Персональные данные | КГБ ПОУ ХПЭТ
Положение об обработке и защите персональных данных в КГБ ПОУ ХПЭТ — ПРОСМОТРЕТЬ
Положение КГБ ПОУ ХПЭТ от 28.09.2017 №57
Политика в отношении обработки персональных данных — ПРОСМОТРЕТЬ
Перечень персональных данных, обрабатываемых и подлежащих защите в КГБ ПОУ ХПЭТ — ПРОСМОТРЕТЬ
Перечень должностей, которые предусматривает обработку персональных данных, либо осуществление доступа к персональным данным и перечень помещений, в которых осуществляется обработка персональных данных- ПРОСМОТРЕТЬ
Действующие федеральные законы, постановления Правительства Российской Федерации:
Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) «О персональных данных» — ПРОСМОТРЕТЬ
Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» — ПРОСМОТРЕТЬ
Постановление Правительства РФ от 21 марта 2012 г.
Постановление Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» — ПРОСМОТРЕТЬ
Ответственность за нарушение закона о персональных данных — ПРОСМОТРЕТЬ
Методические материалы от Роскомнадзора в сфере защиты персональных данных — ПРОСМОТРЕТЬ
Типовые формы для заполнения:
Согласие работника на обработку персональных данных — СКАЧАТЬ
Согласие на обработку персональных данных для совершеннолетних обучающихся — СКАЧАТЬ
Согласие на обработку персональных данных для несовершеннолетних обучающихся — СКАЧАТЬ
Согласие на обработку персональных данных для законного представителя обучающегося — СКАЧАТЬ
Обязательство о неразглашении информации, содержащей персональные данные — СКАЧАТЬ
Мероприятия техникума в области защиты персональных данных:
07 октября 2020 года | |
В КГБ ПОУ ХПЭТ проходит Единый урок по безопасности в Интернет. | |
14 февраля 2020 года | |
Итоги конкурса детских рисунков и плакатов «Защити свои персональные данные». Подробнее… | |
13 февраля 2020 года | |
Представители молодежной палаты при Управлении Роскомнадзора по ДФО в гостях у ХПЭТ. Подробнее… | |
21 ноября 2019 года | |
Единый урок «Безопасность в сети Интернет». Подробнее… | |
25 октября 2018 года | |
Лекция от Роскомнадзора. Подробнее… | |
Подробнее…Определение и виды персональных данных по 152 ФЗ
Консультация эксперта
Закон о персональных данных ужесточили. Штрафы увеличились. Обрабатывать персональные данные без согласия субъекта нельзя.
Новостные ленты пестрят страшными заголовками. Но что на самом деле относится к персональным данным, помимо фамилии, имени и отчества? Ответ на этот вопрос вы найдёте в статье нашего эксперта Анастасии Чекмаревой.
***
Определение персональных данных
Начнём с основы. Определение можно найти в ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ.
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.
В редакции 2011 года закон содержал перечень:
- Фамилия, имя, отчество
- Дата и место рождения
- Адрес
- Семейное положение
- Социальное положение
- Имущественное положение
- Образование
- Профессия
- Доходы
- Другая информация о гражданине
В действующей редакции список не конкретизирован, в него входит вся информация, по которой можно определить субъекта прямо или косвенно.
Важно понимать, что не вся информация, которая относится к физическому лицу, будет считаться персональными данными, а только та, которая помогает идентифицировать субъекта.
Например, адрес проживания сам по себе к таким данным не относится, но в связке с другой информацией, которая позволяет определить субъекта, его уже можно будет по определению к ним отнести.
Категории персональных данных
Среди всей информации, по которой можно определить субъекта, в законе выделено несколько особых категорий.
Специальные: раса, национальность и религия; политические и философские взгляд, здоровье, подробности личной жизни, судимости и др.
Биометрические: физиологические и биологические особенности человека. К ним относятся: отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
По таким категориям важна привязка к личности. Например, мужчина, рост 180 см, вес 75 кг – это неперсональные данные. Гражданина по такой информации идентифицировать невозможно. Но если добавить фамилию, имя, отчество – это биометрические персональные данные.
Ещё один пример, когда для прохода в офис сотрудники используют отпечаток пальца или радужную оболочку глаза.
Для обработки такой информации необходимо согласие субъекта.
