Политика обработки персональных данных
Оглавление
- Общие положения
- Правовые основания обработки персональных данных
- Порядок и условия обработки персональных данных
- Права субъектов персональных данных
- Права и обязанности Оператора
1. Общие положения
Настоящий документ (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в ООО «Код Безопасности» (далее – Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.
Политика действует бессрочно после утверждения и до ее замены новой версией.
В Политике используются термины и определения в соответствии с их значениями, как они определены в ФЗ-152 «О персональных данных».
Обработка персональных данных Оператора осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных.
2. Правовые основания обработки персональных данных
Обработка персональных данных осуществляется Оператором на законной и справедливой основе, на основании следующих документов:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных»;
- Федеральный закон от 06.04.2011г. № 63-ФЗ «Об электронной подписи»;
- Федеральный закон от 04.05.2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности»;
- Федеральный закон от 07.07.2003г. № 126-ФЗ «О связи»;
- Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
- Федеральный закон от 29.12.2012 N 273-ФЗ «Об образовании в Российской Федерации»;
- Устав ООО «Код Безопасности».
3. Порядок и условия обработки персональных данных
Обработка персональных данных Оператором ведется смешанным способом, т.е. происходит как, с использованием средств автоматизации, так и без таковых.
Осуществляются следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
При обработке обеспечиваются точность, достаточность и актуальность персональных данных по отношению к целям их обработки. При обнаружении неточных или неполных персональных данных производится их актуализация.
Получение и обработка персональных данных в случаях, предусмотренных ФЗ-152, осуществляется Оператором с письменного согласия субъекта персональных данных. Равнозначным согласию в письменной форме на бумажном носителе, содержащему собственноручную подпись субъекта персональных данных, признается согласие в форме электронного документа, подписанного квалифицированной электронной подписью.
Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено ФЗ-152.
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.
Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.
Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки.
Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений и поручений.
- цели, условия, сроки обработки персональных данных;
- обязательства сторон, в том числе меры по обеспечению безопасности персональных данных;
- права, обязанности и ответственность сторон, касающиеся обработки персональных данных.
В случаях, явно не предусмотренных действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством.
К таким мерам, в частности, относятся:- назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
- проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
- издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
- обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
- ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
- определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
- применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
- учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
- резервное копирование информации для возможности восстановления;
- осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.
4. Права субъектов персональных данных
Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5. Права и обязанности Оператора
Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.
Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных.
Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и контрагентом гражданско-правового договора или Соглашения о конфиденциальности информации.
Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.
Политика обработки персональных данных разрабатывается ответственным за организацию обработки персональных данных и вводится в действие после утверждения руководителем Оператора.
Предложения и замечания для внесения изменений в Политику следует направлять по адресу [email protected]. Политика пересматривается ежегодно для поддержания в актуальном состоянии и актуализируется по мере необходимости.
Требования, предъявляемые законом к обработке ПДн в облаке — «ИТ-ГРАД»
Теперь, когда ситуация с трактованием персональных данных прояснилась (смотрите статью «Тонкости законодательства – что относится к персональным данным с точки зрения российского регулятора»), самое время обсудить требования, предъявляемые законом к обработке ПДн.
О чем говорит закон
Здесь сразу стоит обратить внимание на принципы обработки ПДн, введенные в статьях 5 и 6 закона «О персональных данных». Рассмотрим наиболее значимые пункты:
- Обработка ПДн должна проводиться на законной и справедливой основе, то есть для каждого случая обработки персональных данных должно быть законное основание, или нормы, прямо предусмотренные законодательством, или согласие субъекта ПДн.
- Закон требует ограничивать обработку ПДн конкретными, заранее определенными и законными целями, при этом нельзя обрабатывать данные в целях, которые не были заявлены при сборе.
Пример нарушения
Для понимания сказанного приведем пример, когда автомобилистам известной сети заправок предложили заполнить анкеты, чтобы оформить дисконтную карту. Позже автомобилисты получили предложение от банка на аккредитацию и размещение средств. Хотя в анкете не говорилось о том, что банк обратится к клиенту с предложением услуг, в нарушение 15 статьи закона «О персональных данных» и 18 статьи закона «О рекламе». Поскольку ни один из субъектов не давал согласия – это классический пример обработки ПДн, несовместимой с целями, заявленными при их сборе.
- Состав и объем обрабатываемых персональных данных должен соответствовать цели их обработки. Отклонение от указанных требований является нарушением.
Пример нарушения
Как известно, кадровый орган хранит персональные данные сотрудников, включая копии свидетельства о рождении детей, как того требует фонд социального страхования, когда предоставляется отпуск по уходу за ребенком, и свидетельства о браке – это нужно для того, чтобы подтвердить социальный статус работника. В этих документах присутствует графа «национальность родителей», «национальность брачующихся». Она заполняется по желанию, но эти сведения относятся к специальной категории персональных данных, требующих согласия на обработку, и наличие такой копии в электронном виде в личном деле работника – два административных правонарушения: обработка ПДн специальной категории без согласия в письменной форме и незаконная обработка персональных данных, поскольку сведения о национальности для достижения целей, предусмотренных 86 статьей Трудового кодекса, работодателю совсем не нужны.
- Следующий принцип обработки – точность, достаточность и актуальность обрабатываемых данных. Если данные являются неточными, неактуальными, незаконно полученными или не соответствуют цели обработки, закон требует от оператора ПДн либо уточнить эти данные, либо уничтожить. Во многих случаях это оказывает влияние на решение, принимаемое в отношении субъектов ПДн, и затрагивает их законные права.
- Последний принцип, на котором надо остановиться, – закон разрешает хранить ПДн только до того момента, когда будет достигнута цель обработки или минует надобность для достижения этой цели. После этого данные должны быть уничтожены или обезличены.
Если данные являются неточными, неактуальными, незаконно полученными или не соответствуют цели обработки, закон требует от оператора ПДн либо уточнить эти данные, либо уничтожить. Во многих случаях это оказывает влияние на решение, принимаемое в отношении субъектов ПДн, и затрагивает их законные права.Условия обработки персональных данных
Следующий важный момент касается условий обработки персональных данных. Для лучшего понимания мы подготовили перечень, который позволит определить, насколько законной является обработка ПДн.
- Наличие согласия субъекта ПДн. Помните, что наличие согласия субъекта персональных данных – это всегда правильно и хорошо. Причем оно должно быть сознательным, информированным и конкретным. В некоторых случаях одного согласия может быть недостаточно, в дополнение требуется определить цель, которая будет достигаться, и действия, которые будут выполняться с ПДн.
- Обработка ПДн допускается, если это предусмотрено в международном договоре или законе. Это особенно важно понимать, поскольку в России существует масса законов, прямо предписывающих организацию обработки ПДн, начиная от Трудового кодекса, закона «О связи», заканчивая законами «О кредитных историях», «О банках и банковской деятельности».
- Наличие договора, в котором субъект ПДн выступает выгодоприобретателем/поручителем, или наличие инициативы субъекта заключить такой договор. Предположим, человек ищет работу и отправляет свое резюме или анкету в компанию. В этом случае получать согласие от соискателя на вакантную должность не требуется, поскольку, предоставив резюме, человек выражает стремление заключить трудовой договор и тем самым дает согласие на обработку ПДн. Однако в последнее время Роскомнадзор поясняет что, если сбор резюме производится через веб-сайт, это требует получения от субъекта согласия на обработку ПДн.
- Без согласия могут обрабатываться ПДн, полученные из общедоступных источников, которые подлежат опубликованию или обязательному раскрытию. Несмотря на кажущуюся простоту и очевидность рассматриваемого вопроса, подходить к этому пункту стоит с особой осторожностью. Дело в том, что было несколько громких дел, когда решение верховного и арбитражного судов сводилось к тому, что без согласия доказываемого субъекта ПДн данные, размещенные на общедоступном источнике для неограниченного доступа пользователей, было запрещено обрабатывать. С этим можно соглашаться или не соглашаться, но решение суда для ряда конкретных случаев вступило в законную силу.
В некоторых случаях одного согласия может быть недостаточно, в дополнение требуется определить цель, которая будет достигаться, и действия, которые будут выполняться с ПДн.
Однако в последнее время Роскомнадзор поясняет что, если сбор резюме производится через веб-сайт, это требует получения от субъекта согласия на обработку ПДн.Согласие субъекта – тонкости и особенности
Важно понимать, что согласие субъекта дается свободно, своей волей и в своем интересе.
Согласие должно быть конкретным, информированным, сознательным и полученным в любой доказанной форме, если иное не установлено федеральным законом.
Но и здесь не обходится без нюансов. Как показывает практика, наиболее частым способом выражения согласия являются конгруэнтные действия, когда, к примеру, посетитель предоставляет паспорт на ресепшен и с документом производят какие-либо действия: ксерокопируют, сканируют, выписывают данные, при этом человек молчит, подтверждая тем самым согласие на обработку ПДн. Помните, что такой способ выражения согласия не предусмотрен законом.
Какие требования необходимо выполнить, если сбор ПДн осуществляется через веб-сайт?
В этом случае регулятор хочет видеть дисклеймер, который говорит о согласии субъекта с пользовательским соглашением, определяющим порядок работы с персональными данными и политикой оператора, сведения которого реализуются для защиты этих ПДн.
В некоторых случаях закон предусматривает не просто согласие в любой доказанной форме, а согласие в письменном виде.
Закон «О персональных данных» описывает пять таких ситуаций:
- Включение персональных данных в общедоступные источники.
- Обработка специальных категорий персональных данных.
- Обработка биометрических персональных данных.
- Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов.
- Принятие решений, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных.
При этом два случая в законе «О персональных данных» явным образом не прописаны. К ним относятся:
- Распространение персональных данных членов (участников) общественного объединения или религиозной организации.
- Передача ПДн третьим лицам, если условием лицензии на осуществление деятельности оператора является запрет на такую передачу.
Остались вопросы?
Переходите по ссылке на запись вебинара Облако в соответствии с законом «О персональных данных» и следите за новыми материалами первого блога о корпоративном IaaS. В следующей статье мы рассмотрим зоны ответственности заказчика и облачного провайдера, поговорим об особенностях аутсорсинга обработки ПДн, а также расскажем, на что следует обратить внимание при выборе провайдера, предлагающего услуги по «ФЗ-152».
