Положение о персональных данных
ИСПОЛЬЗУЕМЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ:
Оператор персональных данных – юридическое лицо, Общество с ограниченной ответственностью «МАСТ» (ООО «МАСТ»), самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных подлежащих обработке, действия (операции) совершаемые с такими персональными данными
Персональные данные (ПД) — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу или представителю юридического лица, являющегося субъектом персональных данных.
Обработка персональных данных — любое действие или совокупность действий, совершаемых Оператором с использованием средств автоматизации или без их использования, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, с согласия субъекта персональных данных, за исключением случаев прямо предусмотренных законом.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Субъект персональных данных – физическое лицо, в том числе представитель юридического лица, индивидуальный предприниматель, заключившее с Оператором персональных данных гражданско-правовой договор, в том числе принявший (акцептовавший) условия предоставления Оператором услуги и иные положения, представленные в форме оферты на сайте http://www.must.ru.
Третье лицо – коммерческие организации, с которыми Оператором персональных данных заключен договор или иное соглашение о предоставлении полной информации о субъекте персональных данных, на действия которой Оператором получено согласие субъекта персональных данных в порядке, установленном настоящим Положением и Федеральным законом от 27. 07.2006 № 152-ФЗ «О персональных данных».
Частые вопросы
ВОПРОСЫ И ОТВЕТЫ
- Что в точности предполагается под термином “Персональные данные”?
- Подпадает ли идентификационный номер автомобиля под определение «персональные данные», если он содержит лишь техническую информацию (например, историю ремонта транспортного средства)?
- Как повлияет 242-ФЗ на право субъектов персональных данных самостоятельно распоряжаться данные о себе и в связи с этим на права операторов персональных данных?
- Какие существуют возможности для внесения поправок в закон / участия в разработке НПА на данном этапе?
- Любые разъяснения и официальная позиция (Роскомнадзора или Минкомсвязи. Насколько возможно взаимодействие с Верховным Судом для издания постановления Пленума?) – будут весьма полезны и позитивно восприняты отраслью, даже если они будут даны в виде вроде: “…те организации, которые предпринимают определенные усилия для выполнения требований закона к 1 сентября не будут подвергаться давлению; в то время как те организации, которые не идут на контакт и не предпринимают никаких усилий – будет первым в очереди на выяснение соответствия их действий требованиям закона…”
- Насколько мы понимаем 242-ФЗ не вводит обязанности операторов персональных данных по передаче данных только на территорию Российской Федерации. Закон запрещает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, не находящихся на территории Российской Федерации, только при сборе. Однако законом допускается передача персональных данных граждан Российской Федерации на территорию иностранного государства, и закон не запрещает их копирование и передачу.
То есть, оператор персональных данных при хранении персональных данных в России впоследствии может передать их и за границу:
6.1) Правильно ли мы понимаем, что после осуществления сбора персональных данных граждан Российской Федерации с использованием баз данных на территории Российской Федерации оператор вправе передать такие данные за рубеж, руководствуясь положениями статьи 12 Федерального закона «О персональных данных»?
6.2) Принимая во внимание предыдущий вопрос, правильно ли мы понимаем, что возможно хранение вне территории Российской Федерации персональных данных граждан Российской Федерации, собранных с использованием баз данных на территории Российской Федерации и переданных впоследствии оператором в соответствии с положениями статьи 12 Федерального закона «О персональных данных»?
6.
- Позволяет ли 242-ФЗ передавать/отражать персональные данные российских граждан после их сбора, обработки и хранения на территории РФ на иностранный сервер (стран-участниц Конвенции 108 и иных государств)? Если да, то на каких условиях?
- Каково соотношение понятий «передача», «копирование» и «хранение» персональных данных? Как можно хранить данные в России и при этом не запрещается трансграничная передача данных, ведь передача данных за границу предполагает их хранение не на территории России?
- В случае если персональные данные собраны и записаны в российскую базу данных, после чего переданы иностранной компании, будет ли иметь место нарушение каких-либо требований, если российская компания (осуществившая сбор) будет осуществлять доступ и использовать данные из иностранной базы данных? Например, в случае если создан глобальный справочник работников группы компаний и сотрудники российского офиса могут скачать мобильное приложение, которое будет обращаться к иностранной (а не российской) базе данных, будет ли это являться нарушением?
- Правильно ли мы понимаем, что требования 242-ФЗ распространяются на персональные данные работников-российских граждан, работающих (i) в российских компаниях, (ii) работающих в представительствах и филиалах иностранных компанией, но не распространяются на персональные данные работников-российских граждан, трудоустроенных в иностранных компаниях за рубежом?
- Правильно ли мы понимаем, что при сборе зарубежными офисами иностранной компании персональных данных российского гражданина, находящегося в командировке, обработка персональных данных осуществляется в соответствии с иностранным законодательством по месту нахождения офиса без учета 242-ФЗ?
- Правильно ли мы понимаем, что направления повторного или дополнительного уведомления об обработке персональных данных после 1 сентября 2015 года не потребуется (т. е. не нужно дополнительно сообщать, где находятся базы данных)?
- Иностранное юридическое лицо без присутствия на территории РФ реализует оферту для российских юридических лиц (не физлиц!). Клиенты (физлица) Российских юридических лиц, принявших оферту от иностранного юридического лица без присутствия на территории РФ, становятся выгодоприобретателями услуг предоставляемых иностранным юридическим лицом без присутствия на территории РФ. В рамках предоставления данных услуг, клиенты (физлица) Российских юридических лиц передают свои персональные данные иностранному юридическому лицу без присутствия на территории РФ. Распространяются ли требования закона 242-ФЗ на такое иностранное юридическое лицо?
- Какой срок и процедура для восстановления доступа к заблокированному сайту/странице сайта?
- Насколько с точки зрения Роскомнадзора вероятна возможность перенесения ответственности за невыполнение норм законодательства о персональных данных в части передачи персональных данных за рубеж (новелл 242-ФЗ) до 1 сентября 2016 года?
- Будет ли применяться 242-ФЗ непосредственно к российским структурным подразделениям (филиалы и представительства) иностранных юридических лиц? (а) если представительства и филиалы сами не собирают и не обрабатывают персональные данные, однако, вовлечены в осуществление основной деятельности иностранной компании, для которой данные собираются/обрабатываются? (б) если представительства и филиалы сами не собирают и не обрабатывают персональные, и не вовлечены в осуществление основной деятельности иностранной компании, для которой данные собираются/обрабатываются?
- Если база данных с персональными данными граждан РФ изначально собрана, хранится и обрабатывается в РФ, можно ли извлекать из этой базы данных персональные данные и направлять их для целей обработки (в частности, для хранения и использования в целях исполнения договора с субъектом персональных данных) за рубеж? Будет ли возникать в таком случае риск привлечения к ответственности за нарушение правила о локализации: (а) у иностранного получателя данных и/или (б) у российского оператора, который передал данные иностранной компании. Презюмируется, что согласия субъектов получены надлежащим образом, между компаниями имеются договоры, которые регулируют вопросы передачи данных, иностранная компания соблюдает законы своей юрисдикции в сфере обработки персональных данных.
- Если российский гражданин выезжает за границу и желает воспользоваться сервисом за пределами РФ, возможно ли «копирование» его персональных данных из российской базы данных для того, чтобы он мог воспользоваться сервисом за границей, или ему будет необходимо создать новый аккаунт? Например, если российский гражданин путешествует из Москвы в Амстердам и желает воспользоваться сервисом в Амстердаме – возможно ли в таком случае копирование информации из российского дата-центра в дата-центр, расположенный в Амстердаме, для того, чтобы данный пользователь смог воспользоваться сервисом, либо он будет вынужден регистрировать новый аккаунт?
- Если одна организация проводит бумажное анкетирование субъектов персональных данных, а другая — вносит данную информацию в базу данных, осуществляет ли вторая организация сбор персональных данных и несет ли она обязанности, предусмотренные 242-ФЗ? Если третья организация сделает выборку некоторых данных из раннее созданной базы данных (например, для создания глобальной директории сотрудников группы или клиентов/физ лиц), осуществляет ли она сбор персональных данных, и подпадает ли такая деятельность под действие 242-ФЗ?
- Как нужно подготовиться в документальном плане российским оператором для целей соответствия 242-ФЗ? Что следует указывать в (а) локальных нормативных актах, (б) политиках по обработке персональных данных, (в) согласиях, (г) уведомлениях в Роскомнадзор?
- Что следует понимать под «хранением» персональных данных?
- Какие категории персональных данных, подпадающие под сферу действия 242-ФЗ?
- Какой порядок применения 242-ФЗ в сфере туриндустрии?
- Имеется ли переходный период для компаний, чтобы они могли обеспечить выполнение новых требований?
- Имеются ли еще какие-либо предписания/ограничения для деятельности серверов на территории России?
- Должны ли иностранные операторы персональных данных (которые не имеют представительств на территории РФ), осуществляющие или планирующие осуществлять сбор и обработку персональных данных граждан РФ с использованием WEB-сайтов, осуществлять такую обработку и хранение на территории РФ?. Например, будет ли сайт, в случае сбора данных российских посетителей, подпадать под требования о локальном хранении? (называю это условно «локальным хранением»)
- Можно ли в качестве базы данных использовать облачные технологии (SaaS, PaaS, SAP)? В том числе если эти технологии предоставляются компаниями, у которых, в том числе, есть в России свои или арендуемые серверы (как у того же SAP), но у клиента нет точной информации о том, какие именно серверы будут задействованы в конкретный миг работы?
- Может ли быть размещен в материнской компании в Германии регистр сотрудников дочернего предприятия, содержащий, в частности, имена, рабочие телефоны и адреса электронной почты российских сотрудников?
- Считается ли материнская компания международного концерна «третьей стороной», в соответствии с новым российским законом «о защите персональных данных»?
- По каким критериям система должна определять, что человек является гражданином РФ (по месту жительства, месту рождения)?
- Что понимается под «сбором данных»?
- Каков порядок использования международных территориально распределенных систем, в том числе при оказании услуг по кадровому и бухгалтерскому учету в рамках аутсорсинга с использованием системы SAR HR?
- Что понимается под «базой данных»?
- Распространяются ли положения 242-ФЗ на государственные и муниципальные базы данных?
- Что понимается под «оператором»?
- Какие особенности обработки общедоступных персональных данных и применимости к ним требований конфиденциальности?
- Утверждена ли форма для уведомления о месте расположения баз данных? Форма уведомления о внесении изменений в сведения об операторе (Приложение № 3 к Административному регламенту Роскомнадзора) не содержит графу «местонахождение» сервера/ базы данных. Если организация ранее направила в РКН уведомление об обработке персональных данных, то после вступления закона в силу, в какой форме нужно сообщить сведения о месте нахождения базы данных?
- Добрый день! в настоящий момент наш корпоративный сайт, обслуживающий российские офисы, www.aircharter.ru размещен на местном хостинге. Но по внутреннему распоряжению компании все локальные сайты переносятся на новую платформу, которая позволяет сайтам сообщаться между собой и выдавать контент на различных языках и в различной последовательности в зависимости от местонахождения пользователя (сайт использует куки). Эта новая платформа едина для всех локальных сайтов компании и хостится на Амазоне в США, соответственно, все локальные сайты компании во всех доменных зонах также будут иметь хостинг на Амазоне. Регистрация пользователей на сайте не предусмотрена. В связи с вступлением в силу закона, должны ли мы обеспечить локальный хостинг корпоративному сайту в зоне *. ru, как это, например, требуется в Казахстане и Китае? Заранее благодарю! С уважением, Галина
- Допустим у меня есть интернет магазин, хостинг которого находится в германии. На стороне хостинга накапливаются личная информация пользователя, однако раз в сутки эта информация выгружается на сервер, который находится на территории РФ. Буду ли я нарушать 242-ФЗ если ничего не стану менять?
- Здравствуйте. Подскажите пожалуйста, по новому закону, если имеется вебкомпания, разработчик сайтов, у которой есть разработанных сайты для граждан РФ, нужно ли этой компании по новому закону все сайты для граждан РФ размещать на российском хостинге обязательно или достаточно хранить базу данных о клиентах (только информацию о юр и физ реквизитах) на российском хостинге. Опишите, пожалуйста, все нюансы и варианты.
- Если сбор данных осуществляется через российский сайт веб-компании в виде регистрации пользователя на сайте, например e-mail, название компании, пароль и, возможно, телефон, подходит ли этот сбор данных под персональные данные?
- Если в дальнейшем российская компания заключает договор с российским юридическим лицом посредством полученных данных по e-mail, подходит ли это под сбор персональных данных?
- Разъясните подробнее, что подразумевается под «персональными данными» и что подразумевается под «сбором персональных данных»?
- В каком виде должна быть оформлена база данных по сбору персональных данных по новому закону о персональных данных? В каком виде эта база данных должна храниться на российском хостинге, в виде файла или в виде сайта и т. д.?
ВОПРОСЫ-ОТВЕТЫ
- Правильно ли мы понимаем, что требования 242-ФЗ распространяются на персональные данные работников-российских граждан, работающих (i) в российских компаниях, (ii) работающих в представительствах и филиалах иностранных компанией, но не распространяются на персональные данные работников-российских граждан, трудоустроенных в иностранных компаниях за рубежом?
- Да, правильно. Следует также учитывать, что при обработке персональных данных работников они могут быть использованы только в рамках трудовых отношений.
- Должны ли иностранные операторы персональных данных (которые не имеют представительств на территории РФ), осуществляющие или планирующие осуществлять сбор и обработку персональных данных граждан РФ с использованием WEB-сайтов, осуществлять такую обработку и хранение на территории РФ?. Например, будет ли сайт, в случае сбора данных российских посетителей, подпадать под требования о локальном хранении? (называю это условно «локальным хранением»)
- 242-ФЗ действует на территории Российской Федерации, в отношении юридических лиц, в том числе иностранных организаций, осуществляющих предпринимательскую деятельность на территории Российской Федерации, в том числе иностранных организаций, не связанных с деятельностью через постоянное представительство в Российской Федерации.
Иными словами, не важно, расположена ли иностранная компания в России или нет, если она распространяет свою деятельность именно на российский сегмент, рассчитанный на российского потребителя, то 242-ФЗ будет к ней применяться.
В связи с чем, сбор и обработка персональных данных российских граждан, территориально находящихся в Российской Федерации, должен осуществляться на территории России.В случае, если российские граждане находятся за пределами территории России, то они находятся в юрисдикции той страны, на территории которой пребывают в момент предоставления данных о себе. В таком случае, сбор и обработка данных будет осуществляться в соответствии с требованиями иностранного государства и требования российского законодательства на такую обработку данных распространяться не будет.
Вне зависимости от того, обеспечивается хостинг российской компанией или иностранных, идентифицируются ими персональные данные или нет, технические средства этих компаний должны находиться на территории Российской Федерации, в случае если сбор и хранение данных производится на территории России. - Если российский гражданин выезжает за границу и желает воспользоваться сервисом за пределами РФ, возможно ли «копирование» его персональных данных из российской базы данных для того, чтобы он мог воспользоваться сервисом за границей, или ему будет необходимо создать новый аккаунт? Например, если российский гражданин путешествует из Москвы в Амстердам и желает воспользоваться сервисом в Амстердаме – возможно ли в таком случае копирование информации из российского дата-центра в дата-центр, расположенный в Амстердаме, для того, чтобы данный пользователь смог воспользоваться сервисом, либо он будет вынужден регистрировать новый аккаунт?
- В случае, если отношения между российским гражданином и компанией, оказывающей соответствующие услуги, регламентируется договором, то трансграничная передача допустима по основанию, предусмотренному ст. 12 Федерального закона «О персональных данных» при условии, что соответствующая передача предусмотрена в условиях договора.
- Что следует понимать под «хранением» персональных данных?
- Учитывая, что Федеральный закон «О персональных данных» не содержит термина «хранение», полагаем, что законодатель вкладывал в понятие данного слова, обычно используемое в повседневной жизни значение, которое не требует каких-либо дополнительных разъяснений. В связи с чем, при определении значения слова и применения нормы законодательства следует использовать буквальное толкование существительного «хранение». Однако, учитывая неопределенность в понимании данного понятия, полагаем возможным обратить внимание на ряд моментов, связанных с толкованием в праве аналогичного термина, однако применимого, например, к документам.
Так, согласно ГОСТ Р 51141-98. Государственный стандарт Российской Федерации. Делопроизводство и архивное дело. Термины и определения, утв. Постановлением Госстандарта России от 27.02.1998 № 28, а также ГОСТ Р 7.0.8-2013. Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Делопроизводство и архивное дело. Термины и определения, утв. Приказом Росстандарта от 17.10.2013 № 1185-ст, ХРАНЕНИЕ ДОКУМЕНТОВ представляет собой обеспечение рационального размещения и сохранности документов. При этом указанный ГОСТ, в рамках единого процесса хранения документов разделяет архивное хранение, оперативное хранение, ведомственное хранение документов и иные виды хранения документов в зависимости от сроков хранения (оперативное, архивное), от лиц, которые осуществляют хранение (ведомственное, архивное).
Иными словами, «хранение» представляет собой срочный или бессрочный процесс, подразумевающий нахождение документов в какой-либо организации или месте.
Применяя аналогию права к отношениям в области персональных данных, можно сказать, что «хранение» представляет собой срочный или бессрочный процесс, подразумевающий нахождение персональных данных в какой-либо организации или месте.Хранение персональных данных должно быть ограничено достижением цели обработки. Федеральным законом «О персональных данных» (ч.4 ст.21) предусмотрено, что в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональных данных в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных.
В случае отсутствия возможности уничтожения персональных данных в течение указанного срока оператор осуществляет блокирование персональных данных и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев.
Необходимо отметить, что в 242-ФЗ отсутствуют понятия «временное хранение», «постоянное хранение». - Правильно ли мы понимаем, что направления повторного или дополнительного уведомления об обработке персональных данных после 1 сентября 2015 года не потребуется (т.е. не нужно дополнительно сообщать, где находятся базы данных)?
- Понятия «повторного» или «дополнительного» уведомления не существует. Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется. 242-ФЗ вносятся изменения в часть 3, которая определяет требования к содержанию уведомления. Если организация ранее направила в РКН уведомление об обработке персональных данных, то после вступления закона в силу операторы руководствуюсь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.
- По каким критериям система должна определять, что человек является гражданином РФ (по месту жительства, месту рождения)?
- Законодатель предоставил возможность операторам персональных данных самостоятельно определять процедуру установления гражданства в соответствии со спецификой деятельности каждого юридического лица, осуществляющего сбор персональных данных граждан России. В связи с чем, полагаем, что дополнительного законодательного регулирования данный вопрос не требует.
