Персональные данные 152 фз: Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция)

Категории персональных данных | Cloud4Y

Проблема персональных данных и соответствия требованиям закона ФЗ-152 волнует большое количество компаний. У многих из них после прочтения документа возникает вопрос: какие вообще есть категории персональных данных и как правильно их защищать? Cloud4Y помогает разобраться в вопросе.

Категории персональных данных, соответствующих Федеральному закону №152 (О персональных данных)

Существует 4 категории персональных данных, которые могут нуждаться в защите от посягательств со стороны третьих лиц. Это:

• Общедоступные —персональные данные, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».

• Биометрические — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПД.

• Специальные — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.

• Иные — персональные данные, не относящиеся ни к одной из вышеназванных категорий (специальные, биометрические, общедоступные).

Таблица определения уровня защищенности

Особенности облака ФЗ-152

Передача персональных данных на обработку Облачному оператору выполняется в соответствии с законом 152-ФЗ «О персональных данных».

Разделение ответственности за обеспечение безопасности персональных данных.

Cloud4Y обеспечивает безопасность и выполнение требований регуляторов:

• на физическом уровне: сертифицированные ЦОД, охранная и пожарная сигнализация, видеонаблюдение и контроль доступа, резервирование систем;
• на уровне инфраструктуры: платформы виртуализации и хранения, сервисы облака, периметр сети, системы управления;
• на уровне сегмента администрирования.

Клиент обеспечивает безопасность и выполнение требований регуляторов:

• на уровне сегментов клиентских виртуальных машин;
• на уровне операционной системы виртуальной машины.

В стоимость услуг облака включены сертифицированные средства защиты информации, в том числе:

• межсетевые экраны уровня границы сети и границы виртуального облака клиента;
• система обнаружения вторжений;
• сканер уязвимостей;
• антивирусное ПО и система защиты от НСД;
• критошлюз с шифрованием по ГОСТ и сертифицированные клиенты для подключения к облаку.
• сертифицированная система резервирования
• сертифицированная система виртуализации

Пример реализации ИТ-инфраструктуры

ИТ-инфраструктура может быть организована разными способами. Ниже предложен вариант размещения, используемый корпоративным облачным провайдером Cloud4Y.

Кроме того, наша компания оказывает комплексную поддержку клиентам. В частности, мы можем взять на себя вопросы:

• Предварительного обследования ИСПДн заказчика на предмет соответствия ФЗ-152;
• Разработку полного комплекта организационно-распорядительной документации;
• Аттестационных испытаний, выдачи аттестата соответствия по требованиям безопасности информации на ИСПДн;
• Установки и настройки технических средств защиты (Dr.Web, SecretNet, Scanner), сертифицированных ФСТЭК;
• Миграции на облачную платформу (оказываем помощь в переезде или сами выполняем необходимые работы).

Пример реализации ИТ-инфраструктуры с vGate

Самостоятельная защита ПДн vs. услуга Облако ФЗ-152

В таблице представлено сравнение в преимуществах размещения информационных систем персональных данных в защищенном облаке ФЗ-152 по сравнению с самостоятельной организацией и аттестацией инфраструктуры.

Просто и доступно о 152 ФЗ.

На территории нашей страны действует федеральный закон о защите персональных данных, вы наверняка не раз сталкивались с его официальным обозначением – 152-ФЗ.

Суть 152-ФЗ заключается в том, что каждый, кто собирает и обрабатывает персональные данные (ПДн), обязан обеспечить безопасность этой конфиденциальной информации.

Об этом законе написано множество статей, большая часть которых направлена на то, чтобы вызвать у вас, как минимум, беспокойство – соблюдаете ли вы требования 152-ФЗ, могут ли вас оштрафовать на немыслимые суммы, что делать, к кому обратиться? Как правило, авторы этих публикаций гордо предъявляют свои лицензии ФСБ и ФСТЭК, предлагают услуги специализированного или «аттестованного» хостинга под этот закон. Их посыл заключается в том, что без их помощи и услуг вы легко попадете под санкции за нарушение действующего законодательства и можете даже лишиться своих проектов.

Поэтому надо всего лишь платить в 3 раза больше, чем за стандартную ИТ инфраструктуру, все остальное покроют «лицензии ФСБ и ФСТЭК».

Мы подготовили этот материал с иной целью – мы пошагово объясним вам принципы действия ФЗ-152, чтобы вы могли самостоятельно определить зону своей ответственности и ответственности провайдера, что будет достаточно предпринять, чтобы соблюсти требования закона и нужно ли вам переплачивать в разы за арендованные облачные серверы.

Определяем, попадает ли сайт под действие 152-ФЗ
Для начала стоит разобраться – что такое персональные данные, работает ли с ними ваш сайт, попадает он под действие 152-ФЗ в принципе?

Персональные данные – это любая информация, которая относится к конкретному человеку (субъекту персональных данных): ФИО, паспортные данные, e-mail, номер телефона и другие.

Важно: если на своем сайте вы запрашиваете у посетителя только e-mail, он не будет являться ПДн, поскольку это просто набор символов, не относящийся к конкретной персоне, но, если вы просите представиться и оставить электронный адрес, вы уже работаете с ПДн.

В принципе, это означает, что любой веб-проект, где с пользователем осуществляется прямое взаимодействие – ему нужно представиться и оставить любую информацию о себе – попадает под действие 152-ФЗ.

Если ваш сайт носит исключительно информативный и ознакомительный характер, не имеет форм обратной связи и не подразумевает никакой коммуникации с аудиторией, 152-ФЗ никак вас не коснется, вы можете закрыть эту статью.

Но если вы определили, что работаете с персональными данными, это значит, что вы имеете статус Оператора ПДн.

Оператор ПДн

– это компания, которая собирает, хранит, обрабатывает и распространяет персональные данные.

Если вы храните на своих серверах данные пользователей сайта – вы оператор ПДн.

Даже если вы удаляете полученные персональные данные – вы уже осуществляете их обработку, то есть являетесь оператором ПДн.

Вы – оператор ПДн, а это значит, что требования и санкции, прописанные в законе «О персональных данных» имеют к вам непосредственное отношение. Значит, в этих требованиях стоит разобраться подробнее.

Как классификация ПДн влияет на ответственность оператора

Главный принцип 152-ФЗ гласит, что оператор ПДн обязан обеспечить надежную защиту и конфиденциальность персональным данным, с которыми он работает. А вот степень этой защиты и, соответственно, объем ответственности за ее ненадлежащее обеспечение напрямую зависит от типа ПДн, с которыми работает оператор.