Оцените статью
☆☆☆☆☆Политика в отношении обработки персональных данных
АО «Аэропорт Рощино» (далее — Общество) внесено в реестр операторов, осуществляющих обработку персональных данных 15.04.2014 (регистрационный номер 72-14-001214).
Назначение и область действия
Политика Общества в отношении обработки персональных данных (далее — Политика) публикуется на официальном сайте Общества в соответствии с требованиями части 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Она определяет основные направления деятельности Общества в области обработки и защиты персональных данных, соблюдения прав субъектов персональных данных.
Определения
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К такой информации, в частности, относятся: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, а также другая информация.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Безопасность персональных данных — защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Цели обработки персональных данных
Обработка персональных данных Обществом осуществляется в целях:
- содействия работникам в трудоустройстве;
- обеспечения личной безопасности работников;
- контроля количества и качества выполняемой работы;
- обеспечения сохранности имущества работника и Общества;
- осуществления производственной деятельности в соответствии с полномочиями, возложенными на Общество законодательством Российской Федерации, а также Уставом Общества.
Общие положения
Понимая важность и ценность информации о человеке, а также заботясь о соблюдении конституционных прав субъектов персональных данных, Общество обеспечивает надежную защиту их персональных данных.
Обработка и обеспечение безопасности персональных данных в Обществе осуществляется в соответствии с требованиями Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных»), других определяющих случаи и особенности обработки персональных данных федеральных законов, подзаконных актов, руководящих и методических документов ФСТЭК России и ФСБ России.
Общество осуществляет обработку персональных данных смешанным способом (как автоматизированная, так и без использования средств автоматизации — неавтоматизированная).
Требования по обеспечению безопасности персональных данных при их обработке в информационных системах с использованием средств автоматизации, а также при неавтоматизированной обработке, установлены соответствующими инструкциями Общества.
Сроком или условием прекращения обработки персональных данных является прекращение деятельности Общества (ликвидация), изменение состава полномочий, возложенных на Общество, истечение сроков хранения, установленных законодательством Российской Федерации.
Принцип обработки персональных данных
Обработка персональных данных осуществляется на законной основе.
Обществом не раскрываются третьим лицам и не распространяются персональные данные без согласия субъекта персональных данных (если иное не предусмотрено действующим законодательством Российской Федерации).
Конкретные цели определяются до начала обработки персональных данных.
Осуществляется сбор только тех персональных данных, которые являются необходимыми и достаточными для заявленной цели обработки.
Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
Уничтожение персональных данных проводится по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Условия обработки персональных данных
Обработка персональных данных в Обществе осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Обработка персональных данных допускается в следующих случаях:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Права субьектов персональных данных в части обработки их персональных данных
Субъект, персональные данные которого обрабатываются в Обществе, имеет право:
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отозвать свое согласие на обработку персональных данных;
- требовать устранения неправомерных действий Общества в отношении его персональных данных;
- обжаловать действия или бездействие Общества в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если гражданин считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
получать информацию:
- о подтверждении факта обработки персональных данных Обществом;
- о правовых основаниях и целях обработки персональных данных;
- о применяемых Обществом способах обработки персональных данных;
- о наименовании и местонахождении Общества;
- о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
- перечень обрабатываемых персональных данных, относящихся к гражданину, от которого поступил запрос, и информацию об источниках их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
- сведения о сроках обработки персональных данных, в том числе сроках их хранения;
- об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
- сведения о порядке осуществления гражданином прав, предусмотренных Федеральным законом «О персональных данных»;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
Общество обязано сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
Сведения о наличии персональных данных предоставляются субъекту персональных данных в доступной форме, и в них не содержатся персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Сведения о реализуемых требованиях к защите персональных данных
Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
К таким мерам, в соответствии со статьями 18.1 и 19 Федерального закона «О персональных данных», в частности, относятся:
- назначение лица, ответственного за организацию обработки персональных данных, и лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях;
- разработка и утверждение локальных актов по вопросам обработки и защиты персональных данных;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных;
- осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных», подзаконным нормативным актам и локальным актам Общества;
- соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих сохранность персональных данных;
- ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки и защиты персональных данных, и обучение работников Общества.
Заключительные положения
- Пересмотр положений настоящей Политики проводится в следующих случаях:
- при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
- при изменении целей обработки персональных данных;
- при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Общества;
- по результатам контроля выполнения требований по обработке и защите персональных данных;
- по решению руководства Общества.
Политика обработки персональных данных
2.1 Оператор осуществляет обработку персональных данных в целях реализации функций, возложенных на Оператора нормативными правовыми актами, исполнения договорных обязательств, одной из сторон которых являются субъекты персональных данных, а также в иных, предусмотренных законом целях.
2.2 Оператор может осуществлять сбор и обработку персональных данных своих сотрудников, кандидатов на занятие вакантных должностей, а также клиентов, их представителей и выгодоприобретателей и иных лиц, состоящих с Оператором в договорных и иных гражданско-правовых отношениях, а также обработку персональных данных иных лиц, если данная обработка поручена в соответствии с требованиями Закона. При сборе и последующей обработке персональных данных Оператор обязуется соблюдать основные принципы и условия обработки, определяемые Законом.
2.3 Оператор обрабатывает персональные данные в объеме и в течение срока, необходимых для выполнения договорных обязательств, требований федерального законодательства, а также собственных целей ведения бизнеса и предоставления услуг. В случаях, предписанных Законом, Оператор оставляет за собой право запрашивать соответствующее согласие субъектов на обработку их персональных данных и отказать в предоставлении услуг в случае неполучения такого согласия.
2.4 Обработка персональных данных осуществляется только уполномоченными сотрудниками Оператора, после принятия достаточных мер безопасности, обеспечивающих защиту персональных данных и в соответствии с нормативными документами, регламентирующими процессы обработки и защиты персональных данных. Обработка и хранение персональных данных может осуществляться как в бумажном, так и в электронном виде, с использованием средств автоматизации или без них.
2.5 Оператор может прибегать к привлечению третьих лиц для обработки персональных данных только в случае оправданной необходимости. Оператор обязуется предпринять все необходимые меры для обеспечения того, чтобы привлеченные к обработке персональных данных третьи лица действовали в соответствии с настоящей Политикой и не ставили под угрозу конфиденциальность персональных данных.
2.6 Оператор может осуществлять передачу персональных данных субъектов третьим лицам при условии, что данная передача обусловлена требованиями федерального законодательства, условиями договоров, заключенных с субъектом или разрешена соответствующим согласием субъекта. Передача персональных данных осуществляется безопасным способом с использованием защищенных каналов передачи данных. Передача персональных данных третьей стороне может осуществляться только на основании договора с Оператором, содержащего требования по защите передаваемых персональных данных, обязанностей и ответственности третьей стороны по выполнению данных требований, если иное не оговорено федеральным законодательством.
Политика конфиденциальности
5.1 Обработка ПДн осуществляется на основе следующих принципов:
обработка ПДн осуществляется на законной и справедливой основе;
обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
обработка ПДн, несовместимая с целями сбора ПДн, не допускается;
не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям обработки;
при обработке ПДн обеспечивается точность ПДн и их достаточность, в случаях необходимости и актуальность ПДн по отношению к заявленным целям их обработки;
хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.
5.2 Общество осуществляет обработку персональных данных путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи, блокирования, удаления, уничтожения.
5.3 В Обществе используется смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки персональных данных с передачей информации по внутренней локальной сети Общества и с передачей информации по информационно-телекоммуникационной сети «Интернет» в защищенном режиме.
5.4 Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, состояния здоровья.
5.5 Общество не осуществляет обработку биометрических персональных данных субъектов персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
5.6 Общество не осуществляет трансграничную передачу персональных данных на территории иностранных государств.
5.7 Общество передает обрабатываемые персональные данные в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях и в случаях, предусмотренных законодательством Российской Федерации, в том числе:
в рамках осуществления информационного взаимодействия в сфере обязательного социального страхования;
для уплаты налогов на доходы физических лиц, обязательных страховых платежей и взносов;
в целях осуществления правосудия, исполнения судебного акта;
при ответах на официальные письменные мотивированные запросы правоохранительных органов и органов судебной власти, других уполномоченных государственных органов.
5.8 В целях информационного обеспечения в Обществе могут быть созданы общедоступные источники персональных данных (справочники), в которые с письменного согласия работника ООО «Центра Развития Цифровых Платформ» включаются его фамилия, имя, отчество, сведения о должности и месте работы, служебные телефонные номера и иные персонифицированные сведения, сообщаемые работником Общества для размещения в указанных источниках.
5.9 Общество прекращает обработку персональных данных в следующих случаях (если иное не предусмотрено федеральными законами):
достижение цели обработки персональных данных;
изменение, признание утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
выявление неправомерной обработки персональных данных, осуществляемой Обществом;
отзыв субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Законом обработка персональных данных допускается только с согласия субъекта персональных данных.
5.10 Уничтожение Обществом персональных данных осуществляется в порядке и сроки, предусмотренные ст.21 Закона, в том числе:
в случае достижения цели обработки ПДн, если отсутствует иное законное основание для их обработки – в срок, не превышающий 30 дней;
в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если отсутствует иное законное основание для их обработки – в срок, не превышающий 30 дней;
в случае выявления неправомерной обработки ПДн, если обеспечить правомерность обработки ПДн невозможно – в срок, не превышающий 10 рабочих дней.
5.11 В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п.5.10 настоящего документа, Общество осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более 6 месяцев, если иной срок не установлен федеральными законами.
5.12 Принятие Обществом на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.
5.13 При поручении обработки персональных данных другому лицу Общество заключает договор (поручение оператора) с этим лицом и получает согласие субъекта персональных данных, если иное не предусмотрено Законом. При этом Общество в поручении оператора обязует лицо, осуществляющее обработку персональных данных по поручению ООО «Центра Развития Цифровых Платформ», соблюдать принципы и правила обработки персональных данных, предусмотренные Законом.
5.14 В случаях, когда Общество поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных по поручению ООО «Центра Развития Цифровых Платформ», несет ответственность перед Обществом.