Вместе с тем в случае, если оператору персональных данных крайне затруднительно выделить среди множества субъектов персональных данных, тех в отношении кого необходимо осуществлять хранение данных на территории Российской Федерации, возможно применение принципа действия закона на всей территории Российской Федерации. Так, в случае сбора данных на территории России, оператор персональных данных может осуществлять их хранение в базах данных, размещенных на технических средствах в Российской Федерации, вне зависимости от гражданства субъектов персональных данных.
- Какой срок и процедура для восстановления доступа к заблокированному сайту/странице сайта?
- Сроки и порядок восстановления доступа к заблокированному сайту будет определен нормативным правовым актом Правительства Российской Федерации, разработанным во исполнение 242-ФЗ, который сейчас находится на стадии утверждения.
- Можно ли в качестве базы данных использовать облачные технологии (SaaS, PaaS, SAP)? В том числе если эти технологии предоставляются компаниями, у которых, в том числе, есть в России свои или арендуемые серверы (как у того же SAP), но у клиента нет точной информации о том, какие именно серверы будут задействованы в конкретный миг работы?
- 242-ФЗ, а также проекты подзаконных актов, разработанных во исполнение указанного закона, не устанавливают каких-либо технических требований, предписывающих необходимость оператора персональных данных использовать какие-то конкретные технологии при сборе и хранении персональных данных. Так, оператор может использовать облачные технологии, но при этом обязан обеспечить, и при необходимости знать и иметь возможность документально подтвердить нахождение баз персональных данных на территории Российской Федерации.
- Что понимается под «оператором»?
- Понятие «оператор» содержится в ст. 3 Федерального закона «О персональных данных», под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Таким образом, в свете применения 242-ФЗ, оператором является лицо, осуществляющее сбор персональных данных, либо его поручившее третьему лицу на основании договора поручения. - Распространяются ли положения 242-ФЗ на государственные и муниципальные базы данных?
- В 242-ФЗ отсутствуют положения о том, что он не распространяется на государственные и муниципальные базы данных. Кроме того, согласно ст. 1 Федерального закона «О персональных данных» положения данного закона распространяются на органы государственной власти и местного самоуправления. Учитывая, что 242-ФЗ вносит изменения в Федеральный закон «О персональных данных», положения 242-ФЗ не могут не распространяться на порядок формирования и ведения государственных и муниципальных баз данных.
В ст. 2 № 242-ФЗ устанавливается исключение, допустимое из требования об обеспечении записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Данное исключение относится, в том числе, к случаю, когда это необходимо для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг.
Таким образом, в случае если в нормативных правовых актах Российской Федерации будет установлено, что орган государственной власти должен обрабатывать персональные данные, в том числе путем записи, систематизации, накопления, хранения, уточнения, извлечения на территории иностранного государства, то правило 242-ФЗ не будет распространяться на такие отношения.Следует также заметить, что в соответствии с 149-ФЗ база данных является, в ряде случаев, составной частью информационной системы, в случаях, когда речь идет о государственных информационных системах (ГИС) порядок их формирования и ведения регламентирован нормативными правовыми актами, в ряде случаев даже федеральными законами. Например, ГИС «жилищно-коммунального хозяйства», правовой режим которой регламентирован 209-ФЗ, ГИС «топливно-энергетического комплекса», правовой режим регламентирован 382-ФЗ, ГИС «Обеспечения транспортной безопасности», правовой режим регламентирован 16-ФЗ.
При этом к ГИС предъявляются более высокие требования по сравнению с информационным системам и базам данных коммерческих организаций, в том числе все ГИС подлежат государственной регистрации, к ряду ГИС предъявляются требования не только по их размещению на территории России, но и обработки исключительно российскими юридическими лицами, например, ГИС «Обеспечения транспортной безопасности», в состав которой входят автоматизированные централизованные базы персональных данных о пассажирах и персонале (экипаже) транспортных средств.
Таким образом, опасения относительно несоответствия порядка и правил формирования и ведения государственных и муниципальных баз данных целям 242-ФЗ, а именно повышение безопасности обработки персональных данных не находят своего подтверждения. - Разъясните подробнее, что подразумевается под «персональными данными» и что подразумевается под «сбором персональных данных»?
- В соответствии с п. 1 ст. 3 Федерального закона «О персональных данных» персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо. К числу данных, которые не могут рассматриваться, по крайне мере, по отдельности друг от друга в качестве персональных, могут быть отнесены: фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения. Такие данные должны быть отнесены к персональным данным только в случае, если они хранятся и обрабатываются совместно с идентификаторами, которые сами по себе определяют физическое лицо.«Сбор персональных данных» — это получение персональных данных непосредственно от субъекта персональных данных и оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение с использованием баз данных на территории Российской Федерации, указанные виды обработки составляют единый процесс формирования и поддержания в актуальном состоянии базы данных, что должно осуществляться на территории Российской Федерации.
- Считается ли материнская компания международного концерна «третьей стороной», в соответствии с новым российским законом «о защите персональных данных»?
- В отношении деятельности по обработке персональных данных работников российского представительства и клиентов, имеющих прямые правоотношения с российским представительством, материнская компания международного концерна является третьей стороной.
Применительно к нормам ч. 3 ст. 6 Федерального закона «О персональных данных» предусмотрена возможность поручения российским представительством материнской компании осуществлять отдельные действия по обработке персональных данных. - Здравствуйте. Подскажите пожалуйста, по новому закону, если имеется вебкомпания, разработчик сайтов, у которой есть разработанных сайты для граждан РФ, нужно ли этой компании по новому закону все сайты для граждан РФ размещать на российском хостинге обязательно или достаточно хранить базу данных о клиентах (только информацию о юр и физ реквизитах) на российском хостинге. Опишите, пожалуйста, все нюансы и варианты.
- 242-ФЗ устанавливает обязанность оператора персональных данных при сборе персональных данных граждан Российской Федерации обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение с использованием баз данных, находящихся на территории Российской Федерации.
Закон не содержит требований по размещению всех сайтов для граждан Российской Федерации на российском хостинге. Достаточно хранить сами персональные данные граждан Российской Федерации в базах данных, находящихся на территории Российской Федерации (например, на российском хостинге). Одновременно следует принимать меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона «О персональных данных».
При этом следует учитывать, что указанные требования к хранению персональных данных предъявляются к операторам персональных данных только при сборе персональных данных. Реализация обязанности «при сборе данных» означает, что оператор должен их получать непосредственно у первоисточника, то есть у субъекта персональных данных или его представителя.
Также следует учитывать, что 242-ФЗ обратной силы не имеет. Поэтому если база данных до 01 сентября 2015 г. расположена вне территории Российской Федерации, уже собрана и не будет актуализироваться после вступления закона в силу, то базу данных можно не переводить на территорию Российской Федерации. Если актуализация персональных данных продолжится, то обработка должна осуществляться в соответствии с 242-ФЗ.
- Какой порядок применения 242-ФЗ в сфере туриндустрии?
- Согласно ст. 10 Федерального закона «Об основах туристской деятельности в Российской Федерации» реализация туристского продукта осуществляется на основании договора, заключаемого в письменной форме между туроператором и туристом и (или) иным заказчиком, а также в случаях, предусмотренных федеральным законом, между турагентом и туристом и (или) иным заказчиком.
В соответствии с гл. 49 Гражданского кодекса Российской Федерации турагентство может совершать юридически значимые действия и заключать договоры о реализации туристского продукта от имени туроператора.
На основании п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператором признается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Учитывая изложенное, оператором, на которого распространяются требования ФЗ- 242 по локализации баз данных на территории Российской Федерации, является туроператор.
Также в соответствии с гл. 51 Гражданского кодекса Российской Федерации турагентство может совершать юридически значимые действия и заключать договоры о реализации туристского продукта от своего имени.
При реализации данных правоотношений первичным оператором выступает турагентство, на которого распространяются требования ФЗ-242 по локализации баз данных на территории Российской Федерации.Дальнейшее взаимодействие первичного оператора с партнерами предполагает соблюдение требований других нормативно-правовых актов, в частности, ст. 12 Федерального закона «О персональных данных», определяющей порядок трансграничной передачи персональных данных субъектов.
Необходимо отметить, что в случае привлечения третьего лица (турагента), действующего в интересах туроператора либо турагентства, действие 242-ФЗ определяется в зависимости от одной из вышеуказанных схем.
Согласно п. 1 ч. 1 ст. 6 Федерального закона «О персональных данных» предусмотрено наличие у работодателя письменного согласия субъектов на обработку их персональных данных, в том числе передачу третьим лицам и трансграничную передачу.
Деятельность работодателя определяется в соответствии с положениями Трудового кодекса Российской Федерации. Вместе с тем трудовым законодательством не регулируются правоотношения, связанные с приобретением работодателем туристского продукта в интересах работников.
Таким образом, совершение указанных действий требует наличия письменного согласия субъектов и доверенности, выданной в соответствии с Гражданским кодексом Российской Федерации.Необходимо отметить, что работодатель по отношению к работникам не является первичным оператором, поскольку осуществляет обработку персональных данных, полученных на этапе оформления трудовых отношений.
Соответственно, требования ФЗ-242 по локализации баз данных на территории Российской Федерации при реализации схемы корпоративного туристского продукта возлагается на туроператора или турагентство в зависимости от одной из избранных схем, установленных ст. 10 Федерального закона «Об основах туристской деятельности в Российской Федерации». - Допустим у меня есть интернет магазин, хостинг которого находится в германии. На стороне хостинга накапливаются личная информация пользователя, однако раз в сутки эта информация выгружается на сервер, который находится на территории РФ. Буду ли я нарушать 242-ФЗ если ничего не стану менять?
- База данных, которая находится на территории иностранного государства, может актуализироваться, систематизироваться, обновляться, только после проведения соответствующей процедуры на территории Российской Федерации и передачи обновленных данных посредством трансграничной передачи на территорию иностранного государства. Поэтому в данном случае будет допущено нарушение требований 242-ФЗ.
- Насколько с точки зрения Роскомнадзора вероятна возможность перенесения ответственности за невыполнение норм законодательства о персональных данных в части передачи персональных данных за рубеж (новелл 242-ФЗ) до 1 сентября 2016 года?
- Закон не предусматривает переходные положения, поэтому никакого перенесения ответственности за невыполнение норм законодательства о персональных данных не будет. Вместе с тем как было указано выше в случае выявления нарушений 242-ФЗ операторам персональных данных будут давать предписания по их устранению в определенный срок, который будет установлен подзаконным нормативным правовым актом.
- Как повлияет 242-ФЗ на право субъектов персональных данных самостоятельно распоряжаться данные о себе и в связи с этим на права операторов персональных данных?
- Право субъекта персональных данных самостоятельно распоряжаться данными о себе 242-ФЗ не аннулирует. Граждане вправе предоставлять свои данных в базы иностранных организаций, праве осуществлять бронирование иностранных гостиниц, проходить лечение за границей, предоставлять этим данным общий доступ, входить в адресные справочники и прочие примеры. 242-ФЗ не запрещает гражданам распоряжаться персональными данными по их собственному усмотрению в их интересе и воле.
Однако право субъекта персональных данных самостоятельно распоряжаться своими персональными данными, не означает, что оператор персональных данных может использовать это право в качестве правовой коллизии в целях неисполнения рассматриваемого положения 242-ФЗ. Польку оператор персональных данных изначально в силу 242-ФЗ должен обеспечить нахождение баз данных с информацией о российских гражданах на территории Российской Федерации. В случае возникновения необходимости в передаче этих данных в целях обработки на территорию иностранного государства, такая передача может быть осуществлена в соответствии с правилами Федерального закона «О персональных данных».
- Если сбор данных осуществляется через российский сайт веб-компании в виде регистрации пользователя на сайте, например e-mail, название компании, пароль и, возможно, телефон, подходит ли этот сбор данных под персональные данные?
- Полагаем, что приведенный набор данных не является персональными данными, поскольку их совокупность не достаточна для идентификации физического лица.
- В каком виде должна быть оформлена база данных по сбору персональных данных по новому закону о персональных данных? В каком виде эта база данных должна храниться на российском хостинге, в виде файла или в виде сайта и т.д.?
- 242-ФЗ вносит изменение только в части места нахождения базы данных при осуществлении определенных видов обработки, и не вносит изменений в Федеральный закон «О персональных данных» в части, касающейся мер (в том числе технических) по обеспечению безопасности персональных данных при их обработке (см. ст. 19 Федерального закона «О персональных данных»).
- Имеется ли переходный период для компаний, чтобы они могли обеспечить выполнение новых требований?
- Положения ФЗ-242 вступают в силу с 1 сентября 2015 года. Никаких исключений или переходных периодов ни 242-ФЗ, ни 526-ФЗ, внесший изменения в 242-ФЗ в части уточнения времени вступления его в законную силу, не установлено.
- Имеются ли еще какие-либо предписания/ограничения для деятельности серверов на территории России?
- Деятельность технических площадок (серверов, центров обработки данных) на территории Российской Федерации должна соответствовать установленным требованиям конфиденциальности и безопасности персональных данных, обрабатываемых с использованием вышеуказанных технических мощностей.
Руководящие документы по обеспечению безопасности размещены на официальных сайтах ФСТЭК России и ФСБ России http://fstec.ru/, http://www.fsb.ru/. - Подпадает ли идентификационный номер автомобиля под определение «персональные данные», если он содержит лишь техническую информацию (например, историю ремонта транспортного средства)?
- Совокупность данных должна быть необходима и достаточна для идентификации лица. Именно такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо.
Вместе с тем идентификационный номер автомобиля, а именно государственный номер автомобиля, иная техническая информация, включая историю ремонта транспортного средства, не относится к персональным данным, поскольку не позволяет идентифицировать конкретное физическое лицо. Так, указанные сведения относятся не к субъекту персональных данных, а автомобильному средству.
- Может ли быть размещен в материнской компании в Германии регистр сотрудников дочернего предприятия, содержащий, в частности, имена, рабочие телефоны и адреса электронной почты российских сотрудников?
- Применительно к указанной ситуации необходимо понимать, что взаимоотношения внутри транснациональных компаний как минимум предполагают две стороны: представительство, которое зарегистрировано в Российской Федерации как юридическое лицо, и непосредственно головной офис, находящийся за пределами Российской Федерации.
Соответственно, требования 242-ФЗ прежде всего адресованы к лицу, осуществляющему сбор персональных данных на территории Российской Федерации, которым в указанном случае выступает российское представительство.
Относительно передачи и дальнейшего хранения персональных данных за пределами Российской Федерации необходимо руководствоваться требованиями ст. 12 Федерального закона «О персональных данных», то есть правилами трансграничной передачи данных.Дополнительно необходимо отметить, что головной офис по отношению к работникам, работающим на территории Российской Федерации, не является их прямым работодателем, соответственно при передаче их персональных данных за пределы Российской Федерации представительство, которое зарегистрировано в Российской Федерации как юридическое лицо обязано руководствоваться требованиями Трудового кодекса Российской Федерации и ч. 3 ст. 6 Федерального закона «О персональных данных» в части наличия согласия работника и договора, заключенного с головным офисом, содержащего условия конфиденциальности и безопасности.
- Что в точности предполагается под термином “Персональные данные”?
- Определение персональных данных приведено в тексте ст. 3 Федерального закона «О персональных данных». Исходя из данного определения и по сложившейся судебной практике, в частности, фамилия и инициалы, без дополнительной информации, не являются персональными данными. Аналогичный подход применим к сведениям, содержащим номер ID абонента либо номер телефона.
При определении объема сведений, которые могут быть отнесены к персональным данных, в каждой конкретной ситуации необходимо руководствоваться индивидуальным подходом, в том числе с учетом отраслевого законодательства.
- Позволяет ли 242-ФЗ передавать/отражать персональные данные российских граждан после их сбора, обработки и хранения на территории РФ на иностранный сервер (стран-участниц Конвенции 108 и иных государств)? Если да, то на каких условиях?
- Требования 242-ФЗ не исключают трансграничную передачу персональных данных, более того не затрагивают положений, связанных с вопросами передачи персональных данных на территорию иностранного государства.
Так, в соответствии с международными обязательствами, взятыми на себя Российской Федерацией при ратификации Конвенции о защите физических лиц при автоматизированной обработке персональных данных российская Сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой Стороны, с единственной целью защиты частной жизни.
Также аналогичные положения содержатся в российском законодательстве, так, согласно ст.12 Федерального закона «О персональных данных» трансграничная передача персональных данных на территории иностранных государств – участников Конвенции, а также иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется без дополнительного согласия субъектов персональных данных.Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (это страны не являющиеся стороной Конвенции и не входящие Перечень стран, обеспечивающих адекватную защиту персональных данных), может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации;
3) предусмотренных федеральными законами;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных.Трансграничная передача данных в разрезе положений 242-ФЗ представляет собой передачу сведений из одной базы данных, расположенных на территории России, в другую базу данных, расположенных на территории иностранного государства. Такая передача данных должна иметь заранее определенную цель обработки, при достижении которой субъекту персональных данных должно быть гарантировано уничтожение переданных данных на территории иностранного государства. При соблюдении указанных требований ответственность, предусмотренная российским законодательством, применима к оператору, находящемуся на территории Российской Федерации, в случае нарушения порядка и условий, установленных для договора-поручения, поскольку в иных случаях обработка персональных данных осуществляется иностранным лицом в соответствии с национальным законодательством, если иное не предусмотрено международными договорами или соглашениями сторон.
Также необходимо отметить, что при получении согласия на трансграничную передачу персональных данных указание конкретных лиц, которым передаются персональные данные, не требуется, достаточно указания цели, перечня действий и иных признаков, предусмотренных Федеральным законом «О персональных данных».
Указанное согласие может быть отозвано либо прекращает свое действие с момента достижения цели для которой оно предоставлялось.Необходимо также обратить внимание, что ст. 2 ФЗ-242 предусмотрены исключения из обязанности оператора персональных данных хранить данные на территории Российской Федерации в том числе, при осуществлении деятельности в рамках международных договоров, а также во исполнение функций прав и обязанностей, возложенных на оператора законодательством Российской Федерации.
При этом конкретное условия такого исключения должно содержаться в международных договорах Российской Федерации. Следует иметь ввиду, что к международным договорам Российской Федерации относятся также межведомственные соглашения.
Относительно соглашения о воздушных сообщения, если они содержат указание на обработку персональных данных, условия которой исключают применение 242-ФЗ, то применяются положения международного соглашения. - Иностранное юридическое лицо без присутствия на территории РФ реализует оферту для российских юридических лиц (не физлиц!). Клиенты (физлица) Российских юридических лиц, принявших оферту от иностранного юридического лица без присутствия на территории РФ, становятся выгодоприобретателями услуг предоставляемых иностранным юридическим лицом без присутствия на территории РФ. В рамках предоставления данных услуг, клиенты (физлица) Российских юридических лиц передают свои персональные данные иностранному юридическому лицу без присутствия на территории РФ. Распространяются ли требования закона 242-ФЗ на такое иностранное юридическое лицо?
