Обработка персональных данных с 1 июля 2020: Обработка персональных данных в 2021 году

Kantar

ПОЛИТИКА

в отношении обработки персональных данных (в ред. от 1 июля 2020 г. № 2)

1.1. Настоящая Политика обработки персональных данных (далее — Политика) является документом, определяющим основные принципы и условия обработки Закрытым акционерным обществом «ТНС Маркетинговый Информационный Центр» (ОГРН 1027700465429, место нахождения: 115035, Москва, Пятницкая ул., д. 16, стр. 3) (далее — Организация) персональных данных лиц, не являющихся работниками Организации, обязанности Организации и права третьих лиц — субъектов персональных данных в связи с осуществлением Организацией обработки персональных данных, а также меры, принимаемые Организацией по обеспечению выполнения своих обязательств.
Согласно настоящей Политике Организация может осуществлять обработку персональных данных в качестве оператора персональных данных или третьего лица, привлечённого к обработке персональных данных по поручению другого оператора персональных данных.

1.2. Настоящая Политика разработана с учётом требований законодательных и иных нормативных правовых актов Российской Федерации в области обработки персональных данных, в частности, в соответствии с положениями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

1.3. Настоящая Политика устанавливает условия обработки персональных данных следующих субъектов персональных данных:

• респонденты — физические лица, согласившиеся принять участие в опросах / исследованиях, проводимых Организацией или её контрагентами;
• лица, являющиеся контрагентами или выгодоприобретателями по гражданскоправовым договорам, заключенным с Организацией;
• работники и иные представители контрагентов Организации;
• рекрутеры, интервьюеры и иные участники полевого обследования и лица, принимающие непосредственное участие в проведении опросов / исследований и не состоящие в трудовых отношениях с Организацией;
• пользователи сети Интернет, посетившие Интернет-сайт Организации https://kantartns. ru/ и иные информационные ресурсы Организации;
• кандидаты на замещение вакантных должностей в Организации;
• лица, посещающие помещения, занимаемые Организацией;
• иные лица, не состоящие в трудовых отношениях с Организацией.

1.4. Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передачи (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемые Организацией, как с использованием средств автоматизации, так и без их использования.

1.5. Термины, используемые в тексте настоящей Политики, подлежат применению и толкованию в значении, установленном Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

1.6. Цели обработки персональных данных.

1.6.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

1.6.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

1.6.3. В необходимых случаях Организация обрабатывает персональные данные в следующих целях:

• обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, международных договоров Российской Федерации и требований иных международно-правовых документов;
• осуществление своей деятельности в соответствии с Уставом Закрытого акционерного общества «ТНС Маркетинговый Информационный Центр»;
• рекрутирование респондентов — привлечение указанных лиц к участию в опросах / исследованиях, проводимых Организацией;
• проведение опросов / исследований, направленных на исследование конъюнктуры рынка и общественного мнения, с участием респондентов;
• контроль качества проведения опросов / исследований, направленных на исследование конъюнктуры рынка и общественного мнения;
• предотвращение множественной регистрации / множественного участия в опросах / исследованиях, проводимых Организацией, в нарушение условий участия в таких опросах / исследованиях;
• обеспечение передачи респондентам образцов тестируемой продукции в случаях, предусмотренных условиями проведения отдельных опросов / исследований;
• осуществление Организацией гражданско-правовых отношений, включая исполнение прав и обязанностей, предусмотренных гражданско-правовыми договорами, заключенными с Организацией;
• привлечение и отбор кандидатов на работу в Организации;
• заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчётности;
• ведение бухгалтерского учёта;
• осуществление пропускного режима;
• соблюдение прав и законных интересов субъектов персональных данных;
• защита прав и законных интересов Организации от незаконного поведения или поведения, не соответствующего законодательству Российской Федерации или настоящей Политике;
• обеспечение эффективного и корректного предоставления информации, содержащейся на сайте Организации или иных информационных ресурсах Организации, в зависимости от устройства, с помощью которого осуществляется доступ к такой информации;
• анализ данных о поисковых запросах и сетевого поведении пользователей сети Интернет.

1.7. Правовые основания обработки персональных данных.

1.7.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Организация осуществляет обработку персональных данных.

1.7.2. Правовыми основаниями обработки персональных данных также являются:

• Устав Закрытого акционерного общества «ТНС Маркетинговый Информационный Центр»;
• гражданско-правовые договоры, заключаемые между Организацией и третьими лицами;
• согласия субъектов персональных данных или их законных представителей на обработку персональных данных.

1.8. Объём и категории обрабатываемых персональных данных.

1.8.1. Объём и содержание персональных данных должны соответствовать заявленным целям их обработки, предусмотренным настоящей Политикой. Персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

1. 8.2. В зависимости от конкретных целей, заявленных в настоящей Политике, Организация может обрабатывать следующие категории персональных данных:

• фамилия, имя, отчество;
• дата рождения;
• место рождения;
• паспортные данные;
• пол;
• гражданство;
• адрес регистрации по месту жительства;
• адрес фактического места пребывания / проживания;
• контактный номер телефона;
• адрес электронной почты;
• сведения об образовании, опыте работы, квалификации;
• занимаемая должность;
• индивидуальный номер налогоплательщика;
• страховой номер индивидуального лицевого счёта;
• номер расчётного счёта и другие банковские реквизиты;
• иные персональные данные, сообщаемые субъектами персональных данных или другими лицами, которым эти данные были переданы субъектами персональных данных.

2. Принципы обработки персональных данных

2.1. Организация обрабатывает персональные данные с учётом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

• принципа законности целей и способов обработки персональных данных;
• принципа соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Организации как оператора персональных данных;
• принципа соответствия объема и характера обрабатываемых персональных данных, а также способов их обработки заявленным целям;
• принципа обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;
• принципа недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• принципа недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

2.2. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Организация обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации.

2.3. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

3. Условия обработки персональных данных

3.1. Обработка персональных данных осуществляется Организацией с неукоснительным соблюдением принципов и правил, установленных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

3.2. В большинстве случаев обработка персональных данных третьих лиц осуществляется Организацией в статистических или иных исследовательских целях с обязательным обезличиванием персональных данных.
Организация обрабатывает персональные данные после получения соответствующего согласия, выраженного в письменной или иной допустимой законом форме, если его получение является обязательным в соответствии с применимым законодательством.
В случаях, предусмотренных законодательством Российской Федерации, Организация может обрабатывать персональные данные без согласия субъектов персональных данных.
Источники получения персональных данных:

• получение персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
• общедоступные источники информации;
• контрагенты Организации и иные лица, предоставляющие Организации персональные данные с согласия субъектов персональных данных или их законных представителей;
• устройства, программное обеспечение, протоколы передачи данных и т.д., используемые при подключении к сети Интернет и работе с Интернет-сайтами, онлайн-сервисами и программным обеспечением, включая мобильные приложения.

3.3. Организация может включать персональные данные в общедоступные источники персональных данных с согласия субъекта персональных данных.

3.4. Особые данные. Организация может обрабатывать специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также биометрические персональные данные на основании их письменного согласия.
Организация обрабатывает биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) в соответствии с законодательством Российской Федерации.
Организация не обрабатывает специальные категории персональных данных касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.

3.5. Трансграничная передача персональных данных. В ходе обработки персональных данных Организация может осуществлять их трансграничную передачу на территорию иностранных государств. В случае возникновения необходимости в передаче персональных данных на территорию стран, не обеспечивающих адекватную защиту прав субъектов персональных данных, Организация запрашивает соответствующее согласие субъекта персональных данных в письменной форме. Субъект персональных данных вправе не давать такое согласие. Трансграничная передача персональных данных осуществляется на условиях обеспечения их защиты в ходе дальнейшей обработки на условиях, аналогичных изложенным в настоящей Политике и законодательстве Российской Федерации.

3.6. В случае отсутствия необходимости в получении согласия на обработку персональных данных в письменной форме оно может быть дано субъектом персональных данных или его законным представителем в любой форме, позволяющей подтвердить факт его получения Организацией.

3.7. Организация вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора. При этом Организация обязует лицо, осуществляющее обработку персональных данных по поручению Организации, соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации.

3.8. Передача персональных данных третьим лицам. Организация обязуется и обязует иные лица, получившие доступ к персональным данным, не раскрывать и не распространять персональные данные без согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.
Организация передаёт персональные данные органам государственной власти и местного самоуправления, а также их должностным лицам в соответствии с законодательством Российской Федерации.
Помимо этого, в необходимых случаях Организация может передавать персональные данные следующим категориям третьих лиц:

• заказчики опросов / исследований, проводимых Организацией;
• контрагенты Организации, включая рекрутеров, интервьюеров, участников полевого обследования и иных лиц, принимающих непосредственное участие в проведении опросов / исследований;
• третьи лица, привлекаемые к обработке персональных данных на основании поручению Организации;
• юридические лица, состоящие в группе компаний «KANTAR», в которую входит Организация (если передача персональных данных таким лицам обусловлена целями и иными условиями их обработки).

3.9. Обработка персональных данных несовершеннолетних лиц. Организация осуществляет обработку персональных данных несовершеннолетних лиц и лиц, признанных недееспособными, с согласия их законных представителей. Перед началом обработки персональных данных указанных лиц Организация может запросить копии документов, подтверждающих правовой статус их законных представителей. Организация не продаёт персональные данные несовершеннолетних лиц или лиц, признанных недееспособными. В рамках настоящей Политики несовершеннолетними признаются лица, не достигшие возраста 18 лет. В соответствии с законодательством Российской Федерации лицо может стать полностью дееспособным до достижения указанного возраста. В этом случае субъект персональных данных вправе самостоятельно дать согласие на обработку своих персональных данных.

4. Обязанности Организации

В соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Организация обязана:

4. 1. По письменному запросу субъекта персональных данных предоставить информацию, касающуюся обработки соответствующих персональных данных, либо на законных основаниях отказать в предоставлении такой информации в срок, не превышающий тридцати дней с момента получения соответствующего запроса.
Запрос субъекта персональных данных должен быть направлен в соответствии с применимым законодательством и настоящей Политикой.

4.2. По письменному требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять их, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, в срок, не превышающий тридцати дней с момента получения Организацией соответствующего требования.

4.3. Уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных. Исключение составляют следующие случаи:

• субъект персональных данных уведомлен об осуществлении обработки его персональных данных лицом, передавшим соответствующие данные Организации;
• персональные данные были получены Организацией на основании законодательства Российской Федерации или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
• персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
• Организация осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления научной или иной творческой деятельности, и при этом не нарушаются права и законные интересы субъекта персональных данных;
• предоставление субъекту персональных данных сведений, содержащихся в уведомлении об обработке персональных данных, нарушает права и законные интересы других лиц.

4.4. В случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Организацией и субъектом персональных данных.

4.5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Организацией и субъектом персональных данных.

4.6. Вести журнал учёта обращений субъектов персональных данных, в котором должны фиксироваться все обращения субъектов персональных данных, поступившие в Организацию в надлежащей форме, а также действия, предпринятые Организацией по результатам рассмотрения соответствующих обращений.

4.7. При обработке персональных данных Организация принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5. Права субъектов персональных данных

Субъект персональных данных имеет право на:

5.1. Получение сведений, касающихся обработки персональных данных данного лица и предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Соответствующая информация может быть предоставлена субъекту персональных данных на основании письменного запроса, направленного на бумажном носителе по адресу: 127018, Москва, ул. Двинцев, д. 12, корп. 1, или в виде сканированной копии запроса по адресу электронной почты: [email protected].
Запрос субъекта персональных данных должен соответствовать требованиям, установленным Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

5.2. Уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Соответствующее требование может быть заявлено субъектом персональных данных в письменной форме и должно быть направлено на бумажном носителе по адресу: 127018, Москва, ул. Двинцев, д. 12, корп. 1, или в виде сканированной копии требования по адресу электронной почты: [email protected].

5.3. Отзыв согласия на обработку персональных данных.
Субъект персональных данных вправе отозвать согласие на обработку персональных данных путём направления письменного отзыва, соответствующего требованиям статьи 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Отзыв должен быть подписан субъектом персональных данных или законным представителем субъекта персональных данных и направлен на бумажном носителе по адресу: 127018, Москва, ул. Двинцев, д. 12, корп. 1, или в виде сканированной копии отзыва по адресу электронной почты: [email protected].

5.4. Принятие мер по защите своих прав и законных интересов в соответствии с применимым законодательством.

5.5. Обжалование действий или бездействия Организации, нарушающих требования применимого законодательства, в том числе в уполномоченный орган или в суд.

5.6. Осуществление иных прав, предусмотренных законодательством Российской Федерации.

6. Конфиденциальность персональных данных

6.1. Персональные данные относятся к сведениям конфиденциального характера.

6.2. Организация обеспечивает конфиденциальность персональных данных и обязуется не допускать их раскрытие без согласия субъекта персональных данных или без наличия иного законного основания.

6.3. Работники Организации и её контрагенты, получающие доступ к персональным данным, предупреждаются о режиме конфиденциальности в отношении указанных сведений и обязуются соблюдать требования данного режима.

6.4. Меры конфиденциальности, принимаемые при обработке персональных данных, распространяются как на бумажные, так и на электронные носители информации.

6.5. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законодательством Российской Федерации.

7. Организационные и технические меры защиты персональных данных

Организационные и технические меры защиты персональных данных включают в себя следующее:

7.1. Принятие внутренних (локальных) нормативных актов и иных документов в области обработки и защиты персональных данных.

7.2. Получение согласий субъектов персональных данных на обработку персональных данных, за исключением случаев, предусмотренных применимым законодательством.

7.3. Обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности, путём их фиксации на отдельных материальных носителях персональных данных, в специальных разделах.

7.4. Хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих их сохранность и исключающих несанкционированный доступ к ним. Организация хранит персональные данные в течение период, в котором допустима их законная обработка. По истечении указанного времени персональные данные подлежат уничтожению либо обезличиванию, если иное не предусмотрено применимым законодательством, настоящей Политикой или условиями обработки персональных данных, применимыми к конкретной ситуации.

7.5. Осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике и иным внутренним (локальным) нормативным актам Организации.

7.6. Иные меры, предусмотренные применимым законодательством.

8. Прочие условия

8.1. Положения настоящей Политики обязательны для исполнения работниками Организации, в должностные обязанности которых входит обработка персональных данных и обеспечение их защиты.

8.2. Во исполнение требований части 2 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Организации.

8.3. Время от времени Организация проверяет содержание настоящей Политики на предмет соответствия применимому законодательству и в случае необходимости вносит изменения в условия настоящей Политики. При этом Организация фиксирует время проверки и корректировки условий настоящей Политики.

8.4. Настоящая Политика допускает возможность принятия решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее права и законные интересы данного лица, на основании исключительно автоматизированной обработки персональных данных только при наличии письменного согласия субъекта персональных данных или в случаях, предусмотренных федеральными законами. В необходимых случаях Организация обязуется разъяснить субъекту персональных данных порядок принятия таких решений и их возможные юридические последствия. Также Организация обязуется предоставить субъекту персональных данных возможность заявить возражение против такого решения и разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

8.5. Третьи лица, упомянутые в настоящей Политике, могут связаться с Организацией по вопросам, связанным с обработкой их персональных данных, в случаях, предусмотренных настоящей Политикой и применимым законодательством, по адресу: 127018, Москва, ул. Двинцев, д. 12, корп. 1, а также по электронной почте: [email protected].

8.6. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Организации. Сведения о данном лице содержатся в реестре операторов персональных данных на сайте Роскомнадзора.

PERSONAL DATA PROCESSING POLICY

(last updated 1 July 2020, version 2)

1. General provisions

1.1. The present Personal Data Processing Policy (hereinafter referred to as the «Policy«) is a document of the Closed Joint Stock Company «TNS Marketing Information Center» (primary state registration number 1027700465429, registered address: 16 Pyatnitskaya Str., Bldg. 3, Moscow, Russia, 115035) (hereinafter referred to as the «Company«), which defines the basic principles and conditions for processing the personal data of the persons who are not employees of the Company, the obligations of the Company and the rights of third parties — personal data subjects in connection with the Company’s personal data processing, as well as measures taken by the Company to ensure the fulfillment of its obligations.