ПЛЮС | FAQ по защите персональных данных
Давайте разберем ситуацию. Перво-наперво, почему возникает такой вопрос. Дело в том, что согласно закону , если сведения, которые характеризуют физиологические и биологические особенности человека (биометрические персональные данные), используются оператором для установления личности субъекта, то обязательно требуется его согласие, выраженное в письменной форме. Поэтому, заданный вопрос трансформируется в дилемму: «Надо или не надо брать письменное согласие субъекта на обработку биометрических персональных данных, если на объекте используется система видеонаблюдения?» А это уже нетривиальная задача, особенно когда на объекте имеется большое число посетителей, а камеры видеонаблюдения установлены в коридорах организации.
Вспомним также, что из определения, данного в законе, к биометрическим персональным данным относятся сведения, которые «характеризуют физиологические особенности человека и на основе которых можно установить его личность». Таким образом, закон оговаривает возможность, а не факт установления личности субъекта, то есть это не одно и то же, что «позволяют установить личность». Между тем, сами по себе «физиологические особенности человека» – это объективная реальность, данная нам в ощущениях и присущая именно индивиду, а не его изображению или электронной форме записи этого изображения. Следовательно, любое изображение человека (в том числе и видеозапись, сделанная системой видеонаблюдения) содержит в себе биометрические персональные данные, так как оно объективно отражает физиологические особенности человека и их можно использовать для идентификации.
Обратим также внимание на то, что закон, не исключая вообще факта обработки биометрических персональных данных, накладывает особые условия их обработки (письменное согласие субъекта) только в одном конкретном случае: когда целью обработки биометрических данных является установление личности субъекта. В остальных случаях ограничений на обработку биометрических данных закон не накладывает. То есть, основным квалификационным признаком отнесения той или иной информационной системы под юрисдикцию статьи 11 Федерального закона № 152-ФЗ «О персональных данных», будет являться не сам факт обработки биометрических персональных данных, а факт их использования для идентификации субъекта.
Использование систем видеонаблюдения, как правило, относится к компетенции служб безопасности объектов. При этом, как правило, такие системы относятся к системам охраны объектов и предназначаются для общего наблюдения за обстановкой на объекте, обнаружения каких-либо фактов нарушения установленного на объекте режима безопасности и фиксации (в том числе автоматически, без участия оператора) таких фактов для последующего ретроспективного контроля видеообстановки на охраняемом объекте. То есть, сама по себе система видеонаблюдения не используется непосредственно для идентификации субъекта по его биометрическим данным.
Следовательно, системы видеонаблюдения, предназначенные для контроля обстановки на объекте, не подпадают под юрисдикцию статьи 11 Федерального закона № 152-ФЗ «О персональных данных», так как не используют биометрические данные для идентификации субъекта персональных данных.
Теперь предположим, что на объекте произошел факт нарушения установленного режима безопасности с участием одного или нескольких субъектов, который был зафиксирован системой видеонаблюдения. Для принятия мер к нарушителям по данному факту необходимо установить личности субъектов его совершивших, то есть необходимо идентифицировать субъектов по физиологическим особенностям, зафиксированным на видеозаписи системы видеонаблюдения. Все действия по установлению причастных к факту нарушения проводятся в рамках процедуры расследования инцидента. Примем во внимание, что факт нарушения режима безопасности является противоправным действием (иначе зачем принимать какие-то меры в отношении субъекта?), а субъект в этом случае является подозреваемым (его вину надо еще доказать!). Поэтому, такое расследование будет ни что иное, как дознание. А это уже категория Уголовно-процессуального или Административного процессуального Кодексов РФ. Именно в ходе дознания проводится сбор и проверка материалов по факту совершенного противоправного действия. Именно в ходе дознания уполномоченные лица с привлечением экспертов и, при необходимости, специального программного обеспечения и специальной техники, используя видеозапись системы видеонаблюдения, смогут идентифицировать личность субъекта-нарушителя. При этом, видеозапись факта нарушения режима безопасности переходит в категорию вещественных доказательств, точно таких же как, например, отпечаток пальца преступника.
Следовательно, идентификация субъекта проводится не в рамках процесса видеозаписи, а в рамках процедуры дознания по факту нарушения режима безопасности на основе изучения вещественных доказательств, каковыми могут выступать элементы системы видеонаблюдения, в том числе и носители видеозаписи совершенного факта. В данном случае обработка биометрических персональных данных осуществляется вне основных функций системы видеонаблюдения и регламентируется нормативными правовыми актами, определяющими порядок проведения дознания и работы с вещественными доказательствами, а также частью 2 статьи 11 Федерального закона «О персональных данных». Надо также учитывать, что носители видеозаписи могут быть изъяты из системы видеонаблюдения и изучены вне ее с использованием специальных технических средств. Уполномоченное лицо, осуществляющее дознание по факту нарушения режима безопасности, может также привлечь в качестве вспомогательных средств элементы системы видеонаблюдения для целей расследования.
1. Необходимо разделять два процесса: процесс контроля обстановки на объекте и процесс идентификации субъекта по биометрическим персональным данным.
2. Системы видеонаблюдения предназначены именно для контроля обстановки на объекте.
3. Идентификация субъекта, при необходимости, осуществляется не в ходе процесса контроля обстановки, а в ходе процедуры дознания, проводимой при расследовании инцидента.
4. В ходе расследования инцидента, видеозапись, позволяющая ретроспективно оценить обстановку, имеет силу вещественных доказательств, оценка которых проводится с привлечением экспертов и специального оборудования.
5. Использование системы видеонаблюдения для целей контроля обстановки на объекте не подпадает под действие ст. 11 Федерального закона № 152-ФЗ «О персональных данных».
Защита данных в ЕС
Основные права
Хартия ЕС об основных правах гласит, что граждане ЕС имеют право на защиту своих личных данных.
Защита персональных данных
Законодательство
Пакет защиты данных, принятый в мае 2016 года, направлен на то, чтобы сделать Европу приспособленной к цифровой эпохе. Более 90% европейцев говорят, что им нужны одинаковые права на защиту данных во всем ЕС и независимо от того, где их данные обрабатываются.
Общий регламент по защите данных (GDPR)
Регламент (ЕС) 2016/679 о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных. Этот текст включает исправление, опубликованное в OJEU от 23 мая 2018 года.
Регламент — важный шаг к укреплению основных прав людей в цифровую эпоху и облегчению ведения бизнеса путем уточнения правил для компаний и государственных органов на едином цифровом рынке.Единый закон также покончит с нынешней фрагментацией различных национальных систем и ненужным административным бременем.
Постановление вступило в силу 24 мая 2016 года и применяется с 25 мая 2018 года. Дополнительная информация для компаний и частных лиц.
Информация о включении Общего регламента защиты данных (GDPR) в Соглашение о ЕЭЗ.
уведомлений государств-членов ЕС в Европейскую комиссию в соответствии с GDPR
Директива о защите данных
Директива (ЕС) 2016/680 о защите физических лиц в отношении обработки персональных данных, связанных с уголовными преступлениями или исполнением уголовных наказаний, и о свободном перемещении таких данных.
Директива защищает фундаментальное право граждан на защиту данных, когда личные данные используются уголовными правоохранительными органами в правоохранительных целях. Это, в частности, обеспечит надлежащую защиту личных данных потерпевших, свидетелей и подозреваемых в совершении преступлений и будет способствовать трансграничному сотрудничеству в борьбе с преступностью и терроризмом.
Директива вступила в силу 5 мая 2016 года, и страны ЕС должны были включить ее в свое национальное законодательство до 6 мая 2018 года.
Национальные органы по защите данных
Встранах ЕС созданы национальные органы, отвечающие за защиту персональных данных в соответствии со статьей 8 (3) Хартии основных прав ЕС.
Европейский совет по защите данных
Европейский совет по защите данных (EDPB) — это независимый европейский орган, который обеспечивает последовательное применение правил защиты данных на всей территории Европейского Союза. EDPB был учрежден Общим регламентом по защите данных (GDPR).
EDPB состоит из представителей национальных органов по защите данных стран ЕС / ЕЭЗ и Европейского надзорного органа по защите данных. Европейская Комиссия участвует в деятельности и заседаниях Совета без права голоса. Секретариат EDPB обеспечивает EDPS. Секретариат выполняет свои задачи исключительно по указанию Председателя Совета.
Задачи EDPB состоят, прежде всего, в предоставлении общего руководства по ключевым концепциям GDPR и Директивы о правоприменении, консультировании Европейской комиссии по вопросам, связанным с защитой персональных данных и новым предлагаемым законодательством в Европейском союзе, и принятии обязательных решений в спорах. между национальными надзорными органами.
Защита данных в учреждениях и органах ЕС
Законодательство
Регламент2018/1725 устанавливает правила, применимые к обработке персональных данных учреждениями, органами, офисами и агентствами Европейского Союза. Он соответствует Общему регламенту о защите данных и Директиве о защите данных. Он поступил в заявку 11 декабря 2018 года.
Европейский надзорный орган по защите данных
Регламент2018/1725 учредил Европейский надзорный орган по защите данных (EDPS).EDPS — это независимый орган ЕС, отвечающий за мониторинг применения правил защиты данных в европейских учреждениях и за расследование жалоб.
Сотрудник по защите данных в Европейской комиссии
Европейская комиссия назначила сотрудника по защите данных, который отвечает за мониторинг и применение правил защиты данных в Европейской комиссии. Сотрудник по защите данных самостоятельно обеспечивает внутреннее применение правил защиты данных в сотрудничестве с европейским надзорным органом по защите данных.