Вся остальная информация, по которой можно определить субъекта, также может быть отнесена к персональным данным. Отличие выделенных категорий в том, что к их обработке установлены особые требования. Например, согласие должно быть всегда в письменной форме или в форме электронного документа, подписанного электронной подписью. По сведениям, которые в эти категории не попадают, такая форма согласия не всегда обязательна.
В 2021 году была выделена ещё одна категория: персональные данные, разрешённые для распространения. Это информация, которую сам субъект разрешил распространять. Обратите внимание, это не та информация, которую граждане публикуют, например, в социальных сетях. На распространение должно быть получено отдельное согласие от субъекта.
Рассмотрим на примерах, какая информация является персональными данными, а что к ним отнести нельзя с точки зрения закона и судебной практики.
Паспортные данные
Информацию в паспорте можно поделить на две категории.
Сведения о владельце паспорта: фамилия, имя, отчество, дата и место рождения, адрес регистрации и др. Тут ответ однозначный. Информация прямо относится к гражданину и может его идентифицировать, соответственно, это персональные данные.
Данные паспорта как бланка: серия, номер, дата выдачи, наименование выдавшего органа, код подразделения.
По вопросу, являются ли серия и номер паспорта персональными данными, существуют две позиции судов
- Серия и номер паспорта относятся не к личности гражданина, а к бланку документа, удостоверяющего его личность.
Постановление Седьмого арбитражного апелляционного суда от 05.04.2018 № 07АП-1437/2018 по делу № А45-31682/2017. - Серия и номер паспорта – неотъемлемые реквизиты документа и делают его уникальным.
Определение Верховного Суда РФ от 08.09.2020 № 308-ЭС20-11154 по делу № А63-13382/2019.
Апелляционное определение Верховного Суда Республики Адыгея от 26.01.2018 по делу № 33-42/2018.
Из вышесказанного следует, что серию и номер паспорта отдельно суды не всегда признают персональными данными, но в совокупности с другой информацией, по которой можно определить субъекта, они всегда будут считаться таковыми.
Остальная информация в паспорте: наименование органа, выдавшего паспорт, код подразделения, дата выдачи — к персональным данным не относится, так как определить по ней субъекта невозможно.
ИНН
На вопрос, является ли ИНН персональными данными, нет однозначного ответа.
С одной стороны, Минфин России неоднократно давал разъяснения, что ИНН к ним не относится, а используется исключительно для того, чтобы упорядочить учёт налогоплательщиков внутри системы налоговых органов.
По мнению ведомства, ИНН формируется как цифровой код, состоящий из последовательности цифр, характеризующих код налогового органа (4 знака), порядковый номер записи о лице в Едином государственном реестре налогоплательщиков (6 знаков) и контрольное число (2 знака).
Таким образом, ИНН фактически является номером записи о лице в ЕГРН.
Письма Минфина России от 19.01.2021 № 03-01-11/2330, от 15.01.2021 № 03-01-11/1380, от 12.01.2021 № 03-01-11/343, от 12.01.2021 № 03-01-11/347.
Одновременно с разъяснениями ведомства в судебной практике существует противоположная позиция, согласно которой ИНН относят к такой категории. Постановление Арбитражного суда Московского округа от 26.07.2021 № Ф05-14419/2021 по делу № А40-183316/2020.
Апелляционное определение Четвёртого апелляционного суда общей юрисдикции от 02.02.2021 по делу № 66-313/2021.
Вывод прост: ИНН сам по себе, без дополнительной информации, персональными данными не является, но в совокупности с другими данными, например Ф.И.О. и ИНН, уже таковыми будет.
Ранее мы рассматривали судебную практику, при которой страхователь смог избежать или снизить штрафные санкции за непредставленный отчёт СЗВ-М или представленный не в срок.
Номер телефона
При рассмотрении вопроса, является ли номер телефона персональными данными, важно, на кого он зарегистрирован: на гражданина или на юридическое лицо.
Номер, который принадлежит юридическому лицу, к субъекту не относится, соответственно, персональными данными не является (Письмо Минкомсвязи России от 07.07.2017 № П11-15054-ОГ).
Даже если номер зарегистрирован на физическое лицо, то ответ неоднозначен.
Сам по себе номер телефона, без привязки к абоненту, представляет собой набор цифр и персональными данными не является. К примеру, операторы связи имеют право выставить на продажу сим-карту с номером, которым абонент не пользовался длительное время, и при этом нарушений законодательства в области персональных данных тут нет.