According to this Policy the Company may process personal data of third parties as personal data operator or as a third party involved in the processing of personal data on behalf of another personal data operator.

1.2. The present Policy is developed taking into account the requirements of legislative and other regulatory legal acts of the Russian Federation in the field of personal data processing, in particular, in accordance with the provisions of the Federal Law dated 27 July 2006 No. 152-FZ «On Personal Data».

1.3. The present Policy establishes the conditions for processing personal data of the following personal data subjects:

• Respondents — individuals who agreed to participate in surveys / studies conducted by the Company or its counterparties;
• Persons who are counterparties or beneficiaries under civil law contracts concluded with the Company;
• Employees and other representatives of the Company’s counterparties;
• Recruiters, interviewers and other fieldwork participants and persons directly involved in conducting surveys / studies who are not in an employment relationship with the Company;
• Internet users who visited the Company’s website https://kantartns.ru/ and other information resources of the Organization;
• Candidates for vacancies in the Organization;
• Persons visiting premises occupied by the Company;
• Other persons who are not in labor relations with the Company.

1.4. The present Policy applies to all processes of collection, recording, systematization, accumulation, storage, refinement, extraction, using, transfer (distribution, provision, access), depersonalization, blocking, removal, destruction of personal data carried out by the Company using automation means and without using such means.

1.5. The terms used in the text of the Policy are subject to application and interpretation in the value established by the Federal Law dated 27 July 2006 No. 152-FZ «On Personal Data».

1.6. Purposes of personal data processing.

1.6.1. Personal data processing should be limited to the achievement of specific, predetermined and legitimate purposes. Personal data processing incompatible with the purposes of collecting personal data is not allowed.

1.6.2. Only personal data that meets the purposes of their processing are subject to processing.

1.6.3. In certain cases the Company processes personal data for the following purposes:

• Ensuring compliance with the Constitution of the Russian Federation, federal laws and other regulatory legal acts of the Russian Federation, international treaties of the Russian Federation and the requirements of other international legal documents;
• Implementation of its activities in accordance with the Charter of the Closed Joint-Stock Company «TNS Marketing Information Center»;
• Recruitment of respondents — involvement of these persons in the surveys / studies conducted by the Company;
• Conducting surveys / studies aimed at market research and public opinion polling services, with participation of the respondents;
• Quality control of conducting surveys / studies aimed at market research and public opinion polling services;
• Prevention of multiple registration / multiple participation in surveys / studies conducted by the Company, in violation of the conditions for participation in such surveys / studies;
• Ensuring transfer of samples of tested products to the respondents in cases provided for by the conditions of the relevant surveys / studies;
• Implementation by the Company of civil law relations, including the exercise of the rights and obligations provided for by civil law agreements concluded with the Company;
• Attraction and selection of candidates for work in the Company;
• Filling out and submitting required reporting forms to the executive authorities and other authorized organizations;
• Accounting;
• Access control;
• Observance of the rights and legitimate interests of personal data subjects;
• Protection of the rights and legitimate interests of the Company from unlawful conduct or conduct that does not comply with the legislation of the Russian Federation or this Policy;
• Ensure that content from the Company’s website or other information resources of the Company is presented effectively and correctly, according to the device users are accessing it on;
• Analyze statistical data about users browsing actions and their patterns.

1.7. Legal basis of personal data processing.

1.7.1. Legal basis for personal data processing is the totality of regulatory legal acts, pursuant to which and in accordance with which the Company processes personal data.

1.7.2. The legal grounds for personal data processing also include:

• Charter of Closed Joint-Stock Company «TNS Marketing Information Center»;
• Civil law contracts concluded between the Company and third parties;
• The consent of personal data subjects or their legal representatives to their personal data processing.

1.8. Volume and categories (types) of processed personal data.

1.8.1. The volume and content of personal data must comply with the stated purposes of their processing provided for in this Policy. Personal data should not be redundant in relation to the declared purposes of their processing.

1.8.2. Depending on the specific goals stated in this Policy, the Company may process the following categories (types) of personal data:

• Name, Surname, Patronymic;
• Date of Birth;
• Place of Birth;
• Passport data;
• Gender;
• Citizenship;
• Registered address;
• Address of residence;
• Contact phone number;
• E-mail address;
• Information about education, work experience, qualifications;
• Position held;
• Individual taxpayer number;
• Insurance number of an individual personal account;
• Account number and other bank details;
• Other personal data communicated by personal data subjects, their legal representatives or other persons to whom this data was transmitted by personal data subjects or their legal representatives.

2. Principles of personal data processing

2.1. The Company shall process personal data by taking into account the need to ensure protection of rights and freedoms of personal data subjects, including protection of the right to privacy, personal and family secrets, on the basis of the following principles:

• The principle of legality of purposes and methods of processing personal data;
• The principle of compliance of personal data processing objectives with the purposes predetermined and declared during the collection of personal data, as well as the authority of the Company as a personal data operator;
• The principle of conformity of the volume and nature of personal data processed, as well as the methods of their processing with the declared purposes;
• The principle of ensuring the accuracy of personal data, their sufficiency, and, if necessary, relevance to the purposes of personal data processing;
• The principle of inadmissibility of processing personal data redundant to the purposes declared in the collection of personal data;
• The principle of inadmissibility of combining databases containing personal data processed for purposes incompatible with each other.

2.2. When collecting personal data, including through the Internet information and telecommunication network, the Company shall ensure recording, systematization, accumulation, storage, refinement (updating, modification), extraction of personal data of the Russian citizens using databases located in the territory of the Russian Federation, except in cases provided by the legislation of the Russian Federation.

2.3. Personal data processed shall be destroyed or depersonalized upon achievement of the purposes of processing or in case of loss of the necessity to achieve these purposes, unless otherwise provided by the legislation of the Russian Federation.

3. Conditions for personal data processing

3.1. The Company shall process personal data with strict observance of the principles and rules established by the Federal Law dated 27 July 2006 No. 152-FZ «On Personal Data».

3.2. In most cases, the Company carries out third party personal data processing for statistical or other research purposes with mandatory depersonalization of personal data.
The Company processes personal data after obtaining the appropriate consent, expressed in writing or in another form permitted by law, if its receipt is mandatory in accordance with applicable law.
In cases stipulated by the legislation of the Russian Federation, the Company may process personal data without the consent of personal data subjects.

Sources of collecting personal data:

• Receiving personal data in oral and written form directly from personal data subjects;
• Publicly available information sources;
• Company’s counterparties and other persons providing the Company with personal data with the consent of the personal data subjects or their legal representatives;
• Devices, software, data transfer protocols, etc., used when connecting to the Internet and working with Internet sites, online services and software, including mobile applications.

3.3. The Company may include personal data in publicly available sources of personal data with the consent of personal data subjects.

3.4. Sensitive data. The Company may process special categories of personal data regarding racial or ethnic origin, political opinions, religious or philosophical beliefs, health or sexual life, as well as biometric personal data processing, and the Company undertakes to obtain written consent of the subject to process his personal data.
The Company processes biometric personal data (information concerning a person’s physiological and biological characteristics from which he/she may be identified) in accordance with the legislation of the Russian Federation.

The Company does not process special categories of personal data regarding racial or ethnic origin, political opinions, religious or philosophical beliefs, health or sexual life, with the exception of cases provided for by the legislation of the Russian Federation.

3.5. Data transfers. During personal data processing, the Company may carry out cross-border transfer of the personal data to the territory of foreign states. If it becomes necessary to transfer personal data to the territory of the countries that do not provide adequate protection for the rights of personal data subjects, the Organization shall request the written consent of the personal data subject. Personal data subject reserves the right to refuse such consent. Cross-border transfer of personal data is carried out on the basis of ensuring their security during further processing on conditions similar to those set forth in this Policy and the legislation of the Russian Federation.

3.6. If there is not obligatory to obtain consent to personal data processing in writing, it can be given by personal data subject or by legal representative of the personal data subject in any form, allowing to confirm the fact of its receipt by the Company.

3.7. The Company has the right to entrust the processing of personal data to another person with the consent of the personal data subject, unless otherwise provided by the legislation of the Russian Federation, based on the agreement concluded with the personal data processor. At the same time, the Company obliges the person (or legal entity) who processes personal data on behalf of the Company to comply with the principles and rules of personal data processing provided for by the legislation of the Russian Federation.

3.8. Personal data sharing with third parties. The Company undertakes and obliges other persons (or legal entities) who obtained the access to personal data not to disclose or distribute personal data without the consent of the personal data subject, unless otherwise provided by the legislation of the Russian Federation.
The Company transfers personal data to state authorities and local governments, as well as their officials in accordance with the legislation of the Russian Federation.
In addition, if necessary, the Company may transfer personal data to the following categories of third parties:

• Customers of surveys / studies conducted by the Company;
• Counterparties of the Company, including a recruiters, interviewers, fieldwork participants and other persons directly involved in conducting surveys / studies;
• Third parties involved in the processing of personal data on the basis of instructions from the Organization;
• Legal entities in the «KANTAR» group of companies, which includes the Company (if personal data transfer to such companies is determined by the goals and other conditions for their processing).

3.9. Children personal data processing. The Company processes the personal data of minors (children) and persons declared legally incompetent with the consent of their legal representatives. Before starting the processing of personal data of these persons, the Company may request copies of the documents confirming legal status of their legal representatives. The Company does not sell the personal data of minors (children) or persons declared legally incompetent. Under this Policy, minors (children) are persons under the age of 18 years. In accordance with the legislation of the Russian Federation, a person may become fully capable before reaching the specified age. In this case, such personal data subject has the right to independently consent to the processing of his or her personal data.

4. Obligations of the Company

In accordance with the requirements of the Federal Law dated 27 July 2006 No. 152-FZ «On Personal Data» the Company is obliged to:

4.1. Upon the written request of the personal data subject, provide information regarding processing of the relevant personal data, or legally refuse to provide such information within a period not exceeding thirty days from the receipt of the corresponding request.
The request of the personal data subject should be compliant with requirements of the applicable law and this Policy.

4.2. Upon the written request of the personal data subject, clarify the personal data being processed, block or delete, if such data is incomplete, obsolete, inaccurate, illegally obtained or not necessary for the stated purpose of processing, within thirty days from the date of receipt by the Company of the corresponding requirement.

4.3. Notify personal data subject about personal data processing if personal data was not received from the personal data subject. The exceptions are the following:

• The personal data subject is notified of the processing of the personal data by the person of legal entity who submitted relevant data to the Company;
• Personal data were obtained by the Company on the basis of the Russian legislation or in connection with the execution of an agreement to which the personal data subject is either a beneficiary or a guarantor;
• Personal data is made public by the personal data subject or obtained from a public source;
• The Company processes personal data for statistical or other research purposes, for scientific or other creative activities, and does not violate the rights and legitimate interests of the personal data subject;
• Providing to the personal data subject with the information contained in the notification of personal data processing violates the rights and legitimate interests of another persons.

4.4. If the purpose of processing personal data is achieved, immediately stop processing personal data and destroy the relevant personal data within thirty days from the date of achievement of the purpose of processing personal data, unless otherwise provided by the agreement to which the beneficiary or guarantor is a personal data subject, an another agreement between the Company and the personal data subject.

4.5. In case of revocation by the personal data subject of the consent to the processing of his personal data, stop processing personal data and destroy personal data within thirty days from the date of receipt of the said recall, unless otherwise provided by the agreement between the Company and the personal data subject.

4.6. Keep a log of complaints of personal data subjects, which shall record all communications of personal data subjects received to the Company in the proper form, as well as actions taken by the Company based on the results of consideration of relevant appeals.

4.7. When processing personal data, the Company shall take the necessary legal, organizational and technical measures to protect the personal data from unlawful or accidental access to them, destruction, modification, blocking, copying, provision, distribution of personal data, as well as from other unlawful actions in relation to personal data.

5. Rights of personal data subjects

Personal data subject has the right to:

5.1. Obtain the information regarding processing of the personal data of such person and envisioned by the Federal Law dated 27 July 2006 No. 152-FZ «On Personal Data».
The relevant information may be provided to the personal data subject based on the written request sent in hard copy to the address: 12 Dvintsev Str., Bldg. 1, Moscow, Russia, 127018, or as a scanned copy of the request at the e-mail address: [email protected].
The request of the personal data subject must comply with the requirements established by the Federal Law dated 27 July 2006 No. 152-FZ «On Personal Data».

5.2. Clarification of personal data, its blocking or destruction in case personal data is incomplete, outdated, inaccurate, illegally obtained or is not necessary for the stated purpose of processing.
The relevant request may be declared by the personal data subject in writing and sent in hard copy to the address: 12 Dvintsev Str., Bldg. 1, Moscow, Russia, 127018, or as a scanned copy of the request at the e-mail address: [email protected].

5.3. Withdrawal of consent to personal data processing.
Personal data subject may withdraw consent to personal data processing by sending a written recall that complies with requirements of article 14 of the Federal Law dated 27 July 2006 No. 152-FZ «On Personal Data».

Withdrawal of consent should be signed by the personal data subject or by the legal representative of the personal data subject, sent in hard copy to the address: 12 Dvintsev Str., Bldg. 1, Moscow, Russia, 127018, or as a scanned copy of the withdrawal at the e-mail address: [email protected].

5.4. Adoption of measures envisaged by the applicable law to protect the rights and legal interests of the personal data subject.

5.5. Appeal of the actions or omissions of the Company that violate the requirements of the applicable law, including to the authorized body or to the court.

5.6. Exercise of other rights stipulated by the legislation of the Russian Federation.

6. Personal data privacy

6.1. Personal data relates to confidential information.

6.2. The Company shall ensure the confidentiality of personal data and undertakes to prevent disclosure of such data without consent of the personal data subject or another legal basis.

6.3. Employees of the Company and its counterparties gaining access to personal data are warned about the confidentiality regime in relation to the indicated data and undertake to comply with the requirements of this regime.

6.4. Confidentiality measures taken in the processing of personal data apply to both paper and electronic media.

6.5. The confidentiality mode of personal data is removed in cases of depersonalization or inclusion of them in publicly available sources of personal data, unless otherwise specified by the legislation of the Russian Federation.

7. Organizational and technical measures to secure personal data

Organizational and technical measures to protect personal data include the following:

7.1. Adoption of internal (local) regulations and other documents in the field of personal data processing and protection.

7.2. Obtaining consents of personal data subjects for personal data processing, except for cases stipulated by the applicable law.

7.3. Separation of personal data processed without the use of automation means from other information, in particular, by their fixation on individual material personal data carriers, in special sections.

7.4. Storage of material carriers of personal data with observance of conditions ensuring their safety and excluding unauthorized access to them. The Company stores personal data during the period when such data could be legitimate processed. After the specified time, personal data should be deleted or depersonalized, unless otherwise provided by applicable law, this Policy or conditions for processing personal data applicable to a particular situation.

7.5. Implementation of internal control of compliance of processing of personal data to the Federal Law dated 27 July 2006 No. 152-FZ «On Personal Data» and to the regulations adopted according to it, requirements to protection of personal data, the present Policy and other internal (local) regulations of the Company.

7.6. Other measures provided by the applicable law.

8. Other conditions

8.1. The provisions of this Policy are binding on employees of the Company whose job responsibilities include processing personal data and ensuring security of such data.

8.2. Pursuant to the requirements of Part 2 of Article 18.1 of the Federal Law dated 27 July 2006 No. 152-FZ «On Personal Data», this Policy is published in the public domain on the Company’s website.

8.3. The Company checks the contents of this Policy for compliance with applicable law and, if necessary, makes changes to the terms of this Policy from time to time. The Company record when the present Policy was checked and changed last time.

8.4. The present Policy allows to make decisions which give rise to legal consequences for a personal data subject or otherwise affects rights and legitimate interests of the person may be taken solely on the basis of the automated processing of the personal data if the personal data subject has given written consent or in instances envisaged by federal laws. If necessary, the Company undertakes to make clear to a personal data subject the procedure whereby such a decision and its possible legal con-sequences. In addition, the Company undertakes to allow a personal data subject the opportunity to present an objection against such a decision, and to explain the means by which the personal data subject may protect his or her rights and legitimate interests.