Финансирование
Программа «Права, равенство и гражданство» на 2014-2020 годы
| => Артикул: 4 => Сольный текст: 51, 52, 53, 54, 55, 56 => административный штраф: ст. 83 (5) освещен | ||
| 1. Обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах, а также обработка генетических данных, биометрических данных с целью однозначной идентификации физического лица данные о здоровье или данные о сексуальной жизни или сексуальной ориентации физического лица запрещены . => Статья: 6, 36 => Подробный текст: 35, 91 => Досье: Анонимизация | ||
2. Пункт 1 не применяется, если применяется одно из следующих условий: | ||
| ||
| ||
| ||
| ||
| ||
| ||
| ||
| ||
| ||
| 3. Персональные данные, указанные в параграфе 1, могут обрабатываться для целей, указанных в пункте (h) параграфа 2, когда те данные обрабатываются профессионалом или под его ответственность, при условии соблюдения обязательства о профессиональной тайне в соответствии с законодательством Союза или государства-члена или правилами, установленными национальными компетентными органами, или другим лицом, также подлежащим обязательству сохранения конфиденциальности в соответствии с законодательством или правилами Союза или государства-члена. учреждены национальными компетентными органами. => Досье: Профессиональная тайна | ||
| 4. Государства-члены могут сохранять или вводить дополнительные условия, включая ограничения, в отношении обработки генетических данных, биометрических данных или данных, касающихся здоровья. => Досье: вступительная статья |
Что такое GDPR? Все, что вам нужно знать о новых общих правилах защиты данных
Что означает GDPR?
GDPR расшифровывается как General Data Protection Regulation.Это основа европейского законодательства о конфиденциальности в области цифровых технологий.
Как это произошло?
В январе 2012 года Европейская комиссия изложила планы реформы защиты данных во всем Европейском союзе, чтобы сделать Европу «пригодной для цифровой эпохи». Почти четыре года спустя было достигнуто соглашение о том, в чем дело и как это будет реализовано.
СМОТРЕТЬ: Данные моей украденной кредитной карты были использованы на расстоянии 4500 миль. Я попытался выяснить, как это произошло (обложка PDF) (TechRepublic)
Одним из ключевых компонентов реформ является введение Общего регламента защиты данных (GDPR).Эта новая структура ЕС применяется к организациям во всех государствах-членах и имеет значение для предприятий и частных лиц по всей Европе и за ее пределами.
«Цифровое будущее Европы можно построить только на доверии. При наличии твердых общих стандартов защиты данных люди могут быть уверены, что они контролируют свою личную информацию», — сказал Андрус Ансип, вице-президент по Единому цифровому рынку. говоря, когда реформы были согласованы в декабре 2015 года.
Что такое GDPR?
По своей сути GDPR — это новый набор правил, призванный предоставить гражданам ЕС больший контроль над своими личными данными.Он направлен на упрощение нормативной среды для бизнеса, чтобы как граждане, так и бизнес в Европейском союзе могли в полной мере воспользоваться преимуществами цифровой экономики.
Реформы призваны отразить мир, в котором мы живем сейчас, и вводят законы и обязательства — в том числе в отношении личных данных, конфиденциальности и согласия — по всей Европе в соответствии с требованиями эпохи подключения к Интернету.
По сути, почти каждый аспект нашей жизни вращается вокруг данных. От компаний, работающих в социальных сетях, до банков, розничных продавцов и правительств — почти все услуги, которые мы используем, включают сбор и анализ наших личных данных.Ваше имя, адрес, номер кредитной карты и многое другое — все это собирается, анализируется и, что, возможно, наиболее важно, хранится организациями.
Что такое соответствие GDPR?
Утечки данных неизбежны. Информация теряется, крадется или иным образом передается в руки людей, которые никогда не собирались ее видеть — и эти люди часто имеют злой умысел.
Согласно условиям GDPR, организации не только должны гарантировать, что личные данные собираются на законных основаниях и на строгих условиях, но и те, кто собирает и обрабатывает их, обязаны защищать их от неправомерного использования и эксплуатации, а также уважать права владельцев данных — или понесут штрафы за невыполнение этого требования.
На кого распространяется GDPR?
GDPR применяется к любой организации, работающей в ЕС, а также к любым организациям за пределами ЕС, которые предлагают товары или услуги клиентам или предприятиям в ЕС. В конечном итоге это означает, что почти каждой крупной корпорации в мире нужна стратегия соблюдения GDPR.
Законодательство применяет два различных типа обработчиков данных: «процессоры» и «контроллеры». Определения каждого из них изложены в статье 4 Общего регламента защиты данных.
СМ .: Соответствует GDPR? Вот удобный контрольный список из пяти этапов подготовки.
Контроллер — это «лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных», а обработчик — это «лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера». Например, если вы подпадаете под действие Закона Великобритании о защите данных, вам, вероятно, также потребуется соответствовать GDPR.
«Вы несете значительно большую юридическую ответственность, если несете ответственность за нарушение. Эти обязательства для процессоров являются новым требованием в соответствии с GDPR», — сообщает Управление уполномоченных по информации Великобритании, орган, ответственный за регистрацию контроллеров данных, принимающий меры в отношении данных. защита и обработка проблем и неправильного обращения с данными.
GDPR в конечном итоге налагает юридические обязательства на обработчика данных по ведению записей личных данных и способов их обработки, обеспечивая гораздо более высокий уровень юридической ответственности в случае нарушения организации.
Контроллеры также обязаны обеспечивать соответствие всех контрактов с обработчиками GDPR.
Общие правила защиты данных: что это значит для вас?
Изображение: iStockЧто такое личные данные согласно GDPR?
Типы данных, которые согласно действующему законодательству считаются личными, включают имя, адрес и фотографии. GDPR расширяет определение личных данных, так что что-то вроде IP-адреса может быть личными данными.Он также включает конфиденциальные личные данные, такие как генетические данные и биометрические данные, которые могут быть обработаны для однозначной идентификации человека.
Когда вступил в силу GDPR?
После четырех лет подготовки и обсуждения GDPR был одобрен Европейским парламентом в апреле 2016 года, а официальные тексты и постановление директивы были опубликованы на всех официальных языках ЕС в мае 2016 года. Закон вступил в силу по всему Европейскому Союзу 25 мая 2018 г.
GDPR вступает в силу 25 мая 2018 года.
Изображение: iStockКаков крайний срок соблюдения GDPR?
Ожидается, что с 25 мая 2018 года все организации будут соответствовать GDPR.
Как Brexit влияет на GDPR?
Великобритания в настоящее время собирается покинуть Европейский Союз 31 октября 2019 года. Правительство Великобритании заявило, что это не повлияет на соблюдение GDPR в стране, и что GDPR будет работать на благо Великобритании, несмотря на то, что страна перестает действовать. быть членом ЕС.Таким образом, Brexit вряд ли окажет какое-либо влияние на требования организации по соблюдению GDPR.
Что означает GDPR для бизнеса?
GDPR устанавливает единый закон на всем континенте и единый набор правил, которые применяются к компаниям, ведущим бизнес в странах-членах ЕС. Это означает, что действие законодательства выходит за пределы границ самой Европы, поскольку международные организации, базирующиеся за пределами региона, но осуществляющие деятельность на «европейской земле», все равно должны будут соблюдать.
Одна из надежд заключается в том, что упрощение законодательства о данных с помощью GDPR может принести пользу предприятиям. Европейская комиссия утверждает, что наличие единого надзорного органа для всего ЕС упростит и удешевит работу предприятий в регионе. Комиссия утверждает, что GDPR сэкономит 2,3 миллиарда евро в год в Европе.
«Унифицируя европейские правила защиты данных, законодатели создают возможности для бизнеса и поощряют инновации», — заявляет Комиссия.
SEE: Общий регламент ЕС по защите данных (GDPR): шпаргалка (TechRepublic)
По их словам, это означает, что регулирование гарантирует, что меры защиты данных встроены в продукты и услуги с самого раннего этапа разработки, обеспечивая «защита данных с помощью дизайна» в новых продуктах и технологиях.
Организациям также рекомендуется применять такие методы, как «псевдонимизация», чтобы получать выгоду от сбора и анализа личных данных, в то же время защищая конфиденциальность их клиентов.(Хотя некоторые группы утверждают, что это происходит уже слишком поздно, учитывая количество подключенных устройств в мире.)
Что означает GDPR для потребителей / граждан?
Из-за огромного количества случаев взлома данных и взломов, печальная реальность для многих состоит в том, что некоторые из их данных — будь то адрес электронной почты, пароль, номер социального страхования или конфиденциальные медицинские записи — были обнаружены в Интернет.
Одним из основных изменений GDPR является предоставление потребителям права знать, когда их данные были взломаны.Организации должны как можно скорее уведомить соответствующие национальные органы, чтобы граждане ЕС могли принять соответствующие меры для предотвращения злоупотребления их данными.
Потребителям также обещан более легкий доступ к их личным данным с точки зрения того, как они обрабатываются, а организациям необходимо четко и понятно подробно описать, как они используют информацию о клиентах.
Некоторые организации уже переехали, чтобы убедиться, что это так, даже если это так просто, как отправка клиентам электронных писем с информацией о том, как их данные используются, и предоставление им возможности отказаться, если они не дадут свое согласие часть этого.Многие организации, например, в секторах розничной торговли и маркетинга, связались с клиентами, чтобы спросить, хотят ли они быть частью их базы данных.
В этих обстоятельствах у клиента должен быть простой способ отказаться от включения своих данных в список рассылки. Между тем, некоторые другие секторы были предупреждены о том, что им нужно сделать гораздо больше, чтобы обеспечить соблюдение GDPR, особенно когда речь идет о согласии.
GDPR также вводит уточненный процесс «право на забвение», который предоставляет дополнительные права и свободы людям, которые больше не хотят, чтобы их личные данные обрабатывались для их удаления, при условии, что нет оснований для их сохранения.
Организации должны помнить об этих правах потребителей.
Действительно ли это письмо о конфиденциальности отправлено реальной компанией? Неужели это афера?
Организациям любого размера во всех секторах рассылаются электронные письма клиентам с просьбой согласиться, чтобы продолжать получать сообщения и другие маркетинговые материалы. По большей части, если клиент действительно хочет остаться в списке, ему просто нужно щелкнуть ту часть электронного письма, которая сообщает компании, что он хочет оставаться на связи.
Однако, когда так много организаций рассылают электронные письма по GDPR, преступники и мошенники восприняли это как отличную возможность рассылки фишинговых писем, чтобы поймать людей, не имеющих программного обеспечения, особенно с учетом того, что люди получали больше писем от организаций, чем обычно.
