотрудника по счетам или кого-то, кто занимается счетами к получению? Это могло произойти разными способами », — говорит Льюис.

Вы хотите, чтобы в контракте был четко определен путь, по которому информация будет поступать к лицу в вашей организации, ответственному за сообщение о нарушении.«Регулирующий орган не собирается говорить, что у вас не должно было быть нарушения. Они скажут, что у вас должна быть политика, процедуры и структура реагирования, чтобы быстро решить эту проблему », — говорит Льюис.

Более крупным компаниям, возможно, придется обновить тысячи контрактов. Эта проблема усложняется тем, что это нужно делать на поздних этапах процесса соответствия. Прежде чем вы сможете определить обязанности и ответственность, вы должны точно знать, какие данные у вас есть, где и как они обрабатываются, а также потоки данных.«Это привело к тому, что многие учреждения стремятся к сроку, пытаясь решить технические и операционные проблемы, и вынуждены наверстывать упущенное, заключая правильный контракт, чтобы обеспечить выполнение этого. Многие фирмы не пересматривали условия контрактов ».

Возникает вопрос: что произойдет, если все контракты не будут заключены к майскому крайнему сроку? Льюис видит несколько рисков, связанных с невыполнением контрактов:

• Оперативный: Если вы не договорились с поставщиком о ваших процессах, неясно, как вы будете действовать в соответствии с GDPR.
• Управление поставщиками: в соответствии с GDPR вам необходимо знать, как работают ваши поставщики, включая их структуру безопасности, и как они управляют данными. Без этого знания вы не знаете, какой риск они представляют.
• Нормативные штрафы: Льюис отмечает, что ЕС известен своей готовностью взимать высокие штрафы за несоблюдение нормативных требований. Если произойдет нарушение, отсутствие контрактов вполне может сработать против компании. «Отсутствие контракта — признак того, что вы не знаете, что делают ваши поставщики, и это более серьезная проблема управления, связанная с тем, какую инфраструктуру вы используете и как обрабатываете данные», — говорит Льюис.«Это дает регулирующему органу представление о том, насколько вы организованы и насколько хорошо вы понимаете свои потоки данных».

Соблюдение законов ЕС в отношении персональных данных

Теперь, когда действует Общий регламент ЕС по защите данных (GDPR), готовность к GDPR должна быть приоритетом для предприятий во всем мире, а не только для тех, которые находятся в Европейском союзе (ЕС). Этот обзор GDPR познакомит вас с основами, включая семь принципов, лежащих в основе регулирования и правоприменения.

Содержание

Что такое GDPR?
Основные вопросы о GDPR
Подробнее о GDPR:

Принцип 1: Прозрачная обработка данных
Принцип 2: Ограничение собираемых данных
Принцип 3: Минимизация собираемых и хранимых данных
Принцип 4: Персональные данные должны быть точными
Принцип 5: Ограничить хранение Персональные данные
Принцип 6: Целостность и конфиденциальность
Принцип 7: Подотчетность

Создание плана действий GDPR

Что такое GDPR?

Общие правила защиты данных (GDPR) — это новый закон о защите данных для всех 28 государств-членов Европейского Союза.

GDPR устанавливает высокий стандарт защиты данных и применяется к любой организации, которая обрабатывает персональные данные субъектов данных ЕС, независимо от того, находится ли сама эта организация в ЕС или нет. Это важно, потому что стандарты, установленные GDPR, намного строже, чем стандарты, установленные действующими законами США о конфиденциальности. А штрафы за несоблюдение суровые. До 24 миллионов долларов США, или 4% от мирового годового оборота, в зависимости от того, что больше.

Разработанный для замены мешанины правил и органов по защите данных, действующих в настоящее время в 28 странах-членах ЕС, GDPR создаст единое регулирование, которое будет применяться во всем ЕС.

Реформа модернизирует принципы Директивы ЕС о защите данных 1995 года и применяется к личным данным субъектов данных ЕС, которые обрабатываются теми, кого в регламенте называют контролером данных и обработчиками данных (подробнее об этом позже).

Популярные вопросы о GDPR

Когда вступил в силу GDPR?

GDPR был подписан в апреле 2016 года и вступил в силу 25 мая 2018 года. После этой даты любая организация, которая собирает, хранит или обрабатывает персональные данные субъектов данных ЕС, должна соблюдать Общие правила защиты данных.

Что такое личные данные?

В ЕС персональные данные определяются как любые данные, которые сами по себе или в сочетании с другими данными, к которым владелец может получить доступ, могут быть использованы для идентификации личности. Для киберпреступников сбор, обработка и передача личных данных делает организации из большого числа отраслей прибыльными целями для фишинга, отказа в обслуживании, программ-вымогателей и сложных постоянных атак.

Кто является субъектом данных?

Согласно законодательству ЕС, субъектом данных является любое лицо в пределах ЕС, чьи личные данные были собраны (будь то граждане ЕС, резиденты или проезжающие туристы) с целью предложения им товаров и услуг в пределах ЕС.Граждане ЕС также считаются субъектами данных, когда они находятся за границей или ведут бизнес с организацией, расположенной за границей, когда этот бизнес стремится предлагать товары и услуги в пределах границ ЕС.

Пример: если немец бронирует отпуск в Испании с помощью AirBnB (служба в США), то применяется GDPR, потому что предлагаемая комната находится в Испании, на территории ЕС. Если этот же человек бронирует номер в Японии, GDPR не применяется, поскольку предлагаемая услуга находится за пределами ЕС.

Короче говоря, GDPR защищает данные человек , но определяет его охват вещей, купленных и проданных в ЕС.