8.5. Third parties mentioned in this Policy may contact the Company on issues related to the processing of their personal data, in cases provided for by this Policy and applicable law, at the following address: 12 Dvintsev Str., Bldg. 1, Moscow, Russia, 127018, as well as by e-mail: [email protected].

8.6. The Company has an authorized person who is responsible for personal data processing and controls over duly implementation of the requirements of this Policy. Information about this person is contained in the register of personal data operators on the website of Roskomnadzor.

Первая пятилетка для ИИ | ComNews

Федеральный закон от 24.04.2020 №123-ФЗ опубликован на официальном интернет-портале правовой информации. Он называется «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных».

Законом вводится экспериментальный правовой режим в Москве с 1 июля 2020 г. сроком на пять лет. Он определяет цели, задачи и принципы установления такого режима. ФЗ вводит понятия искусственного интеллекта и технологии искусственного интеллекта.

Закон наделяет мэрию Москвы полномочиями определять в городе условия, требования и порядок разработки создания, внедрения и реализации отдельных технологий искусственного интеллекта, случаи и порядок использования результатов применения искусственного интеллекта, порядок и условия обработки участниками правового режима обезличенных персональных данных.

В разработке правовых актов должен участвовать координационный совет специального правового режима, в который по предложению правительства РФ включаются представители органов исполнительной власти. Участником экспериментального правового режима может стать юридическое лицо или индивидуальный предприниматель, внесенные в специальный реестр по заявке в определенный мэрией Москвы уполномоченный орган.

В законе сказано, что все персональные данные, задействованные в проекте, не могут быть переданы лицам, не имеющим отношения к эксперименту.

Дмитрий Тер-Степанов, заместитель генерального директора, директора по направлению «Нормативное регулирование » организации «Цифровая экономика» считает, что любые нормативные инициативы, направленные на развитие технологий, нуждаются во всесторонней поддержке. Он сказал корреспонденту ComNews, что создание специальных правовых режимов — «песочниц» — это самый действенный способ протестировать «правовую рамку» во «вручную» управляемом эксперименте.

«Важно проводить апробацию новых решений и понимать, как их нужно регулировать и нужно ли. Проблема в том, что ограничения для развития технологий содержатся в основном не в тех актах, которые можно изменить на уровне региона, даже такого крупного, как Москва, а в федеральных законах. На площадке рабочей группы «Нормативное регулирование» организации «Цифровая экономика» разработан и внесен в Госдуму законопроект о «регуляторных песочницах» не только в части искусственного интеллекта, но и иных цифровых технологий. Этим законом правительству будет предоставлено право создавать «песочницы» даже тогда, когда для инновационной деятельности присутствуют законодательные ограничения», — рассказал Дмитрий Тер-Степанов. Он уточнил, что его рассмотрение Госдумой запланировано на май 2020 г.

В Сбербанке считают, что экспериментальные правовые режимы и сам законопроект важны, а инициатива — своевременная и актуальная. Представитель пресс-службы Сбербанка отметил, что она поможет развитию технологий ИИ, но на данной стадии важно прописать реализацию всех этапов. «Последующее принятие закона будет зависеть от этой детальной работы. Важно правильно подойти к написанию актов в правительстве Москвы, и Сбербанк планирует принять в этом самое активное участие», — сказал представитель пресс-службы Сбербанка.

Эксперт компании Huawei в России по интеллектуальным системам Никита Солодун отметил, что одним из главных положений нового закона является введение формулировки ИИ в легальную сферу: теперь можно оперировать точным термином из законодательного акта.

«Если говорить о развитии ИИ, то Москва, являясь одним из мировых технологических центров разработки таких технологий, отлично подходит для развития и апробации инноваций. Среди них беспилотный транспорт, системы безопасности, а также переход традиционных методов управления на цифровые технологии. Теперь важно от законодательной инициативы перейти к реализации реальных проектов», — считает Никита Солодун.

Заместитель руководителя департамента бизнес-консалтинга Softline Максим Мельситов сказал, что Москва становится пилотным регионом для внедрения не только новых информационных технологий, но и регуляторных механизмов и правоприменительных практик.

«Это важно, что новое законодательство в области регулирования ИИ будет принято и апробировано в одном из крупнейших мегаполисов с очень развитой ИТ-инфраструктурой. Наверняка после этого лучшие практики будут транслированы и в другие регионы РФ. Важно, что сейчас можно открыто и легитимно экспериментировать с разными сценариями применения ИИ. Не только определять наиболее эффективные сценарии, но и оценивать их, не только с точки зрения эффективности, но и с этической точки зрения. Я могу предположить, что, вслед за установлением правового режима для развития искусственного интеллекта, возрастет количество различных пилотных реализаций использования ИИ. Это не ограничение, не «зарегулирование», а наоборот, возможность протестировать и выбрать наиболее эффективные способы решения задач, которые стоят перед мегаполисом. У игроков сегодня есть все возможности для активного развития. Развитие технологий ИИ критически важно и во многом определит конкурентоспособность государств, городов и целых отраслей в будущем. ИИ позволяет решать большое количество задач. Законодательное регулирование, возможно, и идет следом за внедрением ИИ, но именно так и происходит развитие технологий. Законодательство, не тормозя развитие технологий, создает благодатную почву для их развития», — прокомментировал Максим Мельситов.

На его взгляд, и драйверов, и барьеров для развития ИИ достаточно много, но они в большей степени сосредоточены не в технологиях, а в умах. «Помимо этого, само «обучение» ИИ занимает определенное время. Ведь эффективность ИИ тем выше, чем больше примеров он обрабатывает и изучает. В то же время принятие сложных управленческих решений пока еще не доверяют ИИ. На мой взгляд, сам закон серьезного воздействия на отрасль не окажет, тем не менее это определенный знак для тех, кто занимается развитием ИИ», — добавил Максим Мельситов.

Генеральный директор компании CleverDATA (входит в группу «ЛАНИТ») Денис Афанасьев считает инициативу по формированию регуляторной песочницы на базе Москвы интересной и важной для рынка, так как она позволит пилотировать те кейсы использования технологий ИИ, которые пока не четко отрегулированы существующим законодательством, — автономный транспорт, оборот и использование данных, постановку диагнозов и т.д.

Юристы говорят, что регулятор создал правовое поле, на основе которого будет выстраиваться множество законных и подзаконных актов.

Владелец «Катков и партнеры» (технология KIP MONITOR), член совета ТПП РФ по ИС Павел Катков уверен, что данный закон — глобальное событие для правовой системы РФ.

«Технологии с использованием искусственного интеллекта, о которых писали фантасты прошлого века, сегодня стали реальностью, а с появлением антивирусной изоляции в связи с COVID-19 их влияние ещё более возросло. Отрадно видеть, что власть не «плетётся в хвосте», догоняя технологии, как было, например, с антипиратским законом №187-ФЗ и последовавшими за ним многочисленными антипиратскими пакетами, а играет на опережение, создавая правовое поле, на котором будет вестись большая технологическая игра. Законом вводится экспериментальный режим в городе федерального значения Москве, и это разумно: столица наиболее технологична и в то же время густонаселенная, что повышает её потребности в дистанционных технологиях в антивирусное время. Прорывными новациями закона можно назвать введение понятий искусственного интеллекта и технологии искусственного интеллекта (ст.2 федерального закона) — из них в дальнейшем будет вытекать очень многое, точность дефиниций будет влиять на правоприменение. Оценивать юридическую технику, а также то, плох закон или хорош, ещё рано — нужно начать смотреть, как он будет работать. Пока же я готовлю обширные комментарии к его ключевым положениям», — рассказал Павел Катков корреспонденту ComNews.

Управляющий партнер юридической фирмы Axis Pravo Алексей Сулин отметил, что разработчики документа не забыли выделить, что отличает искусственный интеллект от любого другого программного продукта, а именно — способность машины генерировать решения без заранее заданного алгоритма.

«Значение правильной дефиниции при регулировании того или иного явления нельзя переоценить, так как это фундамент, на котором затем возводится здание, состоящее из множества законов и подзаконных актов. В этом смысле авторы, закрепив приемлемое определение искусственного интеллекта на уровне закона, задали правильный вектор дальнейшему развитию законодательства в этой сфере», — говорит Алексей Сулин.

Аналитик ИК «Фридом Финанс» Евгений Миронюк считает наиболее важными нововведениями повышение безопасности и возможности использования больших массивов данных, например для постановки диагнозов.

«К наиболее спорным моментам относятся возможности сохранять конфиденциальность персональных данных. В законе указано, что все персональные данные, задействованные в проекте, не могут быть переданы лицам, не имеющим отношения к эксперименту. Но при этом они будут находиться в распоряжении мэрии, а также предпринимателей и юрлиц, зарегистрированных в Москве, внесенных в специальный реестр. Избежать утечек в этой ситуации будет сложно. И хотя за такие утечки предусмотрена ответственность, в ряде случае невозможно установить источник. Уже сейчас власти Москвы будут следить за передвижением больных ОРВИ с помощью геолокации, о чем было объявлено 21 апреля. Это значит, что данные, передаваемые от мобильных операторов властям, стали персонифицированными. Экспериментальный правовой режим предполагает работу цифровых песочниц, где можно развивать технологии, которые пока не регулируются действующим законодательством. Это может иметь правовые последствия для использования ограниченным кругом лиц части персональных данных жителей Москвы, которые стали участниками «эксперимента», о котором говорится в опубликованном законе. Игрокам рынка новый закон дает возможность развивать технологии безопасности, например «Лаборатории Касперского». Также «Яндексу» это поможет развить, к примеру, такой сервис, как беспилотные автомобили. Интерес может быть проявлен со стороны высокотехнологичных компаний, которые базируются в Сколково. Телекоммуникационные операторы смогут ускорить внедрение инновационных решений. Представители e-commerce наверняка проявят интерес к возможностям, которые предоставляет доступ к массивам данных и искусственному интеллекту. Очевидны плюсы для реализации технологии умного города. От возможности наладить эффективную логистику до выявления потребностей горожан в сфере инфраструктуры», — прокомментировал Евгений Миронюк.

1 июля 2020 года голосование по правкам к Конституции РФ (Указ от 01.06.2020 № 354)

Политика ООО «Ярус» в отношении обработки персональных данных

ООО «Ярус»

Юридический и фактический адрес:

Фактический адрес: 115280 г. Москва, ул. Ленинская Слобода, д. 19, стр.4

Юридический адрес: 117292, г. Москва, Нахимовский просп., д. 52/27, помещение Б

1. Общие положения

1.1. Настоящий документ (далее — Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональ ных данных в ООО «Ярус» (далее — Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

1.2. Политика разработана в соответствии и на основании Конституции Российской Федерации, Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», Федерального закона от 22.05.2003 N 54-ФЗ «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и(или) расчетов с использованием электронных средств платежа», а также иных нормативных правовых актов Российской Федерации, локальных актов ООО «Ярус».

1.3. Политика неукоснительно исполняется руководителями и работниками всех структурных подразделений и филиалов ООО «Ярус».

1.4. Действие Политики распространяется на все персональные данные субъектов, получаемые и обрабатываемые ООО «Ярус» с применением средств автоматизации и без применения таких средств.

2. Определения

2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данным, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) можно отнести: сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блок ирование, удаление, уничтожение персональных данных.

2.3. Субъект персональных данных — любое лицо, персональные данные которого обрабатываются оператором персональных данных.

2.4. Оператор персональных данных — ООО «Ярус».

3. Обработка персональных данных

3.1. О бработка персональных данных осуществляется с учетом следующих требований:

— обработке подлежат только персональные данные, которые отвечают целям их обработки;

— содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;

— обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

— при обработке персональных данных должны быть обеспечены точность и достаточность сведений по отношению к целям обработки персональных данных.

3.2. Содержание и объем обрабатываемых персональных данных определяются исходя из уставных целей деятельности Оператора, на основании и во исполнение требований законодательства РФ, в т. ч. Федерального закона от 22.05.2003 N 54-ФЗ «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и(или) расчетов с использованием электронных средств платежа».

3.3. К основным категориям субъектов персональных данных, чьи данные обрабатываются и/или могут обрабатываться Оператором в соответствии с целями их получения, относятся физические лица:

• лица, состоящие и состоявшие в трудовых и гражданско-правовых отношениях с Оператором и/или контрагентами Оператора;
• кандидаты на замещение вакантных должностей;
• лица, имеющие граж данско-правовой характер договорных отношений с Оператором, или находящиеся на этапе преддоговорных или выполненных отношений подобного характера;
• лица, сообщившие свои персональные данные в процессе взаимодействия с Оператором, в том числе путем подключения к сервисам Оператора и/или подписания юридических документов с Оператором.

3.4. Для указанных категорий субъектов могут обрабатываться сведения, в том числе запрашиваемые на сервисах Оператора, включая, но не ограничиваясь: фамилия, имя, отчество; год, месяц, дата рождения; место рождения, адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; ИНН, СНИЛС, контактная информация (телефон, адрес, адрес электронной почты и т. п.), а также иные сведения, необх одимые для целей обработки.

3.5. Оператор вправе обрабатывать персональные данные субъектов, в том числе следующими способами:

сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распр остранение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3.6. Оператор осуществляет обработку персональных данных с использованием средств автоматизации и без использования средств автоматизации.

3.7. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки.

4. Меры по обеспечению безопасности персональных данных

4.1. Оператор принимает технические и организационные меры обеспечения безопасности с целью защиты персональных данных от случайного или незаконного уничтожения, потери или изменения, а также от несанкционированного разглашения или доступа к персональным данным.

4.2. Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно — технические меры:

• назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
• ограничение состава лиц, имеющих доступ к персональным данным;
• организация учета, хранения и обращения носителей информации;
• проверка готовности и эффективности использования средств защиты информации;
• разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
• регистрация и учет действий пользователей информационных систем персональных данных;
• использование средств защиты и средств восстановления системы защиты персональных данных;
• организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных.

5. Права субъектов персональных данных

5.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством РФ.

5.2. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий письменный запрос Оператору.

5.3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных да нных, в том числе содержащей:

• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора , если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

5.4. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.5. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований законодательства РФ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган или в судебном порядке.

6. Доступ к Политике

6.1. Действующая редакция Политики на бумажном носителе хранится по месту нахождени я исполнительного органа Оператора по адресу: 115280 г. Москва, ул. Ленинская Слобода, д.19, стр.4

6.2. Электронная версия действующей редакции Политики общедоступна на сайте Оператора в сети Интернет: здесь

7. Актуализация и утверждение Политики

7.1. Политика утверждается и вводится в действие руководителем ООО «Ярус».

7.2 Оператор имеет право вносить изменения в настоящую Политику.

8. Ответственность

8.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность, предусмотренную законодательством РФ, локальными актами Оператора и договорами, регламентирующими правоотношения Оператора с субъектом персональных данных и/или третьими лицами.

9. Заключительные положения

9.1. Оператор вправе вносить изменения и дополнения в настоящую Политику в отношении обработки персональных данных в любое время без предварительного уведомления Пользователей.

При этом субъект персональных данных обязан самостоятельно отслеживать изменения и дополнения в настоящую Политику. В случае несогласия с условиями настоящей Политики и/или отдельных ее положений, а также изменений и дополнений к ней, Оператор просит воздержаться от посещения и использования сервисов Оператора и не предоставлять свои персональные данные. В противном случае Оператор вправе обрабатывать персональные данные в соответствии с Политикой и не несет какой-либо ответственности в связи с этим.

В России ограничена обработка общедоступных данных – что делать бизнесу?

1 марта 2021 года вступают в силу поправки в Федеральный закон «О персональных данных», ограничивающие возможности компаний по работе с общедоступными персональными данными как в интернете, так и офлайн. Мы составили краткую инструкцию по подготовке к нововведениям.

Кого касаются поправки?

Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»» (далее – «Поправки») существенно повлияет на деятельность организации, если она обрабатывает находящиеся в открытом доступе персональные данные или, наоборот, публикует их. К типичным случаям, среди прочего, относятся:

• публикация сведений о работниках (биографии, фото, контактные данные и т.п.) на корпоративном интернет-сайте;
• поиск соискателей для замещения вакансий на сайтах по трудоустройству или через рекрутинговые агентства;
• размещение сведений о работниках на информационных стендах, досках почета, служебных бейджах, в маркетинговых буклетах и аналогичных материалах;
• поиск контактных лиц для установления деловых отношений через интернет;
• все виды маркетинга и бизнес-аналитики, предполагающие анализ профилей потенциальных клиентов в социальных сетях; или
• администрирование сайтов, где пользователи публикуют информацию о себе (к примеру, делятся данными с фитнес-трекеров, размещают комментарии или объявления).