Исследователи Redscan раскрыли одну из этих схем, в которой преступники выдают себя за Airbnb и утверждают, что пользователь не сможет принимать новые бронирования или отправлять сообщения потенциальным гостям до тех пор, пока не будет принята новая политика конфиденциальности.Злоумышленники конкретно упоминают новую политику конфиденциальности ЕС в качестве причины отправки сообщения.
Тем не менее, те, кто стоял за этой схемой, очень сильно использовали GDPR для кражи информации, потому что, хотя настоящее сообщение Airbnb не запрашивало никакой информации, у тех, кто получает поддельное сообщение, запрашивается их личная информация, включая учетные данные и информация о платежной карте.
Это вряд ли единственная попытка преступников использовать GDPR для собственной выгоды.
Что такое уведомление о нарушении GDPR?
GDPR устанавливает обязанность всех организаций сообщать об определенных типах утечки данных, которые включают несанкционированный доступ или потерю персональных данных в соответствующий надзорный орган. В некоторых случаях организации также должны информировать лиц, пострадавших от нарушения.
Организации обязаны сообщать о любых нарушениях, которые могут привести к риску для прав и свобод людей и привести к дискриминации, ущербу репутации, финансовым потерям, потере конфиденциальности или любому другому экономическому или социальному ущербу.
Если данные клиента будут взломаны хакерами, организация будет обязана сообщить об этом.
Изображение: iStockДругими словами, если имя, адрес, данные о рождении, медицинские записи, банковские реквизиты или какие-либо личные или личные данные о клиентах были нарушены, организация обязана сообщить об этом пострадавшим, а также соответствующему регулирующему органу, чтобы сделать все возможное. можно сделать, чтобы ограничить ущерб.
Это необходимо сделать с помощью уведомления о нарушении, которое должно быть доставлено непосредственно жертвам. Эта информация не может быть передана только в пресс-релизе, в социальных сетях или на веб-сайте компании. Это должна быть личная переписка с пострадавшими.
Выступая в апреле 2019 года, участники ICO хотели уточнить, когда организациям следует сообщать о нарушениях и как это сделать. «Важно, чтобы организации понимали, чего ожидать в случае нарушения кибербезопасности», — сказал заместитель комиссара ICO по операциям Джеймс Диппл-Джонстон.
В соответствии с GDPR, когда организации необходимо уведомить о нарушении?
О нарушении необходимо сообщить в соответствующий надзорный орган в течение 72 часов с момента, когда организация впервые узнала о нем. Между тем, если нарушение является достаточно серьезным, чтобы уведомить клиентов или общественность, законодательство GDPR гласит, что клиенты должны нести ответственность без «неоправданной задержки».
Какие штрафы предусмотрены GDPR за несоблюдение?
Несоблюдение GDPR может привести к штрафу в размере от 10 миллионов евро до четырех процентов годового глобального оборота компании, что для некоторых может означать миллиарды.
Штрафы зависят от серьезности нарушения и от того, насколько серьезно компания соблюдает соблюдение нормативных требований в отношении безопасности.
Максимальный штраф в размере 20 миллионов евро или четыре процента от мирового оборота — в зависимости от того, что больше — за нарушение прав субъектов данных, несанкционированную международную передачу личных данных, а также несоблюдение процедур или игнорирование доступа субъектов. запросы на их данные.
Меньший штраф в размере 10 миллионов евро или двух процентов мирового оборота будет применяться к компаниям, которые иным образом неправильно обрабатывают данные. К ним относятся, помимо прочего, отказ от сообщения об утечке данных, неспособность обеспечить конфиденциальность по дизайну и обеспечение защиты данных на первом этапе проекта и соблюдение требований путем назначения сотрудника по защите данных — если организация быть одним из требований GDPR.
Какие на данный момент самые большие штрафы GDPR?
По состоянию на май 2019 года самый крупный штраф в размере 50 миллионов евро на сегодняшний день составляет 50 миллионов евро.Французская организация по надзору за защитой данных CNIL оштрафовала Google в январе после того, как пришла к выводу, что гигант поисковых систем нарушает правила GDPR в отношении прозрачности и наличия действующей правовой основы при обработке данных людей в рекламных целях. Google обжалует штраф.
До штрафа Google самый крупный штраф GDPR составлял 400 000 евро, когда португальская больница была оштрафована за «несовершенные» методы управления счетами.
Вполне вероятно, что впереди еще много штрафов, поскольку органы по надзору за защитой данных по всей Европе в настоящее время расследуют тысячи дел.
По состоянию на май 2019 года компания Google является получателем самого крупного штрафа GDPR — в январе 2019 года французская служба по защите данных оштрафовала на 50 млн евро.
iStockPhoto / Getty ImagesЧто содержится в уведомлении о нарушении GDPR?
В случае потери данных компанией, будь то в результате кибератаки, человеческой ошибки или чего-либо еще, компания обязана отправить уведомление о нарушении.
Это должно включать приблизительные данные о нарушении, включая категории информации и количество лиц, скомпрометированных в результате инцидента, а также категории и приблизительное количество соответствующих записей личных данных. Последний учитывает, как может быть несколько наборов данных, относящихся только к одному человеку.
Организациям также необходимо предоставить описание потенциальных последствий утечки данных, таких как кража денег или мошенничество с использованием личных данных, и описание мер, которые принимаются для борьбы с утечкой данных и противодействия любым негативным воздействиям. с которыми могут столкнуться люди.
Также необходимо предоставить контактные данные сотрудника по защите данных или основного контактного лица, занимающегося нарушением.
Нужно ли нам назначать сотрудника по защите данных?
Согласно условиям GDPR, организация должна назначить сотрудника по защите данных (DPO), если она выполняет крупномасштабную обработку специальных категорий данных, осуществляет крупномасштабный мониторинг отдельных лиц, например отслеживание поведения, или является государственным органом. .
В случае государственных органов, один DPO может быть назначен в группе организаций.Хотя организациям, не указанным выше, необязательно назначать DPO, все организации должны убедиться, что у них есть навыки и персонал, необходимые для соблюдения законодательства GDPR.
SEE: GDPR доказывает, что технологических гигантов можно приручить
Нет установленных критериев того, кто должен быть DPO или какую квалификацию они должны иметь, но, согласно Управлению комиссара по информации, они должны иметь профессиональный опыт и закон о защите данных пропорционально тому, что выполняет организация.
Неспособность назначить сотрудника по защите данных, если это требуется в соответствии с GDPR, может считаться несоблюдением и повлечь за собой штраф.
Как выглядит соответствие GDPR?
GDPR может показаться сложным, но правда в том, что по большей части законодательство консолидирует принципы, которые в настоящее время являются частью Закона Великобритании о защите данных.
Тем не менее, есть элементы GDPR, такие как уведомление о нарушении и обеспечение того, чтобы кто-то отвечал за защиту данных, которые организации должны решить, или рискуют наложить штраф.
Не существует универсального подхода к подготовке к GDPR. Скорее, каждая компания должна знать, что именно необходимо достичь, чтобы соответствовать требованиям, и кто является контролером данных, который взял на себя ответственность за обеспечение этого.
«Ожидается, что вы введете комплексные, но соразмерные меры управления», — говорится в ICO Великобритании. «В конечном итоге эти меры должны свести к минимуму риск взлома и обеспечить защиту личных данных. На практике это, вероятно, означает большее количество политик и процедур для организаций, хотя многие организации уже имеют меры надлежащего управления.»
SEE: Будет ли GDPR защищать граждан ЕС? 61% специалистов по информационной безопасности говорят» да «(TechRepublic)
Это может быть обязанностью отдельного лица в малом бизнесе или даже целого отдела в многонациональной корпорации. Либо Таким образом, для его работы необходимо будет рассмотреть бюджеты, системы и персонал
В соответствии с положениями GDPR, которые способствуют подотчетности и управлению, компаниям необходимо принимать соответствующие технические и организационные меры.Сюда могут входить положения о защите данных (обучение персонала, внутренний аудит операций по обработке и анализ кадровой политики), а также ведение документации по операциям по обработке. Другая тактика, на которую могут обратить внимание организации, включает минимизацию данных и псевдонимизацию или предоставление людям возможности контролировать обработку, говорится в сообщении ICO.
При подготовке к GDPR такие органы, как ICO, предложили общие рекомендации о том, что следует учитывать. Все организации должны убедиться, что они выполнили все необходимые оценки воздействия и соответствуют требованиям GDPR, в противном случае они рискуют нарушить новые директивы.
GDPR здесь, и что теперь?
С 25 мая 2018 года GDPR вступил в силу, и за несколько дней и недель до этого наблюдалось увеличение количества компаний, отправляющих электронные письма клиентам с просьбой подписаться на новую политику конфиденциальности и согласия. Письма приходили настолько объемными и быстрыми в первые 24 часа, что многие пользователи Интернета чувствовали себя ошеломленными.
В последнее время некоторые организации и платформы, в том числе сайт Klout, занимающийся оценкой сайтов социальных сетей, просто прекратили работу — Klout явно не указывал на GDPR, но дата 25 мая, вероятно, не случайна.Это не единственная служба, которая закрывает работу или ограничивает доступ для европейских пользователей.
европейских пользователя, посетивших известные новостные веб-сайты США, такие как The LA Times, The Chicago Times и The Baltimore Sun утром 25 мая, обнаружили, что они не могут получить доступ к веб-сайтам, а издатели указали на GDPR как причина.
«К сожалению, наш веб-сайт в настоящее время недоступен в большинстве европейских стран. Мы занимаемся этим вопросом и стремимся рассмотреть варианты, которые поддерживают весь спектр наших цифровых предложений на рынке ЕС», — говорится в заявлении на веб-сайте Chicago Tribune. .
Аналогичные заявления были размещены в новостных изданиях, управляемых группами Lee Enterprises и Tronc, и в течение года многие из этих публикаций по-прежнему отображают то же сообщение для европейских пользователей, которые пытаются посетить эти сайты.
Отказ пользователей в доступе к продуктам — по крайней мере, на данный момент — рассматривается многими как цена, которую стоит заплатить, чтобы избежать потенциальных штрафов. Хотя некоторые зададут вопрос, что они делают с пользовательскими данными и какое согласие у них есть?
Что изменилось в GDPR с момента его введения?
По состоянию на май 2019 года многие из этих проблем с издателями в США все еще не были решены, и подобные Tronc по-прежнему приносят те же извинения пользователям в Европе.