- Требования 242-ФЗ распространяется на такое иностранное юридическое лицо, поскольку оно осуществляет сбор данных граждан Российской Федерации и оказывает услуги через российские юридические лица на территории Российской Федерации.
- Насколько мы понимаем 242-ФЗ не вводит обязанности операторов персональных данных по передаче данных только на территорию Российской Федерации. Закон запрещает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, не находящихся на территории Российской Федерации, только при сборе. Однако законом допускается передача персональных данных граждан Российской Федерации на территорию иностранного государства, и закон не запрещает их копирование и передачу.
То есть, оператор персональных данных при хранении персональных данных в России впоследствии может передать их и за границу:6.1) Правильно ли мы понимаем, что после осуществления сбора персональных данных граждан Российской Федерации с использованием баз данных на территории Российской Федерации оператор вправе передать такие данные за рубеж, руководствуясь положениями статьи 12 Федерального закона «О персональных данных»?
6.2) Принимая во внимание предыдущий вопрос, правильно ли мы понимаем, что возможно хранение вне территории Российской Федерации персональных данных граждан Российской Федерации, собранных с использованием баз данных на территории Российской Федерации и переданных впоследствии оператором в соответствии с положениями статьи 12 Федерального закона «О персональных данных»?
6.3) Правильно ли мы понимаем, с учетом предыдущих двух вопросов, что при условии сбора персональных данных граждан Российской Федерации с использованием баз данных на территории Российской Федерации и их последующей передачей на территорию иностранного государства, возможно параллельное (одновременное) функционирование двух баз данных – одной, находящейся на территории Российской Федерации (которая формируется и ведется (в том числе актуализируется/изменяется) с учетом положений 242-ФЗ), и другой, находящейся за пределами Российской Федерации (информация в которую передается после сбора персональных данных с использованием баз данных на территории Российской Федерации, выполненного с учетом положений 242-ФЗ)?
- 6.1) В рассматриваемой норме 242-ФЗ не вводится обязанность оператора персональных данных осуществлять передачу данных только в базы данных на территории Российской Федерации.
242-ФЗ не вносит изменений в статью 12 Федерального закона «О персональных данных», которая регламентирует вопрос трансграничной передачи персональных данных. В связи с чем, трансграничная передача персональных данных российских граждан, полученных при сборе с использованием баз данных, расположенных на территории Российской Федерации, может осуществляться при соблюдении принципа соответствия целям обработки персональных данных, собранных на территории Российской Федерации.6.2) Хранение персональных данных на территории иностранного государства в контексте 242-ФЗ не запрещено при условии соблюдения условий сбора персональных данных на территории Российской Федерации и соблюдения порядка трансграничной передачи персональных данных, установленных ст. 12 Федерального закона «О персональных данных».
6.3) Параллельное функционирование баз данных, находящихся на территории Российской Федерации и иностранного государства, применительно к требованиям 242-ФЗ невозможно.
Существует база данных, которая формируется посредством сбора на территории Российской Федерации. В дальнейшем, указанная база данных локализуется на территории Российской Федерации и, при наличии необходимости, может передаваться на территорию иностранного государства с соблюдением условий ст. 12 Федерального закона «О персональных данных». При этом следует понимать, что та база данных, которая находится на территории иностранного государства, может актуализироваться, систематизироваться, обновляться, только после проведения соответствующей процедуры на территории Российской Федерации и передачи обновленных данных посредством трансграничной передачи на территорию иностранного государства. - Как нужно подготовиться в документальном плане российским оператором для целей соответствия 242-ФЗ? Что следует указывать в (а) локальных нормативных актах, (б) политиках по обработке персональных данных, (в) согласиях, (г) уведомлениях в Роскомнадзор?
- В документальном плане после вступления в силу 242-ФЗ операторам персональных данных следует в соответствии с частью 7 статьи 22 Федерального закона «О персональных данных» в течение десяти рабочих дней сообщить в РКН сведения о месте нахождения базы данных. Каким образом и в каком объеме необходимо представлять в уполномоченный орган информацию о местонахождении базы данных будет определено в подзаконном нормативном правовом акте.
- Утверждена ли форма для уведомления о месте расположения баз данных? Форма уведомления о внесении изменений в сведения об операторе (Приложение № 3 к Административному регламенту Роскомнадзора) не содержит графу «местонахождение» сервера/ базы данных. Если организация ранее направила в РКН уведомление об обработке персональных данных, то после вступления закона в силу, в какой форме нужно сообщить сведения о месте нахождения базы данных?
- Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется.
242-ФЗ вносятся изменения в часть 3, которая определяет требования к содержанию уведомления. Если организация ранее направила в Роскомнадзор уведомление об обработке персональных данных, то после вступления закона в силу операторы руководствуюсь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.
Каким образом указывать место нахождения базы данных будет определено в подзаконном нормативном правовом акте, который находится в стадии принятия.
- Правильно ли мы понимаем, что при сборе зарубежными офисами иностранной компании персональных данных российского гражданина, находящегося в командировке, обработка персональных данных осуществляется в соответствии с иностранным законодательством по месту нахождения офиса без учета 242-ФЗ?
- Да, правильно. 242-ФЗ не распространяется на случаи, когда обработка персональных данных граждан Российской Федерации осуществляется на территории иностранного государства при осуществлении иностранным лицом сбора персональных данных граждан Российской Федерации (например, при заселении в гостиницу).
- Если одна организация проводит бумажное анкетирование субъектов персональных данных, а другая — вносит данную информацию в базу данных, осуществляет ли вторая организация сбор персональных данных и несет ли она обязанности, предусмотренные 242-ФЗ?
Если третья организация сделает выборку некоторых данных из раннее созданной базы данных (например, для создания глобальной директории сотрудников группы или клиентов/физ лиц), осуществляет ли она сбор персональных данных, и подпадает ли такая деятельность под действие 242-ФЗ?
- Первоначально важна природа правоотношений, которые связывают первого оператора и второго оператора. Если это договор поручения, на основании которого первый оператор проводит бумажное анкетирование от лица второго оператора, то требования 242-ФЗ на второго оператора распространяются.
Если и первый оператор, и второй оператор действуют как самостоятельные юридические лица необходимо понимание, на основании каких правовых норм первый оператор передает сведения, которые были собраны с помощью бумажного анкетирования (согласие, требование федерального закона и т.п.). В случае правовой легитимности соответствующей передачи требования 242-ФЗ подлежат оценке цели обработки персональных данных и если передача персональных данных осуществляется для достижения целей на этапе бумажного анкетирования, то обязанность по локализации персональных данных в рамках всего процесса обработки возлагается на первичного оператора. В случае разности целей обработки-эта обязанность распространяется на обоих операторов.
В случае участия третьей организации подход аналогичный. - Если в дальнейшем российская компания заключает договор с российским юридическим лицом посредством полученных данных по e-mail, подходит ли это под сбор персональных данных?
- Для ответа на вопрос следует уточнить предмет договора между данными организациями.
- Какие особенности обработки общедоступных персональных данных и применимости к ним требований конфиденциальности?
- Согласно п.10 ч.1 ст. 6 Федерального закона «О персональных данных» допускается без согласия субъекта персональных данных обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе. Соответственно, требование конфиденциальности, установленное ст. 7 Федерального закона «О персональных данных», на обработку указанных сведений не распространяется.
К примеру, публикация на сайте российской компании контактных данных сотрудников, а именно фамилии и имени, корпоративного номера телефона и корпоративного адреса электронной почты, размещенные с согласия указанных работников не требует соблюдения требований конфиденциальности и не является трансграничной передачей, поскольку размещение и хранение осуществляется на российской площадке.
Относительно применения требований 242-ФЗ к обработке общедоступных сведений необходимо отметить, что ст. 2 указанного закона не установлены исключения применительно п.10 ч.1 ст. 6 Федерального закона «О персональных данных». Таким образом, при осуществлении сбора общедоступных персональных данных на деятельность оператора требования 242-ФЗ распространяются в полном объеме.
- Будет ли применяться 242-ФЗ непосредственно к российским структурным подразделениям (филиалы и представительства) иностранных юридических лиц?
(а) если представительства и филиалы сами не собирают и не обрабатывают персональные данные, однако, вовлечены в осуществление основной деятельности иностранной компании, для которой данные собираются/обрабатываются?
(б) если представительства и филиалы сами не собирают и не обрабатывают персональные, и не вовлечены в осуществление основной деятельности иностранной компании, для которой данные собираются/обрабатываются? - 242-ФЗ будет распространяться на российское представительство, вовлеченное в процесс сбора персональных данных. В иных случаях обязанность локализации баз персональных данных, собранных на территории Российской Федерации, возлагается на иностранное лицо.
- Каков порядок использования международных территориально распределенных систем, в том числе при оказании услуг по кадровому и бухгалтерскому учету в рамках аутсорсинга с использованием системы SAR HR?
- Указанные действия в рамках территориально распределенной системы должны быть обеспечены при сборе персональных данных российских пользователей с использованием сервера, расположенном на территории Российской Федерации.
При реализации деятельности по кадровому учету и расчету заработной платы, в том числе с участием аффилированного лица, оператор в соответствии с требованиями 242-ФЗ обязан обеспечить сбор указанных данных на сервере, расположенном на территории Российской Федерации. Последующая трансграничная передача в базу SAR HR должна осуществляться согласно требованиям ст. 12 Федерального закона «О персональных данных». - В случае если персональные данные собраны и записаны в российскую базу данных, после чего переданы иностранной компании, будет ли иметь место нарушение каких-либо требований, если российская компания (осуществившая сбор) будет осуществлять доступ и использовать данные из иностранной базы данных? Например, в случае если создан глобальный справочник работников группы компаний и сотрудники российского офиса могут скачать мобильное приложение, которое будет обращаться к иностранной (а не российской) базе данных, будет ли это являться нарушением?
- Данный доступ возможен только сотрудникам российского представительства, на которых возложены полномочия по обработке персональных данных работников. Следует отметить, что правомерность указанного доступа определяется соблюдением российским представительством требований трудового законодательства Российской Федерации, Федерального закона «О персональных данных» в части наличия письменного согласия, а также требований, предъявляемых к порядку трансграничной передачи персональных данных.
- Что понимается под «сбором данных»?
- «Сбор данных» — это получение данных непосредственно от субъекта персональных данных и оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение с использованием баз данных на территории Российской Федерации, указанные виды обработки составляют единый процесс формирования и поддержания в актуальном состоянии базы данных, что должно осуществляться на территории Российской Федерации.
Необходимо отметить, что параллельный ввод собранных персональных данных в российскую информационную систему и систему, находящуюся на территории иностранного государства не отвечает требованиям 242-ФЗ, поскольку после сбора посредством российской информационной системы указанные сведения могут быть переданы в иностранную информационную систему только посредством трансграничной передачи.
Относительно возможности поручения иностранным лицом российскому юридическому лицу осуществить сбор персональных данных в России такие правоотношения возможны при условии неукоснительного соблюдения требований ч. 3 ст. 6 Федерального закона «О персональных данных».
При этом ответственность согласно ч.5 ст.6 Федерального закона «О персональных данных» за нарушение требований законодательства несет лицо, поручившее осуществлять сбор. - Если база данных с персональными данными граждан РФ изначально собрана, хранится и обрабатывается в РФ, можно ли извлекать из этой базы данных персональные данные и направлять их для целей обработки (в частности, для хранения и использования в целях исполнения договора с субъектом персональных данных) за рубеж?
Будет ли возникать в таком случае риск привлечения к ответственности за нарушение правила о локализации:
(а) у иностранного получателя данных и/или
(б) у российского оператора, который передал данные иностранной компании. Презюмируется, что согласия субъектов получены надлежащим образом, между компаниями имеются договоры, которые регулируют вопросы передачи данных, иностранная компания соблюдает законы своей юрисдикции в сфере обработки персональных данных. - 242-ФЗ не вносит изменений в статью 12 Федерального закона «О персональных данных», которая регламентирует вопрос трансграничной передачи персональных данных. В связи с чем возможна трансграничная передача персональных данный в соответствии с указанной статьей.
- Что понимается под «базой данных»?
- При определении понятия «база данных» следует учитывать, что в российском законодательстве определено множество понятий баз данных (не только в ГК РФ и ГОСТ Р 20886-85), тем не менее, все они сводятся к широкому пониманию данного термина. Более того, согласно Модельному закону о персональных данных, принятому в г. Санкт-Петербурге 16.10.1999 Постановлением 14-19 на 14-ом пленарном заседании Межпарламентской Ассамблеи государств-участников СНГ, «база персональных данных» — это упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных).
Следует руководствоваться понятием, которое дано в модельном законе.
Так, базой данных можно считать таблицу в формате Excel, word, в которой содержится информация о персональных данных граждан или иным образом упорядоченный массив персональных данных, в том числе поддающийся обработке при помощи ЭВМ. Такое понимание базы данных позволяет распространить требования законодательства о персональных данных на все материалы, содержащие персональные данные, вне зависимости от того, каким образом они скомпонованы и каком формате обрабатываются бумажном или электронном.
При этом, единственным законным признаком, которым должна обладать база данных, является ее место нахождения – территория Российской Федерации. - Какие существуют возможности для внесения поправок в закон / участия в разработке НПА на данном этапе?
- Внесение изменений в законодательные акты осуществляется субъектами законодательной инициативы в порядке, установленном законодательством Российской Федерации.
- Добрый день!
в настоящий момент наш корпоративный сайт, обслуживающий российские офисы, www.aircharter.ru размещен на местном хостинге. Но по внутреннему распоряжению компании все локальные сайты переносятся на новую платформу, которая позволяет сайтам сообщаться между собой и выдавать контент на различных языках и в различной последовательности в зависимости от местонахождения пользователя (сайт использует куки). Эта новая платформа едина для всех локальных сайтов компании и хостится на Амазоне в США, соответственно, все локальные сайты компании во всех доменных зонах также будут иметь хостинг на Амазоне.Регистрация пользователей на сайте не предусмотрена.
В связи с вступлением в силу закона, должны ли мы обеспечить локальный хостинг корпоративному сайту в зоне *.ru, как это, например, требуется в Казахстане и Китае?Заранее благодарю!
С уважением,
Галина - Закон не содержит требований по обеспечению локального хостинга сайта в сети «Интернет» на территории Российской Федерации.
При этом если Ваша организация осуществляет сбор персональных данных граждан Российской Федерации, в том числе посредством сайта в сети «Интернет, то их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) необходимо обеспечить с использованием баз данных, находящихся на территории Российской Федерации.
Факт отсутствия регистрации пользователей на сайте в сети «Интернет» может не означать, что их персональные данные не собираются другим способом (например, посредством заполнения формы на сайте).
- Любые разъяснения и официальная позиция (Роскомнадзора или Минкомсвязи. Насколько возможно взаимодействие с Верховным Судом для издания постановления Пленума?) – будут весьма полезны и позитивно восприняты отраслью, даже если они будут даны в виде вроде:
“…те организации, которые предпринимают определенные усилия для выполнения требований закона к 1 сентября не будут подвергаться давлению; в то время как те организации, которые не идут на контакт и не предпринимают никаких усилий – будет первым в очереди на выяснение соответствия их действий требованиям закона…” - Роскомнадзор не является уполномоченным органом по разъяснению положений 242-ФЗ в части обработки персональных данных. В соответствии с Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций на Роскомнадзор возложены полномочия по разъяснению вопросов, связанных с правоприменительной практики, которая будет сформирована только после вступления в силу 242-ФЗ.
- Каково соотношение понятий «передача», «копирование» и «хранение» персональных данных?
Как можно хранить данные в России и при этом не запрещается трансграничная передача данных, ведь передача данных за границу предполагает их хранение не на территории России? - В данном случае следует представлять хранение и передачу данных как отдельные процессы обработки данных и рассмотреть суть этих понятий и процессов.
Требования 242-ФЗ закрепляют обязательное хранение персональных данных на территории Российской Федерации, при осуществлении их сбора.
При этом 242-ФЗ не запрещает «копирование» и «передачу» данных.
Понятие «копирование» представляет собой процесс, имеющий иные характеристики по сравнению с понятием «хранение», значения данных слов не являются идентичными, то есть данные слова не являются синонимами (слова или словосочетания, не совпадающие по звучанию и написанию, но имеющее одинаковое или очень близкое значение).
Например, согласно Методическим рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации, утв. Генпрокуратурой России, копирование информации – это создание копии имеющейся информации на другом носителе, то есть перенос информации на обособленный носитель при сохранении неизменной первоначальной информации, воспроизведение информации в любой материальной форме — от руки, фотографированием текста с экрана дисплея, а также считывания информации путем любого перехвата информации и т.п.
Упрощая данное Генеральной прокуратурой Российской Федерации понятие «копирование информации» можно сказать, что «копирование» представляет собой процесс, характеризующийся созданием дубликата документа или информации. То есть основным свойством данного действия является создание дубликата вне зависимости от способа и цели его создания или места нахождения дублирующей информации. Таким образом, скопированные персональные данные, подлежат хранению в соответствии с правилами Федерального закона «О персональных данных».
Понятие «ПЕРЕДАЧА» представляет собой процесс по направления информации или документов какому-либо лицу каким-либо способом.
В 242-ФЗ в перечень действий, которые оператор персональных данных обязан обеспечить с использованием баз данных, находящихся на территории России, «передача данных» не входит. Таким образом, 242-ФЗ не запрещает осуществлять передачу данных, в том числе трансграничную передачу данных из одной базы данных, в другую.
При этом согласно ГОСТ Р ИСО 15489-1-2007. Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования, Приказом Ростехрегулирования от 12.03.2007 N 28-ст, ПЕРЕДАЧА (TRANSFER) (в отношении способа хранения): изменение способа хранения документов, права собственности и (или) ответственности за документы. То есть если рассматривать процесс передачи более детально, он, безусловно, представляет собой перенос ответственности или части ответственности за информацию на другое лицо и изменение способа и места хранения этой информации.
Таким образом, оператор персональных данных, осуществляя хранение персональных данных в России, может впоследствии произвести их передачу за границу, посредством «копирования» и « трансграничной передачи» информации.
Эти действия оператора будут правомерны. И оператор должен лишь соблюсти требования, предъявляемые Федеральным законом «О персональных данных» к порядку и условиям такой передаче данных.
Условно, можно сказать, что Оператор № 1, собравший данные в России, отвечает только за свои действия в отношении этих данных, после их передачи за границу владелец данных изменится и им станет Оператор № 2, который будет отвечать за переданные ему данные. Оператор № 1 не будет нести ответственность за действия Оператора № 2.