Что меняется?

Порядок опубликования персональных данных. Компания (оператор персональных данных), желающая разместить данные в общем доступе для неограниченного круга лиц (в интернете, на стенде, бейджах, в печатных материалах и т.п.), будет обязана получить у гражданина, к которому относятся данные (субъекта персональных данных), довольно детальное согласие в соответствии с новой ст.10.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – «Закон»). Требования к содержанию согласия должны быть установлены Роскомнадзором (проект приказа опубликован, но еще не утвержден). Согласие может быть дано непосредственно оператору. С 1 июля 2021 года согласие также возможно будет предоставить с использованием новой информационной системы Роскомнадзора, которая пока не запущена.

Условия и ограничения для обработки опубликованных данных. В настоящее время все желающие вправе обрабатывать общедоступные данные без согласия субъекта персональных данных на основании пп.10 ч.1 ст.6 Закона. На этом правиле основана работа рекрутеров, маркетологов и других специалистов и сервисов, свободно скачивающих из интернета и использующих в работе резюме, профили из социальных сетей и другие аналогичные сведения. Согласно Поправкам, такая практика будет запрещена, упомянутый пп.10 ч.1 ст.6 Закона утратит силу, а понятие «персональные данные, сделанные общедоступными субъектом персональных данных» исчезнет из юридического лексикона. Вместо него в законодательство вводится новый термин «персональные данные, разрешенные субъектом персональных данных для распространения». Это означает, что у всей общедоступной информации появляются «хозяева». В силу новой ч.9 ст.10.1 Закона в согласиях субъектов персональных данных, которые они будут давать при размещении данных в общем доступе, могут быть отражены:

• ограничения, касающиеся распространения информации;
• условия и ограничения, обязательные для всех, кто захочет в дальнейшем использовать данные.

Указанные условия, ограничения и запреты на обработку должны быть опубликованы оператором, предоставляющим доступ к персональным данным для неограниченного круга лиц. Если же субъект персональных данных самостоятельно «выложил» их в свободный доступ и не снабдил их текстом согласия, то на всех, кто будет использовать его данные, возлагается бремя доказывания «законности последующего распространения или иной обработки таких персональных данных».

Прекращение распространения персональных данных. Распространение данных должно быть прекращено, как только закончится срок действия согласия. Кроме того, субъект персональных данных вправе в любой момент обратиться к любому оператору, обрабатывающему его персональные данные с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных (новая ч.14 ст.10.1 Закона). Требование должно быть выполнено в течение 3 рабочих дней.

Уведомление в Роскомнадзор. Согласно Поправкам, оператор вправе обрабатывать персональные данные, разрешенные субъектом персональных данных для распространения, без направления уведомления в Роскомнадзор (новая редакция пп.4 ч.2 ст.22 Закона). Если оператор ранее уже подавал уведомление и упоминал в нем об обработке общедоступных данных, то ему все равно придется подать в Роскомнадзор информационное письмо о внесении изменений в сведения в Реестре операторов, исключив устаревшие пункты, в течение 10 рабочих дней со дня изменения законодательства, т.е. в любом случае не позднее 10 марта 2021 года.

Что делать?

Операторам персональных данных целесообразно начать подготовку к работе по новым правилам с выполнения следующих действий:

• провести краткий аудит всех имеющихся в компании бизнес-процессов, связанных с обработкой общедоступных данных;
• разработать новые формы согласий на обработку персональных данных и использовать их при распространении персональных данных;
• заменить в Политике в отношении обработки персональных данных и других локальных нормативных актах (при наличии) положения об общедоступных данных на новые правила согласно Поправкам;
• обеспечить опубликование условий, ограничений и запретов на обработку данных для каждого случая, когда компания размещает персональные данные в общем доступе;
• обеспечить отслеживание применимых условий, ограничений и запретов в тех случаях, когда работники компании используют персональные данные, размещенные в открытых источниках;
• добавить аналогичное обязательство по отслеживанию условий, ограничений и запретов на обработку данных в договоры с рекрутинговыми агентствами;
• разработать внутреннюю процедуру по оперативному прекращению передачи (распространения, предоставления, доступа) персональных данных в случае получения требования от субъекта этих данных;
• подать в Роскомнадзор информационное письмо о внесении изменений в сведения об операторе в реестре операторов (если в ранее поданном уведомлении была указана обработка общедоступных данных).

Все мероприятия, кроме отправки информационного письма, необходимо осуществить к 1 марта 2021 года, когда Поправки начнут действовать. Информационное письмо должно быть подано в интервале с 1 по 10 марта 2021 года.

Для получения более подробной информации, пожалуйста, обратитесь к
Станиславу Румянцеву, к.ю.н., Старшему юристу
[email protected] 

Настоящая статья подготовлена в справочных целях и не должна расцениваться в качестве юридической консультации.

Нормативно-правовая база — АльфаДок

1	Приказ об ответственном за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну	Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
		Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
		Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
2	Приказ об ответственном за обеспечение безопасности персональных данных и за защиту информации в информационных системах	Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
		Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
3	Приказ о комиссии по определению класса государственных информационных систем и уровня защищенности персональных данных при их обработке в информационных системах	Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
		Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
4	Приказ об утверждении перечня информационных систем, обрабатывающих защищаемую информацию, не содержащую сведения, составляющие государственную тайну, и перечня защищаемой информации, не содержащей сведения, составляющие государственную тайну, обрабатываемой в программных комплексах, входящих в состав информационных систем	Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
		Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
		Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
		Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
5	Приказ об утверждении перечня обрабатываемых персональных данных	Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
		Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
6	Приказ о сотрудниках, осуществляющих обработку защищаемой информации, не содержащей сведения, составляющие государственную тайну, и имеющих доступ к обрабатываемой защищаемой информации, не содержащей сведения, составляющие государственную тайну	Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
		Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
		Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
		Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
7	Приказ об ответственном за планирование и контроль мероприятий по защите информации в информационных системах	Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
8	Приказ об ответственном за управление (администрирование) системой защиты информации информационных систем	Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
9	Приказ о сотрудниках, которым разрешены действия по внесению изменений в базовую конфигурацию информационных систем и системы защиты информации	Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
		Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
10	Приказ о сотрудниках, ответственных за выявление инцидентов информационной безопасности и реагирование на них	Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
		Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
11	Приказ об обеспечении безопасности материальных носителей защищаемой информации, не содержащей сведения, составляющие государственную тайну	Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
		Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
		Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
		Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»
12	Приказ об обеспечении безопасности помещений, в которых размещены информационные системы и сохранности носителей защищаемой информации	Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
		Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
		Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
		Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»
13	Приказ о введении в действие документов, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами	Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
14	Приказ об утверждении форм документов, необходимых в целях выполнения требований законодательства в области защиты информации	Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
		Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
		Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
		Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
15	Приказ об утверждении перечня мер, направленных на выполнение требований законодательства Российской Федерации в области защиты информации с использованием средств криптографической защиты	Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»
		Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»
16	Приказ об утверждении перечня мер, направленных на выполнение требований законодательства Российской Федерации при ведении журнала, содержащего персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию организации (в случае наличия пропускного режима)	Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
		Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
17	Приказ о системе разграничения доступа в информационных системах	Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
		Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
18	Приказ о сотрудниках, имеющих доступ к содержанию электронного журнала сообщений (в случае, если установленный уровень защищенности ПДн при их обработке в ИСПДн имеет значение 1 или 2)	Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
19	Приказ о комиссии по уничтожению защищаемой информации, не содержащей сведения, составляющие государственную тайну	Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
		Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
		Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
		Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
		Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
20	Политика в отношении обработки персональных данных	Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
21	Положение по организации и проведению работ по обеспечению безопасности защищаемой информации, не содержащей сведения, составляющие государственную тайну, при ее обработке в информационных системах	Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
		Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
		Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
		Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
		Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
22	Порядок хранения, использования и передачи персональных данных сотрудников	Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ (ТК РФ) — глава 14 «Защита персональных данных работника»
23	Модель угроз безопасности информации в информационных системах	Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
		Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
		Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
		Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
		Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
		Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год
		Методика оценки угроз безопасности информации. ФСТЭК России, 2021 год
		Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности от 31 марта 2015 г. № 149/7/2/6-432
24	Акт определения класса защищенности информационной системы	Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
25	Акт определения уровня защищенности персональных данных в информационных системах персональных данных	Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
26	Рекомендации по внесению изменений в должностные инструкции персонала	Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
27	Рекомендации по принятию организационных мер по обеспечению безопасности персональных данных	Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
		Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
		Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
28	Рекомендации по выполнению требований по обеспечению безопасности персональных данных в информационных системах персональных данных, эксплуатируемых с использованием криптосредств	Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
		Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
		Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»
29	Технический паспорт информационной системы	Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
		ГОСТ РО 0043-004-2013. Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний
		Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные приказом Гостехкомиссии России от 30 августа 2002 г. № 282
30	Техническое задание на создание подсистемы обеспечения информационной безопасности	Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
		Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
		Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
		Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»
		Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
		Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
31	Уведомление об обработке (о намерении осуществлять обработку) персональных данных / Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных	Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ ИНТЕРНЕТ-САЙТА

I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящим Положением устанавливается порядок обработки персональных данных пользователей сайта rea-awards.ru (далее – Компания, Оператор), и обеспечивается соблюдение требований защиты прав граждан при обработке персональных данных.

1.2. Настоящее Положение утверждено приказом генерального директора Компании и действует до его отмены или до его замены иным аналогичным внутренним документом.

Настоящее Положение является обязательным для исполнения всеми сотрудниками Компании, имеющими доступ к персональным данным пользователей.

II. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В НАСТОЯЩЕМ ПОЛОЖЕНИИ

2.1. Для целей настоящего Положения используются следующие основные понятия:

сайт — совокупность программно-аппаратных средств для ЭВМ, обеспечивающих публикацию данных в Интернет для всеобщего обозрения. Сайт доступен по уникальному электронному адресу или его буквенному обозначению. Может содержать графическую, текстовую, аудио-, видео-, а также иную информацию, воспроизводимую с помощью ЭВМ.

оператор — юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных;

персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

субъект персональных данных в контексте настоящего положения — физическое лицо, являющееся клиентом — пользователем сайта rea-awards.ru.

обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;

конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания;

распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных работников;

обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

III. Состав персональных данных пользователя

3.1. Состав персональных данных:

Самостоятельно предоставляемые (при регистрации) Пользователем данные:

— фамилия, имя, отчество;

— контактная информация, включая номера телефонов, e-mail.

Автоматически собираемые данные:

— IP-адрес, данные файлов cookie;

— информация о браузере Пользователя, технические характеристики оборудования и программного обеспечения, используемых Пользователем,

— дата и время доступа к сайту, адреса запрашиваемых страниц и иная подобная информация, собираемая счетчиком посещений.

3.2. Указанные в пункте 3.1 Положения персональные данные обрабатываются в целях идентификации Пользователей, обеспечения исполнения пользовательского соглашения, предоставления Пользователю персонализированных сервисов и контента, улучшения качества работы сайта и предоставления сервисов, таргетирования рекламных материалов, проведения на основе обезличенных персональных данных статистических и иных исследований.

3.3. Обработка персональных данных Пользователей производится с их согласия. Пользователь, передающий свои контакты на сайте rea-awards.ru, с помощью формы обратной связи, с целью получения доступа к сервисам Компании, тем самым выражает свое полное согласие в соответствии со статьей 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» на автоматизированную, а также без использования средств автоматизации, обработку и использование своих персональных данных.

IV. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Сведения, перечисленные в статье 3 настоящего Положения, являются конфиденциальными. Компания обеспечивает конфиденциальность персональных данных и обязан не допускать их распространения без согласия клиентов, либо наличия иного законного основания.

4.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных клиентов распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

4.3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или опубликования их в общедоступных источниках (СМИ, Интернет, ЕГРЮЛ и иных публичных государственных реестрах).

V. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных Пользователей осуществляется Компанией с согласия субъектов персональных данных, за исключением случаев, предусмотренных пунктом 5.2 настоящей статьи. Обязанность представить доказательство получения согласия на обработку персональных данных по основаниям данного пункта в соответствии с законом возлагается на оператора.

5.2. Компания имеет право без согласия субъекта персональных данных осуществлять обработку его персональных данных в следующих случаях:

— обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

— обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

— обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

— обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

— осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

5.3. В целях обеспечения прав и свобод человека и гражданина Компания и её работники при обработке персональных данных Пользователя обязаны соблюдать следующие общие требования.

5.3.1. При определении объема и содержания персональных данных Пользователя подлежащих обработке, сотрудники Компании руководствуются Федеральным законом «О персональных данных», законодательством, регулирующим деятельность средств массовой информации, пользовательским соглашением. Компания получает персональные данные Пользователя только в объеме, необходимом для достижения законных целей сбора и обработки персональных данных.

5.3.2. Сотрудники Компании не должны обрабатывать не являющиеся общедоступными персональные данные Пользователя о его судимости, политических, религиозных и иных убеждениях и частной жизни.

5.4. Компания обеспечивает защиту персональных данных Пользователя от неправомерного их использования или утраты за собственный счет в порядке, установленном федеральным законодательством.

5.5. В случае, если Компания на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

VI. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

6.3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Компании при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

6.4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных Оператором, а также цель такой обработки;

2) способы обработки персональных данных, применяемые Оператором;

3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

6.5. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия.

6.6. Субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

VII. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Обработка персональных данных осуществляется Оператором исключительно для достижения целей, определенных настоящим положением и пользовательским соглашением.

7.2. Обработка персональных данных Оператором заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа.

7.3. Обработка персональных данных ведется методом смешанной (в том числе автоматизированной) обработки.

7.4. К обработке персональных данных Пользователя могут иметь доступ только работники Компании, чьи должностные обязанности непосредственно связаны с доступом и работой с персональными данными Пользователя.

7.5. В случае соответствующего обращения субъекта персональных данных, Оператор обязан произвести необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

7.6. Оператор уничтожает персональные данные Пользователя по истечении 6 месяцев дней с момента обработки персональных данных

VIII. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Передача персональных данных осуществляется Оператором исключительно в случае необходимости исполнения Пользовательского соглашения либо предоставления Пользователю определенных Сервисов с согласия Пользователя.

8.2. Передача персональных данных третьим лицам осуществляется Оператором только на основании соответствующего договора, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных персональных данных.

8.3. Передача персональных данных государственным органам осуществляется в рамках их полномочий в соответствии с применимым законодательством.

IХ. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Персональные данные могут храниться в электронном виде на территории России.

X. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ КЛИЕНТОВ

10.1. Право доступа к персональным данным Клиентов имеют: генеральный директор Компании, сотрудники Компании.

10.2. Доступ субъекта персональных данных к своим персональным данным предоставляется при личном обращении либо при получении письменного запроса. Оператор обязан сообщить субъекту персональных данных информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения.

XI. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЕЙ

11.1. Защите подлежит информация, содержащая персональные данные Пользователя, размещенная на электронных носителях.

11.2. Оператор обязан при обработке персональных данных Пользователей принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

11.3. Общую организацию защиты персональных данных Пользователей осуществляет сотрудник Компании.

11.4. Защита персональных данных Пользователей, хранящихся в электронных базах данных Компании, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается работниками Компании.

11.5. Сотрудник Компании, имеющий доступ к персональным данным Пользователя в связи с исполнением трудовых обязанностей:

— обеспечивает хранение информации, содержащей персональные данные Пользователей, исключающее доступ к ним третьих лиц;

— в отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Пользователей;

— при уходе в отпуск, во время служебной командировки и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать носители, содержащие персональные данные Пользователей лицу, на которое локальным актом Компании (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, указанные выше документы и иные носители передаются другому сотруднику, имеющему доступ к персональным данным Пользователей.

11.6. При увольнении сотрудника, имеющего доступ к персональным данным Пользователей, носители, содержащие персональные данные, передаются другому сотруднику, имеющему доступ к персональным данным Пользователей.

11.7. Допуск к персональным данным Пользователей других сотрудников Компании, не имеющих надлежащим образом оформленного доступа, запрещается.