Издатели — не единственные организации, которым приходится смириться с новой реальностью, поскольку некоторые из крупнейших технологических компаний, включая Facebook, заявляют, что они начали чувствовать укус GDPR. Социальная сеть обвинила GDPR в сокращении примерно на миллион пользователей в месяц во втором квартале года, а также в падении роста доходов от рекламы в Европе.
Организации любого размера в той или иной степени пострадали от этого. Аналитики Forrester говорят, что многие компании сообщают о сокращении от 25% до 40% своего адресного рынка электронной почты и других форм контактов.
В результате многим компаниям приходится задумываться о новых методах привлечения потребителей и получения доходов. Аналитик Gartner предположил, что некоторым компаниям, возможно, придется пересмотреть свою стратегию центров обработки данных в результате принятия такого законодательства, как GDPR.
За год, прошедший с момента введения GDPR, некоторые крупнейшие технологические компании мира попытались позиционировать свои продукты как ориентированные на конфиденциальность — стратегия, которая, вероятно, отчасти возникла из-за повышения осведомленности о конфиденциальности и согласии.
Генеральный директор Apple Тим Кук призвал США ввести эквивалент GDPR, чтобы предотвратить использование данных в качестве оружия против пользователей. Между тем, генеральный директор Facebook Марк Цукерберг недавно рассказал о том, как конфиденциальность будет в будущем Facebook — хотя он сам признает, что некоторым может быть трудно в это поверить.
Что будет дальше с GDPR и защитой данных?
Страны и регионы по всему миру, похоже, руководствуются GDPR, вводя или изменяя законодательство о защите данных.Страны, которые сообщили, что изменят свои законы о конфиденциальности после введения GDPR, включают Бразилию, Японию, Южную Корею, Индию и другие.
Кремниевая долина, Калифорния, также собирается ввести свои собственные законы о конфиденциальности данных в Законе о конфиденциальности потребителей Калифорнии, который вступает в силу с 1 января 2020 года.
Законодательство следует по стопам GDPR, разрешая физическим лицам иметь больше говорят о том, как используются их личные данные, но во многих отношениях это далеко не так: нет установленного срока для уведомления потребителей о нарушении, и организации не будут подвергаться штрафам за несоблюдение.
Однако введение этого закона в разгар технологической индустрии, по-видимому, предполагает, что конфиденциальность и согласие — это вопросы, которые могут изменить способ работы Кремниевой долины.
Предыдущее и связанное с ним покрытие
Руководство ИТ-лидера по угрозе кибервойны (Tech Pro Research)
От безопасности и мобильных устройств до Windows и теневых ИТ.
Vendor Security Alliance настраивает систему аудита для соответствия GDPR
Некоммерческий альянс добавил соответствие GDPR в свою систему ежегодного аудита поставщиков и объявил, что впервые будет принимать новых участников.
Как европейский GDPR повлияет на австралийские организации
Несоблюдение правил защиты данных может привести к штрафу в размере 20 миллионов евро, и австралийские организации, имеющие связи с Европой, не будут освобождены.
ПОДРОБНЕЕ О КИБЕРБЕЗОПАСНОСТИ
Защита данных | DIFC
Защита данных DIFC
Закон о защите данных устанавливает правила и положения, касающиеся сбора, обработки, раскрытия и использования личных данных в DIFC, прав лиц, к которым относятся личные данные, и полномочий Уполномоченного по защите данных при выполнении своих обязанностей в отношении по вопросам, связанным с обработкой персональных данных, а также с администрированием и применением Закона о защите данных.
Закон о защите данных воплощает в себе передовые международные стандарты практики, соответствует нормам ЕС и руководящим принципам ОЭСР и призван сбалансировать законные потребности предприятий и организаций в обработке личной информации при одновременном соблюдении права человека на неприкосновенность частной жизни.
Чтобы помочь физическим и юридическим лицам, работающим в DIFC, соблюдать Закон о защите данных, этот сайт был разработан, чтобы предоставить полезную справочную информацию и руководство, а также помочь людям, которые хотят узнать больше о доступных обязательствах и правах. им в соответствии с Законом о защите данных.
Закон о защите данных
Закон устанавливает правила и положения, касающиеся сбора, обработки и использования личных данных в DIFC. Закон также обеспечивает защиту прав физических лиц на их личные данные.
Прочитайте большеПоложения о защите данных
Строгий набор правил, соответствующих Директиве Европейской комиссии о защите данных, которая обеспечивает согласование данных и финансовые санкции за несоблюдение.
Прочитайте большеПочему важна защита данных
В эпоху растущей глобализации и быстрого развития технологий информация никогда не была более доступной и доступной. Предприятия, и в частности банковские и финансовые организации, все чаще обрабатывают и обмениваются индивидуальными данными в электронном виде и за границу.
Персональные данные включают в себя любую информацию, относящуюся к физическому лицу, обычно путем ссылки на нее, чтобы можно было идентифицировать конкретное лицо.Биометрические данные, фотографии и даже IP-адреса могут считаться персональными данными в контексте. Конфиденциальные персональные данные — это то, что является субъективным или присущим человеку, например, этнической принадлежностью, религией, политическими или философскими убеждениями. Результат обработки и неправильного обращения — добровольного или недобровольного — личных данных может иметь серьезные последствия, включая кражу кредитной карты и личных данных. Крайне важно, чтобы право людей на неприкосновенность частной жизни было защищено путем принятия эффективных законов о защите данных и обеспечения правовых гарантий для защиты и защиты личных данных и их обработки.
Прочитайте большеОбработка персональных данных — Стокгольмский международный институт водных ресурсов
1. Обработка персональных данных
1.1 Введение
Стокгольмский международный институт водных ресурсов («SIWI», «мы», «нас», «наш») отвечает за обработку персональных данных посетителей веб-сайта www.siwi.org и лиц, которые связываются с нами или пользуются нашими услугами. . Ниже объясняется, как мы обрабатываем ваши личные данные.
1.2 Что такое личные данные?
«Персональные данные» означает любую информацию, которая может быть использована, прямо или косвенно, для идентификации личности. Примеры личных данных включают, помимо прочего, имя, возраст, пол, контактную информацию, адрес, IP-адрес и платежную информацию.
Наша обработка персональных данных регулируется Общим регламентом о защите данных (ЕС) 2016/679 («GDPR») и шведским законом о защите данных (вместе «Закон о защите данных»). Более подробную информацию о законе о защите данных можно найти на веб-сайте Управления по защите данных Швеции:
http: // www.datainspektionen.se
1.3 Кто контролирует?
Stiftelsen Стокгольмский международный институт водных ресурсов (SIWI), номер организации 802425-8702, является контролером. Контроллер принимает решение о средствах и целях обработки персональных данных.
Адрес для посещений:
Стокгольмский международный институт водных ресурсов
Linnégatan 87A
115 23 Стокгольм
Швеция
2. Как обрабатываются личные данные?
В этом разделе описывается, как мы обрабатываем ваши личные данные и цели обработки.Мы обрабатываем ваши персональные данные в следующих случаях:
2.1 Вы общаетесь с нами
ситуаций, мы будем обрабатывать персональные данные, которые вы отправляете нам при общении с нами.
Обработанные персональные данные: Когда вы общаетесь с нами, мы обрабатываем персональные данные, которые вы сами нам предоставляете, включая, помимо прочего, имя и контактную информацию. Мы также можем обрабатывать ваши личные данные, связанные с вопросом, по которому вы связались с нами, и любыми другими комментариями или вопросами, которые могут у вас возникнуть.
Цели обработки персональных данных: Мы обрабатываем ваши персональные данные, чтобы ответить на ваши вопросы и решить вопрос, по которому вы связались с нами, предоставить вам информацию или материалы, которые вы запросили, и улучшить наши предложения, услуги и информация, которую мы предоставляем на наших веб-сайтах.
Правовая основа для обработки : Мы обрабатываем ваши личные данные на том основании, что это необходимо для целей законного интереса. Мы также можем обрабатывать персональные данные на том основании, что это необходимо для выполнения контракта или для принятия мер до его заключения.
2.2 Вы подписываетесь на информационный бюллетень SIWI или получаете предложения
SIWI предоставляет ряд информационных бюллетеней через списки рассылки. Если вы подпишетесь на рассылку новостей, вы будете включены в соответствующий список рассылки и будете получать регулярные обновления новостей. Вы также можете подписаться на получение предложений от SIWI, например, об участии в предстоящих мероприятиях.
Обработано личных данных: Когда вы подпишетесь на рассылку новостей, мы обработаем ваше имя и адрес электронной почты.
Цели обработки персональных данных: Мы обрабатываем ваши персональные данные, чтобы предоставлять вам информационные бюллетени и предложения, на которые вы подписались.
Правовая основа для обработки : Мы обрабатываем ваши персональные данные на основании вашего согласия. Вы можете отозвать свое согласие в любое время, это не повлияет на законность предыдущей обработки. Важно отметить, что мы не сможем предоставлять вам наши информационные бюллетени или предложения, если вы откажетесь от согласия.Мы просим вас связаться с нами, используя контактную информацию в Разделе 10, если вы хотите отозвать свое согласие на обработку ваших личных данных.
2.3 Вы регистрируетесь для участия в мероприятии, организованном SIWI
SIWI организует множество различных мероприятий, включая семинары и семинары, но не ограничиваясь ими. Мы можем потребовать от вас зарегистрироваться, чтобы участвовать в таких мероприятиях.
Обработанные персональные данные: Мы обрабатываем информацию, которую вы предоставляете нам при регистрации на мероприятие, включая, помимо прочего, ваше имя, должность, контактную информацию, место работы, адрес и платежные реквизиты.
Мы также можем обрабатывать личные данные, такие как фотографии, видео и аудиозаписи мероприятий, организованных SIWI.
Цели обработки персональных данных: Мы обрабатываем ваши персональные данные, чтобы управлять вашим участием в мероприятии, на которое вы зарегистрированы.
Мы также обрабатываем личные данные, такие как имена, названия и фотографии, видео- и аудиозаписи, чтобы создавать и публиковать рекламные материалы и информацию о наших мероприятиях на веб-сайтах SIWI.