В дальнейшем Оператор № 2 будет осуществлять обработку полученных данных в соответствии с законодательством своей страны, и на тех условиях, о которых он договорился с Оператором №1.
Важным в данном случае для Оператора №1 будет являться соблюдение правил трансграничной передачи данных.
Таким образом, оператор может осуществить трансграничную передачу данных, не нарушая при этом требований 242-ФЗ, предъявляемых к хранению персональных данных на территории Российской Федерации. Ведь база персональных данных по-прежнему будет находиться в Российской Федерации, а содержащаяся в ней информация будет актуализироваться.
У Оператора № 2 будет храниться и обрабатываться копия информации, и актуализироваться она будет только после соответствующей актуализации российской базы.По вопросу копирования персональных данных следует заметить, что «копирование» представляет собой процесс, характеризующийся созданием дубликата документа или информации. То есть основным свойством данного действия является создание дубликата вне зависимости от способа и цели его создания или места нахождения дублирующей информации. Таким образом, скопированные персональные данные, подлежат хранению в соответствии с правилами Федерального закона «О персональных данных». Кроме того, понятие «дублирующая база данных» 242-ФЗ не содержит.
- Какие категории персональных данных, подпадающие под сферу действия 242-ФЗ?
- Положения 242-ФЗ относятся к любой информации, относящейся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), а не к отдельным категориям персональных данных (специальных персональных данных, биометрических персональных данных).
Информация для юридических лиц и предпринимателей, осуществляющих обработку персональных данных…
Об обязанности уведомления об обработке персональных данных
Информация для исполнительных органов государственной власти, органов местного самоуправления, а также подведомственных им учреждений и организаций, юридических лиц, ИП, физических лиц, осуществляющих обработку персональных данных
На основании части 1статьи 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»,
пункта 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), утвержденного Постановлением Правительства Российской Федерации от 16.03.2009 № 228, Роскомнадзор является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, является Уполномоченным органом по защите прав субъектов персональных данных (далее — Уполномоченный орган).
В соответствии с частью 5 статьи 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Роскомнадзор обязан вести реестр операторов, осуществляющих обработку персональных данных (далее – Реестр операторов).
В соответствии с частью 1 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить Уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с целью включения в Реестр операторов, осуществляющих обработки персональных данных.
Согласно положениям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» к операторам, осуществляющим обработку персональных данных, относятся государственные органы, муниципальные органы, юридические или физические лица, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными.
По состоянию на 01.10 2020 года в реестр операторов, осуществляющих обработку персональных данных на территории Кемеровской области, внесены сведения о 6 192 операторах. Вместе с тем, по данным Территориального органа Федеральной службы государственной статистики по Кемеровской области (Кемеровостат), прогнозная численность операторов, осуществляющих обработку персональных данных на территории Кемеровской области, составляет 11 900 операторов.
Основанием для рассмотрения вопроса о внесении сведений в Реестр операторов является Уведомление об обработке персональных данных, направленное в адрес уполномоченного органа – Управления Роскомнадзора по Кемеровской области.
Электронная форма Уведомления об обработке персональных данных, предусмотренная ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», и порядок её заполнения размещены на портале персональных данных (www.pd.rkn.gov.ru.) в разделе «Реестр операторов/ Электронные формы заявлений/ Уведомление об обработке (о намерении осуществлять обработку) персональных данных». После заполнения формы Уведомления об обработке персональных данных и отправки ее в информационную систему Роскомнадзора, Вам необходимо распечатать заполненную форму, подписать ее уполномоченным лицом и направить в Управление по адресу: 650991, ГСП-1, г. Кемерово, ул. Сарыгина, д. 7.
В связи с вышеизложенным, исполнительным органам государственной власти Кемеровской области, органам местного самоуправления, а также подведомственных им учреждениям и организациям, юридическим лицам, индивидуальным предпринимателям, физическим лицам, осуществляющим обработку персональных данных необходимо в кратчайшие сроки организовать направление в адрес Управления Роскомнадзора по Кемеровской области уведомления об обработке персональных данных (в случае если уведомление ранее не направлялось в Управление Роскомнадзора по Кемеровской области).
По вопросам направления уведомлений об обработке персональных данных необходимо обращаться в Управление Роскомнадзора по Кемеровской области по адресу — ул. Сарыгина, 7, г. Кемерово, 650991, ГСП-1, контактные телефоны 8(3842) 78-00-67, 8(3842) 78-00-65, Интернет-сайт Управления Роскомнадзора по Кемеровской области — http://42.rkn.gov.ru.
Политика обработки персональных данных — Совкомбанк
1. Общие положения
1.1. ПАО «Совкомбанк» (далее по тексту — Банк) является оператором по обработке персональных данных.
1.2. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.3. Субъекты персональных данных в Банке:
- клиент – физическое или юридическое лицо, находящееся на обслуживании в Банке, а так же лицо, являющиеся, в соответствии с законодательством Российской Федерации, представителями клиента, выгодоприобретателями и бенефициарными владельцами;
- акционер – физическое лицо, которое владеет одной или несколькими акциями в капитале Банка;
- контрагент — любое российское или иностранное юридическое или физическое лицо, с которым Банк вступает в договорные отношения, за исключением трудовых отношений;
- сотрудник – физическое лицо, которое вступило в трудовые отношения с Банком.
1.4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации (с помощью средств вычислительной техники) или без использования таких средств (на материальных носителях информации) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.5. Политика обработки персональных данных Банка (далее по тексту — Политика) является общедоступным документом, который отражает общие требования и принципы организации работ по обработке и защите персональных данных.
1.6. Политика разработана в соответствии с нормами законодательства Российской Федерации (далее по тексту — РФ) о персональных данных и учитывает требования нормативных документов Банка России.
1.7. Действие настоящей Политики распространяется на деятельность всех сотрудников Банка, участвующих в процессе обработки персональных данных.
1.8. Пересмотр настоящей Политики может осуществляться в следующих случаях:
- если произошли изменения в категориях обрабатываемых персональных данных субъектов персональных данных;
- если произошли изменения требований по обработке и защите персональных данных субъектов персональных данных в законодательстве РФ и/или нормативных документах Банка России.
1.9. В Политике используются термины в соответствии с законодательством РФ о персональных данных и нормативными документами Банка России.
2. Категории субъектов персональных данных
2.1. Банк может обрабатывать следующие категории субъектов персональных данных:
- персональные данные клиентов/контрагентов (физ. лиц), представителей/работников клиентов/контрагентов (юридических лиц) – ФИО; паспортные данные или данные иного документа, удостоверяющего личность; гражданство; данные миграционной карты или иного документа, подтверждающего право иностранца или лица без гражданства на пребывание в РФ; адрес регистрации в стране, подданным которой является; адрес фактического проживания или временной регистрации в стране пребывания; информация о принадлежности к иностранным публичным должностным лицам; номера телефонов; информация о трудовой деятельности; сведения о заработной плате; сведения о семейном положении; сведения о доходах; сведения об имуществе; ценные бумаги и иные сведения, предусмотренные действующим законодательством РФ и внутренними документами Банка;
- персональные данные сотрудников/бывших сотрудников, кандидатов на замещение вакантных должностей, а также родственников сотрудников – ФИО; паспортные данные; идентификационный номер налогоплательщика; номер страхового свидетельства государственного пенсионного страхования; данные водительского удостоверения; сведения об образовании, в том числе, информация об учебном заведении, дата окончания, номер диплома, специальность и квалификация по диплому, сертификаты и удостоверения о повышении квалификации; выполняемая работа с начала трудовой деятельности; данные справки, выданной органами МВД России, о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, сведения о близких родственниках; сведения о воинском учете, медицинское заключение по установленной форме об отсутствии противопоказаний для работы, и иные сведения предусмотренные действующим законодательством РФ и внутренними документами Банка.
2.2. В соответствии с установленными законодательством РФ категориями персональных данных, в Банке обрабатываются персональные данные, относящиеся к общедоступным и иным категориям персональных данных сотрудников, клиентов, контрагентов и акционеров Банка.
3. Цели и принципы обработки персональных данных
3.1. Целью обработки персональных данных сотрудников, клиентов, акционеров и контрагентов Банка является выполнение функций, возложенных на Банк законодательством Российской Федерации и нормативными документами Банка России, в том числе:
- Трудовым кодексом РФ;
- Федеральным закономом «О банках и банковской деятельности» № 395-1 от 02.12.1990г.;
- Федеральным законом «О судебных приставах» № 118-ФЗ от 21.07.1997г.;
- Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» № 115-ФЗ от 07.08.2001г.;
- Федеральным законом «О страховании вкладов физических лиц в банках Российской Федерации» № 177-ФЗ от 23.12.2003г.;
- Федеральным законом «О кредитных историях» № 218-ФЗ от 30.12.2004г.;
- Федеральным законом «О персональных данных» № 152-ФЗ от от 27.07.2006г.;
- Федеральным законом «О рынке ценных бумаг» №39-ФЗ от 22.04.1996г.;
- Положение Центрального Банка РФ «Об идентификации кредитными организациями клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма» № 499-П, утвержденное Банком России 15.10.2015г.;
- Инструкцией Банка России № 153-И «Об открытии и закрытии банковских счетов, счетов по вкладам, депозитных счетов» от 30.05.2014г.;
- другими нормативными документами.
3.2. В процессе обработки персональных данных, Банк руководствуется следующими основными принципами:
- обработка персональных данных осуществляется на законном и справедливом основании;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с целями их обработки;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки, содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки;
- обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
- неполные или неточные персональные данные уточняются или удаляются;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; поручителем по которому является субъект персональных данных;
- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
4. Процесс обработки персональных данных
4.1. Персональные данные в Банке получают непосредственно от субъекта персональных данных или его представителем, за исключением случая, указанного в п.4.2. настоящей Политики, путем:
- заполнения утвержденных форм документов;
- заполнения утвержденных форм веб-заявок;
- копирования оригиналов документов;
- получения оригиналов документов;
- внесения полученных персональных данных в учетные формы документов и информационные системы персональных данных.
4.2. В случаях, установленных законодательством РФ, персональные данные могут быть получены Банком от третьих лиц, в том числе и от государственных органов.
4.3. Банк берет согласие на обработку персональных данных субъекта персональных данных, которое содержится в утвержденных формах документов Банка, в установленных формах для систем переводов денежных средств или в качестве отдельного согласия (в любом случае в форме, позволяющей подтвердить факт его получения).
4.4. Согласие на обработку персональных данных субъектов персональных данных Банк не берет в следующих случаях:
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на Банк функций, полномочий и обязанностей;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
4.5. Банк может поручить обработку персональных данных субъектов персональных данных третьему лицу, с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. В договоре определяется: перечень действий с персональными данными, цели их обработки, требования по обеспечению конфиденциальности персональных данных, а так же требования к защите персональных данных.
4.6. Субъект персональных данных может отозвать согласие на обработку своих персональных данных, написав в Банк соответствующее заявление.
4.7. В случае если цель обработки персональных данных субъектов персональных данных, на материальных носителях и в информационных системах Банка, достигнута, то персональные данные уничтожаются.
5. Защита персональных данных
5.1. Защита персональных данных, обрабатываемых в информационных системах персональных данных и на бумажных носителях информации, обеспечивается системой информационной безопасности Банка.
5.2. Система информационной безопасности Банка реализует следующий набор защитных мер:
- антивирусная защита персональных данных;
- идентификация, аутентификация и авторизация сотрудников в информационных системах персональных данных;
- управление логическим и физическим доступом к информационным системам персональных данных;
- управление средствами криптографической защиты и их ключевыми системами;
- контроль целостности, применяемого программного обеспечения;
- контроль использования сети Интернет и корпоративной электронной почты;
- безопасное межсетевое взаимодействие информационных систем персональных данных;
- регистрация и мониторинг событий информационной безопасности;
- резервное копирование баз данных, информационных систем персональных данных.
5.3. Система обеспечения информационной безопасности Банка строится с учетом требований законодательства РФ.
6. Рассмотрение запросов субъектов персональных данных
6.1. Субъект персональных данных или его законный представитель имеет право на получение в Банке, следующей информации об обработке его персональных данных:
- подтверждение факта обработки персональных данных Банком;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Банком способы обработки персональных данных;
- наименование и место нахождения Банка, сведения о лицах (за исключением сотрудников Банка), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Банком или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных законодательством РФ о персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Банка, если обработка поручена или будет поручена такому лицу.
- информацию о трансграничной передаче данных;
- иные сведения, предусмотренные федеральными законами.
6.2. Банк предоставит субъекту персональных данных информацию, касающуюся обработки его персональных данных, или мотивированный отказ в предоставлении такой информации, а также возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения Запроса субъекта персональных данных или его представителя, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
6.3. Запрос должен содержать:
- фамилию, имя, отчество субъекта персональных данных или его представителя;
- серию, номер, а так же дату и наименование органа, выдавшего основной документ, удостоверяющий личность субъекта персональных данных и его представителя;
- номер и дату доверенности, выданной субъектом персональных данных его представителю, необходимой для осуществления законных прав и интересов субъекта персональных данных
- номер и дату заключения договора/договоров с Банком, либо сведения, иным образом подтверждающие участие субъекта персональных данных в отношениях с Банком;
- подпись субъекта персональных данных или его представителя;
- обоснование повторно направленного запроса до истечения тридцати дней с момента отправки первичного запроса.
В случае если Запрос оформляется представителем субъекта персональных данных, то к Запросу должен быть приложен оригинал или надлежащим образом заверенная копия доверенности представителя.
6.4. В случае если сведения, указанные в п. 6.1. настоящей Политики, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его Запросу, субъект персональных данных имеет право отправлять повторный запрос по истечении тридцати дней с момента первоначального обращения или отправки первоначального запроса, за исключением случая, когда запрашиваемая субъектом персональных данных или его законным представителем информация не была предоставлена ему в полном объеме.
6.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с Федеральными законами, в том числе:
- обработка персональных данных субъекта персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.6. Субъект персональных данных или его законный представитель может требовать от Банка изменения его персональных данных в случае, если персональные данные являются неактуальными неполными, неточными, или уничтожения его персональных данных, если персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
6.7. В случае выявления неправомерной обработки при обращении субъекта персональных данных или его представителя либо по их запросу или либо уполномоченного органа по защите прав субъектов персональных данных Банк осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или либо уполномоченного органа по защите прав субъектов персональных данных Банк осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных Банк на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) в течение семи рабочих дней со дня представления таких сведений и снимает блокировку персональных данных.
Банк обязан уничтожить персональные данные субъекта персональных данных в течение семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели.
6.8. По результатам внесенных изменений и/или уничтожения персональных данных субъекта персональных данных Банк уведомляет субъекта персональных данных или его законного представителя о факте уничтожения/внесенных изменений в его персональных данных, в порядке, установленном внутренними документами Банка, а также принимает меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
7. Контроль и ответственность
7.1. В целях гарантии надлежащего исполнения Банком своих обязанностей, установленных законодательством РФ о персональных данных, Банком назначено лицо ответственное за организацию процесса обработки персональных данных
7.2. Общее руководство процессом организации процесса обработки и защиты персональных данных осуществляет Председатель Правления Банка.
7.3. Сотрудники Банка, участвующие в процессе обработки персональных данных, несут ответственность за несоблюдение требований настоящей Политики.
Об обработке персональных данных пациентов ГБУЗ СК «КДКБ»
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ И ИХ ЗАКОННЫХ ПРЕДСТАВИТЕЛЕЙ В ГБУЗ СК «КДКБ»
1. Общие положения
Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Перечнем сведений конфиденциального характера, утвержденным Указом Президента РФ от 06.03.1997 №188, Федеральный закон от 29.07.2004 №98-ФЗ «О коммерческой тайне», с нормами Федерального закона от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации» и другими нормативными актами, действующими на территории Российской Федерации.
Настоящее Положение определяет порядок обработки, сбора, хранения, передачи и любого другого использования персональных данных пациентов в ГБУЗ СК «Краевая детская клиническая больница» (далее – Оператор) и гарантии конфиденциальности сведений, предоставляемых пациентом.
2. Понятие и состав персональных данных пациентов
Персональные данные пациентов – информация, необходимая Оператору в связи с медицинским учетом и касающаяся конкретного пациента.
К персональным данным пациента относятся:
- Фамилия, имя, отчество, год, месяц, дата и место рождения, а также иные данные, содержащиеся в удостоверении личности пациента;
- Данные о состоянии здоровья;
- Данные медицинского характера в случаях, предусмотренных законодательством;
- Данные о членах семьи пациента;
- Данные о месте жительства, почтовый адрес, телефон пациента, а также членов его семьи;
- Иные персональные данные, при определении объема и содержания которых оператор руководствуется настоящим Положением и законодательством Российской Федерации.
3. Сбор, обработка и защита персональных данных пациента
Персональные данные пациента относятся к конфиденциальной информации, то есть порядок работы с ними регламентирован действующим законодательством РФ и осуществляется соблюдением строго определенных правил и условий.
В целях обеспечения прав и свобод человека и гражданина оператор и его представители при обработке персональных данных пациента обязаны соблюдать следующие общие требования:
Сбор персональных данных пациента.
При поступлении в стационар или поликлинику пациент предоставляет персональные данные о себе в документированной форме. Предъявляемыми документами являются:
- полис ОМС или ДМС;
- паспорт или иной документ, удостоверяющий личность пациента или законного представителя;
- страховое свидетельство государственного пенсионного страхования;
- После оформления пациента в регистратуре поликлиники или приемном отделении к документам, содержащим персональные данные пациента, также будут относиться:
- медицинская карта стационарного больного;
- медицинская карта амбулаторного больного.
Лица, получающие персональные данные пациента, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными пациентов в порядке, установленном федеральными законами.
Защита персональных данных пациентов от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном федеральными законами.
Обработка персональных данных пациентов – это получение, хранение, комбинирование, передача или любое другое использование персональных данных пациентов.
Обработка персональных данных пациентов может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в оказании медицинской помощи, контроля качества и объема оказанной медицинской помощи, пользования льготами, предусмотренными законодательством Российской Федерации;
При определении объема и содержания, обрабатываемых персональных данных пациента оператор должен руководствоваться Конституцией РФ и иными федеральными законами;
Все персональные данные пациента следует получать лично у пациента или его законного представителя.
При обработке персональных данных пациента оператор должен соблюдать следующие требования:
- не сообщать персональные данные пациента в коммерческих целях без его личного письменного согласия, согласия законного представителя;
- предупреждать лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
- разрешать доступ к персональным данным пациентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные пациента, которые необходимы для выполнения конкретных функций;
- передавать персональные данные пациента представителям пациентов в порядке, установленном настоящим Положением, и ограничивать эту информацию только теми персональными данными пациента, которые необходимы для выполнения указанными представителями их функций.