11.8. Защита доступа к электронным базам данных, содержащим персональные данные Пользователей, обеспечивается:

— использованием антивирусных и иных программно-технических средств защиты периметра внутренней сети, не допускающих несанкционированный вход в локальную сеть Оператора;

— разграничением прав доступа с использованием учетной записи;

11.10. Все электронные приложения, содержащие персональные данные, включая информационные системы персональных данных, папки и файлы, содержащие персональные данные, защищаются паролем.

11.11. Копировать персональные данные Пользователей разрешается исключительно в служебных целях с письменного разрешения руководителя Компании.

11.12. Ответы на письменные запросы уполномоченных государственных органов, других организаций и учреждений о персональных данных Пользователей даются только с письменного согласия субъектов персональных данных, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Компании, и в том объеме, который позволяет не разглашать излишний объем персональных данных.

XII. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ЧАСТНОГО КЛИЕНТА ИЛИ ПРЕДСТАВИТЕЛЕЙ КОРПОРАТИВНОГО КЛИЕНТА

12.1. Работники Компании, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Закон о конфиденциальности Южной Африки POPIA Вступает в силу 1 июля 2020 г.

Зейн Бхьят из ENSafrica сообщает, что 22 июня 2020 года было объявлено, что 1 июля 2020 года вступит в силу всеобъемлющий закон Южной Африки о конфиденциальности, известный как Закон о защите личной информации 2013 года («POPIA»). более подробное рамочное законодательство, поддерживающее конституционное право Южной Африки на неприкосновенность частной жизни.

POPIA находится в стадии разработки, поскольку она была предназначена для внедрения Комиссией по реформе законодательства Южной Африки в 2005 году.Задержка с его введением в действие была частично связана с публикацией проекта Общего регламента ЕС по защите данных («GDPR») в 2013 году, поскольку редакционный комитет POPIA приостановил рассмотрение некоторых из предложенных нововведений в GDPR, а также принял шаги для обеспечения того, чтобы южноафриканскому регулятору конфиденциальности (т.е. регулятору информации (SAIR)) была предоставлена ​​возможность развивать свои операционные возможности. В этом отношении POPIA вступил в силу в течение определенного периода времени, при этом первоначальные положения, позволяющие, среди прочего, учреждение SAIR, вступили в силу 11 апреля 2014 года.На сегодняшний день SAIR предпринял шаги для того, чтобы стать полностью работоспособным, например, путем обеспечения публикации нормативных актов, установления кодексов поведения и повышения осведомленности общественности.

POPIA обеспечивает общий механизм защиты информации, применимый к организациям как в государственном, так и в частном секторах. Подобно Директиве ЕС о защите данных 95/46 / EC, POPIA устанавливает восемь условий для законной обработки данных. Этими условиями являются: (1) подотчетность, (2) ограничение обработки, (3) спецификация цели, (4) дальнейшее ограничение обработки, (5) качество информации, (6) открытость, (7) гарантии безопасности и (8) данные. предметное участие.

POPIA применяется к обработке личной информации, внесенной в запись, ответственным лицом, которое обрабатывает информацию в Южной Африке и имеет домицилий в Южной Африке или находится в другом месте, но использует автоматизированные или неавтоматические средства в Южной Африке для обработки персональная информация. POPIA обычно применяется к «ответственным сторонам» (т. Е. Основным обработчикам персональных данных, которые определяют цель и средства обработки), и ограниченные обязательства также распространяются на «операторов» (т.е., обработчики данных).

POPIA содержит открытое определение «личной информации», которое обычно означает информацию, относящуюся к идентифицируемому живому физическому лицу и, где это применимо, идентифицируемой компании или другому аналогичному юридическому лицу. Определение включает информацию, относящуюся к партнерствам и некорпоративным лицам, и предоставляет значительно подробный список примеров личной информации. Эти примеры варьируются от частной переписки и информации о возрасте, поле, поле и расе до идентификаторов, таких как идентификационные номера, номера телефонов, информация о местоположении, онлайн-идентификаторы, а также личные мнения и предпочтения.

В соответствии с POPIA ответственная сторона, обрабатывающая личную информацию, должна соблюдать все восемь условий и меры, необходимые для выполнения этих условий. Соответствие должно быть достигнуто не только при фактической обработке информации, но также при определении цели и средств обработки личной информации.

1. Подотчетность: Это условие требует, чтобы вся обработка данных происходила в соответствии с POPIA.На практике для этого требуется, чтобы была установлена ​​политика защиты данных и чтобы сотрудник по внутренней информации отстаивал цели и соблюдение законодательства.
2. Ограничение обработки: Персональные данные должны обрабатываться на законных основаниях и разумным образом, который не нарушает конфиденциальность субъекта данных. Ответственная сторона должна разработать процедуры и политики, обеспечивающие обработку личной информации «разумным образом».
3. Описание цели: Среди прочего, это означает, что личная информация может собираться только для законных, конкретных и четко определенных целей, связанных с функцией или деятельностью ответственной стороны, собирающей информацию.Субъекты данных должны быть проинформированы о цели сбора, за исключением исключительных обстоятельств, например, когда ответственная сторона обязана соблюдать обязательство, установленное законом.
4. Дальнейшее ограничение обработки: После того, как личная информация была собрана и законная обработка произошла, ответственная сторона может продолжить обработку этих данных только в ограниченных обстоятельствах. Эти ограниченные обстоятельства определяются на основе того, «совместима» ли цель дальнейшей обработки с ранее определенной целью.
5. Качество информации: Ответственная сторона должна гарантировать, что любая личная информация, которой она владеет, является полной, точной, не вводящей в заблуждение и обновляется при необходимости. При поддержании качества информации ответственная сторона должна учитывать цель, для которой личная информация собирается или в дальнейшем обрабатывается.
6. Открытость: Ответственная сторона должна составить руководство, содержащее предусмотренную информацию в соответствии с требованиями Закона Южной Африки о содействии доступу к информации 2000 года, включая подробные сведения о хранящейся в нем информации.При сборе личной информации ответственная сторона должна предпринять разумно осуществимые шаги, чтобы убедиться, что субъект данных осведомлен о: (1) собираемой информации и ее источнике; (2) имя и адрес ответственной стороны; (3) цель сбора информации; (4) требуется ли от субъекта данных предоставить запрошенную информацию или может ли он это сделать добровольно; (5) последствия непредоставления информации; (6) правовая основа для сбора информации; (7) намеревается ли ответственная сторона передать информацию в третью страну и уровень защиты, предоставляемой переданной информации; и (8) любая дополнительная информация, необходимая для того, чтобы обработка была разумной в данных обстоятельствах.
7. Меры безопасности: Ответственная сторона должна обеспечивать целостность и конфиденциальность любой личной информации, находящейся в ее распоряжении или под ее контролем, путем принятия надлежащих и разумных технических и организационных мер для предотвращения потери, повреждения, несанкционированного уничтожения и незаконного доступа. к имеющейся у него личной информации.
8. Участие субъекта данных:
   1. Субъект данных имеет право запросить подтверждение того, владеет ли ответственное лицо личной информацией о субъекте данных.Субъект данных также имеет право запросить запись или описание личной информации о субъекте данных, хранящейся у ответственной стороны, а также информацию, касающуюся личности всех третьих сторон, которые имели доступ к личной информации субъекта данных.
   2. Субъект данных может потребовать от ответственной стороны:
      1. исправить или удалить личную информацию о субъекте данных, которая является неточной, нерелевантной, чрезмерной, устаревшей, неполной, вводящей в заблуждение или полученной незаконным путем; и
      2. удалить или уничтожить личную информацию, которую ответственная сторона больше не имеет права хранить.

POPIA не предназначен для предотвращения обработки личной информации, а для обеспечения того, чтобы она выполнялась справедливо и без ущемления прав субъектов данных. Учитывая широкое влияние POPIA, прямо предусмотрено, что вся обработка личной информации должна соответствовать положениям POPIA в течение одного года после его начала — 12-месячный льготный период, начинающийся 1 июля 2020 года.

Авторское право © 2021, Hunton Andrews Kurth LLP.Все права защищены. National Law Review, Volume X, Number 181

% PDF-1.5 % % Запись объектов … 4 0 obj > / Вкладки / S / StructParents 0 >> эндобдж 5 0 obj > / Вкладки / S / StructParents 1 >> эндобдж 51 0 объект > / F 4 / A> / StructParent 12 >> эндобдж 52 0 объект > / F 4 / A> / StructParent 13 >> эндобдж 7 0 объект > / Вкладки / S / StructParents 2 >> эндобдж 57 0 объект > / F 4 / Дест 6 0 Р / StructParent 14 >> эндобдж 11 0 объект > / Вкладки / S / StructParents 3 >> эндобдж 62 0 объект > / F 4 / A> / StructParent 15 >> эндобдж 63 0 объект > / F 4 / A> / StructParent 16 >> эндобдж 64 0 объект > / F 4 / A> / StructParent 17 >> эндобдж 65 0 объект > / F 4 / A> / StructParent 18 >> эндобдж 66 0 объект > / F 4 / Дест 8 0 Р / StructParent 19 >> эндобдж 67 0 объект > / F 4 / Дест 9 0 Р / StructParent 20 >> эндобдж 68 0 объект > / F 4 / Дест 10 0 Р / StructParent 21 >> эндобдж 13 0 объект > / Вкладки / S / StructParents 4 >> эндобдж 73 0 объект > / F 4 / Дест 12 0 Р / StructParent 22 >> эндобдж 14 0 объект > / Вкладки / S / StructParents 5 >> эндобдж 15 0 объект > / Вкладки / S / StructParents 6 >> эндобдж 16 0 объект > / Вкладки / S / StructParents 7 >> эндобдж 86 0 объект > / F 4 / A> / StructParent 23 >> эндобдж 87 0 объект > / F 4 / A> / StructParent 24 >> эндобдж 88 0 объект > / F 4 / A> / StructParent 25 >> эндобдж 17 0 объект > / Вкладки / S / StructParents 8 >> эндобдж 18 0 объект > / Вкладки / S / StructParents 9 >> эндобдж 19 0 объект > / Вкладки / S / StructParents 10 >> эндобдж 20 0 объект > / Вкладки / S / StructParents 11 >> эндобдж 46 0 объект > поток Q q / X1 Do Q конечный поток эндобдж 44 0 объект > поток q конечный поток эндобдж 45 0 объект > / ExtGState> / Шрифт> / ProcSet [/ PDF / Text / ImageB / ImageC / ImageI] >> эндобдж 50 0 объект > поток Q q / X1 Do Q конечный поток эндобдж 48 0 объект > поток q конечный поток эндобдж 49 0 объект > / ExtGState> / Шрифт> / ProcSet [/ PDF / Text / ImageB / ImageC / ImageI] >> эндобдж 56 0 объект > поток Q q / X1 Do Q конечный поток эндобдж 54 0 объект > поток q конечный поток эндобдж 55 0 объект > / ExtGState> / Шрифт> / ProcSet [/ PDF / Text / ImageB / ImageC / ImageI] >> эндобдж 61 0 объект > поток Q q / X1 Do Q конечный поток эндобдж 59 0 объект > поток q конечный поток эндобдж 60 0 объект > / ExtGState> / Шрифт> / ProcSet [/ PDF / Text / ImageB / ImageC / ImageI] >> эндобдж 72 0 объект > поток Q q / X1 Do Q конечный поток эндобдж 70 0 объект > поток q конечный поток эндобдж 71 0 объект > / ExtGState> / Шрифт> / ProcSet [/ PDF / Text / ImageB / ImageC / ImageI] >> эндобдж 77 0 объект > поток Q q / X1 Do Q конечный поток эндобдж 75 0 объект > поток q конечный поток эндобдж 76 0 объект > / ExtGState> / Шрифт> / ProcSet [/ PDF / Text / ImageB / ImageC / ImageI] >> эндобдж 81 0 объект > поток Q q / X1 Do Q конечный поток эндобдж 79 0 объект > поток q конечный поток эндобдж 80 0 объект > / ExtGState> / Шрифт> / ProcSet [/ PDF / Text / ImageB / ImageC / ImageI] >> эндобдж 85 0 объект > поток Q q / X1 Do Q конечный поток эндобдж 83 0 объект > поток q конечный поток эндобдж 84 0 объект > / ExtGState> / Шрифт> / ProcSet [/ PDF / Text / ImageB / ImageC / ImageI] >> эндобдж 92 0 объект > поток Q q / X1 Do Q конечный поток эндобдж 90 0 объект > поток q конечный поток эндобдж 91 0 объект > / ExtGState> / Шрифт> / ProcSet [/ PDF / Text / ImageB / ImageC / ImageI] >> эндобдж 96 0 объект > поток Q q / X1 Do Q конечный поток эндобдж 94 0 объект > поток q конечный поток эндобдж 95 0 объект > / ExtGState> / Шрифт> / ProcSet [/ PDF / Text / ImageB / ImageC / ImageI] >> эндобдж 100 0 объект > поток Q q / X1 Do Q конечный поток эндобдж 98 0 объект > поток q конечный поток эндобдж 99 0 объект > / ExtGState> / Шрифт> / ProcSet [/ PDF / Text / ImageB / ImageC / ImageI] >> эндобдж 104 0 объект > поток Q q / X1 Do Q конечный поток эндобдж 102 0 объект > поток q конечный поток эндобдж 103 0 объект > / ExtGState> / Шрифт> / ProcSet [/ PDF / Text / ImageB / ImageC / ImageI] >> эндобдж 2 0 obj /Предмет () /Заголовок () / АПТКВЕР (2017.1.1.18220 Pro Production-32) / DocuSignConversionCorrelationToken (4fc36168-197c-40f4-ad2c-b6717884abce) >> эндобдж 47 0 объект > поток x] nȕo? ͺD

8c] O ~ Pj =

7 ۩ 9 ߹2 {> {ŏ ߿ Woγ> T = ddER2Cm ߳ g | _? {/ 3 ٛ> gw? 6ɞmU> ǿv / ޷ u />. x ] 6yЪ (@ 9j @ FjȤ Ӧ: + (eOyP6.T G _ *, {ze; Bvx /? Z’uQU0 ꠋ c ٔʽ n_S ﷏5 V (t] ?, NqxNU ~ h? MIu! (, , l_TBAB

Информационная серия № 2 GDPR: Демонстрация соответствия GDPR

«Демонстрация соответствия GDPR» — вторая из серии тем, в которых мы обсудим потенциальное влияние GDPR на процессы проверки данных в ЕС или в мире.В этой серии статей ищите значок, который будет выделять конкретную информацию о потенциальном влиянии на процессы проверки First Advantage.

Как демонстрируется соответствие?

Если вы находитесь в ЕС или иным образом ведете бизнес в ЕС, или если вы отслеживаете лиц, находящихся в ЕС, ваши действия по обработке персональных данных жителей ЕС должны соответствовать требованиям GDPR, и вы должны быть в состоянии продемонстрировать это соответствие. Что это за требования? Ниже мы рассмотрим пять ключевых принципов конфиденциальности GDPR.

Принцип 1 — Обработка должна быть справедливой, законной и прозрачной

У вас должно быть законное основание или условие для обработки личных данных. Вот некоторые примеры:

• Согласие субъекта данных
• Обработка, необходимая для выполнения контракта
• Обработка является частью юридического обязательства
• Обработка необходима для поддержки ваших законных интересов в качестве контроллера данных
• Обработка в общественных интересах

Не все из этих условий будут иметь отношение к вашим процессам проверки фона.У вас может быть причина полагаться на «законный интерес» для обработки личных данных или на другую основу. Это решение, которое ваша организация должна принять в рамках сотрудничества между отделом кадров и юридическим отделом, чтобы гарантировать, что независимо от того, какое основание актуально, вы всегда обрабатываете данные в соответствии с GDPR. Требования, относящиеся к законному основанию, более подробно обсуждаются в нашей статье «Законное основание обработки».

Контроллеры

также должны выполнять действия по обработке прозрачным для Субъекта данных способом.Обычно это означает, что Субъект данных должен знать, как будут обрабатываться его / ее личные данные.