Правовая основа для обработки : Мы обрабатываем информацию, необходимую для администрирования вашего участия в мероприятии на основе вашего согласия. Вы можете отозвать свое согласие в любое время, это не повлияет на законность предыдущей обработки. Важно отметить, что вы не сможете принять участие в мероприятии, если вы откажетесь от согласия на обработку персональных данных. Мы просим вас связаться с нами, используя контактную информацию в Разделе 10, если вы хотите отозвать свое согласие на обработку ваших личных данных.
Мы обрабатываем личные данные, такие как имена, заголовки и фотографии, видео- и аудиозаписи, для использования в рекламных материалах и на нашем веб-сайте, исходя из того, что это необходимо для целей законного интереса.
2.4 Наши публикации и веб-сайты
Мы генерируем, делимся и продвигаем знания по вопросам, связанным с водой, через нашу программу публикаций. Сюда входят несколько серий публикаций, рассчитанных на разные цели и аудиторию. Эти публикации включают личные данные лиц, участвовавших в статьях, интервью, авторских комментариях и фотографиях.
Мы также публикуем информацию о нашей организации, деятельности, публикациях и мероприятиях на наших веб-сайтах. Это включает в себя услуги, в которых можно подписаться, чтобы быть внесенными в список на наших веб-сайтах, например, в качестве консультанта, выпускника, наставника или в списках выступающих.
Обработанные персональные данные: Мы обрабатываем имя, контактную информацию о должности, адрес, биографические данные, пол и национальность, а также фотографии лиц, участвующих в наших публикациях или зарегистрированных на нашем веб-сайте.
Цели обработки персональных данных: Мы обрабатываем ваши персональные данные, чтобы производить и публиковать наши публикации и предоставлять списки различных категорий лиц, представляющих интерес, на наших веб-сайтах.
Правовая основа для обработки : Мы обрабатываем персональные данные, содержащиеся в наших публикациях, на том основании, что это необходимо для целей законного интереса.
Когда вы регистрируетесь для включения в список на одном из наших веб-сайтов, мы обрабатываем ваши персональные данные на основании вашего согласия.Вы можете отозвать свое согласие в любое время, это не повлияет на законность предыдущей обработки. Важно отметить, что мы не сможем разместить вас на наших веб-сайтах, если вы откажетесь от согласия. Мы просим вас связаться с нами, используя контактную информацию в Разделе 10, если вы хотите отозвать свое согласие на обработку ваших личных данных.
2.5 Закупки
Мы рекламируем процедуры закупок на наших веб-сайтах и в других средствах массовой информации. Мы также можем напрямую взаимодействовать с потенциальными поставщиками.Наши процедуры закупок включают обработку персональных данных представителей, контактных лиц и других соответствующих сотрудников потенциальных поставщиков.
Обрабатываемые персональные данные: Мы обрабатываем имя, должность и контактную информацию контактных лиц и представителей потенциальных поставщиков. Мы также будем обрабатывать персональные данные, предоставленные потенциальными поставщиками в рамках тендеров, выражений заинтересованности или запросов на участие. Такие персональные данные включают, помимо прочего, имена, должности, контактную информацию, историю образования и занятости, другую биографическую информацию и ссылки.
Цели обработки персональных данных: Мы обрабатываем персональные данные для проведения процедур закупок, то есть для выявления, приглашения и выбора подходящих и квалифицированных поставщиков, для оценки тендеров и заключения контракта с поставщиком, который представляет наиболее экономически выгодные нежный.
Правовая основа для обработки : Мы обрабатываем ваши личные данные на том основании, что это необходимо для целей законного интереса. Мы также можем обрабатывать персональные данные на том основании, что это необходимо для выполнения контракта или для принятия мер до его заключения.
2,6 Набор персонала
Мы рекламируем доступные вакансии на наших сайтах и в других средствах массовой информации. Мы обрабатываем персональные данные, которые вы отправляете в своем заявлении о приеме на работу, любые сообщения, касающиеся процесса найма, и информацию, касающуюся собеседований. Мы также обрабатываем персональные данные, касающиеся любых ссылок, которые вы предоставляете
Обработанные персональные данные: Мы обрабатываем информацию, которую вы предоставляете в своем заявлении о приеме на работу и в сообщениях, касающихся процесса найма, включая, помимо прочего, имя, возраст, личную контактную информацию, адрес, образование и данные о занятости, другую биографическую информацию и ссылки .
Цели обработки персональных данных: Мы обрабатываем ваши персональные данные, чтобы управлять процессом приема на работу. И оцените свое заявление о приеме на работу.
Правовая основа для обработки : Мы обрабатываем персональные данные на том основании, что это необходимо для целей законного интереса. Мы также можем обрабатывать персональные данные на том основании, что это необходимо для выполнения контракта или для принятия мер до его заключения.
2.7 Администрирование призов
SIWI ежегодно присуждает Стокгольмскую водную премию («SWP») и Стокгольмскую молодежную водную премию («SWJP») ежегодно, а также может присуждать другие призы, связанные с водой. Управление призами включает в себя обработку личных данных лиц, участвующих в процессе присуждения призов.
Мы обрабатываем персональные данные тех, кто номинирован или участвует в конкурсах цен, а также тех, кто подает заявки на призы. Мы также обрабатываем персональные данные членов комитетов и жюри, ответственных за оценку номинантов и конкурентов, а также за рекомендацию или принятие решения о том, кто должен получить приз, а также лиц, участвующих в церемониях награждения и финалах.
Обрабатываемые персональные данные: Мы обрабатываем имя, контактную информацию о должности, адрес, биографические данные, пол, национальность, фотографии, аудио- и видеозаписи лиц, участвующих в процессах присуждения вознаграждения, по нашим ценам.
Цели обработки персональных данных: Мы обрабатываем ваши персональные данные для администрирования и присуждения наших призов.
Правовая основа для обработки : Мы обрабатываем персональные данные на том основании, что это необходимо для целей законного интереса.Мы также можем обрабатывать персональные данные на том основании, что это необходимо для выполнения контракта или для принятия мер до его заключения.
2.8 Когда от нас требуется обрабатывать ваши личные данные
В дополнение к обработке персональных данных, описанной выше, мы также обрабатываем персональные данные, когда это требуется по закону или постановлению, например, когда это необходимо в связи с юридическим обязательством вести бухгалтерский учет или в ответ на приказ суд или другой компетентный государственный орган.
Правовая основа для обработки : Когда мы обязаны обрабатывать персональные данные по закону или постановлению, мы делаем это на том основании, что это необходимо для соблюдения юридического обязательства.
3. Как долго мы храним ваши личные данные?
Мы храним ваши персональные данные до тех пор, пока это необходимо для достижения целей, для которых они обрабатываются, или до тех пор, пока мы обязаны хранить их в соответствии с законом или постановлением.
4.С кем мы делимся личными данными?
Мы никогда не будем продавать ваши личные данные третьим лицам. Мы можем передавать ваши персональные данные нашим поставщикам ИТ-услуг. В соответствии с законом или постановлением от нас также может потребоваться передача ваших личных данных в компетентный государственный орган.
5. Как мы защищаем ваши личные данные?
Мы стремимся к защите личных данных. У нас есть меры по защите целостности и безопасности личных данных в соответствии с требованиями GDPR.Мы обрабатываем личные данные, используя зашифрованные и защищенные паролем системы. Мы внедряем внутренние процедуры для защиты данных.
6. Файлы cookie
Прочтите об использовании файлов cookie на наших веб-сайтах здесь: https://www.siwi.org/use-of-cookies/
7. Внешние ссылки
СайтыSIWI могут содержать ссылки, ведущие на сайты, которые SIWI не контролирует. SIWI не несет ответственности за обработку персональных данных, которая может происходить на веб-сайтах, находящихся вне контроля SIWI.
8. Ваши права
У вас есть определенные права в отношении нашей обработки ваших личных данных в соответствии с законом о защите данных:
- Информация о ваших личных данных и доступ к ним — вы имеете право получить подтверждение того, обрабатываются ли ваши личные данные нами, и, если это так, получить доступ и получить информацию о ваших личных данных.
- Исправление личных данных — у вас есть право на исправление ваших личных данных, если они неточны и устарели.
- Удаление личных данных — в определенных ситуациях вы имеете право на удаление ваших личных данных.
- Возражение против обработки — вы имеете право возражать против обработки, когда ваши личные данные обрабатываются в целях прямого маркетинга.
- Переносимость данных — вы имеете право на передачу ваших личных данных другой организации, если вы предоставили нам эти данные, и мы обрабатываем их на основании вашего согласия.
Если вы хотите воспользоваться каким-либо из этих прав, мы просим вас связаться с нами, используя контактную информацию, указанную в Разделе 10 ниже.
Свяжитесь с нами, если вы считаете, что наша обработка ваших личных данных не соответствует требованиям закона о защите данных. Вы также имеете право подать жалобу в надзорный орган по защите данных. Компетентным надзорным органом в Швеции является Управление по защите данных Швеции.
https: // www.datainspektionen.se/in-english/contact-us/
9. Изменения в информации
Информация на этой странице может время от времени изменяться. Мы сообщим вам о любых существенных изменениях, которые мы внесем в эту информацию. В ситуациях, когда ваши персональные данные обрабатываются на основании вашего согласия, мы попросим вас продлить ваше согласие, если есть какие-либо существенные изменения в обработке персональных данных или ваших прав в отношении обработки.
10.Свяжитесь с нами
Для запросов, запросов или жалоб, касающихся личных данных, конфиденциальности, использования файлов cookie или другой информации, связанной с защитой данных, свяжитесь с нами по адресу [email protected] или напишите по адресу, указанному ниже:
Стокгольмский международный институт водных ресурсов
Box 101 87
100 55 Стокгольм
Швеция
Защита данных — GOV.UK
Закон о защите данных 2018 регулирует использование вашей личной информации организациями, предприятиями или правительством.
Закон о защите данных 2018 года — это реализация в Великобритании Общего регламента защиты данных (GDPR).