Получение персональных данных пациента.
Все персональные данные о пациенте оператор может получить у него самого или законного представителя.
Пациент обязан предоставить оператору полные и достоверные данные о себе, в случае изменения сведений, составляющих персональные данные пациента, незамедлительно предоставить данную информацию оператору. Оператор имеет право проверять достоверность сведений, предоставленных пациентом, сверяя данные, предоставленные пациентом, с имеющимися у пациента документами.
Если персональные данные пациента, возможно, получить только у третьей стороны, то пациент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Оператор должен сообщить пациенту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных (например, данные о полисе обязательного медицинского страхования в страховой компании при отсутствии такового у пациента или при возникновении сомнений в правильности предоставляемых пациентом данных и т.п.) и последствиях отказа пациента дать письменное согласие на их получение;
Хранение персональных данных пациента.
Пациенты и их представители могут быть по желанию ознакомлены с документами организации, устанавливающими порядок обработки персональных данных пациентов, а также осведомлены об их правах в этой области.
Оператор должен вырабатывать меры защиты персональных данных пациентов.
Персональные данные пациентов на бумажных носителях хранятся у врачей отделений в период лечения, у врачей поликлиники в период обследования, в регистратуре поликлиники в течение 2-х лет после последнего обращения, в архиве оператора после окончания лечения в течение утвержденного законодательством срока. На электронных носителях персональные данные пациентов хранятся в отделе информационно-медицинского обеспечения (в виде электронной базы данных на рабочих серверах и в архивных файлах на серверах резервного копирования). Приемное отделение стационара и регистратура поликлиники имеют постоянный доступ к базам данных пациентов посредством рабочих станций локальной компьютерной сети, обеспеченной системой паролей. Все вышеописанные службы оператора обеспечивают защиту персональных данных пациентов от несанкционированного доступа и копирования.
Хранение персональных данных пациентов в иных структурных подразделениях оператора, сотрудники которых имеют право доступа к персональным данным, осуществляется в порядке, исключающем к ним доступ третьих лиц.
Конкретные обязанности по хранению персональных данных пациентов, заполнению и распечатке историй болезни и амбулаторных карт, формированию счетов в страховые компании возлагаются на работников конкретных подразделений оператора и закрепляются в должностных инструкциях.
В отношении некоторых документов действующим законодательством РФ могут быть установлены иные требования хранения, чем предусмотрено настоящим Положением. В таких случаях следует руководствоваться правилами, установленными соответствующим нормативным актом.
Сотрудник оператора, имеющий доступ к персональным данным пациентов в связи с исполнением трудовых обязанностей:
Обеспечивает хранение информации, содержащей персональные данные пациентов, исключающее доступ к ним третьих лиц
В отсутствии сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные пациентов (соблюдение «политики чистых столов»), при уходе в отпуск, служебной командировке и иных случаях длительного отсутствия работника на своем рабочем месте он обязан передать документы и иные носители, содержащие персональные данные пациентов, лицу, на которое распоряжением руководителя будет возложено исполнение его трудовых обязанностей.
В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные пациентов, передаются другому сотруднику, имеющему доступ к персональным данным пациентов, по указанию руководителя.
При увольнении сотрудника, имеющего доступ к персональным данным пациентов, документы и иные носители, содержащие персональные данные пациентов, передаются другому сотруднику, имеющему доступ к персональным данным пациентов, по указанию руководителя.
В случае реорганизации или ликвидации организации оператора учет и сохранность документов, порядок передачи их на государственное хранение осуществлять в соответствии с правилами, предусмотренными учредительными документами.
Использование (доступ, передача, комбинирование) персональных данных пациента.
Оператор обеспечивает ограничение доступа к персональным данным пациентов лицам, не уполномоченным законом либо оператором для получения соответствующих сведений.
Доступ к персональным данным пациентов без специального разрешения имеют работники, занимающие следующие должности:
- главный врач
- заместители главного врача
- заведующие отделениями
- старшие медицинские сестры
- врачи отделений
- медицинские сестры отделений
- экономисты
- медицинские регистраторы
- работники отдела информационно-медицинского обеспечения, непосредственно ведущие обработку информации пациента
- работники архива
- медицинские статистики
При получении сведений, составляющих персональные данные пациента, указанные лица должны иметь право получать только те персональные данные пациента, которые необходимы для выполнения конкретных функций, заданий.
В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией главного врача доступ к персональным данным пациента может быть предоставлен иному сотруднику, должность которого не включена в перечень должностей сотрудников, имеющих доступ к персональным данным пациента, которому они необходимы в связи с исполнением трудовых обязанностей.
В случае если оператору оказывают услуги юридические и физические лица на основании заключенных договоров они должны иметь доступ к персональным данным пациентов, то соответствующие данные предоставляются оператором только после подписания с ними соглашения о неразглашении конфиденциальной информации.
В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных пациентов.
Процедура оформления доступа к персональным данным пациента включает в себя:
- ознакомление работника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных пациента, с данными актами также производится под роспись.
- Истребование с сотрудника письменного обязательства о соблюдении конфиденциальности персональных данных пациента и соблюдении правил их обработки, подготовленного по установленной форме.
Передача персональных данных между подразделениями оператора осуществляется только между сотрудниками, имеющими доступ к персональным данным пациентов. При передаче персональных данных пациента оператор должен соблюдать следующие требования:
- осуществлять защиту персональных данных пациента;
- обеспечить хранение медицинской документации. При этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные;
Заполнение документации, содержащей персональные данные пациента осуществлять в соответствии с унифицированными формами медицинской документации, утвержденными Минздравом СССР 04.10.80г. № 1030.
Сотрудники оператора, передающие персональные данные пациентов третьим лицам, должны передавать их с обязательным составлением акта приема-передачи документов (иных материальных носителей), содержащих персональные данные пациентов. Акт составляется по установленной форме и должен содержать следующие условия:
- уведомление лица, получающего данные документы об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;
- предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами.
Передача документов (иных материальных носителей), содержащих персональные данные пациентов, осуществляется при наличии у лица, уполномоченного на их получение:
- договора на оказание услуг
- соглашения о неразглашении конфиденциальной информации; либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных пациента;
- договор или соглашение должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные пациента, ее перечень, цель использования, фамилия, имя, отчество и должность лица, которому поручается получить данную информацию.
Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных пациента несет работник, а также руководитель, осуществляющий передачу персональных данных пациента третьим лицам.
Предоставление персональных данных пациента государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.
Доступ к персональным данным пациента третьих лиц
(физических и юридических)
Передача персональных данных пациента третьим лицам осуществляется только с письменного согласия пациента, которое оформляется по установленной форме и должно включать в себя:
- фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе.
- наименование и адрес оператора, получающего согласие пациента;
- цель передачи персональных данных;
- перечень персональных данных, на передачу которых дает согласие пациент;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Согласия пациента на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью пациента, а также в случаях, установленных федеральным законом.
Если лицо, обратившееся с запросом о персональных данных пациента не уполномочено федеральным законом на получение персональных данных пациента, оператор обязан отказать в предоставлении персональных данных лицу. Лицу обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных;
4. Организация защиты персональных данных пациента.
Защита персональных данных пациента от неправомерного их использования или утраты обеспечивается оператором.
Оператор обеспечивает:
- ознакомление сотрудников под роспись с настоящим Положением.
При наличии иных нормативных актов (приказы, распоряжения, инструкции) регулирующих обработку и защиту персональных данных пациента, с данными актами также производится ознакомление сотрудников под роспись.
Истребование с сотрудников (за исключением лиц без специального разрешения) письменного обязательства о соблюдении конфиденциальности персональных данных пациента и соблюдении правил их обработки;
- Общий контроль за соблюдением сотрудниками оператора мер по защите персональных данных пациента.
Организацию и контроль за защитой персональных данных пациента в структурных подразделениях оператора, сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.
Защите подлежат:
- Информация о персональных данных пациента;
- Документы, содержащие персональные данные пациента;
- Персональные данные, содержащиеся на электронных носителях.
Защита сведений, хранящихся в электронных базах данных оператора, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий обеспечивается разграничением прав доступа с использованием учетной записи и системой паролей.
5. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных пациента.
Иные права, обязанности, действия сотрудников, в трудовые обязанности которых входит обработка персональных данных пациентов, определяются также должностными инструкциями.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пациентов, привлекаются к дисциплинарной, материальной, административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.
Разглашение персональных данных пациентов (передача их посторонним лицам, в том числе работникам, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные пациентов, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативными актами (приказами, распоряжениями), влекут наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания – замечания, выговора, увольнения.
Сотрудник оператора, имеющий доступ к персональным данным пациентов и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба пациенту или оператору.
Сотрудники оператора, имеющие доступ к персональным данным пациентов, виновные в незаконном разглашении или использовании персональных данных пациентов без согласия пациентов в корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии со статьей 183 Уголовного кодекса Российской Федерации.
Неправомерный отказ оператора исключить или исправить персональные данные пациента, если отказ повлек за собой причинение вреда, а также любое иное нарушение прав пациента на защиту персональных данных влечет возникновение у пациента права требовать устранения нарушения его прав и компенсации причиненного таким нарушением морального вреда.
Заключительные положения
Настоящее Положение вступает в силу с момента его утверждения главным врачом.
Настоящее Положение доводится до сведения всех работников персонально под роспись.
В настоящем Положении использованы следующие термины и определения:
Пациенты – граждане РФ, иностранные граждане, лица без гражданства.
Персональные данные пациента — паспортные данные (Ф.И.О., пол и дата рождения, адрес места жительства), данные о состоянии здоровья.
Обработка персональных данных — действия (операции) с персональными данными, включая получение, накопление, комбинирование, систематизацию, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Защита персональных данных работника – деятельность управомоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации о конкретном пациенте, полученной оператором в связи с лечением пациента.
Конфиденциальная информация – это информация (в документированном или электронном виде), доступ к которой ограничивается в соответствии с законодательством РФ.
Настоящее Положение вступает в силу с момента утверждения его главным врачом и действует до отмены (признанием утратившим силу) другим локальным нормативным актом.
Чек-лист. Какие документы по персональным данным должны быть у юридического лица для успешного прохождения проверки Роскомнадзора?
В последнее время скандалы, связанные с утечкой персональных данных, приобрели невиданный прежде масштаб. Подобные инциденты происходят все чаще. Финансовый и репутационный ущерб от их реализации становится все более ощутимым для компаний, а практика показывает, что даже у корпоративных гигантов отсутствует 100% уверенность в защищенности своей конфиденциальной информации.
Тем не менее, угроза эта касается не только крупных коммерческих организаций. Оператором персональных данных согласно российскому законодательству является любое юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных.
При этом исчерпывающего списка, что же является персональными данным, нет, но мы можем выделить самые важные из них:
ФИО;
дата рождения;
паспортные данные;
адрес места регистрации и/или проживания;
контактная информация;
номер ИНН;
номер СНИЛС;
номер банковской карты и/или лицевого счета.
Исходя из списка выше, можно понять, что в качестве оператора персональных данных может выступать любая организация, которая обрабатывает данные своих сотрудников. Следовательно, под проверку Роскомнадзора может попасть каждая организация.
Что первым проверит Роскомнадзор?Роскомнадзор, конечно, не будет следить круглосуточно за вашей организацией. Первое, на что обратит внимание регулятор во время проверки, — наличие и актуальность документов, регламентирующих порядок сбора, хранения, обработки и уничтожения персональных данных граждан. Эта организационно-распорядительная документация является фундаментом успешной и эффективной системы защиты информации, и потому очень важна. ОРД определяет ответственных лиц, их обязанности, порядок работы с данными, уровень доступа, алгоритмы реагирования в случае возникновения инцидентов и другие важные нюансы.
Весь перечень документации, регламентирующей деятельность оператора ПДн, содержится более чем в 30 нормативно-правовых актах. Чтобы разобраться в них и выделить главное – понадобится большое количество времени. Для вашего удобства мы собрали весь список, требуемых законодательством документов по персональным данным, в единый чек-лист. Данный список поможет вам определить уровень готовности вашего пакета ОРД к проверкам регулятора.
Чек-лист готовности пакета документов к проверке Роскомнадзора для юридических лиц и индивидуальных предпринимателей.- Акт установления уровня защищенности информационных систем персональных данных.
- Акт классификации государственной информационной системы или муниципальной информационной системы.
- Журнал регистрации письменных запросов граждан на доступ к своим персональным данным.
- Журнал регистрации обращений граждан для получения доступа к своим персональным данным.
- Журнал регистрации инцидентов информационной безопасности.
- Заключение об оценке вреда субъектам персональных данных.
- Инструкция об осуществлении контроля выполнения требования по защите персональных данных.
- Инструкция по допуску лиц в помещения, в которых ведется обработка персональных данных.
- Инструкция по учёту машинных носителей и регистрации их выдачи.
- Модель угроз.
- Отзыв согласия субъекта персональных данных.
- Перечень информационных систем персональных данных.
- Перечень мероприятий по защите персональных данных.
- План внутренних проверок состояния защиты персональных данных.
- Политика обработки персональных данных.
- Положение об ответственном за организацию обработки персональных данных.
- Положение о порядке обработки персональных данных.
- Положение по работе с инцидентами информационной безопасности.
- Приказ «О ведении журнала ознакомления работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и обучения указанных сотрудников.
- Приказ «О журнале учета посетителей».
- Приказ «О журнале регистрации инцидентов информационной безопасности».
- Приказ «О журнале учёта проверок юридического лица, индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля».
- Приказ «О назначении ответственного за организацию обработки персональных данных».
- Приказ «О назначении комиссии по работе с инцидентами информационной безопасности».
- Приказ «О создании комиссии по установлению уровня защищенности персональных данных в информационных системах персональных данных».
- Приказ «Об организации мероприятий по защите персональных данных».
- Приказ «Об ответственности за обработку и защиту персональных данных».
- Приказ «Об установлении границ контролируемой зоны объектов информатизации».
- Приказ «Об утверждении мест хранения материальных носителей персональных данных».
- Приказ «Об утверждении перечня лиц, имеющих право доступа в помещения, где размещены используемые средства криптографической защиты информации (СКЗИ), хранятся СКЗИ и (или) носители ключевой и аутентифицирующей и парольной информации СКЗИ».
- Приказ «Об утверждении типового обязательства работника о неразглашении персональных данных субъектов персональных данных».
- Приказ «Об утверждении типовой формы разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные».
- Приказ «Об утверждении форм актов уничтожения персональных данных».
- Приказ «Об утверждении форм согласий на обработку персональных данных».
- Приказ «Об утверждении типовой формы поручения обработки персональных данных».
- Типовая форма поручения обработки персональных данных.
- Уведомление об обработке персональных данных.
Что делать, если ваш пакет ОРД неполный или ненадлежащего качества?Скачать чек-лист
Естественно, организационно-распорядительную документацию необходимо привести в порядок – дополнить недостающими документами и актуализировать имеющиеся. Но разрабатывать документацию вручную — трудоемкий и длительный процесс. Автоматизируйте его! Воспользуйтесь системой DocShell. Узнайте, как она работает.
Оставьте заявку на подключение бесплатного тестового доступа к системе по бесплатному номеру телефона 8-800-770-01-31.
Согласие на обработку персональных данных и получение рассылки (рекламы)
Вы можете посещать данный сайт, не давая о себе никакой личной информации. Тем не менее, могут возникнуть ситуации, когда мы можем запросить Ваши личные данные. Администрация сайта оставляет за собой право вносить изменения в тексты. Мы делаем все возможное, чтобы информация на этом сайте была как можно более полной и точной. Администрация сайта не несет никакой ответственности за любой ущерб, который может быть причинен в любой форме за счет использования, неполноты или неправильности информации, размещенной на этом сайте. Информация и рекомендации на этом сайте могут быть изменены без предварительного уведомления. При использовании сайта http://www.jbi-group.ru вы соглашаетесь с приведенными ниже условиями.
Настоящим я, во исполнение требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (с изменениями и дополнениями), Федерального закона от 13.03.2006 N 38-ФЗ «О рекламе» с изменениями и дополнениями) свободно, своей волей и в своем интересе даю свое согласие: «JBI Group» (далее – Организация) на обработку своих персональных данных, указанных при регистрации для получения подписки на правовую аналитику «JBI Group» путем заполнения веб-формы на сайте Организации (www.jbi-group.ru) (далее – Сайт).
Настоящее согласие применяется в отношении обработки следующих персональных данных
фамилия, имя, отчество,
адрес электронной почты(e-mail).
Я согласен с тем, что в рамках обработки персональных данных Организация вправе осуществлять сбор, запись, систематизацию, накопление, анализ, использование, извлечение, распространение, обезличивание, блокирование, удаление, уничтожение моих персональных данных путем ведения баз данных автоматизированным, механическим, ручным способами в целях:
ведения и актуализации клиентской базы;
получения и исследования статистических данных;
информирования меня о предлагаемых Организацией мероприятиях, семинарах и т.д.;
технической поддержки при обработке информации, документации и персональных данных с использованием средств автоматизации и без такого использования.
Я выражаю согласие на получение рассылок на мой электронный адрес, а также иные виды рассылок и уведомлений, в том числе рекламного характера, с использованием любых средств связи (смс-рассылки).
Я выражаю согласие и разрешаю Организации объединять персональные данные в информационную систему персональных данных и обрабатывать мои персональные данные, с помощью средств автоматизации либо без использования средств автоматизации.
Я ознакомлен(а), что:
настоящее Согласие на обработку моих персональных данных и получение рассылок является бессрочным и может быть отозвано посредством ссылки на отписку от получения материалов правовой аналитики Организации.
имею право на доступ к своим персональным данным, требовать уточнения (обновление, изменение) моих персональных данных, а также удаления и уничтожения моих персональных данных в случае их обработки Организацией способами, нарушающими мои законные права и интересы, законодательство Российской Федерации.
имею право обратиться за тем, чтобы персональные данные были удалены, заблокированы, или задать вопрос по персональным данным на email — [email protected]
Настоящим Согласием я подтверждаю, что являюсь субъектом предоставляемых персональных данных, а также подтверждаю достоверность предоставляемых данных.
Я осознаю, что подписываясь на получение рассылки материалов правовой аналитики Организации на Сайте, означает мое письменное согласие с условиями, описанными в настоящем Согласии.
ПОЛОЖЕНИЕ
Об обработке и защите персональных данных
клиентов (физических и юридических лиц)
Консалтинговой группы JBI Group
Статья 1. ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящее положение «Об обработке и защите персональных данных Клиентов» (далее – Положение) устанавливает порядок обработки персональных данных Клиентов, для которых JBI Group оказывает услуги по рассылке рекламы и иной информации на электронную почту Клиентов.