Выделяют 4 типа персональных данных:

Общие ПДн – базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, e-mail и другие. Как правило, эти данные известны широкому кругу лиц и именно их чаще всего запрашивают веб-ресурсы.

Специальные ПДн

Более конкретные данные о личности: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, информация о судимостях и другие. Эту категорию отличает то, что такие данные можно получить только по запросу у самого человека, либо в соответствующих инстанциях.

Биометрические ПДн

Это физиологические или биологические особенности человека, которые используются для идентификации личности: фотографии, отпечатки пальцев, группа крови, генетическая информация и другие.

Важно: если вы не используете фото и другие данные этой категории, чтобы идентифицировать человека, они не являются биометрическими ПДн.

Иные ПДн

К этой категории относятся персональные данные, которые нельзя отнести к категориям, перечисленным выше: принадлежность к определенной социальной группе, корпоративные данные и тому подобные.

Определив категории ПДн, с которыми вы работаете, можно определить и требуемую ФЗ-152 степень их защиты.

Иерархия в данном случае выглядит следующим образом – от меньшей степени защиты к большей:

·      Общедоступные – известны широкому кругу лиц, слабая защита.

·      Иные – известны меньшему количеству людей, требуют чуть большей защиты.

·      Биометрические данные – используются для идентификации личности, требуют серьезной защиты.

·      Специальные данные – при утечке могут нанести вред человеку, требуют самой высокой степени защиты.

Для обеспечения защиты ПДн, согласно закону «О персональных данных», оператору необходимо выстроить безопасную ИТ-инфраструктуру и в случаях, требующих, высокой степени защиты – действительно получить соответствующую документацию от государственных органов, регулирующих действие 152-ФЗ: ФСБ, Роскомнадзор, ФСТЭК – лицензии, свидетельства об аттестации и другие.

Требуемые уровни защиты ПДн 

Обеспечение соответствия ваших проектов 152-ФЗ и меры, которые в этой связи необходимо предпринять, напрямую зависят от категории данных ПДн, с которыми Вы работаете и ряда параметров, наглядно представленных в таблице

Рассмотрим все параметры этой таблицы:

• Количество субъектов ПДн – число тех, кто оставляет ПДн на вашем сайте.
• Типы актуальных угроз:
  • 1 тип — не теоретические, связанные с возможностями уязвимостей в системном программном обеспечении, например, в операционной системе, гипервизоре.
  • 2 тип — угрозы средней уязвимости, связанные со слабыми местами прикладного ПО, например, в установленных программах, базах данных.
  • 3 тип — угрозы, не связанные с ПО, например, уязвимости в физическом оборудовании.

Важно: если вы используете ПО с сертификацией ФСТЭК, то угрозы 1 и 2 типа для вас не актуальны (недокументированных возможностей в ПО нет). Но понятно, что таким специфичным ПО пользуются в основном только государственные структуры. В общем случае, специалист по информационной безопасности может точно определить уровень актуальных угроз исходя из той конфигурации ПО и инфраструктуры, которую вы реально используете.

УЗ – это требуемый законодательством уровень защищенности ПДн. Всего выделяют 4 типа, у каждого есть свои определения, но если упрощенно, то данные с УЗ-3 и УЗ-4 можно без опасений хранить в публичном облаке, а вот для УЗ-2 и УЗ-1 нужны особые условия. 

Выбираем путь к соблюдению закона о Персональных данных

Обратите внимание, если у вас интернет-магазин, вы собираете общедоступную информацию от ваших клиентов, и количество этих клиентов, не превышает 100 тыс., то вам не надо беспокоиться об использовании защищенного ФЗ-152 хостинга или облака, также как и о наличии лицензий ФСБ и ФСТЭК.

Вы спокойно можете выбрать провайдера, чьи серверы расположены на территории РФ, и доверить ему свою ИТ-инфраструктуру. Этого будет полностью достаточно, чтобы соблюдать требования 152-ФЗ в части ИТ инфраструктуры и не опасаться санкций и огромных штрафов!

Кстати, если вы используете CMS нашего давнего партнера 1С-Битрикс, то все становится совсем просто – ребята отлично поработали и поставили в CMS модуль – конструктор соглашений, который подойдет для большинства компаний, чтобы решить все задачи с приемом и обработкой персональных данных на сайте. Вот тут подробно описано, как это работает, а мы в свою очередь подготовили оптимизированные под 1С-Битрикс тарифы на ультрабыстром «железе». 

Если же у вас более комплексный случай, то обращайтесь к нам, наши специалисты по информационной безопасности проведут аудит вашего проекта, помогут разработать необходимые нормативные документы и будут готовы сопровождать вас на всех этапах приведения ИТ инфраструктуры к требованиям законодательства.

Группа компаний Rusonyx – ваш надёжный партнёр

Наши серверы находятся не просто на территории РФ – они находятся в самом надежном дата-центре России – DataPro. Несколько upstream провайдеров с защитой от DDoS обеспечивают связность нашей инфраструктуры с сетью Интернет.

Серверы Dell и Intel обеспечивают работу высоконагруженных вебсайтов, мобильных приложений и инфраструктуры интернет-проектов.

Облако на базе OpenStack и виртуализации KVM обеспечивают отказоустойчивость и безопасность клиентских приложений.

Именно поэтому нам доверяют 35 тысяч интернет-магазинов, предприятий, финансовых организаций и ИТ-компаний.

Оставьте ваши контакты и мы свяжемся с вами, чтобы проконсультировать и рассказать подробней о наших услугах.

Береги свои персональные данные | Официальный сайт администрации МО «Город Астрахань»

Управление Роскомнадзора по Астраханской области (далее — Управление, Уполномоченный орган по защите прав субъектов персональных данных) информирует Вас, что в январе 2007 года вступил в силу Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

В соответствии с требованиями пункта 2 статьи 3 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» Оператор —  государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (т.е. имеющие персональный ИНН/КПП, ОГРН или ОГРНИП — для индивидуальных предпринимателей).

В соответствии с требованиями ч. 1 ст. 22 Федерального закона «О персональных данных» Операторы, которые осуществляют обработку персональных данных, обязаны направить в Уполномоченный орган по защите прав субъектов персональных данных Уведомление об обработке персональных данных. Официальные (информационные) сообщения о начале приема Уведомлений от операторов, осуществляющих обработку персональных данных, были опубликованы в основных печатных изданиях и размещены на сайте в сети Интернет.