Номер телефона в связке с другой информацией, по которой можно идентифицировать субъекта, это персональные данные.
Электронная почта
В отличие от номера телефона, который содержит случайный порядок цифр, электронная почта сама по себе может быть отнесена к персональным данным. Например, электронная почта 123456@___.ru без дополнительной информации персональными данными быть не может, а электронную почту ivanovivan00.
01.1900@___.ru по определению можно отнести к таким данным, так как она содержит конкретизирующую информацию.
В связке с другой информацией, например электронная почта и номер телефона, это уже однозначно персональные данные. Такая позиция подтверждена судебной практикой, например Апелляционное определение Новосибирского областного суда от 27.09.2016 № 33-9626/2016.
Сетевые идентификаторы (IP-адрес, файлы cookie и др.)
В настоящее время мы все больше и больше связаны сетью Интернет. Из этого вытекает новая категория: сетевые идентификаторы (IP-адрес, файлы cookie и др.). С их помощью можно отследить поведение пользователя в Сети и настроить маркетинговые предложения.
Существует судебная практика, где оператора связи оштрафовали за продажу сетевых идентификаторов своих абонентов.
Постановление Девятого арбитражного апелляционного суда от 23.05.2016 № 09АП-17574/2016 по делу № А40-14902/16.
Вместе с этим если говорить об IP-адресе отдельно, то тут вопрос спорный.
С одной стороны, существует подтверждающая позиция судов, например Постановление Второго арбитражного апелляционного суда от 08.08.2019 № 02АП-5517/2019 по делу № А31-3955/2019. Кроме того, в соответствии с Приказом ФГУП «Почта России» от 21.02.2019 № 73-п IP-адрес отнесён к персональным данным.
Но существует противоположная позиция. В Постановлении Восемнадцатого арбитражного апелляционного суда от 05.04.2017 № 18АП-2210/2017 по делу № А07-24090/2016 указано, что IP-адрес — это уникальный сетевой адрес узла в компьютерной сети, построенный по протоколу IP, и не относится к персональным данным.
Из этого следует, что IP-адрес будет отнесён к этой категории только при условии чёткой временной привязки к одному конкретному лицу.
Номер автомобиля
Государственный регистрационный номер присваивается автомобилю, а не собственнику.
П. 37 Правил государственной регистрации транспортных средств в регистрационных подразделениях Государственной инспекции безопасности дорожного движения Министерства внутренних дел Российской Федерации, утверждённых Постановлением Правительства РФ от 21.
12.2019 № 1764, п. 105 Административного регламента Министерства внутренних дел Российской Федерации предоставления государственной услуги по регистрации транспортных средств, утверждённого Приказом МВД России от 21.12.2019 № 950.
Соответственно, сведения об автомобиле (марка, цвет, государственный номер) становятся персональными только в связке с информацией о его владельце.
Относительно VIN-номера автомобиля действуют те же правила. Он идентифицирует непосредственно автомобиль, а не владельца. Позиция подтверждена судебной практикой.
Решение Краснодарского УФАС России от 18.02.2020 № 023/10/18.1-563/2020.
Исходя из этого, передача информации по автомобилю без связки с владельцем, например для оформления пропуска для проезда на закрытую территорию, не является передачей персональных данных.
Обратите внимание: здесь мы рассказывали о том, как самостоятельно продать автомобиль.
Фотография
С одной стороны, очевидно, что по изображению можно определить того, кто изображён.
Но такая информация не всегда будет персональными данными, а только в том случае, когда фотография служит именно для идентификации субъекта. Рассмотрим несколько примеров.
Фото на пропуск. Такая фотография используется для того, чтобы можно было удостовериться, что предъявитель пропуска и его владелец — одно и то же лицо. Цель использования — определение личности. Соответственно, это персональные данные. Если вы фотографируете сотрудников или клиентов для оформления пропусков, то должны получить от них согласие. Позиция была озвучена Роскомнадзором.
и подтверждена в судебной практике, например Определение Верховного Суда РФ от 05.03.2018 № 307-КГ18-101 по делу № А42-342/2017
Фото на копии паспорта. Мы все сталкиваемся с ситуациями, когда копируют паспорт. В паспорте есть фотография, и она остаётся у оператора. Является ли такая копия биометрическими персональными данными? Ответ на вопрос можно найти в . Если копия была сделана для подтверждения конкретных действий, например заключения договора на оказание банковских или медицинских услуг, то в эту категорию она не попадает и согласие не требуется.