Что такое контроллеры данных и процессоры данных?

Контроллеры и процессоры — это два разных типа организаций, к которым применяется GDPR, а именно: те, которые «контролируют» персональные данные, и те, которые «обрабатывают» их. Обработчик данных в GDPR определяется как любая организация, которая собирает, обрабатывает, хранит или передает персональные данные субъектов данных ЕС. Контроллер данных — это организация, которая руководит деятельностью обработчика.

Это означает, что контроллер данных определяет, как и почему обрабатываются личные данные, а обработчик данных действует от имени контроллера.Например, банк, передающий на аутсорсинг процессы визуализации чеков, является контролером данных, а внешний подрядчик — процессором.

Согласно GDPR, обработчики данных должны вести контрольный журнал всех операций обработки, но ответственность за соблюдение всех их процессоров лежит на контролере данных. Контроллеры не освобождаются от своих обязательств по защите данных, если нарушение происходит в сети процессоров.

Передача личных данных между контроллерами и процессорами должна быть безопасной, и данные должны быть защищены во время обработки.В некоторых случаях GDPR может также потребовать от обработчика данных удалить личные данные, которые больше не нужны после обработки.

Кто должен соблюдать GDPR?

Правила GDPR применяются к любой организации, которая собирает, хранит или обрабатывает персональные данные субъектов данных ЕС. Неважно, где находится штаб-квартира вашей компании. Даже компании, которые не имеют физического присутствия в ЕС, должны соблюдать GDPR.

Мы уже соответствуем требованиям HIPAA — подойдем ли мы для GDPR?

Не совсем так.Есть некоторые совпадения, но GDPR — это гораздо более масштабный и далеко идущий законодательный акт. Вы можете узнать больше о различиях между ними здесь.

Какие штрафы за несоблюдение?

Последствия несоблюдения GDPR серьезны, до 20 миллионов евро, или 4% от мирового годового оборота, в зависимости от того, какая сумма больше.

Сделает ли Brexit освобождением Великобритании от GDPR?

Нет. Даже после Brexit британские фирмы должны будут соблюдать GDPR.Дата выхода из ЕС позже даты вступления в силу GDPR в мае 2018 года. Таким образом, британские предприятия будут находиться под юрисдикцией ЕС и подпадать под действие GDPR. После Brexit британский бизнес по-прежнему должен будет соблюдать требования, если он будет собирать, хранить или обрабатывать персональные данные субъектов данных ЕС.

Остались вопросы?

Ознакомьтесь с нашим Руководством для прокрастинатора по GDPR, чтобы получить более подробную информацию о GDPR и его последствиях.

Подробное описание принципов GDPR

GDPR основан на семи принципах защиты данных, которые вместе гарантируют, что права человека имеют центральное значение для сбора и обработки персональных данных от субъектов данных ЕС.

Новые правила усиливают контроль пользователей над тем, как обрабатываются и хранятся личные данные, и предоставляют ключевые права и свободы, такие как право на согласие, право на получение информации, право на переносимость данных и право на удаление личных данных. данные (т.е. «право на забвение»)

Первым принципом Закона о защите данных GDPR является требование «справедливой, законной и прозрачной обработки данных.«Итак, что это означает?

Согласно этому правилу GDPR требует, чтобы контролер данных был способен предоставить субъекту данных (то есть пользователю) подробную информацию об обработке его или ее личных данных.

Чтобы соответствовать требованиям, эти данные должны быть представлены в легкодоступной форме, ясным, кратким и прозрачным языком. Другими словами, попрощайтесь со 100-страничным пользовательским соглашением.

Чтобы соответствовать требованиям ЕС по прозрачности, контролеры данных должны информировать людей:

1. До сбора каких-либо персональных данных
2. При любых изменениях в процессах сбора данных
3. И, наконец, субъект данных должен дать согласие на обработку данных.

Это согласие может иметь несколько форм, но оно должно быть дано по собственному желанию субъекта данных, и для обозначения согласия необходимо использовать положительные действия (например, установка флажка). Это означает, что подразумеваемое согласие является большим запретом в соответствии с GDPR.

Закон также гласит, что персональные данные, собранные и используемые для обработки, должны быть «адекватными, актуальными и ограничиваться тем, что необходимо для целей, для которых они обрабатываются», а период, в течение которого эти данные хранятся, должен быть строго установленным. минимум.«

Принцип второй: Мандаты GDPR Цель Ограничение собираемых данных

Согласно второму принципу защиты данных GDPR [статья 5, пункт 1 (b)], персональные данные субъектов данных ЕС должны «собираться для определенных, явных и законных целей и не обрабатываться в дальнейшем несовместимым образом. с этими целями ». Любая дальнейшая обработка этих данных не должна быть «несовместимой с первоначальными целями».

Проще говоря, это означает, что вам нужна законная законная цель для сбора и обработки пользовательских данных — больше не нужно собирать данные оптом только потому, что вы можете.Если вы собираете личные данные, не преследующие определенной цели, вы можете оказаться в нарушении.

Аналогичным образом, согласно GDPR, после того, как вы собрали и обработали данные для своих целей, вы не можете обрабатывать эти данные для несвязанных целей. Например, данные, собранные в исследовательских целях, нельзя обрабатывать и продавать в маркетинговых целях.

Согласно GDPR, персональные данные — это любые данные, которые сами по себе или в сочетании с другими данными, к которым владелец может получить доступ, могут быть использованы для идентификации личности.Это означает имя, номер телефона, IP-адрес, электронную почту … весь спектр.