2. Цель данного Положения – обеспечение требований защиты прав Клиентов при обработке их персональных данных.
3. Персональные данные не могут быть использованы JBI Group или её сотрудниками в целях причинения имущественного и морального вреда Клиентам, затруднения реализации их прав и свобод.
4. Обработка персональных данных Клиентов ограничивается достижением законных, конкретных и определенных в «Согласии на обработку персональных данных и получение рассылки» размещенном на сайте JBI Group.
5. Обрабатываемые персональные данные Клиентов подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
6. Настоящее Положение является обязательным для исполнения всеми сотрудниками JBI Group, имеющими доступ к персональным данным Клиентов. Все сотрудники, занимающиеся обработкой персональных данных, ознакомлены под роспись с данным положением.
7. Настоящее Положение и изменения к нему утверждаются ИП Проскуриной О.В..
Статья 2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА
1. Под Клиентами в интересах настоящего Положения понимаются:
а) Физические и Юридические лица (субъекты персональных данных), регистрирующиеся на сайте JBI Group. В данных правоотношениях с Клиентами по терминологии Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» (далее по тексту — Закон «О персональных данных») JBI Group выступает в качестве оператора персональных данных.
2. Под персональными данными Клиента понимается любая информация о субъекте персональных данных, необходимая JBI Group в связи с рассылкой (рекламы, иной информации) Клиентам.
3. Состав персональных данных Клиента, обработка которых осуществляется на сайте JBI Group, включает в себя в основном следующие сведения:
— фамилия, имя, отчество,
— адрес электронной почты (е-mail).
— место работы, должность.
Статья 3. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Сведения, перечисленные в статье 2. Положения, и содержащие информацию о персональных данных Клиентов, являются конфиденциальными. JBI Group обеспечивает конфиденциальность персональных данных, и обязана не допускать их распространения без согласия Клиентов, либо наличия иного законного основания.
2. JBI Group приняты все меры по конфиденциальности при сборе, обработке и хранении персональных данных Клиента на электронные (автоматизированные) носители информации.
Статья 4. ПРАВА И ОБЯЗАННОСТИ КЛИЕНТА
1. Клиент обязан указать при регистрации на сайте JBI Group достаточные, достоверные персональные данные.
2. Клиент имеет право на получение сведений о JBI Group — о месте его нахождения, о наличии у JBI Group реквизитов, а также на ознакомление с такими персональными данными.
3. Клиент имеет право на доступ к своим персональным данным, требовать уточнения (обновление, изменение) персональных данных, а так же удаления и уничтожения персональных данных в случае их обработки с нарушением законных прав Клиента
4. Клиент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
5. Согласие на обработку персональных данных может быть отозвано Клиентом, посредством ссылки на отписку от получения материалов правовой аналитики JBI Group.
Статья 5. ПРАВА И ОБЯЗАННОСТИ JBI Group ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. JBI Group имеет право осуществлять сбор, запись, систематизацию, накопление, анализ, использование, извлечение, распространение, обезличивание, блокирование, удаление, уничтожение персональных данных путём ведения баз данных автоматизированным, механическим, ручным способами.
2. JBI Group имеет право осуществлять обработку персональных данных Клиентов, указанных в п.1. статьи 2 настоящего Положения, по ниже следующим основаниям:
1). Обработка персональных данных Клиента необходима для осуществления прав и законных интересов JBI Group.
2) обработка персональных данных Клиентов необходима для:
— ведения и актуализации клиентской базы
— получения и исследования статистических данных
— информирования Клиента о предполагаемых JBI Group мероприятиях, семинарах и т.д.
3. JBI Group обязана осуществлять обработку персональных данных в соответствии с требованиями законодательства Российской Федерации, соблюдая конфиденциальность информации.
Статья 6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ
1. Защите подлежат следующие объекты персональных данных Клиентов, если только с них на законном основании не снят режим конфиденциальности:
— информация, содержащая персональные данные Клиентов, размещенная на электронных носителях на сайте JBI Group.
2. JBI Group в интересах обеспечения выполнения обязанностей, возложенных на него Законом «О персональных данных» и другими нормативными актами, регламентирующими деятельность юридических лиц по обработке персональных данных, принимает меры, предусмотренные настоящим Положение.
3. Общую организацию защиты персональных данных Клиентов осуществляет ИП Проскурина О.В.:
— Ознакомление сотрудников под роспись с настоящим Положением.
— Истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных Клиента и соблюдении правил их обработки.
— Ознакомление сотрудников под роспись с приказами и внутренними локальными нормативными актами, регламентирующими обработку и защиту персональных данных JBI Group.
4. Защита информационных систем, в которых обрабатываются персональные данные Клиентов, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, осуществляется в соответствии с нормативными актами JBI Group, регулирующими обработку и защиту персональных данных Клиента.
5. Доступ к персональным данным Клиента имеют сотрудники JBI Group, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.
6. Процедура оформления доступа к персональным данным Клиента включает в себя:
— Ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление под роспись.
7. В том числе защита доступа к электронным носителям, содержащим персональные данные Клиентов, обеспечивается на интернет — ресурсе UniSender, через который осуществляется рассылка:
— UniSender получил оценку эффективности принимаемых мер по обеспечению безопасности персональных данных и соответствует четвертому уровню защищенности персональных данных УЗ 4 (https://www.unisender.com/ru/about/secured).
— UniSender внесен в реестр операторов осуществляющих обработку персональных данных (https://pd.rkn.gov.ru/operators-registry/operators-list/?id=77-17-005701).
Статья 7. ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ
1. Персональные данные Клиентов хранятся в электронном виде и уничтожаются на интернет — ресурсе Unisender.
Статья 8. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ КЛИЕНТА
1. Право доступа к персональным данным Клиента имеют:
— ИП Проскурина О.В..
— Работники JBI Group, допущенные к обработке персональных данных Клиентов.
— Клиент, как субъект персональных данных.
Статья 9. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ КЛИЕНТА
1. JBI Group несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных Клиента.
2. ИП Проскурина О.В. несет персональную ответственность за соблюдение сотрудниками норм, регламентирующих получение, обработку и защиту персональных данных Клиента. Руководитель, разрешающий доступ сотрудника к документам, содержащим персональные данные Клиента, несет персональную ответственность за данное разрешение.
3. Каждый сотрудник JBI Group, обрабатывающий персональные данные Клиента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Статья 10. СПИСОК ИСПОЛЬЗОВАННЫХ ЗАКОНОДАТЕЛЬНЫХ И НОРМАТИВНЫХ АКТОВ
Разработка настоящего Положения осуществлена в соответствии со следующими нормативными документами:
Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»
Федеральный закон от 13 марта 2006 года № 152-ФЗ «О рекламе»
Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Федеральный закон от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы «О защите физических лиц при автоматической обработке персональных данных»
Указ Президента Российской Федерации от 17 марта 2008 года № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»
Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении Перечня сведений конфиденциального характера»
Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Постановление Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
при совпадении персональных данных физических и юридических лиц
Общий регламент по защите данных (GDPR) защищает физических лиц в рамках обработки их личных данных и свободного перемещения таких данных в пределах ЕС. Это кажется достаточно простым. Физические лица — это живые и дышащие отдельные человеческие существа. Обработка — это обработка, а личные данные — это личные данные, верно?
Информация, касающаяся юридических лиц, может одновременно быть персональными данными физического лица, и наоборот.Они перекрываются. Итак, где провести грань между личными данными, которые должны быть защищены в соответствии с GDPR, и личными данными, которые не должны быть защищены? (Сергей Варанкевич и Ольга Завальнюк)
Однако с GDPR не всегда все так просто, как кажется. Как упоминалось в предыдущей статье, определение личных данных, а также типов идентификаторов или личной информации (PII) значительно расширилось, и важно понимать, как личные данные и идентификаторы приводят к потенциальной идентификации (даже если методы такие как псевдонимизация и анонимизация) .
Во-вторых, обработка означает довольно много действий, касающихся личных данных физических лиц .
Итак, важно не только понимать принципы обработки персональных данных, но и знать, что именно такое обработка. Вы обрабатываете личные данные, когда кто-то заполняет форму на вашем веб-сайте, давая вам согласие на отправку ему / ей информационного бюллетеня; вы обрабатываете личные данные, когда получаете заявления о приеме на работу; вы обрабатываете персональные данные, просто передавая списки клиентов в своем качестве контроллера данных обработчику данных, например вашему бухгалтеру; вы обрабатываете личные данные при загрузке файла Excel, содержащего их на USB-накопителе; но вы также обрабатываете личные данные, если просто храните их.Список довольно длинный.
Итак, менее просто, чем кажется, и объясняется в нескольких статьях. Тем не менее, это еще не все. Даже такой простой термин, как физические лица, не так уж и прост.
Персональные данные юридических лиц и персональные данные физических лиц: выпуск с Актом 14Как вы можете прочитать в статьях (статья 2) GDPR о существенной сфере действия GDPR, не все персональные данные физических лиц подпадают под действие GDPR.Только один пример: личные данные физического лица в ходе чисто личной или домашней деятельности.
Но это еще не все. Многие люди имеют крошечный бизнес, состоящий из одного человека, или занимаются индивидуальной трудовой деятельностью, поэтому в зависимости от страны существуют различные механизмы, позволяющие объединить их деятельность в какую-либо форму предприятия.
Это может быть, например, некоторая форма индивидуального предпринимательства. Опять же, точное название и «юридическая форма» зависят. В подробном описании (Recital 14) GDPR говорит, что он применяется только к физическим лицам и не распространяется на обработку персональных данных, касающихся юридических лиц, в частности предприятий, созданных как юридические или юридические лица.И это включает в себя название юридического лица, форму, а также контактные данные юридического лица.
Что касается обработки данных, которые касаются юридических лиц и, в частности, предприятий, учрежденных как юридические лица, включая название и форму юридического лица, а также контактные данные юридического лица, защита настоящего Регламента не должна требовать любой человек. Это также должно применяться, если название юридического лица содержит имена одного или нескольких физических лиц. (проект GDPR Европейского парламента, предложение отсутствует в окончательном тексте GDPR)
Итак, представьте, что название нашей крошечной компании было не i-SCOOP, а «Founderlastnamexyz Media». Так обстоит дело со многими самозанятыми консультантами, юристами, бухгалтерами и т.д. (за исключением мнимой «медиа» части) . Более того, многие из них не просто работают на себя, но имеют ту или иную форму индивидуального предпринимательства, которая также может носить их имя, или даже другую форму предприятия с двумя или тремя людьми в одном и том же случае.
Очень часто самозанятые люди и очень маленькие предприятия с конкретными видами деятельности работают с частного адреса владельца, который затем дублируется как адрес предприятия. Вы начинаете видеть картину.
Это не так уж сложно (на самом деле, это действительно просто) , чтобы начать объединять личные данные и идентификаторы людей в их качестве физических лиц с данными (такими как адрес, самозанятость или наличие предприятия и т. Д. четвертое) в сфере юридических лиц.Добавьте к этому тот факт, что контактные данные юридического лица не подпадают под действие GDPR. Какие контактные данные? Телефон. Адрес. Электронное письмо. Twitter ручка. Можешь продолжать. Конечно, здесь есть немало возможностей для идентификации при пополнении профилей физических лиц.
Есть серая зона. Хотя может показаться логичным, что данные (личные) юридических лиц используются только для целей в рамках юридического лица, а не для обогащения профилей физических лиц путем добавления / объединения двух типов данных 1) это делается на относительно важная шкала, определенно имеющаяся на многочисленных онлайн-платформах, и 2) GDPR не слишком ясен и ясен в этом отношении.
Неопределенность никогда не бывает хорошей вещью, особенно если вам случится быть контроллером данных с такими платформами или находиться в том или ином сценарии, при котором вы думаете, что обрабатываете в соответствии с правилами GDPR, но, оказывается, используете личные данные, касающиеся юридические лица таким образом, что это не соответствует требованиям, нарушая права субъекта данных или хуже.
Совпадение персональных данных физических и юридических лиц: советИтак, существует множество инструментов, которые автоматически добавляют конкретную информацию из сферы юридических лиц в среду физических лиц.А некоторые из них даже допускают ошибки, поскольку они автоматизированы, и у вас нет возможности исправить их.
Примеры включают базы данных предпринимателей и их предприятий (при этом некоторые допускают исправление) . Другой пример — несколько так называемых инструментов маркетинга влияния. В стеке маркетинговых технологий вы, безусловно, можете найти больше. Но речь идет не только об инструментах и платформах (при этом все также зависит от объема обработки, правовых основ для обработки, точных сценариев, использования автоматизированного принятия решений, включая профилирование и многое другое; общедоступные и платные базы данных с данными, включая персональные данные юридических лиц в контексте B2B, например, никогда не возникало особых проблем, но есть довольно много платформ, которые, как мы знаем, определенно будут, о чем мы расскажем в следующем посте).
Сценарии важнее инструментов и платформ. И таких сценариев гораздо больше, когда можно задаться вопросом, применяется ли GDPR (физические лица) или нет (юридические лица) ; но эта серая зона остается.
Сергей Варанкевич, MBA, CIPP / E — корпоративный тренер и профессионал по защите данных, помогающий компаниям соблюдать GDPR, и Ольга Завальнюк, CIPP / США, кандидат CIPP / E, специалист по защите данных недавно поделилась своим мнением по проблеме в LinkedIn, дав два возможных сценарии и копания намного глубже, чем мы делали до сих пор: один — личные данные, которые касаются юридических лиц в примере юридической фирмы, и второй, в котором сотрудник действует от имени своей компании-работодателя (юридическое лицо) .Они смотрят на оба сценария и делятся своими взглядами, так что чтение получится интересным, а также, как и в LinkedIn, спрашивать и обсуждать.
Их совет, ожидающий руководящих указаний, состоит в том, чтобы использовать критерии «цель», «содержание» и «результат» при оценке того, следует ли применять GDPR в качестве более старого WP29 (теперь Европейский совет по защите данных). подчеркивая, что Recital 14 не может использоваться отдельно без соответствующей статьи GDPR.
Более того, они указывают на проект GDPR Европейского парламента с ранее процитированным предложением, которое не вошло в окончательный текст, но является ясным.Их полная статья по этому поводу с графиком, на котором мы основывались здесь.
Верхнее изображение: Shutterstock — Авторские права: Photon photo — Все остальные изображения являются собственностью их соответствующих владельцев
Персональные данные | Общий регламент по защите данных (GDPR)
Термин «персональные данные» — это начало применения Общего регламента по защите данных (GDPR). Только если обработка данных касается личных данных, применяются Общие правила защиты данных.Термин определен в ст. 4 (1). Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.
Субъекты данных поддаются идентификации, если они могут быть прямо или косвенно идентифицированы, особенно посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или одну из нескольких специальных характеристик, которые выражают физические, физиологические, генетическая, ментальная, коммерческая, культурная или социальная идентичность этих физических лиц.На практике они также включают в себя все данные, которые каким-либо образом назначены или могут быть присвоены человеку. Например, телефон, кредитная карта или личный номер человека, данные учетной записи, номерной знак, внешний вид, номер клиента или адрес — все это личные данные.
Поскольку определение включает «любую информацию», следует предположить, что термин «личные данные» следует толковать как можно шире. Это также предлагается в прецедентном праве Европейского суда, который также рассматривает менее явную информацию, такую как записи рабочего времени, которые включают информацию о времени, когда сотрудник начинает и заканчивает свой рабочий день, а также перерывы или время, в которое не попадают в рабочее время, как личные данные.Кроме того, письменные ответы кандидата во время теста и любые замечания экзаменатора относительно этих ответов являются «личными данными», если кандидата можно теоретически идентифицировать. То же самое относится и к IP-адресам. Если у контролера есть законная возможность обязать поставщика передать дополнительную информацию, которая позволяет ему идентифицировать пользователя по IP-адресу, это также личные данные. Кроме того, необходимо отметить, что личные данные не обязательно должны быть объективными. Субъективная информация, такая как мнения, суждения или оценки, может быть личными данными.Таким образом, это включает оценку кредитоспособности человека или оценку выполнения работы работодателем.
И последнее, но не менее важное: в законе говорится, что информация для справки о персонале должна относиться к физическому лицу. Другими словами, защита данных не распространяется на информацию о юридических лицах, таких как корпорации, фонды и учреждения. Для физических лиц, с другой стороны, защита начинается и прекращается с дееспособностью. По сути, человек получает эту способность с рождением и теряет ее после смерти.Следовательно, данные должны быть присвоены идентифицированным или идентифицируемым живым лицам, чтобы считаться личными.
В дополнение к общим персональным данным необходимо учитывать прежде всего особые категории персональных данных (также известные как конфиденциальные персональные данные), которые имеют большое значение, поскольку они подлежат более высокому уровню защиты. Эти данные включают генетические, биометрические данные и данные о состоянии здоровья, а также личные данные, раскрывающие расовое и этническое происхождение, политические взгляды, религиозные или идеологические убеждения или членство в профсоюзах.
Внешние ссылки
Органы власти
- Европейский надзорный орган по защите данных ► Меры безопасности при обработке персональных данных (ссылка)
- Управление по защите данных Остров Мэн ► Знайте свои данные — нанесение на карту 5 W (Ссылка)
- Data Protection Authority UK ► Ключевые определения (Ссылка)
- Европейская комиссия ► Что такое личные данные? (Ссылка)
- Европейская комиссия ► Какие личные данные считаются конфиденциальными? (Ссылка)
- Публикации ЕС ► Справочник по европейскому законодательству о защите данных — Персональные данные, стр. 83 (Ссылка)
Экспертный вклад
- A&L Goodbody ► GDPR: Руководство для бизнеса — Определение личных и конфиденциальных данных, стр. 8 (Ссылка)
- Bird & Bird ► Конфиденциальные данные и законная обработка (Ссылка)
NDPR и защита личных данных юридических лиц в Нигерии — конфиденциальность
НДПР и защита персональных данных юридических лиц в г. Нигерия
1Конфиденциальность данных стала одним из определяющих социокультурных и экономическая проблема современности. 2 Проблемы безопасности данных в наш мир сегодня спровоцировал разработку законов о защите данных и правила. Некоторые из этих законов и правил кажутся сосредоточены на защите интересов только физических лиц в отношение к обработке их персональных данных и неявно исключает информацию о юридических лицах из таких защита. Общий регламент Европейского Союза о защите данных (GDPR) гарантирует защиту физических лиц в отношении обработка их личных данных. 3 Также конфиденциальность законы о защите некоторых штатов США распространяются защита личной информации только для физических лиц. 4 Для Например, Массачусетские стандарты защиты Персональная информация жителей Содружества 5 применяется ко всем лицам, которые владеют или лицензируют личную информацию о жителе Содружества. Потребитель Калифорнии Закон о конфиденциальности (CCPA) 6 фокусируется на интересах потребителей и применяется к любому бизнесу, который собирает персональная информация. 7 Аналогичным образом Сингапурский персональный Закон о защите данных (PDPA) 8 расширяет защиту личных данные только физическим лицам. В Гане Закон о защите данных 9 также распространяется на обработку персональных данных физических лиц.