С 1 сентября 2015 года вступил в силу Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», которым внесены изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» в части дополнения формы уведомления об обработке персональных данных сведениями о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации.

Оператор после 01.09.2015 обязан направить в территориальное управление Роскомнадзора уведомление с указанием, в том числе, места нахождения базы данных. В случае внесения изменений в имеющиеся сведения об операторе в реестре операторов должно быть направлено соответствующее информационное письмо.

Согласно части 1 статьи 23 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных», пункта 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г. № 228, Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Дополнительно информируем, что электронная форма уведомления/информационного письма и порядок ее заполнения размещены на портале персональных данных www.pd.rkn.gov.ru в разделе «Реестр операторов; Электронные формы заявлений». Рекомендации по ее заполнению и примеры заполнения размещены на сайте Управления www.30.rkn.gov.ru в разделе «Направление деятельности; Защита прав субъектов персональных данных»; Форма уведомления. Обращаем внимание, что за непредставление или несвоевременное представление в государственный орган (должностному лицу), сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом его законной деятельности, либо представление в государственный орган (должностному лицу), осуществляющий государственный контроль (надзор), муниципальный контроль, таких сведений (информации) в неполном объёме или в искажённом виде предусмотрена административная ответственность в соответствии со ст. 19.7 Кодекса Российской Федерации об административных правонарушениях.

По всем возникающим вопросам обращаться по адресу:

414004, г. Астрахань, ул. Студенческая, 3, тел.: 44-20-54 (доб. 312, 313).

 

Просмотреть видео в новой вкладке

Политика обработки персональных данных Ситибанка

Введение

Обеспечение достаточной и адекватной информационной безопасности активов, включая, в частности, личные данные и процессы, используемые при обработке данных, является ключом к выполнению нашей миссии.

АО Ситибанк («Банк») полностью привержен соблюдению прав и свобод граждан в отношении обработки персональных данных и защищает их права на неприкосновенность частной жизни, личные и семейные секреты.

При обработке персональных данных Банк строго придерживается следующих принципов:

• Обработка данных, несовместимая с целями сбора персональных данных, не допускается;
• Обработка персональных данных, несовместимых с целями обработки данных, не допускается. Содержание и состав персональных данных, обрабатываемых в Банке, соответствуют заявленные цели обработки данных;
• При обработке персональных данных Банк обеспечивает точность, достаточность и, при необходимости, актуальность персональных данных;
• Персональные данные хранятся не дольше, чем это необходимо для целей обработки данных и требуется федеральными законами и соглашениями, в которых субъект данных является стороной, выгодоприобретателем или поручителем;
• Персональные данные обрабатываются в соответствии с принципами и правилами, предусмотренными законодательством Российской Федерации.

Персональные данные являются конфиденциальной и строго защищенной информацией и подпадают под все требования, изложенные во внутренних документах Банка в отношении защиты конфиденциальной информации. Информация.

Понятие и состав персональных данных

Перечень защищаемых персональных данных формируется в соответствии с Федеральным законом от 25.07.2012 г.152-ФЗ от 27.07.2006 г. № «О персональных данных» .

Информация, составляющая персональные данные для Банка, — это любая информация, относящаяся, прямо или косвенно, к идентифицированному или идентифицируемому физическому лицу (субъекту данных).

Цели обработки персональных данных

Банк обрабатывает персональные данные в следующих целях:

• Осуществление банковских операций и иной деятельности, предусмотренной уставом и лицензиями Банка, нормативными актами Банка России и действующим законодательством Российской Федерации, например федеральными законами. Нет.№ 395-1 от 2 декабря 1990 г., « О банках и банковской деятельности», , № 218-ФЗ от 30 декабря 2004 г., «О кредитных историях», , № 115-ФЗ от 7 августа, г. 2001, «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» , № 173-ФЗ от 10 декабря 2003 г., «О валютном регулировании и валютном контроле» , г. № 39-ФЗ от 22 апреля 1996 г., «О рынке ценных бумаг» , №177-ФЗ от 23 декабря 2003 г. № «О страховании вкладов физических лиц в банках России» , г. № 27-ФЗ от 1 апреля 1996 г., «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» , № 230-ФЗ от 3 июля 2016 г., «О защите прав и законных интересов Физические лица при осуществлении коллекторской деятельности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях» », г. Нет.152-ФЗ от 27 июля 2006 г. № «О персональных данных» , в том числе: взыскание просроченной задолженности; уведомление клиентов о сделках; обеспечение соблюдения Банком Российские законы и нормативные акты: выполнение функций валютного контроля, выявление операций, которые подлежат обязательному контролю, и операций, которые предположительно проводятся в целях легализации / отмывания. доходы от преступной деятельности или финансирования терроризма; открытие счетов, выпуск банковских карт; оценка кредитоспособности, проведение комплексной проверки перед заключением договоров и предоставлением продуктов и услуги для клиентов; предоставление клиентам банковских, инвестиционных и страховых продуктов и услуг; прием и обработка запросов и жалоб.
• Проведение маркетинговых кампаний, продвижение товаров и услуг, оценка качества обслуживания клиентов.
• Заключение, исполнение и расторжение гражданско-правовых договоров с физическими, юридическими и другими лицами в случаях, предусмотренных действующими нормативными актами и уставом Банка; выполнение комплексная проверка перед заключением договоров;
• Набор и найм персонала; организация кадрового учета, обеспечение соблюдения нормативных правовых актов, заключение и исполнение обязательств по трудовым договорам; ведение кадрового учета, помощь сотрудникам в вопросах трудоустройства, обучения, продвижения по службе и использования различных льгот; обеспечение соблюдения налогового законодательства при исчислении и выплате доходов физических лиц налоги и отчисления в Фонд социального страхования и Фонд обязательного медицинского страхования; обеспечение соблюдения пенсионных правил, касающихся формирования и предоставления персонифицированных данных на каждого получателя дохода для включения в расчет взносов на обязательное пенсионное страхование, оформление первичных статистических документов в соответствии с Трудовой кодекс Российской Федерации, Налоговый кодекс Российской Федерации, федеральные законы (такие как «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» и «О персональных данных» ), а также Закон Банка внутренние документы; добровольное медицинское страхование; страхование жизни, страхование от болезней и несчастных случаев; оформление визы.
• В целях оптимизации веб-ресурсов Банка и электронной почты для клиентов с учетом индивидуальных особенностей и предпочтений посетителей сайта citibank.ru веб-сайта и получателей электронных писем с домена @ citibank.ru («веб-сайт») Банк собирает и обрабатывает следующие данные:
• Количество посетителей (новых посетителей) сайта;
• Адрес страницы и количество посещений страниц сайта;
• Количество посещений сайта;
• Среднее время, проведенное на сайте за одно посещение;
• Количество вернувшихся посетителей на сайт;
• Пол и возраст посетителей сайта;
• Интересы посетителей сайта;
• География: язык и местонахождение посетителей сайта;
• Тип устройства посетителя: браузер и ОС, мобильные устройства;
• Источники трафика, последний источник трафика;
• Сравнение производительности источников трафика;
• Пути посетителей по сайту;
• Контент веб-сайта;
• Поведение на сайте;
• Скорость загрузки сайта;
• Поиск по сайту, поисковая фраза;
• Статистика страницы. Страницы входа и выхода;
• Цели;
• Многоканальные последовательности;
• Атрибуция;
• отказов;
• Глубина обзора;
• Переходы получателя по ссылкам в электронном письме, отправленном с домена @ citibank.ru;
• Информация о входных устройствах;
• Информация о посещениях и использовании Citibank ^® Online;
• Отслеживание использования внешних и внутренних ссылок, баннеров и взаимодействия с элементами страницы;
• Идентификатор файла cookie;
• ID пользователя для акций «Пригласите друга»;
• Информация о сообщениях об ошибках, полученных пользователями;
• Информация о товарах / категориях / услугах, которые посетили пользователи;
• Информация о загруженных файлах, видео, инструментах, механике «Поделиться в социальных сетях» и виджетах страниц;
• Информация о «пути» клиента, заполнение заявки и сбор информации о потенциальных клиентах;
• Информация о предложениях, отображаемых для пользователей;
• Поисковая информация на сайте;
• Информация от пользователей, собранная через формы обратной связи.