В ходе недавнего скандала в Facebook, в результате которого Марк Цукерберг дал показания перед членами Конгресса США и Парламента ЕС, выяснилось, что британская политическая консалтинговая фирма Cambridge Analytica использовала данные, собранные в исследовательских целях, чтобы привлечь внимание миллионов американцев и граждан ЕС для политическая реклама во время избирательного цикла 2016 года. В соответствии с новыми ограничениями, введенными GDPR, Cambridge Analytica и Facebook будут подвергаться крупным штрафам до 4 процентов от годового оборота по всему миру.

В настоящее время в США нет такого закона об ограничении целей для книг.

Одним из наиболее важных способов, с помощью которых GDPR трансформирует сбор и обработку данных, является принцип минимизации данных в соответствии с разделом 5, пункт 1 (c). Согласно этому принципу, все собранные персональные данные должны быть «адекватными, актуальными и ограничиваться тем, что необходимо в отношении целей, для которых они обрабатываются.»

Это тесно связано с ограничением цели, но отличается тем, что требует ограничения того, какие данные хранятся, а также данные, которые собираются. По сути, чтобы соответствовать GDPR, вы должны реализовать процессы минимизации данных и правила на каждом этапе жизненного цикла данных — от сбора до обработки, хранения и использования. На каждом этапе процесса вы должны спрашивать себя: действительно ли нам нужны эти данные? Если ответ отрицательный, вы должны удалить Информация.Этот процесс должен быть задокументирован с помощью доказуемого контрольного журнала.

Кроме того, минимизация данных означает, что вам нужно подумать о том, как долго вы собираетесь хранить личные данные. Например, если вам нужны данные для проекта, который продлится семь недель, вы должны удалить эти данные, когда проект будет завершен, и данные больше не нужны. В настоящее время обычной практикой является хранение любых личных данных на случай, если они могут пригодиться в будущем. Будьте осторожны: это не будет соответствовать GDPR.

Чтобы соответствовать требованиям GDPR, при сборе данных задайте себе следующие вопросы:

• Как я буду использовать личные данные?
• Могу ли я достичь своей цели без сбора личных данных?
• Как долго мне нужно будет хранить личные данные для достижения моей цели?

Как MOVEit может помочь вам соответствовать второму и третьему принципам GDPR

Если ваша компания собирает, хранит, обрабатывает или передает персональные данные субъектов данных ЕС, к вам будут применяться Общие правила защиты данных (GDPR).Учитывая это, наилучшим способом является обеспечение безопасности систем, аутентификации пользователей и методов шифрования, используемых при передаче личных данных, и их соответствия GDPR. Узнайте больше о том, как MOVEit может помочь в управлении и защите передачи файлов в вашей сети.

Согласно четвертому принципу GDPR, любые собираемые или обрабатываемые персональные данные должны быть «точными и, при необходимости, обновляться.«Кроме того, GDPR требует, чтобы« все разумные меры были приняты для обеспечения того, чтобы персональные данные, которые являются неточными »в отношении целей, для которых они обрабатываются,« удалялись или исправлялись без промедления ». означает ли это? Проще говоря: вы не можете хранить ненужные данные, и вы обязаны следить за тем, чтобы данные были точными и актуальными. В противном случае вы должны их стереть.

Так скажем, например, вы работаете над политической кампанией, и вы используете данные последнего избирательного цикла.В соответствии с Четвертым принципом вы обязаны убедиться, что вы используете точные и актуальные данные, прежде чем рассылать их этим избирателям.

Это касается как права субъекта на исправление, так и его права на удаление — обоих ключевых положений GDPR. В соответствии с правом на исправление, люди имеют право на исправление неверной информации и заполнение неполной информации. В соответствии с правом на удаление они могут запросить удаление своих личных данных и ожидать, что вы сделаете это своевременно.

Помните еще в Принципе 3, как хранение личных данных на случай, если они могут быть полезны в будущем, не будет соответствовать GDPR? Что ж, авторам этого правила оно так понравилось, что они написали на его основе целый принцип защиты данных: принцип ограничения хранилища.

В соответствии с этим принципом личные данные не могут «храниться в форме, позволяющей идентифицировать субъектов данных, не дольше, чем это необходимо для целей, для которых обрабатываются личные данные.«Если личные данные должны храниться в течение более длительных периодов времени, должно быть доказано, что данные будут« обрабатываться исключительно для целей архивирования в общественных интересах, в целях научных или исторических исследований или статистических целей ».

По сути, это точно так же, как мы Как было сказано ранее, вы можете хранить личные данные только до тех пор, пока они вам понадобятся для задачи, для которой они были собраны. Срок полезного использования данных может быть намного дольше, но вы не можете хранить их и повторно использовать для других целей (или продам его кому-нибудь другому).Это предотвратит грязные скандалы, подобные скандалу в Facebook / Cambridge Analytica, и является фундаментальным правом согласно GDPR.

Чтобы соответствовать этому принципу, вам необходима действующая политика, которая устанавливает периоды хранения, и требования к документации для этой политики, которые позволят вам проводить аудит на соответствие. Вам также следует часто просматривать имеющиеся у вас данные и стирать их, когда они больше не нужны.

Шестой принцип GDPR является одним из самых важных, и не зря — все дело в безопасности.

Принцип шестой гласит, что данные должны «обрабатываться таким образом, который обеспечивает соответствующую безопасность личных данных, включая защиту от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения с использованием соответствующих технических или организационных мер».