Если фотография используется для определения личности субъекта, то это биометрические персональные данные.
Фото с мероприятия. Распространённая ситуация, когда на мероприятиях или в общественных местах ведётся фотосъёмка. Роскомнадзор разъяснил: если фотосъёмка была в публичном месте, открытом для общего посещения (в парке, театре, на концерте, на спортивном мероприятии) и фотографии не используются для определения личности, то в данную категорию они не входят. Если цель использования фотоизображения идентификация гражданина, то это персональные данные.
Фото на сайте. При размещении на сайте фото и контактов сотрудников, отзывов клиентов с фотографией и дополнительной информацией о них, а также в других случаях, когда публикуется ряд сведений, по которым можно идентифицировать субъекта необходимо согласие. Такая информация является персональными данными.
Вывод прост: если фото используется для идентификации субъекта – это персональные данные, в остальных случаях таковыми не является.
Состояние здоровья
Состояние здоровья – это специальная категория персональных данных.
Особая актуальность этой категории связана с тем, что в связи с ухудшением эпидемиологической обстановки многие организации не только используют средства дезинфекции, но и измеряют температуру работников и посетителей, чтобы выявить признаки заболевания. Эта информация в совокупности с другими сведениями, по которым можно определить субъекта, является специальными персональными данными. Но необходимо ли получать отдельное согласие? Роскомнадзор 10 марта 2021 года разъяснил этот вопрос на своём сайте. Согласие брать не надо. Температура работника связана с возможностью исполнения его трудовых обязанностей. Если это не работники, то они подтверждают согласие действиями, а именно намереньем посетить организацию. В этом же разъяснении указан рекомендованный срок хранения таких данных — 7 суток с момента получения.
Мы рассмотрели примеры персональных данных. Естественно, список неисчерпывающий.
Информацию о том, что относится к персональным данным, а также пошаговый алгоритм по работе с ними вы можете найти в справочно-правовой системе КонсультантПлюс
Анастасия Чекмарева, преподаватель-юрист ООО «Что делать Консалт»
Свидетельство о регистрации СМИ: Эл № ФС77-67462 от 18 октября 2016 г. Контакты редакции: +7 (495) 784-73-75, [email protected]
Заявление председателя EDPB об обработке персональных данных в контексте вспышки COVID-19
16 марта 2020 г.
Правительства, государственные и частные организации по всей Европе принимают меры для сдерживания и смягчения последствий COVID-19. Это может включать обработку различных типов персональных данных.
Андреа Елинек, председатель Европейского совета по защите данных (EDPB), заявила: «Правила защиты данных (такие как GDPR) не препятствуют мерам, принимаемым в борьбе с пандемией коронавируса. Однако я хотел бы подчеркнуть, что даже в эти исключительные времена контроллер данных должен обеспечивать защиту персональных данных субъектов данных.
Общего регламента по защите данных — это широкое законодательство, в котором также содержатся правила, применимые к обработке персональных данных в контексте, например, связанном с COVID-19. Действительно, GDPR предоставляет правовые основания для того, чтобы работодатели и компетентные органы здравоохранения могли обрабатывать персональные данные в условиях эпидемий без необходимости получения согласия субъекта данных. Это применяется, например, когда обработка персональных данных необходима работодателям по причинам общественного интереса в области общественного здравоохранения или для защиты жизненно важных интересов (статьи 6 и 9).GDPR) или для выполнения другого юридического обязательства.
Для обработки данных электронной связи, таких как данные мобильного местоположения, применяются дополнительные правила. Национальные законы, реализующие Директиву об электронной конфиденциальности, предусматривают принцип, согласно которому данные о местоположении могут использоваться оператором только в том случае, если они анонимны или с согласия отдельных лиц.
Государственные органы должны в первую очередь стремиться к обработке данных о местоположении анонимным способом (т. е. обрабатывать данные, агрегированные таким образом, чтобы их нельзя было преобразовать в личные данные). Это может позволить генерировать отчеты о концентрации мобильных устройств в определенном месте («картография»).