Банк обрабатывает указанные данные следующими способами: сбор, систематизация, накопление, хранение, обновление, изменение, использование и передача третьим лицам (предоставление, доступ), включая Adobe Systems (36-38 Market St, Maidenhead SL6 8AD, United Kingdom), Amazon Web Services Inc (410 Terry Avenue North, Сиэтл, WA 98109-5210), eClerx Services Limited (Sonwala Building, 1-й этаж, 29 Bank Street, Fort, Mumbai 400023, Индия), CitiCorp Services India Pvt.Ltd. (3-й и 4-й этажи, Brigade Magnum, Byatarayanapura, Bengaluru, Karnataka 560092, India), Citbank North America Singapore (8 Marina View, Asia Square Tower 1, Сингапур 018960), ООО Waivemaker (127051, г. Москва, Цветной бульвар, д. 2, этаж 3, зона II, комната 14).

Такие данные передаются в Google Analytics, Яндекс Метрика, Facebook Ad Manager и Mail. ru My target в агрегированном виде. Обратите внимание, что Google, Яндекс, Facebook и Mail.ru международные компании, которые хранят и обрабатывают данные как в России, так и за ее пределами.

Ваше согласие на обработку указанных данных может быть отозвано посредством вашего письменного уведомления, отправленного в Банк не менее чем за месяц до даты фактического прекращения обработки. ваших персональных данных Банком.

Сохранение личных данных

Срок хранения определяется сроком договора с субъектом данных, приказом Минкультуры №№ 558 от 25 августа 2010 г. № «Об утверждении Перечня нормативных документов архивного распорядка, формируемых в ходе деятельности государственных органов, органов местного самоуправления и организаций, и сроков их хранения» , г. Постановление Федеральной комиссии по рынку ценных бумаг от 16. 07.2003 № 03-33 / пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ» , г. срок исковой давности и другие требования законодательства Российской Федерации и нормативных актов Банка России.

Банк формирует и хранит документы, содержащие информацию о субъектах данных. Требования к использованию в Банке типовых бланков таких документов определяются Постановлением Правительства. Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных без использования средств автоматизации» .

Безопасность личных данных

Банк принимает технические и организационные меры информационной безопасности, необходимые для защиты персональных данных от несанкционированного доступа, изменения, раскрытия или уничтожения, посредством внутренних проверок процессов обработки данных. сбор, хранение и обработка, а также меры физической безопасности данных, предотвращающие несанкционированный доступ к персональным данным.

Права и обязанности субъектов данных

Права и обязанности

Банк как оператор персональных данных имеет право:

• Отстаивать интересы в судах;
• Предоставлять личные данные субъектов данных третьим лицам (налоговым органам, правоохранительным органам и т. Д.)) если это предусмотрено действующим законодательством;
• Отказаться в предоставлении персональных данных в случаях, предусмотренных действующим законодательством;
• Использовать персональные данные субъектов данных без их согласия в случаях, предусмотренных действующим законодательством.

Субъект данных имеет право делать следующее:

• Требовать, чтобы его / ее личные данные были обновлены, заблокированы или уничтожены, если такие личные данные являются неполными, устаревшими, неточными, незаконно полученными или ненужными для заявленной цели обработки данных, и воспользоваться средствами правовой защиты, предусмотренными законом, для защиты своих прав;
• Требовать перечень своих персональных данных, которые обрабатываются Банком, и источник их получения;
• Получать информацию о продолжительности обработки своих персональных данных и сроках их хранения;
• Требовать, чтобы все лица, которым ранее были предоставлены неверные или неполные персональные данные, были уведомлены обо всех удалениях, исправлениях или дополнениях;
• Обращение в орган по защите данных или в суд в связи с неправомерным действием или бездействием при обработке его / ее личных данных;
• Защищать свои права и законные интересы, в том числе требовать возмещения материального и морального ущерба.