Говоря простым языком: организации должны обращаться с информацией, позволяющей установить личность (PII), таким образом, чтобы не допустить кражи, уничтожения или случайной потери. Призыв к использованию «соответствующих технических или организационных мер» немного расплывчат, и вполне вероятно, что автор GDPR намеренно расплывчато указывал меры безопасности, поскольку эти технологии и передовые методы постоянно меняются.

Не будучи слишком конкретным, этот принцип, тем не менее, поощряет использование хорошо зарекомендовавших себя передовых методов обеспечения кибербезопасности — таких вещей, как шифрование данных при передаче и в состоянии покоя, использование 2FA и ведение журнала с контролем несанкционированного доступа для отслеживания доступа к данным.

Хотя Шестой Принцип — единственный, который явно фокусируется на безопасности, ни один обзор GDPR не будет полным без обсуждения того, что всех волнует: последствий.

Принцип 7 кратко гласит, что «контролер несет ответственность за [предыдущие принципы] и способен продемонстрировать их соблюдение».

Если вы не продемонстрируете соответствие шести предыдущим принципам, последствия могут быть ужасными: до 20 миллионов евро или 4% от мирового годового оборота, в зависимости от того, что больше.

И соответствие обязательно для любой организации, которая собирает, хранит или обрабатывает персональные данные субъектов данных ЕС.Неважно, где находится штаб-квартира вашей компании. Даже компании, которые не имеют физического присутствия в ЕС, должны соблюдать GDPR.

Но как выглядит соответствие? Как вы должны демонстрировать согласие? GDPR не описывает, как компании будут демонстрировать соответствие, потому что это будет сильно различаться в зависимости от типа вашего бизнеса, личных данных, которые вы обрабатываете, и размера вашей организации. Но можете поспорить, что к аудиту лучше быть готовым, независимо от размера.Рекомендуются типичные передовые практики, такие как регистрация инцидентов безопасности и доступ к PII, а также внутренний аудит.

Более того, может быть целесообразно получить оценку рисков нашего бизнеса, которая поможет вам выявить любые слабые места и оценить, нужно ли вам улучшать или внедрять определенные меры безопасности.

Создание плана действий GDPR

Как отмечалось выше, если ваша компания собирает, хранит, обрабатывает или передает личные данные субъектов данных ЕС, к вам будет применяться Общий регламент защиты данных (GDPR).Учитывая это, наилучшим способом является обеспечение безопасности систем, аутентификации пользователей и методов шифрования, используемых при передаче файлов, и их соответствия GDPR. Этот Обзор GDPR может дать вам фору, но следующим шагом должно стать обсуждение GDPR с вашей внутренней командой и вашими поставщиками, чтобы ваша компания была готова вести дела с субъектами данных из ЕС.

Узнайте больше о том, как MOVEit может помочь в управлении и защите передачи файлов в вашей сети, повышая как безопасность, так и подотчетность.

GDPR: что такое личные данные?

Персональные данные лежат в основе Общего регламента защиты данных (GDPR). Однако многие люди до сих пор не знают, что именно означает «личные данные».

Не существует окончательного списка того, что является, а что нет, персональными данными, поэтому все сводится к правильной интерпретации определения GDPR:

«[Л] личные данные» означает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»).

Другими словами, любая информация, явно относящаяся к конкретному человеку. Но насколько широко это применимо?

GDPR поясняет, что это применяется всякий раз, когда физическое лицо может быть идентифицировано, прямо или косвенно, «посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или один или несколько факторов, специфичных для физического физиологическая, генетическая, ментальная, экономическая, культурная или социальная идентичность этого физического лица.”

Очень много информации. В определенных обстоятельствах чьи-либо IP-адрес, цвет волос, работа или политические взгляды могут считаться личными данными.

Квалификатор «определенные обстоятельства» заслуживает особого внимания, потому что вопрос о том, считается ли информация личными данными, часто зависит от контекста, в котором она собирается.

Организации обычно собирают много разных типов информации о людях, и даже если одна часть данных никого не выделяет, она может стать актуальной наряду с другой информацией.

Например, контролер данных, который запрашивает информацию о людях, скачивающих продукты со своего веб-сайта, может попросить их указать свою профессию.

Это не относится к сфере персональных данных GDPR, потому что, по всей вероятности, должность не является уникальной для одного человека.

Аналогичным образом организация может спросить, в какой компании они работают, что, опять же, не может быть использовано для идентификации кого-либо, если только он не является единственным сотрудником.

Однако во многих случаях эти фрагменты информации могут использоваться вместе, чтобы сузить число физических, живых людей до такой степени, чтобы вы могли разумно установить чью-либо личность.

Другими словами, если вы ссылаетесь на кого-то с определенным названием должности в конкретной организации, может быть только один человек, который подходит под это описание.

Конечно, это не всегда так. Например, знание того, что кто-то работает бариста в Starbucks, мало что сужает.

В этих случаях эти две части информации вместе не будут считаться личными данными. Однако маловероятно, что эта информация будет храниться без определенного идентификатора, такого как имя человека или номер платежной ведомости.

Вы можете подумать, что чье-то имя — это самый ясный пример личных данных; это буквально то, что определяет вас как вы . Но не всегда все так просто, как поясняет Управление комиссара по информации Великобритании:

«Само по себе имя Джон Смит не всегда может быть личными данными, потому что есть много людей с таким именем.

«Однако, если имя сочетается с другой информацией (например, адресом, местом работы или номером телефона), этого обычно будет достаточно для точной идентификации одного человека.”

Однако ICO также отмечает, что имена не обязательно нужны для идентификации кого-либо:

«Тот факт, что вы не знаете имени человека, не означает, что вы не можете идентифицировать [их]. Многие из нас не знают имен всех своих соседей, но мы все еще можем их опознать ».