Если обработка только анонимных данных невозможна, ст. 15 Директивы ePrivacy позволяет государствам-членам вводить законодательные меры, преследующие национальную и общественную безопасность * . Это чрезвычайное законодательство возможно при условии, что оно представляет собой необходимую, уместную и соразмерную меру в демократическом обществе. Если такие меры вводятся, государство-член обязано обеспечить адекватные гарантии, такие как предоставление лицам права на судебную защиту.
Обновление:
19 марта Европейский совет по защите данных принял официальное заявление об обработке персональных данных в контексте вспышки COVID-19.
Полное заявление доступно ниже.
* В этом контексте следует отметить, что охрана общественного здоровья может подпадать под исключение, связанное с национальной и/или общественной безопасностью.
EDPB_Press Release_statement_2020_01
Заявление об обработке персональных данных в связи с COVID-19вспышка 210,85 КБ
Английский
Скачать
Закон о защите персональных данных (поправка) 2020 г. в Сингапуре: влияние на ваш бизнес Положения о вызове («DNC») вступают в силу 2 января 2014 г. и 2 июля 2014 г. соответственно.
С ускорением роста технологий, ориентированных на данные, таких как Интернет вещей, искусственный интеллект и гиг-экономика, наблюдается экспоненциальный рост объема персональных данных, генерируемых, собираемых и обрабатываемых по всему миру и в Сингапуре. Новый законопроект о защите персональных данных (поправка) 2020 года, только что принятый 2 ноября 2020 года, направлен на усиление подотчетности организаций, изменение баланса между согласием отдельных лиц и ответственностью организации для использования данных в надлежащих и законных целях, чтобы предоставить потребителям большую автономию в отношении их собственные личные данные, а также повысить эффективность правоприменительных усилий Комиссии по защите личных данных («PDPC»).
Поправки к PDPA своевременны в быстро меняющемся ландшафте цифровой экономики и обновляют законы Сингапура о защите персональных данных и приводят их в соответствие с международными стандартами, такими как GDPR.
Несмотря на потенциальное увеличение операционных расходов для компаний (особенно МСП) в связи с выполнением новых обязательств, инвестиции, потраченные на цифровую безопасность, намного превышают стоимость утечки данных, поскольку репутационный ущерб не поддается количественной оценке и потребует больше времени и усилий, чтобы восстановить доверие потребителей или бизнеса к компании, которая публично оштрафована за невыполнение своих обязательств по защите данных.
В этой статье рассматриваются некоторые из введенных новых обязательств и их потенциальное влияние на ваш бизнес.
Новое требование об обязательном уведомлении об утечке данных
С учетом установленных исключений организации теперь обязаны уведомлять (i) PDPC о любой утечке данных, которая приводит или может привести к причинению значительного вреда лицам, которым предоставлены какие-либо персональные данные.
пострадавшие от утечки данных относятся («затронутые лица») или имеют значительный масштаб (т. е. затрагивают 500 или более лиц), и (ii) затронутые лица, если утечка данных приводит или может привести к значительному ущербу их.
В случае утечки данных PDPC должен быть уведомлен как можно скорее и не позднее, чем через три дня после того, как утечка данных будет оценена как подпадающая под вышеуказанные критерии уведомления, а затронутые лица должны быть уведомлены как можно скорее.
Чтобы выполнить требование об уведомлении об утечке данных в установленные сроки, организации должны внедрить междисциплинарные политики и процедуры управления утечкой данных, если они еще не сделали этого, для эффективного управления инцидентами утечки данных.
Штрафы за инциденты с утечкой данных также были повышены: организации, чей годовой оборот в Сингапуре превышает 10 миллионов сингапурских долларов, подвергаются риску штрафов в размере до 10% от годового оборота организации в Сингапуре.
Ранее максимальный размер штрафа составлял 1 миллион сингапурских долларов.
Ввиду более сжатых сроков и более строгих наказаний за инциденты с утечкой данных организации могут рассмотреть возможность приобретения страховки кибербезопасности, чтобы застраховать себя от расходов, связанных с инцидентами с утечкой данных, таких как расходы на привлечение внешних экспертов в области ИТ для расследования инцидента и привлечение юристы, если это необходимо, для управления сообщением об утечке данных в PDPC и пострадавших лиц.