Согласие на обработку персональных данных посетителей сайта

Настоящим передаю АО Ситибанк, офис которого находится по адресу: 8-10, корп. 125047, г. Москва, ул. Гашека, 1 («Банк» или «Оператор») мое согласие на автоматизированную и неавтоматизированную обработку из моих личных данных, перечисленных ниже:

• Мои запросы как посетитель сайта;
• Системная информация, данные из моего браузера;
• файлы cookie;
• Мой IP-адрес;
• На моем устройстве установлены операционные системы;
• Типы браузеров, установленных на моем устройстве;
• На моем устройстве установлены расширения и настройки цвета экрана;
• языков, установленных и используемых на моем устройстве;
• версии Flash и поддержка JavaScript;
• Типы используемых мной мобильных устройств, если применимо;
• Географическое положение;
• Количество посещений веб-сайта и просмотров страниц;
• Срок пребывания на сайте;
• Запросы, используемые мной при перенаправлении на сайт;
• страниц, с которых производились перенаправления;
• Информация о входных устройствах;
• Информация о посещениях и использовании Citibank Online;
• Отслеживание использования внешних и внутренних ссылок, баннеров и взаимодействия с элементами страницы;
• Идентификатор файла cookie;
• ID пользователя для акций «Пригласите друга»;
• Информация о сообщениях об ошибках, полученных пользователями;
• Информация о товарах / категориях / услугах, которые посетил пользователь;
• Информация о загруженных файлах, видео, инструментах, механике «Поделиться в социальных сетях» и виджетах страниц;
• Информация о «пути» клиента, заполнение заявки и сбор информации о потенциальных клиентах;
• Информация о предложениях, отображаемых для пользователей;
• Поисковая информация на сайте;
• Информация от пользователей, собранная через формы обратной связи.

В целях оптимизации Оператором своих веб-ресурсов с учетом моих индивидуальных особенностей и предпочтений Оператор может обрабатывать мои персональные данные в следующих способы: сбор, систематизация, накопление, хранение, обновление, изменение, использование и передача третьим лицам (предоставление, доступ).

Это согласие вступит в силу с момента, когда я перейду на веб-сайт Оператора, и будет действовать до тех пор, пока оно не будет отозвано.Это согласие может быть отозвано посредством моего письменного уведомления. отправлено в Банк не менее чем за месяц до даты фактического прекращения обработки моих персональных данных Банком.

Обратная связь

Банк принимает разумные меры для поддержания точности и актуальности доступных личных данных и для удаления личных данных в случаях, когда такие данные являются устаревшими, ненадежными или ненужными, или если цели обработки данных были достигнуты.

Субъекты данных несут ответственность за предоставление Банку достоверной информации и своевременное обновление такой информации в случае любых изменений.

Если вы, как субъект данных, желаете узнать, какие из ваших личных данных находится в распоряжении Банка, или обновить, исправить, обезличить или удалить любые неполные, неточные или устаревшие личных данных, хотите, чтобы Банк прекратил обработку ваших личных данных или у вас есть другие законные запросы, вы можете реализовать свое право надлежащим образом и в соответствии с применимым законодательством, запросив Банк для этого.

Однако в некоторых случаях такой запрос может также означать, что Банк больше не сможет предоставлять вам услуги (например, если вы хотите, чтобы Банк удалил или прекратил обработку ваших личных данные).

Для выполнения ваших запросов Банк может потребовать идентифицировать вас и запросить дополнительную информацию, подтверждающую ваши отношения с Банком, или информацию, иным образом подтверждающую факт личной обработка данных Банком.Кроме того, применимое законодательство может устанавливать ограничения или другие условия, касающиеся ваших вышеупомянутых прав.

Порядок запроса информации субъектами данных установлен Федеральным законом от 27 июля 2006 г. № 152-ФЗ № «О персональных данных» . В частности, информация запрос должен содержать:

• Серия и номер документа, удостоверяющего личность субъекта данных или его / ее законного представителя, дата его выдачи и орган выдачи;
• Информация, подтверждающая связь субъекта данных с Банком (номер договора, дата, условное словесное обозначение и / или другая информация) или информация, иным образом подтверждающая факт личной обработка данных Банком;
• Подпись субъекта данных или его законного представителя.

Если запрос сделан законным представителем субъекта данных, запрос должен содержать документ, подтверждающий полномочия такого представителя, или его копию.

Контактные данные для запроса персональных данных доступны в разделе «Контакты» на сайте www.citibank.ru.

Международный закон о конфиденциальности | Тише-Тише

Поскольку компании продолжают оказывать глобальное влияние, важно знать законы страны и понимать, как движутся ваши данные через международные границы.В большинстве стран действуют собственные законы о защите данных, которые требуют должны соблюдаться, и многие подпадают под юрисдикцию более чем одного.

Вот несколько международных законов о конфиденциальности данных, о которых следует знать вашему специалисту по комплаенсу.

ПИПЕДА
В Канаде действует Закон о защите личной информации и электронных документах (PIPEDA). охватывает раскрытие личной информации в частном секторе.
Узнайте больше о PIPEDA.

Федеральный закон «О защите персональных данных»
Федеральный закон Мексики о защите личных данных частной собственности 2010 регулирует обработку персональных данных для частных предприятий.

LGPD
В августе 2020 года Бразилия официально приняла свой первый общий закон о защите данных Lei Geral de Proteção de Dado (LGPD).Это положение о защите данных распространяется на все предприятия в Бразилии. а также сбор и использование данных о гражданах и резидентах Бразилии.

GDPR
Общие правила защиты данных (GDPR) распространяются на все предприятия. (включая предприятия, работающие за пределами Европы), которые предлагают товары и услуги для жителей Европы и сбор личных данных в процессе.
Подробнее о GDPR.

Закон о защите данных 2
Закон Франции о защите данных 2 (Закон № 2016-1321) поддерживает положения GDPR.

Федеральный закон о защите данных 2017 г.
Федеральное федеральное правительство Германии (BDSG) работает наряду с GDPR, чтобы описать, как данные могут быть собраны и обработаны.

FLDP и DPO
Федеральный закон о защите данных (FLDP) и Постановление о защите данных (DPO) являются законами Швейцарии о конфиденциальности данных.

Закон о защите данных 2018
Закон о защите данных 2018 года включает GDPR ЕС и дополняет его положения в Соединенном Королевстве.Измененная редакция этого закона вступила в силу в полночь 31 декабря 2020 года.

Спецификация безопасности личной информации
Это закон о конфиденциальности данных в Китае, который касается прозрачности, личных прав на данные, и согласие. В октябре 2020 года Китай представил проект Закона о защите личной информации. (PIPL) для общественных консультаций.Этот всеобъемлющий закон о конфиденциальности данных еще не принят.

APPI
Закон Японии о защите личной информации (APPI) применяется к любой компании, как в Японии, так и за пределами Японии, который предлагает товары и услуги в стране.

ПДПБ
Вынесенный в декабре 2019 года Закон о защите персональных данных 2019 (PDPB) основан на GDPR и обеспечивает гражданам Индии определенную защиту данных прав. Новая редакция закона о защите персональных данных (PDP) Ожидается, что закон вступит в силу в начале 2021 года. В настоящее время конфиденциальность данных регулируется Законом об информационных технологиях 2000 года.