См. Также:

Как мы уже объясняли, сложно сказать, соответствует ли определенная информация определению личных данных GDPR.

Однако компания облачных услуг Boxcryptor предоставляет список вещей, которые могут считаться персональными данными, либо сами по себе, либо в сочетании с дополнительной информацией:

• Биографические данные или текущая жизненная ситуация , включая даты рождения, номера социального страхования, номера телефонов и адреса электронной почты.
• Внешний вид, внешний вид и поведение , включая цвет глаз, вес и черты характера.
• Данные о рабочем месте и информация об образовании , включая зарплату, налоговую информацию и количество студентов.
• Личные и субъективные данные , включая религию, политические взгляды и данные геотрекинга.
• Здоровье, болезни и генетика , включая историю болезни, генетические данные и информацию об отпуске по болезни.

Если вы не уверены, является ли хранимая вами информация личными данными, лучше проявить осторожность.

Это означает обеспечение того, чтобы обработка персональных данных ограничивалась необходимостью, и хранить данные только до тех пор, пока они соответствуют своей цели.

Вам также следует настоятельно рассмотреть возможность псевдонимизации и / или шифрования информации, особенно если это особая категория личных данных.

Псевдонимизация маскирует данные, заменяя идентифицирующую информацию искусственными идентификаторами.

Несмотря на то, что псевдонимизация играет ключевую роль в защите данных — она ​​упоминается в GDPR 15 раз — и может помочь защитить конфиденциальность и безопасность личных данных, она имеет свои ограничения, поэтому в GDPR также упоминается шифрование.

Шифрование также скрывает информацию, заменяя идентификаторы чем-то другим. Но в то время как псевдонимизация позволяет любому, у кого есть доступ к данным, просматривать часть набора данных, шифрование позволяет только утвержденным пользователям получить доступ ко всему набору данных.

Псевдонимизация и шифрование могут использоваться одновременно или по отдельности.

Тем, кто хочет постоянно получать советы по управлению собираемыми ими личными данными, следует проконсультироваться с DPO (сотрудником по защите данных).

DPO — это независимый эксперт, нанятый для ознакомления организаций с их требованиями соответствия GDPR. Они отвечают за многие задачи, в том числе:

• Информирование и консультирование организации и ее сотрудников об их обязанностях;
• Мониторинг политик и процедур защиты данных организации;
• Рекомендации руководству, когда необходимы DPIA (оценка воздействия на защиту данных); и
• Выступает в качестве связующего звена между организацией и ее надзорным органом.

GDPR гласит, что определенные организации должны назначать DPO, но даже если вы не соответствуете этим критериям, в любом случае может быть очень полезно назначить его.

Вы можете узнать больше о требованиях вашей организации к защите данных, пройдя индивидуальный онлайн-курс сертифицированного фонда GDPR

Этот однодневный курс проводится опытным экспертом по защите данных и дает всестороннее введение в Регламент и его правила.

Идеально подходит для менеджеров, которые хотят понять, как Регламент влияет на их организацию, и сотрудников, отвечающих за соблюдение GDPR, и доступен в различных формах, в том числе онлайн и для самостоятельного обучения.

Версия этого блога была первоначально опубликована 17 февраля 2018 года.

Политика обработки персональных данных

Информационный меморандум

1. Политика обработки персональных данных

Наша компания МОРАВИА ПРОПАГ, с.r.o. , Регистрационный номер компании Номер: 255 04 428, зарегистрированный офис в Брно, Karásek 7, почтовый индекс 62100, зарегистрированный в Областном суде в Брно под файлом C 78549, будет обрабатывать ваши личные данные во время своей деятельности. В этой политике изложены правила, которым мы будем следовать при обработке вашей личной информации, чтобы сохранить право на защиту ваших личных данных, вашу конфиденциальность и гарантировать, что ваши личные данные не будут использоваться неправомерно. Мы будем следовать этой политике в течение всего периода, в течение которого мы обрабатываем любую вашу личную информацию.

Правила обработки персональных данных, содержащиеся в этой политике, соответствуют обязательствам, возложенным на нас при обработке персональных данных Регламентом (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц с в отношении обработки персональных данных и свободного перемещения таких данных, а также отмены Директивы 95/46 / EC — Общие правила защиты данных (далее именуемые «GDPR»).

В рамках этой политики мы также информируем вас о фактах и ​​ваших правах, о которых вам необходимо знать в соответствии с GDPR и которые обеспечивают достаточную прозрачность при обработке ваших личных данных.

Эта политика устанавливает процедуры и принципы, на основе которых мы будем обрабатывать и обрабатывать ваши личные данные. Если что-то неясно или вы хотите спросить что-либо о своих личных данных, используйте контактную информацию, указанную в этой политике.

2. Сбор персональных данных

2.1. Причины сбора персональных данных

Мы будем собирать и обрабатывать ваши персональные данные только в том случае, если это необходимо для:

a) Выполнение контракта, который вы подписали или закрыли с нами.
б) предоставление услуги, которой вы хотите пользоваться.
в) Соблюдение требований закона.
г) Цели наших законных интересов, за исключением случаев, когда в этом случае предпочтение отдается вашим интересам или основным правам и свободам субъектов данных, которые требуют защиты личных данных.