Новое обязательство по переносимости данных
Также было введено новое обязательство по переносимости данных, позволяющее легко переключаться между поставщиками услуг (например, телекоммуникационных услуг), предоставлять потребителям большую автономию и контроль над своими личными данными, а также способствовать инновационным и более интенсивное использование определенных персональных данных, находящихся во владении или под контролем организаций, для поддержки разработки, усовершенствования и усовершенствования продуктов и услуг, предоставляемых другими организациями, расположенными или действующими в Сингапуре или где-либо еще.
Физическое лицо может запросить (запрос на перенос данных) организацию (организацию по переносу) на передачу применимых данных, указанных в запросе, другой организации (получающей организации). За исключением предусмотренных исключений, переносящая организация должна передать личные данные запрашивающего лица, которые находятся во владении или под контролем переносящей организации, принимающей организации, если (i) запрос на перенос данных удовлетворяет требованиям, предписанным в правилах, (ii) переносящая организация на момент получения запроса на перенос данных имеет постоянные отношения с физическим лицом, и (iii) принимающая организация присутствует в Сингапуре, независимо от места хранения данных.
Новое обязательство по переносимости данных вступит в силу только после издания правил. В отдельной статье мы поделимся нашим мнением с европейской точки зрения об их эквивалентном праве на переносимость данных.
Расширенный объем «предполагаемого согласия»
Теперь организациям стало проще раскрывать персональные данные другим организациям, поскольку значение «предполагаемого согласия» было расширено.
Теперь организация может раскрывать личные данные физического лица другой организации без явного получения согласия физического лица при следующих расширенных обстоятельствах, связанных с договорной необходимостью, при условии наличия любых прямо выраженных условий об обратном в договоре между организацией и физическим лицом.
С учетом установленных исключений (например, маркетинговые сообщения), организация также может полагаться на уведомление для получения предполагаемого согласия от отдельных лиц, если: намерение организации собирать, использовать или раскрывать персональные данные, (ii) цель такого сбора, использования или раскрытия, и (iii) разумный срок, в течение которого и разумным образом физическое лицо может уведомить организацию о том, что он или она не дает согласия на предлагаемый сбор, использование или разглашение;
- Организация проводит оценку, чтобы определить, что предлагаемый сбор, использование или раскрытие информации вряд ли окажут неблагоприятное воздействие на человека, при этом такая оценка выявляет любое такое неблагоприятное воздействие, а также определяет и реализует разумные меры по устранению, сокращению вероятность или смягчение такого неблагоприятного воздействия; и
- Физическое лицо не уведомляет организацию до истечения указанного выше периода о том, что оно не дает согласия на предлагаемый сбор, использование или раскрытие информации
Новые исключения в отношении согласия: исключение в отношении законных интересов и исключение для улучшения бизнеса : исключение законных интересов и исключение улучшения бизнеса.
В соответствии с исключением законных интересов, с учетом установленных исключений (например, маркетинговые сообщения), организация может собирать, использовать или раскрывать личные данные человека без согласия, если (i) такой сбор, использование или раскрытие отвечает законным интересам организации и (ii) польза для общества (или любой его части) больше, чем любое неблагоприятное воздействие на человека. Прежде чем воспользоваться этим исключением, организация должна:
- Провести оценку, чтобы определить, выполняются ли условия (i) и (ii) выше, при этом такая оценка выявляет любое такое неблагоприятное воздействие на человека, а также определяет и реализует меры по устранению, уменьшению вероятности или смягчению такого неблагоприятного воздействия. ; и
- Информировать физическое лицо любым разумным способом о том, что организация собирает, использует или раскрывает личные данные в соответствии с законными интересами.
Отдельно организация может полагаться на исключение для улучшения бизнеса, чтобы использовать личные данные без согласия для следующих целей улучшения бизнеса:
- Улучшать, улучшать или развивать товары или услуги, предоставляемые организацией, или методы или процессы деятельности организации;
- Чтобы узнать и понять поведение и предпочтения клиентов в отношении товаров и услуг, предоставляемых организацией, или определить товары или услуги, предоставляемые организацией, которые могут быть подходящими для клиентов организации, отличных от индивидуальных клиентов.
Исключение для улучшения бизнеса можно использовать только в том случае, если эти цели не могут быть разумно достигнуты без использования персональных данных в индивидуально идентифицируемой форме и использование персональных данных организацией не оказывает неблагоприятного воздействия на человека.