Федеральный закон РФ «О персональных данных» (№ 152-ФЗ)
Федеральный закон «О персональных данных» 2006 г. (Закон № 152-ФЗ) касается сбора и обработки данных о клиентах в России.

ПОПИ
Закон о защите личной информации (PoPI) 2013 года — это закон о конфиденциальности данных в Южной Африке. который определяет, как данные о клиентах могут быть использованы в маркетинговых целях.

Закон Австралии 1988 г. о конфиденциальности
Это ключевой закон о конфиденциальности, который регулирует как государственный, так и частный секторы в Австралии.

Закон Новой Зеландии о конфиденциальности 1993 года
Это ключевой закон о конфиденциальности, который регулирует как государственный, так и частный секторы Новой Зеландии.

Private Политика обработки персональных данных

Обработка персональных данных в АНКОР осуществляется исключительно на надлежащей правовой основе: с полученного согласия лица на обработку его персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации в области персональных данных.

ANCOR не обрабатывает биометрические персональные данные и особые категории персональных данных посетителей веб-сайта и кандидатов (кандидатов), связанные с расой, национальностью, политическими взглядами, религиозными или философскими убеждениями или интимной жизнью.

ANCOR не использует персональные данные субъектов персональных данных для принятия решений, основанных исключительно на такой автоматизированной обработке данных, которые порождают правовые последствия для субъекта персональных данных или иным образом затрагивают его права и законные интересы.

АНКОР обрабатывает персональные данные о здоровье исключительно в той мере, в какой это требуется в соответствии с трудовым законодательством Российской Федерации.

В случае трансграничной передачи персональных данных в страны, не защищающие права субъектов персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации, осуществляется трансграничная передача данных. на основании отдельного письменного согласия.

ANCOR не публикует персональные данные в общедоступных источниках без специального предварительного письменного согласия субъекта персональных данных.

ANCOR не раскрывает, не передает и не распространяет личные данные третьим лицам без надлежащей правовой основы. В целях передачи персональных данных субъектов персональных данных АНКОР в обязательном порядке предупреждает третьих лиц о конфиденциальности передаваемой информации.

АНКОР может привлекать для обработки персональных данных третьих лиц с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании соответствующего договора, заключенного с такими лицами (далее — операторские » порядок).

Лица, обрабатывающие персональные данные на основании договора, заключенного с АНКОР (операторское поручение), обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные законодательством Российской Федерации. Для каждой третьей стороны договор устанавливает перечень действий (транзакций) с персональными данными, которые должны выполняться третьей стороной, обрабатывающей персональные данные, цели обработки персональных данных, устанавливает обязательство такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при обработке, оговаривает требования к защите обрабатываемых персональных данных в соответствии с законодательством Российской Федерации.

Если ANCOR заключает договор на обработку персональных данных с другим лицом, ANCOR несет ответственность перед субъектом персональных данных за действия такого третьего лица. Ответственность перед ANCOR несет лицо, обрабатывающее персональные данные от имени ANCOR, которое является оператором персональных данных.

ANCOR обрабатывает персональные данные следующими способами:

• с использованием средств автоматизации, в том числе с использованием информационных технологий и технических средств, включая компьютерное оборудование, ИТ и технические комплексы и сети, средства и системы для передачи, приема и обработки персональных данных, специализированное программное обеспечение (операционные системы, управление базами данных системы и др.), средства защиты информации, используемые в ИТ-системах;
• без использования средств автоматизации.

Набор операций, выполняемых АНКОР для обработки персональных данных соискателей (кандидатов) и посетителей сайта, включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, сжигание личных данных.

Dataline LLC Политика обработки персональных данных

(оформлена в соответствии со ст. 18.1 § 2 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»)

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в целях защиты прав и свобод человека и гражданина при обработке их персональных данных, включая защиту прав на неприкосновенность частной жизни, личную и семейную. Конфиденциальность.

1.2. Политика обработки персональных данных составлена ​​в соответствии с Федеральным законом от 25.07.2012 г.152-ФЗ «О персональных данных» от 27 июля 2006 г.

2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных осуществляется на основе следующих принципов:

─ закон и справедливость;

─ ограничения обработки персональных данных для достижения конкретных, заранее определенных и законных целей;

─ обработка только тех персональных данных, которые соответствуют целям их обработки;

─ уничтожение или обезличивание персональных данных при достижении целей их обработки или в случае утраты необходимости достижения этих целей, если невозможно устранить нарушения персональных данных, если иное не предусмотрено федеральным законом. .

2.2. Компания обязуется не разглашать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.

3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Субъект персональных данных принимает решение о предоставлении своих персональных данных свободно, по собственному желанию и в своих интересах.

3.2. Субъект персональных данных имеет право получать информацию, касающуюся обработки его персональных данных. Субъект персональных данных вправе запросить разъяснение своих персональных данных, их блокирование или уничтожение.

4. ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Безопасность персональных данных обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для выполнения требований федерального законодательства в области защиты персональных данных.

5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

5.1. Лица, виновные в нарушении правил обработки и защиты персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральным законодательством.

Политика конфиденциальности — новости строительства и развития создают структуры

1. Общие положения

1.1. Политика конфиденциальности в отношении сбора персональных или профессиональных данных (Политика) защищает права и свободы всех лиц, предоставляющих свои данные ООО «Подземный Эксперт» (ООО «Подземный Эксперт») (Оператор).

1.2. Политика разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», II, 1.

1.3. Настоящая Политика раскрывает политику конфиденциальности Оператора в соответствии с требованиями Федерального закона № 152-ФЗ, I, 14 и является общедоступным документом.

1,4. В Политике указано:

• Цели сбора данных;
• Причина обработки персональных данных;
• Субъекты персональных данных;
• Срок хранения персональных данных;
• Передача персональных данных третьим лицам;
• Данные об обработке и мерах безопасности для защиты персональных данных;
• Права субъектов персональных данных.

1.5. Оператор зарегистрирован по адресу: 192102, Россия, Санкт-Петербург, ул. Фучика, 16Н.

1,6. Ольга Короткова отвечает за организацию обработки персональных данных (тел. +7 (812) 3250565, e-mail: [email protected]).

2. Термины и определения

2.1. Персональные данные — любая информация, относящаяся к одному определенному физическому лицу (субъекту персональных данных).