2.2. Отправка на прямой маркетинг

Законным интересом может быть обработка ваших личных данных в целях прямого маркетинга — отправка деловых сообщений, если мы уже имеем с вами деловые отношения, и деловое сообщение будет иметь прямое отношение к товарам или услугам, которые мы вам уже предоставили. .Однако вы можете отказаться от подписки на такие маркетинговые сообщения в любое время, перейдя по ссылке в своем деловом сообщении или по контактному адресу электронной почты, указанному ниже.

2.3. Согласие

В других случаях мы можем собирать и обрабатывать ваши личные данные только с вашего явного и свободного согласия. Вы можете в любой момент отозвать свое согласие, используя контактную информацию, указанную в этой политике. Конкретные условия использования ваших личных данных после предоставления согласия всегда указываются в каждом индивидуальном согласии.

2.4. Получение персональных данных

Мы получаем ваши персональные данные не из общедоступных источников, а всегда от вас или от третьих лиц, которые сотрудничают с нами и получили от вас персональные данные в соответствии с законом и могут передать их нам. В обоих случаях мы будем следовать этой политике.

Мы либо прямо запросим вашу личную информацию, либо получим ее от вас, если вы зарегистрируетесь в наших службах, заключите с нами договор или воспользуетесь услугами.В качестве альтернативы вы можете предоставить нам свою личную информацию, например, заполнив формы на веб-сайте или связавшись с нами по телефону, электронной почте, в ходе обсуждения в Интернете или иным образом. Некоторые из них собираются автоматически с вашего согласия, например, с помощью файлов cookie, когда вы посещаете наш веб-сайт.

Мы всегда будем сообщать вам о конкретной причине обработки вашей личной информации. Эта информация указывается либо непосредственно в контракте, либо в условиях предоставляемой услуги, либо в этой политике.Кроме того, вы можете в любое время спросить нас о причинах обработки вашей личной информации, используя контактную информацию, указанную ниже.

3. Использование вашей личной информации

Мы используем вашу личную информацию в первую очередь для того, чтобы предоставлять вам наши услуги, выполнять заключенный контракт, соблюдать требования законодательства, уведомлять вас об изменениях в наших услугах, улучшать наши услуги, позволять нам заключать требуемый контракт или выполнять его, или выполнять правовые требования.Мы также можем использовать эту информацию с вашего согласия, чтобы информировать вас о других услугах и продуктах, предлагаемых нами или отдельными третьими сторонами, которые могут вас заинтересовать или которые вы могли бы использовать. Мы всегда будем информировать вас о дальнейшем использовании ваших личных данных.

4. Передача вашей личной информации другим лицам

4.1. Передача персональных данных

Мы не будем передавать вашу личную информацию кому-либо, кроме случаев, описанных в этой политике.

Ваши личные данные будут доступны сотрудникам нашей компании, которые будут отвечать за работу с этой личной информацией.Все сотрудники, которые будут иметь доступ к вашим личным данным, обязаны соблюдать секретность в письменной форме, поэтому ваши личные данные не могут быть нигде распространены. Эти сотрудники также тщательно отбираются и проходят соответствующее обучение, чтобы знать, как им следует обращаться с вашей личной информацией и как может происходить обработка ваших личных данных.

В случае необходимости мы передадим вашу личную информацию третьим лицам. Эти люди называются обработчиками. Наша компания несет ответственность за обеспечение того, чтобы эти обработчики предоставляли разумную уверенность в том, что ваши личные данные будут обработаны.Мы ответственно подходим к выбору всех процессоров. В то же время обработчики будут по контракту обязаны выполнять все свои обязанности, обеспечивая надлежащую защиту ваших личных данных и минимизируя риск злоупотреблений.

Кроме того, наша компания входит в консорциум с компанией MORAVIA INTEREST s.r.o., рег. №: 06378749, с местонахождением по адресу Zelný trh 293/10, Brno-mesto, 602 00 Brno, а также с компанией ORGANIC CARE s.r.o., Company Reg. №: 05853842, местонахождение: Zelný trh 293/10, Brno-mesto, 602 00 Brno.Эти компании работают в тесном сотрудничестве и разделяют некоторые административные и кадровые ресурсы. Таким образом, между нашей компанией и этими компаниями будет осуществляться неограниченная передача ваших личных данных, но обе компании предоставят вам достаточные гарантии защиты ваших личных данных.

4.2. Третьи лица, которым будут передаваться персональные данные — получатели персональных данных

Обработчики в основном включают наших бухгалтеров, юридических, налоговых, маркетинговых и других подобных консультантов, которым мы передаем вашу личную информацию, если это необходимо для использования их услуг — консультации.Кроме того, ИТ и хостинг-провайдеры. В случае, если мы отправляем вам товары или деловое сообщение, мы можем передать ваши личные данные сторонним обработчикам с целью отправки деловых сообщений или товаров, которые они предоставляют. В случае, если мы решим использовать субподрядчика для предоставления необходимой вам услуги, мы можем передать ваши личные данные субподрядчику в необходимом объеме.

В дополнение к вышесказанному, чтобы улучшить наши услуги или обеспечить их бесперебойную доставку, мы можем передавать вашу личную информацию тем, чьи онлайн-инструменты мы используем, — но только с целью обращения или улучшения качества наших услуг.Список этих лиц находится в таблице ниже.

Если вы согласны с этим, мы также можем предоставить определенную информацию выбранным третьим сторонам, чтобы информировать вас об услугах и продуктах, которые мы или отдельные третьи стороны предлагаем и которые могут вас заинтересовать.

Мы также можем передавать вашу личную информацию другим третьим лицам в целях предотвращения преступлений и снижения рисков, если это требуется по закону и когда мы считаем это целесообразным, в ответ на судебный процесс или для защиты прав или собственности нашей компании, наших партнеров. или ты.