Эта позиция не редкость, поскольку права на конфиденциальность данных признаны основными правами человека, которые обычно предоставляются физические лица. Например, Конституция Федеративная Республика Нигерия защищает конфиденциальность граждане в том числе дома, переписка, телефон разговоры и телеграфная связь. 10 Статья 12 Всеобщая декларация прав человека 11 гарантирует неприкосновенность частной жизни людей, их семьи, дома или переписки . Однако законы Южной Африки о конфиденциальности и защите данных 12 и Швейцария распространяют защиту персональных данных на юридические юридические лица в дополнение к физическим лицам. Швейцарский федеральный закон о защите данных (FADP) 13 защищает конфиденциальность и основные права как естественных, так и юридические лица при обработке их данных . На основе предлагаемый пересмотр FADP, данные, относящиеся к юридическим лицам, будут больше не защищены FADP, и только данные, касающиеся физические лица подпадают под действие пересмотренного FADP. 14
Из целей и объема защиты данных Нигерии Регламент («НДПР»), похоже, что НДПР применяется к транзакциям, предназначенным для обработки персональных данных в уважение только к физическим лицам 15 , так как нет прямой ссылки к защите персональных данных юридических лиц.В NDPR определяет субъект данных как идентифицируемое лицо; тот, кто могут быть идентифицированы прямо или косвенно, в частности по ссылка на идентификационный номер или на один или несколько факторов специфические для его физического, физиологического, умственного, экономического, культурного или социальная идентичность . 16 НДПР также определяет личные данные как информацию, относящуюся к идентифицированному или идентифицируемое физическое лицо, которое может быть именем, адресом, фото, адрес электронной почты, банковские реквизиты, сообщения в социальных сетях веб-сайты, медицинская информация и т. д. 17 Таким образом, любая информация, которая относится к идентифицированному физическому лицу или может использоваться для идентификация физического лица считается персональными данными.
Учитывая широкое определение персональных данных в НДПР, информация о юридических и физических лицах может перекрытие, поскольку личные данные организации также могут быть классифицированы как персональные данные, относящиеся к физическому лицу, и наоборот. В другом словами, персональные данные, касающиеся лица, также могут принадлежать физическое лицо и может использоваться для идентификации физического лица.Для Например, база данных сотрудников организации, база данных членства и записи о банковских операциях представляют собой информацию, касающуюся юридические и физические лица, такие как ее сотрудники или члены. В информация из баз данных и записей может также использоваться для идентифицировать сотрудников и членов. Кроме того, организация может также использовать то же имя, адрес и другую контактную информацию , что и его собственники или акционеры, , что является общим с небольшими предприятия на начальном этапе своей деятельности.
Как правило, нарушение конфиденциальности данных, относящихся к организациям, может имеют последствия для своих членов, поскольку сущности не существуют в изоляция, поскольку они состоят из акционеров, партнеров, членов или сотрудники. Спорный вопрос, распространяет ли НДПР защиту на персональные данные о юридическом лице, которому также принадлежат такие данные физическому лицу или может использоваться для идентификации физического лица. По данным НДПР, любой, кому доверено личное данные субъекта данных или того, кто владеет персональными данными субъекта данных также несет ответственность за свои действия и упущения в отношении обработки данных. 18 На основе этого широкое положение, можно утверждать, что получатели персональных данных которым были доверены личные данные, касающиеся организации, могут быть привлечены к ответственности за свои действия и упущения в обработке данных, если данные также принадлежат физическое лицо или может использоваться для идентификации физического лица, независимо от того, как данные классифицируются. Получатели таких данных могут быть привлечены к ответственности, особенно если очевидно, что такие данные также принадлежат физическому лицу или могут использоваться для идентификации физическое лицо.Если не очевидно, что полученная информация от юридического лица также принадлежит физическому лицу или может идентифицировать физическое лицо, способ представления информации субъектом может иметь значение при определении того, Контроллер или получатель таких данных будет нести ответственность за его действия и бездействие в отношении обработки данных. Тем не мение, В НДПР нет четкого положения по этому поводу.
В ответ на вопрос, применяется ли GDPR к компаниям, Европейская комиссия (ЕК) заявила, что правила применяются только к личные данные о физических лицах и не регулируют данные, относящиеся к юридические лица.ЕК также заявила, что информация в отношении компании с одним лицом могут представлять персональные данные там, где это позволяет идентификация физического лица. Кроме того, у ЕК есть указал, что правила применяются ко всем личным данным, относящимся к физические лица в процессе профессиональной деятельности, такие как сотрудники компании / организации, рабочие адреса электронной почты например [email protected] или сотрудники рабочие номера телефонов. 19 PDPA 20 прямо исключает деловую контактную информацию 21 из-под защиты обязательства по Закону.Деловая контактная информация включает имя человека, должность или должность, электронный бизнес почтовый адрес или номер рабочего факса и любые другие аналогичные информация о физическом лице, не предоставленная физическим лицом исключительно в личных целях. 22
Заключение
Можно утверждать, что объем законов о защите данных должен распространяться на данные о юридических лицах как возможное нарушение данных организации может повлиять на физических или естественных лиц, или привести к нарушению конфиденциальности их персональных данных, поскольку организации не существуют изолированно, а состоят из акционеров, собственники и сотрудники, которые в основном являются физическими лицами.В Великобритания, Отчет Линдопа 1978 года о защите данных рассмотрел вопрос о том, является ли определение субъектов данных в законодательство должно также включать ассоциации и органы в дополнение частным лицам. 23 Заключение из отчета состояла в том, что обе категории лиц нуждаются в надлежащей защите, хотя каждый из них должен содержаться в отдельном законодательстве.
Отсутствие четкого положения о защите информация о юридических лицах в НДПР может быть передана подрывают важность своих данных для обработки в Нигерия.Однако юридические лица пользуются определенными привилегиями на конфиденциальность, которая гарантируется в профессиональных отношениях, как некоторые законы налагают фидуциарную обязанность конфиденциальности на профессионалы. 24 Кроме того, юридические лица могут также включают в свои соглашения положения о защите данных, как меры защиты от конфиденциальности и защиты данных нарушения.
Учитывая широкое определение персональных данных и отсутствие прямое положение о защите информации, касающейся юридических лиц в НДПР, очень важно, чтобы получатели данных соблюдать принципы обработки данных и принимать соответствующие меры безопасности данных, предусмотренные НДПР при обработке личные данные, относящиеся к юридическим лицам, для предотвращения возможных нарушение Регламента.
Сноски
1. Бисола Скотт и Сандра Эке, партнеры, отдел интеллектуальной собственности и технологий, SPA Ajibade & Co., Лагос, НИГЕРИЯ.
2. Мэри Михан, Конфиденциальность данных будет самым важным вопросом в Next Decade, доступен по номеру
https://www.forbes.com/sites/marymeehan/2019/11/26/data-privacy-will-be-the-most-important-issue-in-the-next-decade/#3b0adf411882, доступ 5 th May 2020.
3. Intersoft Consulting, GDPR , доступно на https://gdpr-info.eu/art-1-gdpr/, доступно на 2 nd май 2020 г.
4. ICLG, US: Data Protection 2019 , доступно по адресу https://iclg.com/practice-areas/data-protection-laws-and-regulations/usa, доступ 17 th May 2020.
5. Также известный как 201 Кодекс Массачусетса (CMR) 17.00, доступно по адресу https: // www.mass.gov/doc/201-cmr-17-standards-for-the-protection-of-personal-information-of-residents-of-the/download., доступ 10 th May 2020.
6. 2018, доступны на https://iapp.org/resources/article/california-consumer-privacy-act-of-2018/#S145, по состоянию на 31 st May 2020. CCPA определяет потребителя как физическое лицо, проживающее в Калифорнии.
7. Там же. ICLG, US: Data Protection 2019 , доступно по адресу https: // iclg.ru / практические-области / законы-правила-защиты-данных / сша по состоянию на 17 мая 2020 г.
8. 2012, (№ 26 от 2012 г.), доступно по адресу https://sso.agc.gov.sg/Act/PDPA2012, дата обращения: 10-го числа апрель 2020 г.
9. 2012, доступно по адресу https://nita.gov.gh/wp-content/uploads/2017/12/Data-Protection-Act-2012-Act-843.pdf по состоянию на 31 апреля 2020 г.
10. Раздел 37 Конституции Федеративной Республики Нигерия 1999 г. (с поправками).
11. Организация Объединенных Наций, Всеобщая декларация прав человека , доступно на https://www.un.org/en/universal декларация-права человека /, по состоянию на 30 апреля. 2020.
12 Южная Африка Защита Закон о личной информации определяет личную информацию как « информации, относящейся к идентифицируемому, живому, естественному лицо, и, где это применимо, идентифицируемое, существующее юридическое лицо… « 2013, доступно по адресу https://www.justice.gov.za/inforeg/docs/InfoRegSA-POPIA-act2013-004.pdf, доступ 31 st May 2020.
13. Изобразительное искусство. 1 и ст. 2 Федерального закона о защите данных (FADP) от 19 июня. 1992 (по состоянию на 1 марта 2019 г.), доступно по адресу https://www.admin.ch/opc/en/classified-compilation/19920153/2010000/235.1.pdf, доступ 20 th May 2020.
14. Homburger, Пересмотр Федерального закона Швейцарии о данных Защита, доступно по адресу https: // media.homburger.ch/karmarun/image/upload/homburger/SyYb88eQI-Revision%20of%20the%20Swiss%20Federal%20Act%20on%20Data%20Protection.pdf по состоянию на 31 мая 2020 г.
15. Статьи 1.0 (a) и 1.2 (a) NDPR 2019, доступны по адресу https://nitda.gov.ng/wp-content/uploads/2019/01/Nigeria%20Data%20Protection%20Regulation.pdf, доступ 10 th may 2020
16. Там же, статья 1.3 (k).
17. Там же, статья 1.3 (р).
18. Там же, ст. 2.1 (3).
19. Европейская комиссия, применяются ли правила защиты данных к данным о компании? доступно по адресу https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation/do-data-protection-rules-apply-data- about-company_ru, доступ 20 th April 2020.
20. Раздел 4 (5) PDPA 2012 доступен по адресу https: // nita.gov.gh/wp-content/uploads/2017/12/Data-Protection-Act-2012-Act-843.pdf, доступ 31 st May 2020.
21. Раздел 4 (5) PDPA 2012. В рамках Обязательства по открытости является обязательным для организаций назначать DPO или группу физических лиц, чтобы нести ответственность за обеспечение того, чтобы организация соответствует PDPA. Организация должна делать бизнес контактная информация общественности DPO. OneTrust DataGuidance, Sinagapore — Обзор защиты данных, доступно по адресу https: // www.dataguidance.com/notes/singapore-data-protection-overview, по состоянию на 2 июня 2020 г.
22. Там же.
23. I. Н. Уолден и Р. Н. Сэвидж, «Законы о защите данных и конфиденциальности: Следует ли защищать организации? »
The International and Comparative Law Quarterly Vol. 37, № 2 (апрель 1988 г.), стр. 33e, доступно на https://www.jstor.org/stable/760158?seq=2#metadata_info_tab_contents, по состоянию на 10 мая 2020 г.
24. Например, согласно правилу 19 (1) Правил профессионального поведения (2007), все устные или письменные сообщения, сделанные клиентом его поверенный в ходе обычной профессиональной работы привилегированный », поэтому любой материальный материал, созданный поверенный в результате любого сообщения, сделанного клиентом адвокат в ходе обычной работы в качестве поверенный является привилегированным. В случае с Habib Nigeria Bank Limited v.Фатудин Сайед М. Койя [1990 — 1993] 5 NBLR с. 368 в 387 дело, связанное с предполагаемым раскрытием банком информации о транзакции клиента, Апелляционный суд постановил что это элементарное знание того, что банк задолжал своему клиенту обязанность соблюдать осторожность и секретность и раскрытие личной информации является нарушением этой обязанности
Данная статья предназначена для ознакомления руководство по предмету. Следует обратиться за консультацией к специалисту. о ваших конкретных обстоятельствах.
Что такое «личные данные» согласно закону ЕС о защите данных? | Лидия Ф де ла Торре | Golden Data
Пример: рисунок ребенка
В результате нервно-психиатрического теста, проведенного с девушкой в контексте судебного разбирательства по поводу ее опеки, был представлен сделанный ею рисунок, представляющий ее семью. Рисунок дает информацию о настроении девушки и о том, что она думает о разных членах своей семьи. Таким образом, их можно рассматривать как «личные данные».Рисунок действительно раскрывает информацию, касающуюся ребенка (его состояние здоровья с психиатрической точки зрения), а также, например, поведение ее отца или матери. В результате в этом случае родители могут воспользоваться своим правом доступа к этой конкретной информации.
Генетические и биометрические данные:
GDPR определяет биометрические данные и генетические данные следующим образом:
Статья 4 (14)
«Биометрические данные» означают персональные данные, полученные в результате специальной технической обработки, относящейся к физические, физиологические или поведенческие характеристики физического лица, которые позволяют или подтверждают уникальную идентификацию этого физического лица, например изображения лица или дактилоскопические данные.
Статья 4 (13)
«Генетические данные» означают персональные данные, относящиеся к унаследованным или приобретенным генетическим характеристикам физического лица, которые дают уникальную информацию о физиологии или здоровье этого физического лица и в результате: в частности, из анализа биологической пробы, взятой у рассматриваемого физического лица.
Типичные примеры биометрических данных включают данные, предоставляемые отпечатками пальцев, узорами сетчатки, структурой лица, голосами, а также геометрией руки, узорами вен или даже некоторыми глубоко укоренившимися навыками или другими поведенческими характеристиками (например,грамм. собственноручная подпись, нажатия клавиш, особый способ ходить или говорить и т. д.…).
- Биометрические данные могут рассматриваться как как содержание информации о конкретном человеке (например, «У Джона Доу есть эти отпечатки пальцев»), так и как элемент для установления связи между одной частью информации и человеком (например, «этот объект кто-то прикоснулся к нему с этими отпечатками пальцев, и эти отпечатки соответствуют Джону Доу, поэтому к этому объекту прикоснулся Джон Доу »).Таким образом, биометрические элементы могут работать как «идентификаторы» (например, данные ДНК предоставляют информацию о человеческом теле и позволяют однозначно и однозначно идентифицировать человека).
- Образцы тканей человека (например, образец крови) сами по себе являются источниками, из которых извлекаются биометрические данные, но сами они не являются биометрическими данными (например, образец отпечатков пальцев является биометрическими данными, а сам палец — нет). Таким образом, извлечение информации из образцов — это сбор личных данных, к которым применяются правила закона о защите данных.Сбор, хранение и использование самих образцов тканей может регулироваться отдельными наборами правил (3).
Ключевые моменты:
(1) Этот строительный блок часто упускается из виду, но он имеет решающее значение.
(2) Данные могут «относиться» к человеку в силу своего «содержания», «цели» ИЛИ «результата».
(3) Эти три элемента (содержание, цель, результат) следует рассматривать как альтернативные условия, а не как совокупные.
(4) Одна часть информации может относиться к разным людям одновременно в зависимости от того, какой элемент присутствует.
Этот строительный блок часто упускается из виду, но при этом важно понимать, что очень важно точно выяснить, какие отношения / ссылки важно и как их отличить.Ясно, что информация относится к человеку, когда речь идет об этом человеке. В некоторых случаях связь очевидна (например, данные о сотруднике в картотеке кадров; результаты медицинского обследования пациента, содержащиеся в его медицинских записях, или изображение человека, снятое на видеоинтервью с этим человеком). Однако, если информация связана с человеком только косвенно, для определения того, относится ли она к отдельному лицу, может потребоваться некоторый анализ (например, информация об объектах, где эти объекты кому-то принадлежат, или данные о процессах или событиях, такие как информация о функционировании какого-либо объекта). машина, где требуется вмешательство человека).
Часто задаваемые вопросы о GDPR | Центр поддержки Square
Команда Square упорно работала над внедрением GDPR (нового Общего регламента защиты данных, стандартизирующего законы ЕС о конфиденциальности и защите данных). В Square мы привержены защите данных и прав на конфиденциальность наших продавцов и стремимся помочь нашим продавцам соблюдать свои собственные обязательства по GDPR.
Что такое GDPR?
GDPR — это аббревиатура Общего регламента по защите данных, закона ЕС, обновляющего и стандартизирующего законы о конфиденциальности данных во всем ЕС.
Когда это вступило в силу?
GDPR вступил в силу 25 мая 2018 года.
К какой информации применяется GDPR?
GDPR применяется к обработке персональных данных резидентов ЕС. Он не применяется к данным предприятий или других юридических лиц, но будет применяться к информации, которой владеют предприятия или юридические лица и которая относится к физическим лицам, то есть когда компания хранит информацию о своих сотрудниках или их клиентах.
GDPR применяется только к продавцам Square, которые обрабатывают данные резидентов ЕС.Если ваш бизнес работает за пределами ЕС, вам, скорее всего, не потребуется выполнять какие-либо действия в отношении GDPR, если вы не предоставляете услуги или не отправляете продукты клиентам в ЕС, независимо от того, требуется ли оплата клиентов.
Кто должен соблюдать GDPR?
Как правило, любой бизнес в ЕС, который обрабатывает персональные данные, должен соответствовать GDPR, а также любые другие предприятия, расположенные за пределами ЕС, которые предлагают товары или услуги резидентам ЕС в ЕС.
Обратите внимание: : Мы не можем предоставить юридическую консультацию, чтобы с уверенностью подтвердить, применяется ли к вам GDPR.Вы можете проконсультироваться с юристом и / или регулирующим органом GDPR, если у вас возникнут дополнительные вопросы о том, есть ли у вашего бизнеса обязательства в соответствии с GDPR.
Что такое личные данные?
Согласно GDPR, персональные данные — это любая информация, которая идентифицирует лицо, являющееся резидентом ЕС, или фрагменты информации, которые, взятые вместе, могут идентифицировать это лицо. Это может означать чье-то имя, номер телефона или адрес электронной почты. Это может быть информация о физических характеристиках или о том, где человек работает.Это может означать практически любую информацию, связанную с человеком. Вам следует ознакомиться с личными данными, которые могут быть у вас связаны с вашими клиентами и сотрудниками.