2.2. Оператор — государственный орган, региональный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами, организующими и (или) обрабатывающими персональные данные, а также определяющие объекты процедуры, содержание данных для обработки и операции, выполняемые для данные.

2.3. Обработка персональных данных — любая операция или совокупность действий, выполняемых с использованием средств автоматизации, включая сбор, сохранение, запись, классификацию, обновление, изменение, использование, извлечение, передачу, блокировку, удаление, обезличивание, уничтожение персональных данных. .

2.4. Сбор персональных данных — действия, ведущие к раскрытию персональных данных определенному лицу или определенной группе людей.

2,5. Уничтожение персональных данных — действия, в результате которых невозможно воссоздать содержание персональных данных в базе данных и (или) приводящие к уничтожению носителей, используемых для их хранения.

2.6. Блокировка персональных данных — временное приостановление обработки данных (за исключением случаев, когда это необходимо для проверки).

3. Цели обработки персональных данных

3.1. Оператор осуществляет обработку персональных данных по следующим причинам:

3.1.1. исполнение договора, предметом которого является одна из сторон;

3.1.2. установление обратной связи для обработки запросов от физических лиц на оказание им информационных и консультационных услуг, рекламных услуг, в том числе объявлений и запросов;

3.1.3. продвижение информационных услуг Оператора путем прямого контакта с субъектом персональных данных посредством средств связи;

3.1.4. кадровая работа и организация перекодировки сотрудников Оператора;

3.1.5. подбор и отбор кандидатов Оператора;

3.1.6. идентификация посетителей сайта Оператора https://undergroundexpert.info/;

3.1.7. информация о компании и ее услугах для посетителей сайта;

3.1.8. для целей, указанных в международном соглашении, участником которого является Российская Федерация, или в Законе, для выполнения функций, полномочий и ответственности, требуемых от Оператора в соответствии с законодательством Российской Федерации.

4. Причины обработки персональных данных

4.1 Правовая основа для обработки персональных данных:

4.1.1. законы Российской Федерации, регулирующие обработку персональных данных, основанные на Конституции Российской Федерации и международных соглашениях и состоящие из Федерального закона от 27 июля 2006 г.152-ФЗ «О персональных данных», II, 1 и др. Федеральные законы;

4.1.2. Пользователь соглашается с условиями при заполнении формы на сайте Оператора.

5. Группы субъектов персональных данных

5.1. Группы субъектов, персональные данные которых подлежат обработке, составляют:

5.1.1. физические лица, состоящие в трудовых и гражданско-правовых отношениях с Оператором;

5.1.2. физические лица, субъекты трудовых и гражданско-правовых отношений с подрядчиками Оператора;

5.1.3. субъекты персональных данных, использующие контактную форму на сайте undergroundexpert.info.

5.2. Данные по всем группам субъектов обрабатываются Оператором в рамках договоренности с Оператором, действующей в соответствии с законодательством Российской Федерации.

5.3. Данные по всем группам субъектов обрабатываются Оператором с согласия субъекта, предоставленного в письменной форме, или без такового в случаях, предусмотренных законодательством.

5.4. Следующие данные подлежат обработке Оператором:

Оператор собирает такую ​​информацию, как используемый браузер и устройство, IP-адрес, местоположение, пользователь сайта, откуда он пришел, какие пользователи использовали и не использовали сайт / приложение Оператора или пользователь сайта посещает, когда покидает веб-сайт Оператора.

См. Также Политику в отношении файлов cookie для получения дополнительной информации.

Когда пользователь размещает сообщение на платформах социальных сетей с этого веб-сайта, эта социальная сеть предоставляет Оператору некоторую информацию о пользователе.

Оператор также собирает геодемографические данные.

Оператор собирает адреса электронной почты с целью предоставления пользователю услуги дайджеста информационного бюллетеня, если пользователь желает подписаться на его информационный бюллетень.

6.Хранение данных

Оператор хранит информацию о личных данных только до тех пор, пока это необходимо для предоставления пользователю запрошенных услуг, а также для целей, изложенных в этой политике, и для любых юридических целей, для которых Оператор обязан хранить информацию. Оператор безопасно удалит информацию пользователя, когда она больше не требуется для этих целей, в соответствии с политикой компании.

7. Третьи стороны

Оператор не передает данные пользователя третьим лицам, за исключением счетчиков автоматических поисковых систем, поскольку Оператор использует услуги веб-аналитики, предоставляемые GOOGLE и ЯНДЕКС.

Также Оператор может передавать данные пользователя по запросу Государственных служб в соответствии с законодательством Российской Федерации.

8. Использование персональных данных

Оператор проводит маркетинговые исследования и анализ, которые помогают улучшить и настроить контент и услуги, чтобы убедиться, что информация, предоставляемая Оператором, актуальна для пользователя. Оператор использует его для отправки электронных писем службы поддержки клиентов.

См. Также наше согласие на обработку персональных данных для получения дополнительной информации.

9. Меры безопасности

9.1. Оператор назначает сотрудника, ответственного за обработку данных в соответствии с требованиями Федерального закона.

9.2. Оператор принимает меры безопасности для обеспечения сохранности собранных данных:

9.2.1 Оператор предоставляет Политику https://undergroundexpert.info;

9.2.2. Сотрудники Оператора могут иметь доступ к данным только для профессионального использования в интересах пользователей;

9.2.3 Оператор контролирует сохранность данных в соответствии с законодательством Российской Федерации.

10. Права

Пользователи могут запросить уточнение или уничтожение своих данных, обратившись к представителю Оператора по электронной почте, указанной в информационном бюллетене или на веб-сайте.

11. Заключительные положения

11.1. Используя веб-сайт Оператора (чтение, прокрутка, загрузка и скачивание информации) и предоставление личных данных пользователя, пользователь соглашается с этой политикой и обработкой своих личных данных.

11.2. Оператор может изменить эту политику, опубликовав новую редакцию по адресу https: // undergroundexpert.info / politika-konfidencialnosti / и объявляя об этом, публикуя новости на веб-сайте и через информационный бюллетень.

Кратко о локализации данных в России

Раздел MT Conferences не включает репортажи или редакцию The Moscow Times.

Анастасия Загородная
советника
Dentons

Так называемый Закон о локализации данных (Поправки к Федеральному закону от 27 июля 2006 г.152-ФЗ «О персональных данных», введенная Федеральным законом Российской Федерации от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных». Данные в информационных и телекоммуникационных сетях ».), Который вызвал многочисленные обсуждения за последний год, вступил в силу 1 сентября 2015 года. Если у вас не было возможности изучить этот вопрос, то вот суть и последние события.