4.3. Передача за пределы ЕС

Ваши личные данные не передаются в страны за пределами Европейского Союза или в международные организации, за исключением ситуаций, когда они передаются туда для лучшего резервного копирования и защиты данных и ситуаций в этих условиях.

5. Автоматическое индивидуальное принятие решений и профилирование

Наша компания не выполняет никаких автоматических процессов индивидуального принятия решений или профилирования, которые имели бы какие-либо юридические последствия для вас или иным образом оказали бы какое-либо существенное влияние на вас во время обработки вашей личной информации. Если это будет изменено, мы немедленно сообщим вам.

6. Время обработки персональных данных

Мы обрабатываем ваши персональные данные только в течение необходимого периода времени.Если ваша личная информация больше не нужна для обработки, мы немедленно удалим ее.

В случае, если мы обрабатываем ваши персональные данные с согласия, время обработки указано в этом согласии.

Если мы обрабатываем вашу личную информацию в соответствии с положениями закона, мы будем обрабатывать ее до тех пор, пока этого требует закон. В случае, если закон требует архивирования определенных данных, мы будем архивировать эти личные данные в суде в соответствии с законом в течение необходимого времени.

Если мы обрабатываем вашу личную информацию в результате соглашения или предоставления услуги, мы будем обрабатывать ваши личные данные во время выполнения настоящего соглашения или предоставления услуги и через 10 лет после прекращения действия контракта или предоставления услуги. службы. Однако в течение этого времени мы обрабатываем ваши персональные данные только с целью предотвращения любых судебных исков или проведения судебных разбирательств. Таким образом, 10-летний период соответствует максимальному сроку исковой давности, по истечении которого требования могут быть успешно удовлетворены в суде.В случае возникновения каких-либо судебных разбирательств или других разбирательств, в которых требуются ваши личные данные, мы будем обрабатывать их в течение всего срока этих разбирательств, включая любые подлежащие исполнению и другие последующие разбирательства.

7. Ваши права

7.1. Право на информацию

В любое время вы можете попросить нас отправить вам подтверждение того, что мы обрабатываем часть вашей личной информации, по контактным данным, указанным ниже, и если мы обрабатываем ваши личные данные, вы имеете право получить доступ к этой информации:

a) С какой целью мы обрабатываем ваши персональные данные и каковы их категории.
б) Кто являются получателями и обработчиками ваших личных данных.
c) Как долго ваши личные данные будут храниться, и если это время не может быть определено, то критерии использования для определения этого времени.
г) Какие персональные данные вы можете запросить на удаление или ограничение обработки и возразить против такой обработки.
д) О праве подать жалобу в надзорный орган.
е) Об источниках персональных данных, если они не были получены от вас.
g) происходит ли автоматическое принятие решений или профилирование.

Если вы попросите об этом, мы предоставим вам копии ваших обработанных личных данных. Если вам потребуются дополнительные копии, с вас может потребоваться оплатить понесенные расходы. Если вы запросите его в электронной форме, копии будут предоставлены в электронной форме, если вы не запросите его другим способом. Однако мы имеем право потребовать подтверждения вашей личности, чтобы убедиться, что эта информация о ваших личных данных не доходит до посторонних лиц.

Мы постараемся предоставить вам эту информацию как можно скорее, в зависимости от того, какой объем информации вам нужен. Однако не позднее, чем через 30 дней.

7.2. Право на исправление

Если вы обнаружите, что некоторая ваша личная информация является неточной, неточной или неполной, вы имеете право на исправление или дополнение вашей личной информации без неоправданной задержки после того, как вы сообщите нам об этом факте.

7.3. Право на забвение — право на удаление

Вы имеете право удалить свою личную информацию без неоправданной задержки, если:

a) Ваши личные данные больше не нужны для целей, для которых они были собраны.
б) Чтобы отозвать свое согласие.
c) Возразить против обработки.
г) Мы обработали ваши персональные данные незаконно.
д) Юридическое обязательство будет выполнено в соответствии с законом путем удаления.
е) Персональные данные были собраны в связи с предложением услуг информационного общества.

Однако мы не будем удалять вашу личную информацию по вышеуказанным причинам, если здесь указана одна из причин, предусмотренных в статье 17 (3) GDPR.

Если это технически возможно и осуществимо, и ваши личные данные были раскрыты или личные данные были переданы третьей стороне, мы также удалим эти личные данные.

7.4. Право на ограничение обработки

Вы имеете право ограничить обработку ваших персональных данных, если:

a) Вы сообщаете нам, что ваша личная информация неточна, до тех пор, пока точность наших личных данных не будет проверена.
б) Мы обрабатываем ваши личные данные незаконно, но вы просите нас ограничить использование вашей личной информации вместо ее удаления.
c) Нам больше не нужна ваша личная информация, но она нужна вам для выявления, исполнения или защиты судебных исков.
г) Вы возражали против обработки, пока не будет подтверждено ее обоснование.

Во время ограничения обработки ваши личные данные могут храниться и обрабатываться иным образом только с вашего согласия с целью определения, обеспечения соблюдения или защиты судебных исков или в общественных интересах.

7,5. Право на возражение

Вы имеете право возражать против обработки ваших личных данных, если мы обрабатываем их в целях прямого маркетинга.Возражение должно быть отправлено нам в письменной форме или по электронной почте. В случае, если вы возражаете против обработки для прямого маркетинга, мы больше не будем обрабатывать ваши личные данные в такой степени, если мы не докажем серьезных законных оснований для обработки, которые перевешивают ваши интересы или права и свободы, или для определения, исполнения или защиты юридических требований.