Запросы на доступ и перенос: обязательство по сохранению
Чтобы гарантировать, что физическое лицо будет иметь значимые средства правовой защиты в случае, если организация откажет его / ей в доступе или запросе на перенос в соответствии с PDPA, организация теперь обязана сохранять полную и точную копию соответствующих персональных данных в течение установленного периода. Согласно Документу для общественных консультаций, установленный период будет установлен в правилах и будет составлять (а) не менее 30 календарных дней после отклонения запроса или (б) до тех пор, пока физическое лицо не исчерпает свое право на подачу заявления. для запроса о пересмотре в PDPC или апелляции в Апелляционный комитет по защите данных, Высокий суд или Апелляционный суд, в зависимости от того, что произойдет позже.
Организации должны изменить свои политики конфиденциальности и подготовить графики хранения записей, чтобы гарантировать, что данные клиентов не будут случайно или преднамеренно удалены или удалены только потому, что организация отказала клиенту в доступе или запросе на перенос.
Запрос на доступ: более широкий объем раскрытия
Организации, которые ранее могли испытывать трудности с получением доступа к запросам на доступ к персональным данным, которые могут содержать персональные данные о другом человеке, теперь смогут предоставить доступ к персональным данным, которые раскрывают персональные данные о другом физическому лицу или раскрыть личность лица, предоставившего персональные данные о другом физическом лице, даже если физическое лицо, предоставившее персональные данные, не дает согласия на раскрытие своей личности, при условии, что соответствующие персональные данные представляют собой данные о деятельности пользователя, или предоставленные пользователем данные от лица, сделавшего запрос.
Личная ответственность за правонарушения, связанные с вопиющим неправомерным обращением с личными данными
Хотя организации по-прежнему несут ответственность за поведение своих сотрудников в ходе их работы в организациях, были введены три новых правонарушения для привлечения лиц к ответственности за вопиющее ненадлежащее обращение с персональными данными. персональные данные по:
- Несанкционированное разглашение;
- Использование не по назначению; и/или
- Несанкционированная повторная идентификация обезличенной информации.
Вышеуказанные правонарушения наказываются по приговору суда штрафом в размере до 5000 сингапурских долларов или лишением свободы на срок до 2 лет, или и тем, и другим.
Возможность личной ответственности за несоблюдение политики и процедур компании по защите данных, а также политик в отношении социальных сетей, если таковые имеются, должна быть отмечена работодателями при проведении обучения PDPA для своих сотрудников.
Положения DNC: освобождение от продолжающихся отношений
PDPA теперь в более четкой формулировке устанавливает освобождение от обязанности проверять реестр(ы) DNC для организаций, поддерживающих постоянные отношения с получателями сообщения.
Положения DNC: новое обязательство для сторонних средств проверки
Хорошей новостью для организаций, которые полагались на сторонние средства проверки для проверки реестра DNC, является то, что бремя и ответственность теперь будут перераспределены на сторонние средства проверки. .
Теперь организация будет считаться выполнившей обязанность проверить регистр(ы) DNC в соответствии с разделом 43 PDPA, если перед отправкой сообщения сторонний контролер сообщил ей, что сингапурский телефонный номер не числится в реестре (реестрах) DNC, и у него нет оснований полагать, что информация, предоставленная сторонним средством проверки, является ложной или неточной.
С другой стороны, сторонний контролер теперь обязан в соответствии с PDPA точно сообщать результаты реестра DNC организации, пользующейся его услугами.
Тем не менее, в любом случае организации должны по-прежнему гарантировать, что в их соглашениях об обслуживании со сторонними контролерами есть обязательство сторонних контролеров о том, что они будут точно сообщать организациям результаты реестра DNC, сопровождаемые возмещением убытков. что сторонние контролеры возместят организациям любые расходы, ущерб, штрафы или административные взыскания, возникающие в результате любого нарушения обязательства.
Положения DNC: атаки по словарю и программное обеспечение для сбора адресов
В настоящее время никому запрещено отправлять любые сообщения, имеющие ссылку на Сингапур (например, отправитель или получатель находится в Сингапуре или имеет офис в Сингапуре) на любой сгенерированный телефонный номер или полученные с помощью атаки по словарю или программного обеспечения для сбора адресов.
Организации, использующие такое программное обеспечение, должны принять альтернативные меры и прекратить отправку нежелательной коммерческой рекламы или сообщений на такие телефонные номера.