Подумайте, как эта прозрачность будет обеспечена вашим кандидатам и / или сотрудникам. Есть ли у вас Политика конфиденциальности, регулирующая обработку данных ваших сотрудников или кандидатов? Предоставляете ли вы своим кандидатам уведомление о конфиденциальности до проведения проверки биографических данных, которое информирует их о том, «что, как, почему, где» обрабатываются личные данные (First Advantage может разместить этот документ от вашего имени для представления кандидату)? First Advantage обеспечивает прозрачность обработки персональных данных в форме Политики конфиденциальности, которую можно просмотреть по адресу https: // fadv.ru / privacy-policy /, который включает в себя политики для конкретных стран, такие как наша Политика конфиденциальности для Европейской экономической зоны. В этой политике более подробно обсуждается наша роль в качестве обработчика данных.

Принцип 2 — Ограничение цели

Персональные данные должны обрабатываться для определенных и ограниченных целей, о которых четко сообщается Субъекту данных.

Учтите это требование с точки зрения вашего уведомления о конфиденциальности. Сообщили ли вы человеку, каковы цели обработки его или ее личных данных? GDPR требует, чтобы в случае определения новой будущей цели существовала новая действительная основа или условие для обработки ( e.грамм. обновленное уведомление, согласие или иное действительное основание для новой цели / использования).

Принцип 3 — Минимизация данных (

т. Е. обрабатывает только то, что необходимо)

Контроллеры должны ограничивать деятельность по обработке данных в той степени, в которой они могут обрабатывать только то, что необходимо для достижения их цели. Это требует от диспетчеров тщательно продумать, какие виды обработки им необходимо выполнить, чтобы в достаточной степени и надлежащим образом отобрать каждого кандидата в соответствии с типом должности и применимыми юридическими требованиями, которым вы, как работодатель, можете подчиняться.Поскольку Контроллерам предоставлено право определять, сколько информации необходимо для достижения цели их деятельности по обработке, они также несут ответственность за демонстрацию того, что деятельность ограничивается только необходимыми персональными данными.

Платформы проверки фона

First Advantage, как правило, предназначены для стандартизации типа собираемых персональных данных и ограничения объема данных, необходимых для выполнения запрашиваемой проверки фона ( например, определенные типы информации не запрашиваются до тех пор, пока это не потребуется. для определенного типа фонового поиска или проверки, и мы сознательно не запрашиваем лишние данные, которые нам не нужны).

Принцип 4 — Точность данных и валюта

Контроллеры

обязаны предпринимать «все разумные шаги» для обеспечения актуальности и точности обрабатываемых ими персональных данных. При наличии неточностей контролеры несут ответственность за немедленное исправление ошибок и либо стирают, либо исправляют такие данные в соответствии с применимыми требованиями GDPR (в этой информационной серии будут рассмотрены такие темы, как стирание и «Право на забвение» в статье «Права субъектов данных») .

Учитывайте внутренние процессы, которым следует ваша организация, когда кандидаты или сотрудники сообщают вам, что информация, которую они предоставили вам или которая была предоставлена ​​вам в отчете о проверке данных, является неточной.Чтобы поддержать вас в случае получения таких запросов, First Advantage установила политики и процедуры для ответа на запросы субъектного доступа, которые могут включать запросы на доступ, исправление или удаление. Мы направим эти запросы к вам для получения инструкций.

Принцип 5 — Ограничение удержания

Контроллеры и процессоры

не могут хранить личные данные вечно, и применяются принципы хранения. Как и в случае с действующими требованиями ЕС, данные могут храниться только «столько времени, сколько необходимо.«Никакой конкретный срок хранения не установлен, что, вероятно, позволит учитывать различные типы операций обработки, которые могут иметь место, и различные отраслевые требования в отношении хранения данных. Вам следует подумать, как долго следует хранить данные, и обеспечить соблюдение таких ограничений.

Платформы

First Advantage разработаны с автоматическими функциями, чтобы помочь нашим клиентам соблюдать требования к хранению данных. Наш период хранения по умолчанию в ЕС составляет два года, однако клиенты могут выбирать свои собственные лимиты для хранения личных данных на платформе First Advantage.

Следующий в серии информации GDPR… «Сотрудник по защите данных»

О компании First Advantage

First Advantage предоставляет комплексные решения для проверки биографических данных, идентификации и информации, которые предоставляют работодателям доступ к полезной информации, которая позволяет принимать более быстрые и точные кадровые решения. Благодаря передовой глобальной технологической платформе и превосходному обслуживанию клиентов, предоставляемому экспертами, разбирающимися в местных рынках, First Advantage помогает клиентам по всему миру создавать полностью масштабируемые, настраиваемые программы проверки, отвечающие их уникальным потребностям.Штаб-квартира First Advantage расположена в Атланте, штат Джорджия, в Северной Америке, Великобритании, Азии и на Ближнем Востоке.

Уведомление о содержании информации

Несмотря на то, что вышеизложенное было разработано командой First Advantage Global Legal Compliance Team, мы не уполномочены предоставлять вашей организации юридические консультации, поскольку First Advantage не является юридической фирмой.

Вышеупомянутая информация скорее предоставлена ​​в духе партнерства как полезная информация о возможных последствиях, связанных с GDPR.

Пожалуйста, поделитесь этим документом с юрисконсультом, знакомым с вашей организацией и имеющим опыт соблюдения GDPR. Учитывая существенные финансовые санкции, связанные с соблюдением GDPR, и их возможное влияние на ваш доход, юридическая проверка является важной частью подготовки вашей организации к соблюдению GDPR.

По состоянию на июнь 2020 года
© 2020 First Advantage Corporation

Дубайский Закон о защите данных № 5 вступит в силу 1 июля 2020 года.

Закон Дубая о защите данных № 5 вступит в силу 1 июля 2020 года.

Шейх Мохаммед бин Рашид Аль Мактум, правитель Дубая, вице-президент и премьер-министр Объединенных Арабских Эмиратов, недавно принял Закон № 5 о защите данных Международного финансового центра Дубая (DIFC) от 2020 года. Этот новый закон вступит в силу 1 июля 2020 года. Действующий закон, Закон о защите данных DIFC № 1 от 2007 года, останется актуальным до тех пор.Совет директоров DIFC также обновил свои протоколы и процедуры для синхронизации и повышения стандартов защиты данных, подотчетности, ведения документации, санкций, а также соответствующие протоколы для трансграничной передачи персональных данных. Совет директоров DIFC также установил новые правила защиты данных, регулирующие процедуры уведомления Уполномоченного относительно этих стандартов. Этот новый закон сочетает в себе лучшие практики из таких законодательных актов, как GDPR (Общий регламент по защите данных), CCPA (Закон о конфиденциальности потребителей Калифорнии) и некоторые другие современные технологические концепции.

Новый закон Дубая о защите данных включает некоторые серьезные изменения в действующий закон.

Ключевым направлением нового Закона о защите данных DIFC является регулирование ожиданий контроллеров и процессоров в DIFC в отношении некоторых вопросов конфиденциальности и безопасности. К ним относятся некоторые существенные изменения в договорных обязательствах перед текущими клиентами и сотрудниками по защите данных (при необходимости), выполняющими требования, для проведения оценки воздействия на защиту данных и договорного обеспечения защиты отдельных лиц и их личных данных.Это только нацелено на дальнейшее укрепление позиции ОАЭ как ведущей страны в рамках законодательства о конфиденциальности данных и интеллектуальной собственности, что делает его по-прежнему одним из наиболее привлекательных мест для тех, кто хочет вести бизнес этично.

Несмотря на то, что 1 июля вводится много изменений в законодательство, предприятиям нужно будет выполнить их до 1 октября.

Обновленные и выделенные процедуры изложены в новых положениях и условиях законодательства.Эти новые процедуры возлагают ответственность на Процессоров и Контроллеров и имеют серьезные последствия, включая штрафы. Для этих штрафов не только увеличен максимальный размер штрафа, но и введены новые. Важно отметить, что компании, занимающиеся искусственным интеллектом и развивающимися технологиями, не имеют права на трансграничную передачу данных или обработку персональных данных особой категории. Эти правила сосредоточены на структурах обмена данными с государственными организациями, что является важным шагом для углубления связей с другими регионами.Хотя этот закон вводится в действие 1 июля из-за глобальной пандемии COVID-19, предприятия, к которым он применяется, должны будут соблюдать его до 1 октября 2020 года, прежде чем закон вступит в силу.

Ожидается, что закон Дубая о защите данных принесет региону множество преимуществ.

Губернатор DIFC Эсса Казим повторил многие причины изменения. Он подчеркнул, что DIFC продолжает способствовать росту бизнеса, устанавливая четкие правила для всех организаций, основанные на лучших мировых практиках в отношении конфиденциальности данных, тем самым создавая правильную экосистему для правил конфиденциальности.Казим считает, что это позволит позиционировать ОАЭ в качестве одного из ведущих мировых финансовых центров, продемонстрировав их прогрессивное мышление. Ожидается, что это поможет региону Ближнего Востока, Африки и Южной Азии (MEASA) укрепить свое лидерство и позиционироваться как международный финансовый центр. Поскольку GDPR разрешает передачу персональных данных в страны, законодательство которых, по мнению Европейской комиссии, обеспечивает «адекватный» уровень защиты персональных данных, ожидается, что это будет стимулировать, улучшать и расширять бизнес между двумя регионами.

Аналогично Закону о защите данных Дубая № 5, , CCPA в Калифорнии, как ожидается, вступит в силу 1 июля 2020 г.

Имеются ли в вашей компании все обязательные меры безопасности для обеспечения соответствия требованиям защиты данных? Aphaia предоставляет оценок воздействия на защиту данных, , в том числе в международном контексте, и , аутсорсинг сотрудников по защите данных .Мы можем помочь вашей компании добиться полного соответствия. Свяжитесь с нами сегодня. Последние сообщения Зандилли Люсьен (посмотреть все) Уведомление

GDPR — Комиссия по высшему образованию Средних штатов

Этот раздел нашей Политики конфиденциальности предоставляет определенную необходимую информацию лицам, находящимся в Европейском Союзе («ЕС»), государстве-члене Европейской экономической зоны («EAA») или Швейцарии. До того, как Комиссия по высшему образованию Средних штатов получит от вас какую-либо личную информацию, вы имеете право в соответствии с Регламентом (ЕС) 2016/679 (широко известным как Общий регламент ЕС по защите данных или «GDPR») на информацию в этом разделе наша Политика конфиденциальности.

Цели и правовые основы обработки персональной информации

Комиссия по высшему образованию средних штатов будет обрабатывать вашу личную информацию только в законных целях в соответствии с GDPR, касающимися деловых и образовательных целей Комиссии по высшему образованию средних штатов и вытекающих из ваших отношений с Комиссией по высшему образованию средних штатов. Комиссия по высшему образованию Средних штатов обычно собирает и обрабатывает вашу личную информацию, потому что это необходимо для выполнения контракта, стороной которого вы являетесь, или потому, что Комиссия по высшему образованию Средних штатов имеет другой законный интерес в этом.Если Комиссия по высшему образованию Средних штатов не может полагаться ни на одно из таких юридических оснований, она запросит ваше предварительное согласие.

Права жителей Европейского Союза (ЕС)

Если вы используете Сайт и проживаете в ЕС, ЕАА или Швейцарии, вы имеете право по закону получить доступ, исправить, изменить или удалить личную информацию о вас, которую мы храним. Список этих прав ниже. Обратите внимание, что эти права не являются абсолютными и применяются определенные исключения.

• Право доступа .Вы имеете право запросить у нас копии вашей личной информации. Это право имеет некоторые исключения, что означает, что вы не всегда можете получать всю личную информацию, которую мы собираем и обрабатываем. При отправке запроса предоставьте точное описание личной информации, к которой вы хотите получить доступ.
• Право на исправление . Вы имеете право попросить нас исправить информацию, которую вы считаете неточной. Вы также имеете право запросить у нас информацию, которую вы считаете неполной.
• Право на стирание. Вы имеете право попросить нас удалить вашу личную информацию при определенных обстоятельствах, в том числе: (i) когда ваша личная информация больше не нужна для целей, для которых она была собрана или обработана, или (ii) ваша личная информация должна быть удалены в соответствии с юридическим обязательством в соответствии с законодательством Союза или государства-члена ЕС.
• Право на ограничение обработки . Вы имеете право попросить нас ограничить обработку вашей личной информации при определенных обстоятельствах, в том числе: (i) когда точность личной информации ставится под сомнение, или (ii) когда нам больше не нужна личная информация для целей обработки, но вам требуется такая личная информация для создания, осуществления или защиты судебного иска.
• Право на возражение против обработки. Вы имеете право возражать против обработки вашей личной информации.
• Право на переносимость данных . Вы имеете право потребовать, чтобы мы передали личную информацию, которую вы нам предоставили, из одной организации в другую или передали ее вам.
• Право на подачу жалобы в надзорный орган. Если вы считаете, что ваши права в соответствии с GDPR были нарушены, GDPR дает вам право подать жалобу в надзорный орган.Список контролирующих органов доступен здесь: http://ec.europa.eu/justice/data-protection/bodies/authorities/index_en.htm.

Чтобы воспользоваться этими правами, свяжитесь с нами по адресу [email protected]. Для вашей защиты нам может потребоваться подтвердить вашу личность, прежде чем отвечать на ваш запрос. Если мы отклоняем запрос на правах доступа, мы объясним вам причину.

Право на отзыв согласия

Если Комиссия по высшему образованию Средних Штатов получит ваше письменное согласие на сбор и обработку ваших персональных данных, вы можете впоследствии отозвать такое согласие на любую дальнейшую обработку таких данных, связавшись с нами по адресу support @ msche.орг.

Трансграничная передача личной информации

Личная информация, которую вы предоставляете, находясь в ЕС, государстве-члене EAA или Швейцарии, будет передана в Соединенные Штаты. GDPR разрешает такую ​​передачу, когда это необходимо для выполнения контракта между вами и Комиссией по высшему образованию Средних штатов, если Комиссия по высшему образованию Средних штатов получит ваше явное согласие на такую ​​передачу или если это законный интерес Комиссии Средних штатов по высшему образованию для передачи личной информации.Законы США могут не обеспечивать такую ​​защиту вашей конфиденциальности, как законы, действующие в вашем регионе. Однако при передаче и обработке личной информации в Соединенных Штатах Комиссия по высшему образованию Средних штатов будет применять соответствующие меры безопасности и обрабатывать личную информацию в соответствии с условиями настоящей Политики конфиденциальности. Используя наш Сайт, вы соглашаетесь на передачу и обработку вашей личной информации в США.

Сохранение вашей личной информации

Мы будем хранить вашу личную информацию до тех пор, пока она не перестанет быть необходимой для достижения цели, для которой она была предоставлена.Мы можем хранить вашу личную информацию в течение более длительных периодов времени для определенных целей в той мере, в какой мы обязаны делать это в соответствии с применимыми законами и постановлениями, чтобы защитить вас, других людей и нас от мошенничества, злоупотреблений и несанкционированного доступа, если это необходимо. для защиты наших законных прав или для определенных бизнес-требований.

POPIA — Закон Южной Африки о защите личной информации

Опубликовано 21 апреля 2021 г.

Закон Южной Африки о защите личной информации (POPIA) вступил в силу 1 июля 2020 года с льготным периодом в 12 месяцев, что означает, что его исполнение начнется 1 июля 2021 года.

В этом посте мы разберем POPIA ЮАР — его ключевые термины, права, требования и то, как ваш веб-сайт становится совместимым.

Краткое описание

---

POPIA — Коротко о новом законе Южной Африки о защите данных

Общий регламент ЕС по защите данных (GDPR) больше не является только европейским законом о конфиденциальности данных, он также стал глобальным стандартом конфиденциальности данных — и скорость, с которой этот стандарт распространяется по всему миру, увеличивается, обеспечивая более высокий уровень защиты конфиденциальности конечных пользователей в Интернете.

ЮАР POPIA — это последний крупный закон о конфиденциальности данных в мире, который должен быть смоделирован по образцу GDPR ЕС (и Директивы о конфиденциальности), предоставляя своим гражданам права , подлежащие принудительному исполнению, в отношении их личной информации, устанавливая восемь минимальных требований для обработки данных (например, введение согласия в качестве необходимого правового основания), создание широкого определения личной информации для комплексной защиты конечных пользователей, а также формирование регулятора информации (SAIR) в качестве ведущего исполнителя и надзора за соблюдением закона .