Каждый, кто отвечает за использование личных данных, должен соблюдать строгие правила, называемые «принципами защиты данных». Они должны убедиться, что указана следующая информация:
- используется честно, законно и прозрачно
- используется для определенных, явных целей
- используется адекватным, актуальным и ограниченным только тем, что необходимо
- точны и, при необходимости, обновляются
- хранятся не дольше, чем необходимо
- обрабатывается таким образом, чтобы обеспечить надлежащую безопасность, включая защиту от незаконной или несанкционированной обработки, доступа, потери, уничтожения или повреждения
Существует более строгая правовая защита для более конфиденциальной информации, например:
- раса
- этническое происхождение
- политических мнений
- религиозных верований
- членство в профсоюзе
- генетика
- биометрические данные (если используются для идентификации)
- здоровья
- половая жизнь или ориентация
Существуют отдельные гарантии для личных данных, относящихся к уголовным обвинениям и правонарушениям.
Ваши права
В соответствии с Законом о защите данных 2018 года вы имеете право узнать, какую информацию о вас хранят правительство и другие организации. К ним относятся право на:
- получать информацию о том, как используются ваши данные
- доступ к персональным данным
- имеют неверные данные обновлены
- имеют удаленные данные
- остановить или ограничить обработку ваших данных
- переносимость данных (позволяет получать и повторно использовать ваши данные для различных служб)
- возражать против того, как ваши данные обрабатываются при определенных обстоятельствах
У вас также есть права, когда организация использует ваши личные данные для:
- автоматизированные процессы принятия решений (без участия человека)
- профилирование, например, для прогнозирования вашего поведения или интересов
Что такое Общие правила защиты данных? Понимание и соблюдение требований GDPR в 2019 году
Узнайте об Общем регламенте защиты данных (GDPR) и требованиях к соблюдению в Data Protection 101, нашей серии статей об основах информационной безопасности.
Определение GDPR (Общий регламент по защите данных)
Общий регламент по защите данных (GDPR), согласованный Европейским парламентом и Советом в апреле 2016 года, заменит Директиву о защите данных 95/46 / ec весной 2018 года. основной закон, регулирующий, как компании защищают личные данные граждан ЕС. Компании, которые уже соблюдают Директиву, должны убедиться, что они также соответствуют новым требованиям GDPR, прежде чем она вступит в силу 25 мая 2018 года.Компании, которые не смогут обеспечить соблюдение GDPR до указанного срока, будут подвергнуты строгим штрафам и штрафам.
ТребованияGDPR применяются к каждому государству-члену Европейского Союза с целью создания более последовательной защиты потребительских и личных данных во всех странах ЕС. Некоторые из ключевых требований GDPR к конфиденциальности и защите данных включают:
- Требование согласия субъектов на обработку данных
- Анонимизация собранных данных для защиты конфиденциальности
- Предоставление уведомлений о нарушениях данных
- Безопасная обработка передачи данных за границу
- Требование к определенным компаниям назначить сотрудника по защите данных для надзора за соблюдением GDPR
Проще говоря, GDPR устанавливает базовый набор стандартов для компаний, которые обрабатывают данные граждан ЕС, чтобы лучше защищать обработку и перемещение личных данных граждан.
Кто подчиняется GDPR?
Цель GDPR — ввести единый закон о безопасности данных для всех членов ЕС, чтобы каждому государству-члену больше не нужно было писать свои собственные законы о защите данных, и законы, согласованные на всей территории ЕС. Помимо членов ЕС, важно отметить, что любая компания, которая продает товары или услуги резидентам ЕС, независимо от ее местонахождения, подлежит регулированию. В результате GDPR повлияет на требования к защите данных во всем мире.
Требования Общего регламента по защите данных 2018
Сам GDPR содержит 11 глав и 91 статью. Следующие главы и статьи имеют наибольшее потенциальное влияние на операции по обеспечению безопасности:
- Статьи 17 и 18 — Статьи 17 и 18 GDPR предоставляют субъектам данных больший контроль над личными данными, которые обрабатываются автоматически. В результате субъекты данных могут более легко передавать свои личные данные между поставщиками услуг (также называемое «право на переносимость»), и они могут указывать контроллеру стереть их личные данные при определенных обстоятельствах (также называемое «правом на стирание»). ).
- Статьи 23 и 30 — Статьи 23 и 30 требуют от компаний принятия разумных мер защиты данных для защиты личных данных и конфиденциальности потребителей от потери или разглашения.
- Статьи 31 и 32 — Уведомления о взломе данных играют большую роль в тексте GDPR. В статье 31 указаны требования к единичным нарушениям данных: контролеры должны уведомить контролирующие органы (SA) о нарушении личных данных в течение 72 часов с момента обнаружения нарушения и должны предоставить конкретные детали нарушения, такие как характер и приблизительное количество нарушений. затронутые субъекты данных.Статья 32 требует, чтобы контроллеры данных как можно быстрее уведомляли субъектов данных о нарушениях, когда нарушения подвергают их права и свободы высокому риску.
- Статьи 33 и 33a — Статьи 33 и 33a требуют, чтобы компании проводили оценку воздействия на защиту данных для выявления рисков для данных потребителей и проверки соответствия требованиям защиты данных, чтобы гарантировать устранение этих рисков.
- Статья 35 — Статья 35 требует, чтобы определенные компании назначали сотрудников по защите данных.В частности, любая компания, обрабатывающая данные, раскрывающие генетические данные субъекта, его состояние здоровья, расовое или этническое происхождение, религиозные убеждения и т. Д., Должна назначить сотрудника по защите данных; эти сотрудники служат для консультирования компаний по вопросам соблюдения нормативных требований и выступают в качестве контактных лиц с SA. Некоторые компании могут подпадать под действие этого аспекта GDPR просто потому, что они собирают личную информацию о своих сотрудниках в рамках процессов управления персоналом.
- Статьи 36 и 37 — Статьи 36 и 37 определяют должность сотрудника по защите данных и его обязанности по обеспечению соответствия GDPR, а также отчетности перед надзорными органами и субъектами данных.
- Статья 45 — Статья 45 распространяет требования о защите данных на международные компании, которые собирают или обрабатывают личные данные граждан ЕС, подвергая их тем же требованиям и штрафам, что и компании, расположенные в ЕС.
- Статья 79 — Статья 79 определяет штрафы за несоблюдение GDPR, которые могут составлять до 4% от глобального годового дохода компании-нарушителя в зависимости от характера нарушения.
Применение GDPR и штрафы за несоблюдение
По сравнению с прежней Директивой о защите данных GDPR увеличил штрафы за несоблюдение.SA имеют больше полномочий, чем в предыдущем законодательстве, потому что GDPR устанавливает стандарт в ЕС для всех компаний, которые обрабатывают личные данные граждан ЕС. SA обладают полномочиями по расследованию и исправлению ошибок и могут выдавать предупреждения о несоблюдении, проводить аудиты для обеспечения соответствия, требовать от компаний внесения определенных улучшений в установленные сроки, отдавать приказ об удалении данных и блокировать передачу данных компаниями в другие страны. Контроллеры и обработчики данных подчиняются полномочиям и штрафам SA.
GDPR также позволяет SA устанавливать более крупные штрафы, чем Директива о защите данных; штрафы определяются в зависимости от обстоятельств каждого дела, и SA может выбрать, применять ли свои корректирующие полномочия со штрафами или без них. Для компаний, которые не соблюдают определенные требования GDPR, штрафы могут составлять до 2% или 4% от общего годового оборота в мире или 10 или 20 млн евро, в зависимости от того, что больше.
GDPR распространяется на всех, кто работает с европейскими гражданами
Помимо членов ЕС, важно отметить, что любая компания, которая продает товары или услуги резидентам ЕС, независимо от ее местонахождения, подлежит регулированию.Соблюдая требования GDPR, предприятия избегают платить дорогостоящие штрафы, улучшая защиту данных клиентов и повышая доверие к ним.
Теперь, когда это положение о конфиденциальности вступило в силу, веб-сайты, которые не соблюдают его, будут недоступны в европейских странах. Наиболее заметными среди временно заблокированных сайтов были Chicago Tribune и LA Times. Если сайт вашей организации собирает какие-либо регулируемые данные от европейских пользователей, он должен соответствовать GDPR.
Примут ли США законы о конфиденциальности данных?
Повышенное внимание общественности и политиков привлекло внимание к конфиденциальности данных в США.На данный момент нет федерального законодательства о конфиденциальности данных. Тем не менее, дискуссии по этой теме участились. Разговор приобрел резонанс после слушаний в Конгрессе основателя Facebook Марка Цукерберга. Многие штаты приняли собственные законы, наиболее заметным из которых на сегодняшний день является Закон Калифорнии о конфиденциальности потребителей.
Согласно отчету Ovum, около двух третей компаний в США могут переосмыслить свою стратегию в Европе в результате GDPR.Однако, поскольку компании ожидают ужесточения правил конфиденциальности данных в Соединенных Штатах, некоторые понимают, что, возможно, пришло время внедрить более строгие меры защиты данных во всех сферах.
Лучшие практики GDPR: важный закон ЕС о защите данных
Все организации, от малых до крупных, должны знать все требования GDPR и быть готовы их соблюдать в будущем. Для многих из этих компаний первым шагом к соблюдению GDPR является назначение сотрудника по защите данных, который будет создавать программу защиты данных в соответствии с требованиями GDPR.После выполнения требований важно быть в курсе изменений в законах и методах правоприменения. У BBC есть тематическая страница GDPR, на которой освещаются текущие новости по вопросам правоприменения и другим темам.
Шаги по обеспечению соответствия GDPR
1. Физически прочитать GDPR
Хотя есть разделы, которые сложно расшифровать и содержат больше юридических формулировок, каждый человек, который может быть затронут GDPR, должен попытаться прочитать и понять это знаковое законодательство.
2. Обратитесь к другим организациям
GDPR затрагивает бизнес по всему миру, а не только в Европейском Союзе. Если вы или сотрудники вашей организации по-прежнему не понимаете, какие шаги необходимы для достижения соответствия — обратитесь к тем, кто соблюдает требования. Многие компании, вероятно, поделятся шагами, предпринятыми для достижения соответствия.
3. Обращайте пристальное внимание на свой веб-сайт
Файлы cookie, подписки, хранение данных и многое другое — это вещи, которые можно легко настроить на веб-сайте.