7.6. Право на переносимость данных

Если вы попросите нас об этом, мы передадим вашу личную информацию в структурированном удобном формате, чтобы передать ее другому администратору.Если это технически возможно, вы можете захотеть, чтобы мы передавали ваши личные данные непосредственно назначенному вами администратору.

7.7. Право на подачу жалобы

Вы можете в любое время подать жалобу в отношении обработки ваших личных данных или невыполнения наших обязательств в соответствии с GDPR в надзорный орган. Надзорным органом является Управление по защите персональных данных в Чешской Республике со штаб-квартирой по адресу: Pplk Sochora 27, 170 00 Прага 7, www.uoou.cz.

8. Реализованные мероприятия

Наша компания внедрила кадровые, организационные и технические меры для устранения различных рисков для ваших прав и свобод и для защиты ваших личных данных. Для этого мы обучили весь наш персонал, имеющий отношение к персональным данным. Кроме того, все личные данные в физической форме защищены от несанкционированного доступа. В отношении личных данных, хранящихся в электронной форме, мы соблюдаем стандарты безопасности, и они аналогичным образом защищены от несанкционированного доступа.В то же время мы разработали анализ рисков для предотвращения рисков и приняли соответствующие меры.

9. Лицо, занимающееся вопросами защиты персональных данных

Наша компания не обязана назначать сотрудника по защите персональных данных в соответствии с GDPR и не называет его. Тем не менее, он определил лицо, отвечающее за защиту персональных данных в нашей компании. Вы можете обращаться к этому человеку по любому вопросу, касающемуся ваших личных данных и использования ваших прав.Это руководитель отдела маркетинга Павел Херфек, электронная почта: [email protected].

10. Контактная информация

В случае возникновения каких-либо запросов, требований, комментариев или недоразумений вы можете связаться с нами по электронной почте [email protected] в письменной форме на наш служебный адрес.

11. Заключение

Эта политика была принята 24. 5. 2018. Наша компания может изменить эту политику, если она будет соответствовать закону и GDPR. Мы будем информировать вас о любых изменениях в этой политике на нашем веб-сайте.Ваши личные данные не передаются в страны за пределами Европейского Союза или в международные организации, за исключением ситуаций, когда они передаются туда для лучшего резервного копирования и защиты данных и ситуаций в этих условиях.

Этот веб-сайт (далее также именуемый «наш веб-сайт», «веб-сайт», «веб-сайт») находится в ведении компании MORAVIA PROPAG, s.r.o. , ID компании: 255 04 428, адрес: Брно, Karásek 7, почтовый индекс 62100, подано Областным судом в Брно, ссылка C 78549.Мы обязуемся защищать и уважать ваше право на неприкосновенность частной жизни. Принципы файлов cookie устанавливают основу, на которой мы используем файлы cookie на нашем веб-сайте.

Пожалуйста, внимательно прочтите следующие принципы, и если у вас есть какие-либо вопросы или вы не согласны с ними, пожалуйста, свяжитесь с нами по адресу [email protected], прежде чем использовать наш веб-сайт. Принципы могут быть изменены время от времени в соответствии с обновлением этого веб-сайта. Вам следует время от времени проверять сайт, чтобы быть уверенным, что вы согласны с изменениями.Принципы действуют с 1 января 2018 года.

При посещении веб-сайта MORAVIA PROPAG, s.r.o. вы автоматически получите один (или несколько) файлов cookie на свой компьютер; Файлы cookie используются в основном для повышения вашего комфорта и оптимального предоставления наших услуг.

— это небольшие текстовые файлы, содержащие незначительное количество информации (буквы и цифры), которые сохраняются на вашем устройстве при посещении веб-сайта.Они особенно полезны для того, чтобы веб-сайты могли распознавать веб-браузер или устройство, которое использует пользователь.

Файлы cookie на веб-сайте MORAVIA PROPAG, s.r.o. устанавливаются нами или третьими сторонами (субъектами, с которыми мы заключили договор). Мы используем односессионные и постоянные файлы.

Сеансовые куки-файлы окончательно удаляются после завершения сеанса. Напротив, постоянные файлы cookie хранятся на вашем компьютере до истечения срока их действия (максимум 2 года) или до тех пор, пока вы не удалите их с компьютера.Файлы позволяют нашей компании распознать ваш повторный визит.

Файлы cookie могут использоваться для множества различных целей. Они могут узнать вас при посещении веб-сайта MORAVIA PROPAG, s.r.o. и они настроят среду в соответствии с вашими настройками. Файлы cookie также повышают безопасность и скорость использования вами веб-сайта MORAVIA PROPAG, s.r.o. Файлы cookie также позволяют нам предлагать вам рекламу на веб-сайте MORAVIA PROPAG, s.r.o. и за их пределами, и они предоставят вам настраиваемые функции через плагины, такие как кнопка «Поделиться» для социальных сетей.

Вы можете частично или полностью отказаться от сохранения файлов cookie на вашем устройстве. Большинство браузеров позволяют устанавливать предпочтения для файлов cookie.

Если вы хотите отклонить или удалить все файлы cookie, вы можете сделать это в своем браузере.Однако отказ от файлов cookie отрицательно повлияет на использование нашего Интернета, а также всех других веб-сайтов. Для вашего удобства мы рекомендуем включить файлы cookie для посещений нашего веб-сайта и хранить их на вашем компьютере даже после вашего посещения.

Если вы хотите получить дополнительную информацию об используемых нами файлах cookie, свяжитесь с нами по электронной почте: [email protected].