Новые правила

Основным изменением, внесенным в Закон о локализации данных, является новый пункт 5, добавленный в статью 18 Закона о персональных данных. Он предусматривает, что при сборе персональных данных, в том числе посредством сети Интернет, оператор должен обеспечить, чтобы запись, систематизация, накопление, хранение, изменение и поиск персональных данных граждан России осуществлялись с использованием баз данных, расположенных на территории России, за исключением определенные исключения.

Упомянутые исключения, как правило, не связаны с бизнесом.Кроме того, Закон о локализации данных ввел новую статью 15.5 Закона об информации, информационных технологиях и защите информации, которая устанавливает порядок ограничения доступа к информации, обрабатываемой с нарушением российского законодательства о персональных данных (это принято считать как таргетинг в основном на веб-сайты, через которые личные данные собираются ненадлежащим образом). Это позволит заблокировать веб-сайты-нарушители.

Практическое руководство

Владислав Архипов
советника
Дентонс, канд.Sc. Юриспруденция, доцент Санкт-Петербургского государственного университета

Учитывая краткую формулировку требования к локализации, многое осталось неясным. Различные интерпретации обсуждались в прессе, на закрытых отраслевых встречах и специализированных конференциях. В начале августа Минкомсвязи опубликовало долгожданные комментарии по ключевым вопросам на основе отзывов деловых и академических кругов, а также компетентных органов (доступно на сайте http: minsvyaz.ru / ru / personaldata / # 1438548328715).

Ключевые проблемы

Юрисдикция — на кого распространяются новые правила?

Закон действует на территории России, поэтому распространяется на российские компании-резиденты, а также на представительства и филиалы иностранных компаний, занимающихся обработкой данных. Кроме того, веб-сайты, явно ориентированные на российских пользователей (ожидается, что такая ориентация должна определяться комбинацией факторов, таких как, например, доменное имя, язык, обработка платежей и т. Д.), скорее всего, будет рассматриваться как «направленный против» России, и как таковой, с российской точки зрения, должен соответствовать этим императивным нормам российского законодательства. Хотя российские суды могут доработать этот подход, есть основания ожидать, что он будет использован на практике.

Scope — к чему применяются новые правила?

Новые правила применяются к операциям, прямо перечисленным в Законе о локализации данных. Другие действия (например, использование данных, удаленный доступ, удаление) не затрагиваются.Вопреки первоначальному мнению многих иностранных компаний, закон не устанавливает запрет на экспорт данных. Данные могут быть переданы за границу, если основная база данных или база данных начального уровня, используемая для записи при сборе, хранении и дальнейшем обновлении, находится внутри России. Власти принимают широкую концепцию «базы данных»: любая совокупность данных, записанных в электронных системах или в бумажных картотеках.

В контексте неопределенности, вызванной отсутствием дополнительных обязательных нормативных указаний, рекомендуется в максимально возможной степени соблюдать правила трансграничной передачи, включая получение индивидуальных согласий, заключение соглашений о передаче данных между контроллерами данных и организациями-получателями.Вам также может потребоваться соблюдать процедуры сбора и обработки данных и трансграничной передачи данных, содержащиеся во внутренней политике.

Согласно разъяснениям Министерства, новые правила охватывают только «преднамеренный» сбор персональных данных непосредственно от субъекта данных или через третьих лиц, специально привлеченных для такого сбора. Это означает, что данные, которые не были запрошены (например, случайное электронное письмо от субъекта данных, содержащее личные данные), или данные, полученные от третьей стороны, которая независимо собрала их от субъектов данных, выходят за рамки.

Министерство также пояснило, что компания должна принять собственное разумное решение относительно того, какие данные касаются граждан России, или принять точку зрения, что любая информация, собранная с территории России, относится к гражданам России.

Сроки — без обратной силы

Персональные данные, собранные до даты вступления в силу (1 сентября 2015 г.), не покрываются; однако операции, перечисленные в новом правиле в отношении старых данных (например, обновление), вызовут необходимость соблюдения.

Возможно (и Роскомнадзор об этом заявил), что проверки, проведенные до конца 2015 года, будут ограничены только компаниями, указанными в официальном плане проверок (доступен на русском языке на официальном сайте Роскомнадзора: http: rkn.gov .ru / docs / plan_print_20151.docx). Тем не менее, внеплановые расследования также возможны на основании жалобы, поданной субъектом данных.

Несмотря на то, что требование локализации данных является актуальной темой, компании, работающие в России, не должны забывать, что необходимо соблюдать общие требования российского закона о персональных данных, в том числе требования о внутренней политике и мерах безопасности.

Раздел MT Conferences не включает репортажи или редакцию The Moscow Times.

Политика конфиденциальности

Согласие на обработку персональных данных

Настоящим, в соответствии с Федеральным законом «О персональных данных» № 152-ФЗ от 27 июля 2006 г., свободно, добровольно и от своего имени я выражаю безоговорочное согласие на обработку моих персональных данных ООО «АКВАБРЕАТЕР», зарегистрированным в соответствии с законодательства Российской Федерации по адресу: Большой бул., Стр. 42, стр. 1, офис 1/337/02, Инновационный центр «Сколково», г. Москва, Российская Федерация, 121205 (далее — Оператор).

Персональные данные представляют собой любую информацию, относящуюся к определенному физическому или физическому лицу, определенному на основе такой информации.

Настоящее согласие выдается мной на обработку моих персональных данных:

• Электронная почта;
• Телефон;
• Имя;
• IP-адрес.

Настоящее согласие предоставляется Оператору на выполнение следующих действий с моими персональными данными с использованием компьютерного оборудования и / или без такого оборудования: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, а также любые другие действия, предусмотренные действующим законодательством Российской Федерации, как вручную, так и в автоматическом режиме.

Настоящее согласие дается Оператору на обработку моих персональных данных в следующих целях:

• оказание мне услуг;
• отправляет мне уведомления о предоставляемых мне услугах;
• готовит и отправляет ответы на мои запросы;
• предоставляет мне информацию, в том числе рекламную, о событиях / продуктах / услугах Оператора.

Это согласие действительно до момента его отзыва путем отправки уведомления на адрес электронной почты user_consent @ hydroid.Информация. В случае отзыва моего согласия на обработку моих персональных данных Оператор вправе продолжить обработку моих персональных данных без моего согласия при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10.