POPIA делает Южную Африку последней страной, которая обеспечивает надежную защиту данных для своих граждан.

POPIA, быстрая разбивка —

• POPIA вступил в силу 1 июля 2020 г.
• Приведение в исполнение POPIA планируется начать 1 июля 2021 года.
• POPIA применяется к любой компании или организации, обрабатывающей личную информацию в Южной Африке, которая находится в стране или не имеет постоянного места жительства, но использует автоматизированные или неавтоматические средства обработки в стране.
• Штрафы за несоблюдение POPIA могут составлять до 10 миллионов южноафриканских рандов.
• Передача личной информации за пределы ЮАР запрещена POPIA (с исключениями).
• POPIA создает девять подлежащих действию прав для граждан ЮАР (субъектов данных), включая, помимо прочего, право на доступ, право на исправление и право на удаление.
• POPIA также создает восемь условий для законной обработки данных, в которых согласие субъекта данных является центральным.Веб-сайты, компании и организации («ответственные стороны») должны доказать, что их обработка законна, например что правильные согласия были получены от пользователей.
• POPIA определяет согласие как любое добровольное, конкретное и осознанное выражение воли.
• POPIA определяет обработку как сбор, получение, запись, организацию, хранение, объединение, связывание и многое другое.
• POPIA в широком смысле определяет личную информацию как любую информацию, относящуюся не только к живому человеку, но также к компании или юридическому лицу.
• POPIA позволяет компаниям и организациям обрабатывать данные, если это считается «законным интересом» пользователя, что создает неопределенность в отношении возможных злоупотреблений и трудностей с принудительным исполнением.

POPIA в Южной Африке также защищает компании и организации как «юридических лиц», в отличие от GDPR ЕС.

POPIA и GDPR

Есть ключевые отличия между POPIA и GDPR , в частности —

• POPIA также защищает компаний и организаций как юридических лиц , где GDPR защищает только живых людей.
• В отличие от GDPR, который применяется к обработке персональных данных изнутри ЕС независимо от того, где находится контроллер / процессор , POPIA применяется только к компаниям или организациям, которые расположены в Южной Африке (за исключением организаций, которые производят использование автоматизированных средств обработки в Южной Африке, например, рекламные технологии и компании в социальных сетях).
• Если GDPR четко определяет обработчика данных (как физическое или юридическое лицо, обрабатывающее персональные данные от имени контроллера данных), POPIA говорит только об ответственной стороне , т.е. нет «совместного контролера» — ответственность, как мы знаем, из ЕС.
• POPIA требует, чтобы все компании и организации назначили информационного сотрудника (автоматически назначается генеральному директору), роль и обязанности которого в важных областях отличаются от должности сотрудника по защите данных GDPR. Кроме того, POPIA также требует, чтобы компании и организации назначили заместителя сотрудника по информации .
• Хотя и POPIA, и GDPR разделяют определение данных на персональную информацию и специальную персональную информацию (или конфиденциальные данные в GDPR), POPIA также назначает последним уголовных преступлений .

Попробуйте Cookiebot бесплатно в течение 30 дней — или навсегда, если у вас небольшой веб-сайт

Просканируйте свой веб-сайт бесплатно, чтобы узнать, какие файлы cookie и трекеры используются

Соответствие POPIA Cookiebot

Cookiebot — это ведущая в мире платформа для управления согласием, построенная на основе передовой технологии сканирования, которая обнаруживает все файлы cookie и трекеры на вашем веб-сайте и передает полный контроль конечному пользователю для получения точного детального согласия в полном соответствии с GDPR ЕС, CCPA Калифорнии, Бразильская LGPD, а теперь еще и южноафриканская POPIA.

Cookiebot работает, моделируя несколько реальных пользователей, посещающих ваш веб-сайт, прокручивая, щелкая, просматривая, как это делают люди, чтобы активировать и раскрыть всю сеть файлов cookie, трекеров и троянских коней в вашем домене.

Баннер для файлов cookie

Cookiebot соответствует требованиям GDPR, LGPD, POPIA в Южной Африке и многим другим.

Благодаря настраиваемым баннерам согласия ваши конечные пользователи смогут быстро и плавно дать предпочтительное согласие, в то время как Cookiebot автоматически геотаргетирует каждого пользователя, чтобы убедиться, что представлен правильный интерфейс согласия, будь то GDPR в ЕС или CCPA В Калифорнии.

Cookiebot полностью интегрирован с Google Consent Mode, что позволяет вашему веб-сайту получать ценные аналитические и маркетинговые данные, если ваши пользователи решат отказаться от статистики и маркетинговых файлов cookie.

Cookiebot также является стандартным тегом в Google Tag Manager, бесплатном плагине WordPress и интегрирован как с IAB Europe TCF 2.0, так и с IAB CCPA Framework.

Попробуйте Cookiebot бесплатно в течение 30 дней — или навсегда, если у вас небольшой веб-сайт

Просканируйте свой веб-сайт бесплатно, чтобы узнать, какие файлы cookie и трекеры используются

Начать работу с Google Consent Mode

Подробнее о GDPR и согласии на использование файлов cookie

POPIA в ЮАР, деталь

---

Давайте подробнее рассмотрим детали POPIA в Южной Африке; как он вписывается в текущий правовой режим конфиденциальности данных, какие права он предоставляет гражданам и как компании и организации добиваются соблюдения требований POPIA.

Правовой режим Южной Африки и POPIA

Закон ЮАР о защите личной информации (POPIA) был фактически разработан еще в 2003 году по образцу Европейского законодательства о конфиденциальности данных того времени, Директивы о конфиденциальности, но в последующие годы несколько раз приостанавливался и менялся, когда Общие правила защиты данных (GDPR) вступили в силу и значительно обновили режим конфиденциальности данных в ЕС.

POPIA окончательно вступил в силу 1 июля 2020 года .

Правовой режим конфиденциальности данных в Южной Африке состоит из самой Конституции (которая гарантирует гражданам право на неприкосновенность частной жизни) и Закона об электронных коммуникациях и транзакциях (ECTA) от 2002 года, которые фактически регулируют сбор личной информации. , но делает его соблюдение добровольным для компаний и организаций.

Закон о защите личной информации (POPIA) вступит в силу 1 июля 2021 года, а заменит положения в ECTA, касающиеся защиты личной информации.

24 марта 2021 года, за 100 дней до вступления в силу POPIA, Управление по регулированию информации Южной Африки опубликовало заявление с подробным описанием его приоритетных направлений, в том числе —

• Создание кодексов поведения для соответствия POPIA
• Рассмотрение проекта руководящих указаний по регистрации сотрудников по информации
• Завершение работы над инструкциями и шаблонами для предварительной авторизации, а также для уведомлений о нарушениях безопасности и трансграничных уведомлениях о личной информации.

Регулятор информации ЮАР также заявляет в заявлении от 24 марта, что обязательная регистрация сотрудников по информации будет доступна на их веб-сайте с 1 мая 2021 года под заголовком Guidance Note on Information Officers .

Область применения и применение POPIA

POPIA применяется к любой обработке (сбор, запись, организация, совместное использование, использование, хранение и т. Д.) личной информации ответственной стороной (веб-сайт, компания или организация) l , расположенная в Южной Африке или за ее пределами, если они использовать средства для обработки в ЮАР .

Это означает, что сфера действия POPIA в Южной Африке более ограничена, чем сфера действия GDPR в Европе, которая применяется ко всем, кто обрабатывает персональные данные из ЕС, независимо от того, где они находятся.

Если ваш веб-сайт, компания или организация находится в Южной Африке и вы обрабатываете личную информацию, вы автоматически обязаны соблюдать POPIA.

Если у вас есть веб-сайт, на котором находится не в Южной Африке , но обрабатывает личную информацию о гражданах Южной Африки внутри страны, вы также обязаны соблюдать POPIA.

Сфера действия POPIA в Южной Африке меньше, чем GDPR ЕС.

Просканируйте свой веб-сайт бесплатно, чтобы узнать, где в мире ваш веб-сайт собирает и отправляет данные на

.

Личная информация в соответствии с POPIA

POPIA имеет очень широкое определение личной информации, в основном любая информация, относящаяся к идентифицируемому, живому физическому лицу, компании или аналогичному юридическому лицу , включая, помимо прочего, —

• имена, адреса, номера телефонов, адреса электронной почты,
• информация о возрасте, расе, поле, внешности, характеристиках, сексуальной ориентации, политических убеждениях, религиозных убеждениях, языке,
• данные о здоровье, такие как физическое или психическое здоровье, благополучие, инвалидность,
• онлайн-идентификаторов, таких как адреса электронной почты, IP-адреса, файлы cookie, уникальные идентификаторы, история поиска и браузера, данные о местоположении.

Широкое определение личной информации POPIA охватывает действий, которые происходят на большинстве веб-сайтов в мире , такие как собственные и сторонние файлы cookie, собирающие IP-адреса, историю поиска и браузера, средства отслеживания, устанавливающие уникальные идентификаторы, и многое другое.

Если ваш веб-сайт обрабатывает личную информацию из Южной Африки , например при использовании файлов cookie и аналогичных трекеров вы должны соблюдать POPIA.

Просканируйте свой веб-сайт, чтобы узнать, какие файлы cookie и трекеры обрабатывают данные

Подробнее о GDPR и согласии

Права конечного пользователя в соответствии с POPIA

Так же, как GDPR ЕС и LGPD Бразилии, POPIA в Южной Африке создает совершенно новый набор прав для своих граждан, которые они могут использовать для защиты своих данных и конфиденциальности, получения информации о том, какие данные о них собираются, запроса их исправления и удаления. .

POPIA в Южной Африке обеспечивает защиту конечных пользователей и потоков их данных в Интернете.

POPIA создает следующие права для граждан ЮАР (субъектов данных) —

• Право на получение уведомления о сборе и обработке личной информации
• Право на доступ к личной информации
• Право требовать исправления личной информации
• Право на запрос удаления личной информации
• Право на возражение против обработки личной информации
• Право не обрабатывать личную информацию в целях прямого маркетинга с помощью незапрашиваемых электронных сообщений (четко отражающих Директиву о конфиденциальности, а не GDPR)
• Право не подвергаться решению, которое приводит к юридическим обстоятельствам, основанным исключительно на автоматизированной обработке
• Право на подачу жалобы Регулятору информации
• Право на судебную защиту

Другими словами, граждане ЮАР смогут знать , когда их личная информация, вероятно, будет собрана, и будут иметь право дать согласие на это до того, как это произойдет; будет иметь возможность запросить , чтобы ваш веб-сайт предоставил им доступ, чтобы увидеть, какую личную информацию он о них собрал, а также чтобы эта информация была либо исправлена, либо полностью удалена , среди прочего.

Попробуйте Cookiebot бесплатно в течение 30 дней — или навсегда, если у вас небольшой веб-сайт

Просканируйте свой веб-сайт бесплатно, чтобы узнать, какие данные он обрабатывает от пользователей

Минимальные требования для обработки согласно POPIA

Как и его европейские и бразильские аналоги, южноафриканский стандарт POPIA также устанавливает минимальные требования для компаний и организаций в отношении законной обработки личной информации граждан Южной Африки.

POPIA очень ясно дает понять: личная информация может обрабатываться только в том случае, если конечный пользователь дает согласие на обработку , в том числе для конкретных целей, для которых собирается личная информация.

Субъект данных может отозвать свое согласие в любое время .

Подробнее о согласии в соответствии с Законом Южной Африки о POPIA

POPIA устанавливает восемь условий для законной обработки данных в ЮАР —

• Ответственность (обработка является законной и осуществляется без нарушения конфиденциальности)
• Ограничение обработки (обработка только для данной цели)
• Спецификация цели (конкретная цель должна быть четко определена)
• Дальнейшее ограничение обработки (дополнительная обработка должна по-прежнему соответствовать первоначальной цели, на которую конечный пользователь дал свое согласие)
• Качество информации (убедитесь, что данные полные, точные и актуальные)
• Открытость (документирование всех операций обработки)
• Меры безопасности (должны обеспечивать защиту и конфиденциальность личной информации)
• Участие субъектов данных (обеспечение того, чтобы конечные пользователи могли осуществлять свои права на доступ, исправление и удаление своих данных)

Все восемь условий должны быть соблюдены при обработке личной информации на законных основаниях в соответствии с POPIA .

Ознакомьтесь с условиями обработки в соответствии с Законом Южной Африки о POPIA

Регламент информации (SAIR) и правила POPIA

Основным надзорным и надзорным органом в рамках POPIA является Информационный регулятор (SAIR) , который учрежден самим законом и наделен обязанностями —

• обеспечивает обучение и тренинги по законам о защите данных и соблюдению нормативных требований,
• мониторинг и обеспечение соблюдения для компаний и организаций, которые обрабатывают личную информацию в Южной Африке,
• обработка жалоб от субъектов данных,
• создание руководящих принципов, правил и отраслевых кодексов поведения для практического соблюдения POPIA,
• содействие иностранному сотрудничеству для обеспечения соблюдения POPIA за пределами Южной Африки.

Информационный регулятор (SAIR) является ведущим органом по обеспечению соблюдения и надзором за соблюдением требований POPIA.

Регулятор информации является более широкой структурой в POPIA, чем надзорный орган GDPR, поскольку он не только является ведущим исполнителем и контролером соблюдения POPIA, но также имеет несколько других областей деятельности, таких как авторизация веб-сайтов, компаний и организаций к —

• обрабатывать уникальные идентификаторы субъектов данных с целью, отличной от той, которая предназначалась в точке сбора,
• данные процесса в отношении кредитной отчетности,
• передает специальную личную информацию (или личную информацию детей) из Южной Африки в зарубежную страну, в которой нет надлежащего уровня защиты данных, согласно POPIA.

В декабре 2018 года Информационный регулятор опубликовал правила POPIA для соблюдения и обеспечения соблюдения закона. Эти правила все еще остаются в силе и образуют основу для обеспечения соблюдения POPIA Регулятором информации, которое, однако, начнется не раньше 1 июля 2021 года.

Правила POPIA включают информацию и кодексы поведения в отношении —

• как можно отправлять запросы на исправление или удаление личной информации,
• как можно возражать против обработки личной информации,
• как запросить и получить согласие на незапрашиваемый прямой электронный маркетинг,
• каковы обязанности и обязанности сотрудников по информации,
• спецификация отраслевых кодексов поведения от Регулятора информации,
• как подать жалобу в Регулятор информации,
• и дальнейшие спецификации роли и ответственности регулятора информации.

Правила POPIA Регулятора информации (в формате PDF)

POPIA и GDPR

---

Ключевые различия между POPIA и GDPR

Поскольку Общий регламент ЕС по защите данных (GDPR) так четко отражен в Законе Южной Африки о защите личной информации (POPIA) , имеет смысл противопоставить их друг другу, чтобы выявить ключевые различия в законах — что жизненно важны для веб-сайтов и компаний, чтобы они знали, чтобы ориентироваться в двух режимах и соответствовать требованиям POPIA и GDPR.

Ключевые различия между GDPR и POPIA необходимо учитывать для обеспечения надлежащего соответствия

Личная информация и субъекты данных в соответствии с POPIA и GDPR

POPIA определяет персональную информацию как информацию, относящуюся к идентифицируемому, живому и физическому лицу , что очень близко к GDPR и его определению персональных данных как информации, относящейся к идентифицированному или идентифицируемому физическому лицу («данные субъект », как называют это в обоих законах.).

Однако POPIA также включает в свое определение субъектов данных компаний, организаций и других юридических лиц, в то время как GDPR строго ограничивает свое определение людьми.

Очевидно, что это имеет большое значение, поскольку позволяет компаниям быть не только «ответственными сторонами», но и «субъектами данных» с правами на «личную» информацию, собранную и переданную о них.

Как именно это будет происходить, станет яснее после вступления в силу POPIA с 1 июля 2021 года, но можно с уверенностью сказать, что создаст в Южной Африке совсем другие методы обеспечения конфиденциальности данных , чем GDPR в Европе.

Согласие согласно POPIA и GDPR

Когда дело доходит до определений согласия , POPIA и GDPR практически идентичны.

POPIA определяет согласие как «любое добровольное, конкретное и осознанное выражение воли, на основании которого дается разрешение на обработку личной информации» ; , тогда как GDPR определяет согласие как «любое свободно данное, конкретное, информированное и недвусмысленное указание на пожелания субъекта данных» .

Тем не менее, POPIA конкретно упоминает, что является вопросом интерпретации того, что составляет как добровольное волеизъявление, оставляя открытой дверь для отраслевых стандартов и правоприменительных прецедентов, определяющих практический характер соблюдения POPIA.

Так было с GDPR ЕС, соблюдение которого было обусловлено решением суда и руководящими указаниями Европейского совета по защите данных (EDPB), которым национальные органы по защите данных будут следовать при исполнении закона о защите данных.

В результате надлежащее и законное согласие в соответствии с GDPR стало означать предварительное и явное действие конечных пользователей при взаимодействии с интерфейсами согласия на веб-сайтах, которые не могут иметь предварительно отмеченные флажки или подталкивать пользователей в отношении использования файлов cookie и трекеров.

Как именно согласие примет свою практическую форму посредством обеспечения соблюдения POPIA в Южной Африке, станет ясно после 1 июля 2021 года.

Объем GDPR против POPIA

POPIA применяется к обработке, выполняемой веб-сайтами, компаниями, организациями и другими юридическими лицами, которые расположены внутри Южной Африки — но также и к «ответственным сторонам», которые находятся за пределами Южной Африки, , если они обрабатывают личную информацию внутри ЮАР (не только передача данных по стране).

По сравнению с GDPR ЕС, POPIA имеет меньшую область действия.

GPDR применяется к любой обработке персональных данных внутри ЕС, , независимо от того, где в мире находится контролер данных и / или обработчик данных .

Вместо того, чтобы соответствовать стандарту GDPR, сфера действия POPIA отражает область действия Директивы ЕС по электронной конфиденциальности.

Обработчик данных в GDPR и POPIA

GDPR очень четко описывает разделение ответственности между контроллером данных и процессором данных (т.е. организация, обрабатывающая персональные данные от имени контроллера данных) и определяет, как оба должны обеспечить соответствие GDPR в соответствии с термином совместные контроллеры .

В отличие от GDPR, POPIA обращается только к ответственной стороне , что означает, что веб-сайты, компании и организации несут исключительную ответственность за соблюдение требований POPIA по защите конечных пользователей.

Не имея совместных контролеров в соответствии с законом, таким как GDPR, POPIA создает большую ответственность для веб-сайтов и компаний, которые в конечном итоге несут ответственность за всю обработку информации своих конечных пользователей , даже если это делается компаниями adtech или платформы социальных сетей, встроенные в их веб-сайты с помощью файлов cookie и трекеров.

Сотрудник по информации в POPIA и GDPR

Ответственный за защиту данных GDPR отражается в POPIA как сотрудник по информации, которого должна назначить любая ответственная сторона. Однако роль информационного сотрудника в POPIA значительно отличается от его эквивалента GDPR.

В соответствии с GDPR сотрудник по защите данных должен обладать специальными знаниями и обучением в области законодательства ЕС о конфиденциальности данных, но он не требуется автоматически в каждой компании или организации и фактически может быть внешним независимым надзорным органом.

Согласно POPIA , сотрудник по информации является обязательным для каждой компании и организаций и автоматически назначается генеральному директору — его невозможно назначить внешней независимой стороной. От сотрудника по информации не требуется иметь какое-либо предварительное обучение или опыт работы с режимом конфиденциальности данных в Южной Африке, но он должен быть зарегистрирован в Регуляторе информации (SAIR).

POPIA также требует, чтобы компании и организации назначили заместителя сотрудника по информационным технологиям , должность, не имеющая эквивалента в GDPR.

POPIA Южной Африки и адекватность ЕС

Южная Африка сегодня не рассматривается ЕС как имеющая адекватный уровень защиты данных и поэтому считается третьей страной, требующей дополнительных уведомлений, согласия и юридических оснований для случаев, когда веб-сайты, компании и организации внутри ЕС передают данные в страну.

В связи с тем, что POPIA действует в Южной Африке, в будущем ЕС может принять решение об адекватности, которое обеспечит гораздо более легкий обмен данными между странами-членами ЕС и Южной Африкой.

Резюме: POPIA в Южной Африке

---

С вступлением в силу Закона о защите личной информации (POPIA) в Южной Африке появился еще один сильный закон о защите конфиденциальности данных, который присоединился к расширяющейся сети расширения прав и возможностей конечных пользователей, распространяющейся по всему миру и в Интернете.

Тесно согласованный с Общим регламентом ЕС о защите данных, POPIA обеспечивает тщательную защиту конфиденциальности данных для граждан Южной Африки и, вероятно, принимает решение ЕС об адекватности, открывая путь для беспрепятственной и безопасной передачи личных данных между ними.

Cookiebot обеспечивает соблюдение большинства основных мировых законов о конфиденциальности данных, таких как GDPR ЕС, CCPA Калифорнии, LGPD Бразилии и POPIA Южной Африки.

Попробуйте Cookiebot бесплатно в течение 30 дней — или навсегда, если у вас небольшой веб-сайт.

Просканируйте свой веб-сайт, чтобы узнать, какие файлы cookie и трекеры используются

Подробнее о GDPR и согласии

Начать работу с Google Consent Mode

FAQ

---

Что такое POPIA в Южной Африке?

Закон о защите личной информации (POPIA) — это закон Южной Африки о конфиденциальности данных, который наделяет граждан юридически закрепленными правами на их личную информацию, требует, чтобы веб-сайты, компании и организации соответствовали минимальным условиям для законной обработки, и устанавливает Регулятор информации для надзора. и обеспечить соблюдение POPIA.

Попробуйте Cookiebot бесплатно в течение 30 дней — или навсегда, если у вас небольшой веб-сайт.

Кому применяется POPIA?

Закон о защите личной информации (POPIA) применяется к веб-сайтам, компаниям, организациям и другим юридическим лицам, которые находятся на территории Южной Африки и обрабатывают личную информацию. Однако POPIA также применяется к ответственным сторонам, которые находятся за пределами Южной Африки, если они обрабатывают личную информацию внутри страны (а не только передают ее через нее).

Просканируйте свой веб-сайт, чтобы узнать, какие данные обрабатывает ваш веб-сайт

Как я могу соответствовать требованиям POPIA в Южной Африке?

Соблюдение POPIA означает запрос и получение предварительного согласия конечных пользователей перед любой обработкой их личной информации. Соответствие также означает выполнение нескольких минимальных требований для законной обработки, таких как документация, безопасность и конфиденциальность, а также обеспечение того, чтобы конечные пользователи могли реализовать свое право на доступ, исправление и удаление уже собранных данных.

Зарегистрируйтесь на Cookiebot бесплатно сегодня

Как я могу сканировать свой веб-сайт на наличие файлов cookie и трекеров?

Использование платформы управления согласием, такой как Cookiebot, может помочь вам раскрыть все файлы cookie и трекеры, работающие на вашем веб-сайте, которые обрабатывают личную информацию, и увидеть, в какую точку мира ваш домен отправляет данные.

Просканируйте свой веб-сайт бесплатно, чтобы узнать, какие файлы cookie и трекеры используются

Ресурсы

---

POPIA объединяет Южную Африку с лучшими мировыми практиками защиты данных, IAPP

Закон ЮАР о защите личной информации (закон POPIA), официальный закон

Подробнее о GDPR и согласии на использование файлов cookie

Подробнее о рекомендациях EDPB для действительного согласия в соответствии с GDPR

Подробнее о файлах cookie, трекерах и отслеживании веб-сайтов

ЮАР POPIA вступает в силу 1 июля, The National Law Review

Сравнение POPIA и GDPR в ключевых областях, TechGDPR

POPIA 101: Основы нового закона Южной Африки о конфиденциальности данных

POPIA меняет способ обработки личных данных южноафриканскими организациями.Вот что вам нужно знать.

Ключевые точки:

• POPIA вступил в силу 1 июля 2020 г., и южноафриканские организации должны до 30 июня 2021 г. стать совместимыми.
• Регламент дает физическим лицам более строгий контроль над тем, как их личные данные собираются и используются. Это также создает новые риски для организаций, обрабатывающих персональные данные.
• Есть несколько передовых методов и ресурсов, которые организации могут использовать на пути к соблюдению нормативных требований.

Закон Южной Африки о защите конфиденциальности личных данных (POPIA) — одно из новейших дополнений, которое набирает обороты в законодательстве о конфиденциальности данных после принятия Общего регламента по защите данных (GDPR) в Европе и Закона о конфиденциальности потребителей Калифорнии (CCPA). Хотя между GDPR, CCPA и POPIA есть ключевые различия, все они построены на одних и тех же руководящих принципах подотчетности, прозрачности, безопасности, минимизации данных и прав субъектов данных. POPIA дает людям гораздо больший контроль над своими личными данными, заставляя компании обосновывать, что они с ними делают, как долго они хранят и как защищают.[1]

POPIA был введен в действие парламентом 1 июля 2020 года, и организациям был предоставлен годичный льготный период для выполнения требований до 1 июля 2021 года. Теперь, когда мы прошли более половины этого льготного периода, большинству южноафриканских организаций следует быть на пути к полному соблюдению.

ПОПИЯ 101

POPIA предоставляет гражданам юридически закрепленные права в отношении их личной информации (например, право на доступ, право на исправление, право на удаление), устанавливает восемь минимальных требований для законной обработки и дает широкое определение личной информации для комплексной защиты субъектов данных.

В отличие от GDPR, POPIA не является экстерриториальным. Это означает, что POPIA только применяется к организациям, которые находятся в Южной Африке и / или обрабатывают данные в ней. Однако внутри страны POPIA шире с точки зрения того, к кому она применяется. GDPR защищает только живых людей, тогда как POPIA также защищает компании и организации как юридических лиц.

Постановлениями также учрежден Информационный регулятор, независимый орган, который будет выполнять функции ведущего исполнителя и надзора за соблюдением закона.Для тех, кто не соблюдает POPIA, наказания могут включать штраф до 10 миллионов рандов и / или до 10 лет лишения свободы. [2]

Организации также столкнутся с риском коллективных исков по POPIA. Хотя коллективные иски относительно новы в Южной Африке, POPIA предлагает субъектам данных возможность возбуждать гражданские иски о возмещении ущерба против организаций, независимо от намерений организаций [3]. Эти групповые иски могут быть облегчены регулятором информации без обычной юридической тяжелой работы типичного группового иска, которая, вероятно, сделает их более вероятными.Не говоря уже о риске серьезного ущерба репутации для компаний, которые не соблюдают правила.

Определение ключевых терминов POPIA

Те, кто знаком с GDPR, могут узнать термины «контролер данных», «обработчик данных» и «субъект данных». POPIA построена на тех же ролях, но с немного другой терминологией: [4]

• Ответственная сторона: Государственный или частный орган, определяющий цель и средства обработки личной информации субъекта данных.
• Оператор : Сторона, которая обрабатывает личную информацию от имени ответственной стороны. Mimecast — это пример оператора.
• Субъект данных: Любая сторона, к которой относится личная информация.

POPIA относится к «личной информации» субъекта данных, тогда как GDPR относится к «информации, позволяющей установить личность». Эти два понятия похожи, хотя личная информация в более широком смысле включает любых личных данных, касающихся физического или юридического лица.

Сюда входит, помимо прочего, информация о расе, поле, образовании, семейном положении, криминальном прошлом, трудовой книжке, медицинских данных и политической принадлежности. POPIA выделяет отдельную категорию для «специальной личной информации», такой как религиозные убеждения, членство в профсоюзах или сексуальная ориентация, и имеет особые правила обработки личной информации ребенка. [5]

В соответствии с POPIA субъектам данных предоставляется девять прав, касающихся обработки их данных.Это включает право получать уведомления о том, когда и как собираются данные, право на доступ к указанным данным, а также право исправлять или удалять информацию. [6]

Участие субъекта данных — это лишь одно из восьми условий [7] законной обработки данных POPIA, перечисленных ниже:

1. Отчетность
2. Ограничение обработки
3. Спецификация назначения
4. Дальнейшее ограничение обработки
5. Качество информации
6. Открытость
7. Меры безопасности
8. Участие субъекта данных

Из этих восьми условий важно выделить меры безопасности как, возможно, наиболее рискованные для организаций, поскольку они говорят об их способности защищаться от утечки данных.В соответствии с разделом 19 главы 3 POPIA ответственные стороны должны принять соответствующие меры для предотвращения «(а) потери, повреждения или несанкционированного уничтожения личной информации; и (b) незаконный доступ к личной информации или ее обработка ». [8]

Важно отметить, что пункт (b) расширяет традиционную концепцию утечки данных за пределы простого кражи данных. Любой несанкционированный доступ к личной информации является нарушением, даже если киберпреступник или сотрудник ничего не делает с этими данными.

Если есть «разумные основания полагать, что личная информация субъекта данных была доступна или получена каким-либо неуполномоченным лицом», ответственные стороны должны уведомить Регулятор информации и субъектов данных «как можно скорее после обнаружения компромисс ». [9]

Становление соответствия POPIA

В соответствии с POPIA ответственные стороны могут по-прежнему считаться соответствующими, если они становятся жертвами утечки данных — при условии, что они могут доказать, что выполнили все правильные шаги в соответствии с POPIA для предотвращения этого.Поэтому важно не срезать углы на пути вашей организации к соблюдению нормативных требований, поскольку успешное соблюдение требований поможет предотвратить как потерю данных, так и юридические последствия.

Соответствие

означает, что ответственные стороны должны соответствовать нескольким минимальным требованиям для законной обработки данных, таким как документация, безопасность и конфиденциальность, и гарантировать, что конечные пользователи могут реализовать свое право на доступ, обновление и удаление ранее собранных данных.

«Самым большим препятствием является то, что люди надеются на кратчайшие пути, а на самом деле сокращений нет», — говорит Брайан Пиннок, старший директор по продажам MEA в Mimecast.«Вы должны пройти многоэтапный процесс, и первый шаг — выяснить, какая информация у вас есть и как вы ее обрабатываете. Это само по себе огромная проблема ».

Итак, что является хорошей отправной точкой для организаций?

«Обязательно попробуйте получить некоторую помощь», — рекомендует Пиннок. «Вы можете оптимизировать некоторые процессы, используя уважаемых поставщиков, таких как Mimecast или аналогичных поставщиков, для управления аспектами ваших данных. Не создавайте свой технологический стек с нуля — используйте компании, которые уже соответствуют определенным стандартам.«Помимо привлечения поставщиков средств кибербезопасности, организации могут привлекать специалистов по правовым вопросам с программами соблюдения нормативных требований, которые помогут направить процесс.

Итог

POPIA расширяет права субъектов данных, привлекая организации к ответственности за ответственное хранение их личной информации. Регламент также создает новые риски для организаций, о которых они должны постоянно помнить, чтобы избежать компрометации данных или юридических санкций, поэтому крайне важно, чтобы ответственные стороны соблюдали правила и .В течение следующих нескольких месяцев мы углубимся в POPIA в этом блоге, чтобы развенчать распространенные заблуждения, изучить нюансы закона, дать советы организациям и многое другое.

[1] «Соответствие POPIA: версия GDPR для Южной Африки», NetApp

.

[2] «Глава 11, статья 107: Штрафы», POPIA

[3] «Компании, неспособные защитить данные клиентов, могут столкнуться с гражданским ущербом даже в результате коллективных исков», Independent Online

[4] «Глава 1, Раздел 1: Определения», POPIA

[5] «Что означает личная информация?» Михалсонс

[6] «Глава 2, раздел 5: Права субъектов данных», POPIA

[7] «Закон Южной Африки о защите личной информации, 2013 г., вступает в силу 1 июля», National Law Review

.

[8] «Глава 3, раздел 17: Меры безопасности по обеспечению целостности и конфиденциальности личной информации», POPIA

[9] «Глава 3, раздел 22: Уведомления о нарушениях безопасности», POPIA

.

Хотите больше подобных замечательных статей? Подпишитесь на наш блог.

Получайте все последние новости, советы и статьи прямо на ваш почтовый ящик

Спасибо за подписку

Вскоре вы получите электронное письмо

Вернитесь к статье, пожалуйста

.

No related posts.