GDPR также обозначает определенные типы персональных данных как особые категории , которые требуют большей защиты из-за их конфиденциального характера. Сюда входят личные данные, раскрывающие следующее: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, генетические данные, биометрические данные, данные о состоянии здоровья или данные, касающиеся половой жизни или сексуальной ориентации человека.
Где я могу найти политику конфиденциальности Square?
Уведомление о конфиденциальности Square, относящееся к Продавцам, можно найти на нашем веб-сайте. Ваши клиенты и сотрудники также могут найти уведомление о конфиденциальности, которое относится к ним, на нашем веб-сайте.
Эти часто задаваемые вопросы предназначены для предоставления полезных рекомендаций и не должны интерпретироваться как юридическая консультация. Вам следует проконсультироваться с юристом относительно ваших обязательств в соответствии с GDPR, чтобы он дал рекомендации с учетом ваших конкретных обстоятельств.
Подробнее о : Безопасность
Боливия — Обзор защиты данных | Инструкция
Декабрь 2020
ВВЕДЕНИЕВ Боливии в настоящее время нет общего закона о защите данных. Однако законодательство Боливии предоставляет широкое конституционное право на неприкосновенность частной жизни. Более того, в правовой системе Боливии есть несколько положений о конфиденциальности данных, применимых к конкретным секторам и видам деятельности.
1.УПРАВЛЯЮЩИЕ ТЕКСТЫ1.1. Основные акты, постановления, директивы, законопроекты
Политическая конституция Боливии 2009 г. (доступна здесь только на испанском языке) («Конституция») устанавливает права на неприкосновенность личных сообщений, а также право знать, возражать, удалять или исправлять зарегистрированные данные.
Частными сообщениями обычно считаются те, которые касаются информации, касающейся тела и здоровья человека, религиозных, философских или политических идей и убеждений, семейной и сексуальной жизни человека, а также личных финансов.
В настоящее время существует два законопроекта о защите данных:
Оба проекта в настоящее время ожидают рассмотрения Законодательным собранием.
В целях данного Руководства мы включаем Законопроект 2019 г., поскольку считаем его более полным проектом, в котором рассматривается больше концепций, относящихся к данному Руководству.
Телекоммуникации
Закон о телекоммуникациях № 164 от 8 августа 2011 г. (доступен только на испанском языке здесь) («Закон о телекоммуникациях») и его постановление, Верховный указ №1793 г. (доступен только на испанском языке) («Указ») и Верховный указ № 1391 «Общие правила закона о телекоммуникациях» (доступен здесь только на испанском языке) («Указ о телекоммуникациях») устанавливают общую нормативную базу для персональных данных. Закон о телекоммуникациях также устанавливает, что личная электронная почта, включая ее создание, передачу, прием и хранение, является частным общением.
Защита прав потребителей
Общий закон о правах потребителей 2013 г. (доступен только на испанском языке) («Закон о защите прав потребителей») устанавливает, что поставщики продуктов и услуг должны применять соответствующие механизмы, чтобы гарантировать конфиденциальность данных своих клиентов.
Банковское дело
Закон о финансовых услугах 2013 г. (доступен только на испанском языке) устанавливает, что финансовые учреждения должны сохранять в тайне информацию о своих клиентах. Кроме того, передача данных запрещена, если владелец информации не дал согласия на передачу.
Медицинская практика
Закон о профессиональной медицинской практике (Закон от 8 августа 2005 г.) (доступен только на испанском языке) устанавливает, что медицинская тайна — это вся информация, выявленная во время медицинского акта, касающаяся здоровья или болезни пациента, его лечения и всей другой личной информации. , и что это должно храниться в секрете даже после смерти, чтобы сохранить достоинство пациента.Кроме того, он регулирует, в качестве исключения из этой секретности, здоровье семьи и общества в непосредственной опасности.
Государственный сектор
Верховный указ№ 28168/2005 (доступен только на испанском языке) устанавливает, что любое лицо может запросить обновление, дополнение, удаление или исправление своих зарегистрированных данных в отношении его основных прав на личность, неприкосновенность частной жизни, имидж и неприкосновенность частной жизни.
Закон о цифровом гражданстве
Закон о цифровом гражданстве (доступен только на испанском языке) предусматривает, что государственные должностные лица должны использовать персональные данные и информацию, сгенерированные на платформе цифрового гражданства, только в целях, установленных этим законом.
1.2. Руководящие принципы
Не применимо.
1,3. Прецедентное право
По этим вопросам мы отмечаем, что «конфиденциальные данные» были определены Конституционной юриспруденцией как персональные данные, касающиеся тела и здоровья человека; религиозные, философские или политические идеи и убеждения; семейная и сексуальная жизнь человека; и личные финансы.
2. ОБЛАСТЬ ПРИМЕНЕНИЯ2.1. Персональный прицел
Закон о телекоммуникациях в целом применяется ко всем лицам на территории Боливии, физическим или юридическим, и / или боливийским или иностранным, которые осуществляют деятельность и предоставляют услуги связи и ИКТ, возникшие, находящиеся в пути или прекращенные на территории Боливии.Закон о телекоммуникациях также применяется ко всем физическим или юридическим лицам, которые предоставляют услуги или предлагают товары. Конкретные правила, такие как финансовые или связанные со здоровьем, применяются конкретно к этим секторам.
Законопроект 2019 года применяется ко всем физическим или юридическим лицам, которые обрабатывают персональные данные боливийцев, а также жителей Боливии.
2.2. Территориальный охват
Закон о телекоммуникациях применяется ко всем физическим или юридическим лицам, которые осуществляют деятельность и предоставляют услуги электросвязи и ИКТ, созданные, находящиеся в пути или выполненные на территории Боливии, а также почтовые услуги и регулируемые финансовые услуги.В целом, действующее законодательство применяется только на территории Боливии, экстерриториальный принцип отсутствует.
Законопроект 2019 года применяется к национальным или международным физическим и / или юридическим лицам независимо от того, имело ли место лечение на национальной территории или нет, а также независимо от формы его обращения или метода создания.
2.3. Объем материала
Закон о телекоммуникациях регулирует все действия, касающиеся обработки персональных данных.Эти действия включают любую операцию или набор операций с персональными данными, например:
- сборник
- ;
- хранилище;
- использование;
- движение; и
- делеция.
Законопроект 2019 года касается обработки персональных данных, включая данные, относящиеся к юридическим лицам.
3. ОРГАН ПО ЗАЩИТЕ ДАННЫХ | РЕГУЛИРУЮЩИЙ ОРГАН3.1. Главный регулятор защиты данных
ATT является регулирующим органом в области электросвязи, однако он не является действующим регулирующим органом в этом вопросе.
Согласно Законопроекту 2019 г., ответственным регулирующим органом будет АПП. APP будет отвечать за выполнение регулирующих функций, надзор и контроль физических и юридических лиц.
3.2. Основные полномочия, обязанности и ответственность
Общая миссия ДТО заключается в продвижении права на справедливый, универсальный и качественный доступ к электросвязи, ИКТ, транспорту и почтовым услугам для боливийцев.
Среди юридических обязанностей органа — планирование и установление общих руководящих принципов на юридическом уровне для выдачи лицензий, постановлений о применении, определения процессов санкционирования, внимания к административным искам, актов уведомления, внутренних административных и судебных требований. процессы.
Согласно Законопроекту 2019 года, АПП сможет:
- регистрирует, регулирует, контролирует и наказывает физических лиц, а также организации, у которых есть общедоступные и / или частные базы данных, в которых хранится и обрабатывается личная информация. В частности, санкции будут включать:
- санкции за претензии, касающиеся права доступа, исправления, отмены и возражения, путем предоставления приоритета владельцу данных над обработчиком данных; и
- санкций в случае несоблюдения его постановлений, Законопроекта 2019 года и соответствующих нормативных актов;
- издает специальные правила и следит за их соблюдением в рамках действующих правил;
- налагают штрафы за нарушение правовых и нормативных положений; и
- вмешиваться в случае нарушения действующей нормативной базы;
Санкции будут определены APP посредством нормативных положений.
4. ОСНОВНЫЕ ОПРЕДЕЛЕНИЯКонтроллер данных: Законопроект 2019 года определяет, что «ответственное лицо» — это физическое или юридическое лицо, которое отвечает за получение согласия владельцев данных, прямо или косвенно, и отвечает за сбор, применение средства безопасности и обработки персональных данных.
Обработчик данных: Законодательство Боливии не определяет термин «обработчик данных», но определяет «обработку данных» как «любую операцию или комбинацию операций, связанных с персональными данными, такие как сбор, хранение, использование, распространение или уничтожение» (статья 3, IV Указа).Кроме того, в статье 3 законопроекта 2019 года указано ответственное лицо, которое является физическим или юридическим лицом, частным, государственным или смешанным, которое само по себе или совместно с другими определяет цели и средства и выполняет обработку персональных данных. для собственных нужд, напрямую или через наемных третьих лиц.
Персональные данные: Вся информация о физическом или юридическом лице, которая идентифицирует его или делает его идентифицируемым (статья 3, IV Указа). Кроме того, в статье 3 законопроекта 2019 года «персональные данные» определяются как информация (данные и метаданные) любого типа, которая позволяет идентифицировать, определять местонахождение физических или юридических лиц или связываться с ними.
Конфиденциальные данные: Согласно конституционной юриспруденции, конфиденциальные личные данные включают информацию, касающуюся тела и здоровья человека, религиозных, философских или политических идей и убеждений, семейной и сексуальной жизни человека, а также личных финансов. Кроме того, статья 3 законопроекта 2019 года определяет « конфиденциальные данные » как информацию, которая относится к интимной сфере физического лица, личные данные могут считаться конфиденциальными, если они могут раскрывать такие аспекты, как расовое или этническое происхождение, убеждения или религия, философские и моральные убеждения, членство в профсоюзах, политические взгляды, данные, относящиеся к здоровью, жизни, предпочтениям или сексуальной ориентации, генетическая информация или биометрические данные, направленные на безошибочную идентификацию физического лица.
Медицинские данные: Это понятие включено в определение «конфиденциальных данных».
Биометрические данные: Ни законодательство Боливии, ни Законопроект 2019 года не определяют это понятие.
Псевдонимизация: Обратимый процесс отделения личных данных владельца с заменой их кодами, словами или другими подобными символами в целях защиты личных и / или конфиденциальных данных (статья 3 законопроекта 2019 г.).
5.ПРАВОВАЯ ОСНОВА5.1. Согласие
Закон о телекоммуникациях предусматривает, что техническая обработка персональных данных в государственном и частном секторе во всех их формах, включая деятельность по сбору, хранению, обработке, блокировке, отмене, передаче и межсетевому соединению, потребует предварительного знания и явного согласия. владельца данных, который должен быть предоставлен в письменной форме или другим аналогичным способом в зависимости от обстоятельств. Это согласие может быть отозвано при наличии уважительной причины, но такой отзыв не будет иметь обратной силы (статья 56 Указа).
Законопроект 2019 года устанавливает, что обработчик данных до обработки персональных данных должен получить явное письменное согласие субъекта данных (статья 8 Законопроекта 2019 года).
5.2. Договор с субъектом данных
Обработка данных на основании договора специально не регулируется.
Однако Закон о телекоммуникациях устанавливает, что договор, заключенный с пользователем, должен гарантировать права пользователя (включая права на личные данные) в рамках общих условий договора.
5.3. Юридические обязательства
Можно обрабатывать персональные данные для выполнения юридических обязательств, таких как работа или выполнение контракта.
5.4. Интересы субъекта данных
Не применимо.
5.5. Общественный интерес
Врачи освобождаются от врачебной тайны, когда здоровье семьи и общества находится в непосредственной опасности (статья 17 Закона о профессиональной медицинской практике).
5,6. Законные интересы контроллера данных
Не применимо.
5.7. Правовые основы в иных инстанциях
В принципе, использование личных данных в маркетинговых целях возможно только с разрешения субъекта данных.
Кроме того, Закон о телекоммуникациях устанавливает, что учетные записи электронной почты, предоставляемые работодателем, считаются собственностью работодателя.
6. ПРИНЦИПЫЗакон о телекоммуникациях устанавливает следующие принципы:
Цель: Использование и обработка персональных данных уполномоченными лицами должны преследовать законную цель, которая требует предварительного знания владельца.
Правдивость: Личные данные, которые будут обрабатываться, должны быть правдивыми, полными, точными, обновленными, поддающимися проверке и понятными, а обработка личных данных, которая является неполной или может вызвать ошибки, запрещена.
Прозрачность: Право субъекта данных на получение информации, связанной с наличием данных, которые его / ее касаются.
Безопасность: Должны быть реализованы технические и административные меры контроля, которые необходимы для сохранения конфиденциальности, целостности, доступности, подлинности, неотказуемости и надежности информации, обеспечивая безопасность записей, избегая их фальсификации, потери, использования. , а также несанкционированный или мошеннический доступ.
Конфиденциальность: Все лица, участвующие в обработке персональных данных, и те, кто вмешивается в процесс обработки персональных данных, обязаны гарантировать сохранность собранной информации даже после прекращения связи с любыми действиями, включающими обработку данных. Предоставление или передача личных данных может осуществляться только в том случае, если это соответствует развитию деятельности по обработке данных.
Неприкосновенность: Разговоры или личные сообщения, осуществляемые с использованием услуг электросвязи, информационных и коммуникационных технологий, а также почтовых услуг, являются неприкосновенными и секретными, их нельзя перехватить, воспрепятствовать, изменить, перенаправить, использовать опубликованы или разглашены, за исключением случаев, установленных законом.
Законопроект 2019 г. определяет следующие принципы:
Конфиденциальность: Конфиденциальность должна соблюдаться в отношении обработки персональных данных.
Ответственность : Обработчик данных будет внедрять необходимые механизмы для подтверждения соответствия принципам и обязательствам, установленным законом, а также позволит лицу, ответственному за APP, проводить институциональные инспекции и проверки.
Цель: Персональные данные не должны обрабатываться для целей, отличных от тех, которые указаны контролером данных.
« Pro Homine Principle »: устанавливает, что норма или наиболее благоприятное толкование должны применяться к лицу или владельцу персональных данных с учетом защиты и запрета ограничения прав человека, применения нормы, толкования или менее ограничительные и более благоприятные для держателя данных ситуации.
7. ОБЯЗАННОСТИ КОНТРОЛЛЕРА И ПРОЦЕССОРА7.1. Уведомление об обработке данных
Закон о телекоммуникациях не требует, чтобы организации уведомляли регулирующий орган перед сбором или обработкой персональных данных.Однако владельцы данных должны быть проинформированы:
- , что их информация будет подлежать обработке;
- цели сбора и регистрации данных;
- потенциальных получателя информации;
- личности и места жительства стороны, ответственной за обработку, или ее представителя; и
- о возможности осуществления своих прав на доступ, исправление, обновление, отмену, возражение или отзыв в отношении / собранных данных.
Законопроект 2019 года определяет, что владелец данных должен быть проинформирован о том, что его информация будет обрабатываться, а также о цели обработки.
7.2. Передача данных
Предварительное знание и явное согласие владельца данных необходимы для любой передачи данных, которая должна осуществляться в письменной форме или другим сопоставимым способом в зависимости от обстоятельств (статья 56 (b) Указа).
Согласие на передачу персональных данных не дает третьим лицам права обрабатывать персональные данные.Если третья сторона обрабатывает данные от имени контроллера данных, субъект данных должен быть:
- сообщил, что третье лицо будет обрабатывать данные; и
- с указанием личности и места жительства третьей стороны.
Кроме того, финансовые организации должны принимать меры безопасности, которые гарантируют целостность, конфиденциальность, аутентификацию и неотказуемость в операциях, выполняемых финансовыми организациями, включая передачу данных (статья 3 (bb) и (ff) Регламента Управление безопасностью информации (доступно только на испанском языке здесь) («Финансовый регламент»).
В Законопроекте 2019 г. контроллеру данных или экспортеру разрешается осуществлять международную передачу данных, если (статья 36 Законопроекта 2019 г.):
- страна, в которую передаются данные, соответствует адекватному уровню защиты, требуемому приложением;
- экспортер предлагает достаточные гарантии в отношении обработки персональных данных получателя и доказывает соблюдение минимальных условий, установленных применимым законодательством;
- экспортер и получатель имеют положения в своем контракте, обеспечивающие достаточные гарантии обработки и объема обработки персональных данных, которые будут подтверждены приложением; и
- при необходимости приложение авторизует перевод напрямую.
7.3. Записи обработки данных
Нет явного обязательства по ведению записей обработки, но Закон о телекоммуникациях косвенно признает, что контролеры данных должны вести учет данных своих пользователей и включать часть этой информации в общедоступные руководства, которые они бесплатно предоставляют своим пользователям.
Кроме того, статья 218 Уголовного кодекса Боливии (доступна здесь только на испанском языке) («Уголовный кодекс») предусматривает, что в случае уголовного процесса с участием пользователя в пределах юрисдикции Боливии компетентный орган может потребовать от компании предоставить данные пользователя в судебном порядке с целью расследования совершения возможного преступления.
Принцип соразмерности в Законопроекте 2019 года предусматривает, что компьютеризированная регистрация личных и / или конфиденциальных данных должна выполняться, чтобы база данных могла отвечать на запросы, сначала получая доступ к информации, непосредственно связанной с целью запроса.
7,4. Оценка воздействия на защиту данных
В настоящее время не регулируется, однако Законопроект 2019 года гласит, что, когда контроллер данных намеревается обработать конфиденциальные личные данные или другую рискованную информацию, которая может повлиять на личные данные, оценка воздействия на защиту личных данных должна быть проведена до сбор и обработка.Кроме того, контролер данных должен указать в отчете конкретные меры безопасности, обеспечивающие более надежную защиту субъектов данных. Этот отчет будет представлен в АПП для соответствующего утверждения (статья 40 Законопроекта 2019 г.).
Кроме того, приложение будет проводить периодические проверки для выявления несоблюдения законодательной базы, применимой к данному вопросу, и нарушения прав субъектов данных (статья 45 Законопроекта 2019 г.).
7.5. Назначение сотрудника по защите данных
В настоящее время не регулируется, однако статья 37 Законопроекта 2019 года устанавливает обязанность назначать сотрудника по защите данных, когда:
- рассматриваемая организация является государственным учреждением;
- организация осуществляет регулярную и систематическую обработку персональных данных; или
- организация выполняет обработку персональных данных таким образом, который может привести к высокому риску нарушения права владельцев на защиту их персональных данных.
7.6. Уведомление об утечке данных
В Боливии нет требований об уведомлении об утечке данных. Однако организации, обрабатывающие персональные данные, должны принимать соответствующие меры по исправлению положения после нарушения безопасности в области телекоммуникаций, связи и информационных технологий, а также в финансовом секторе (приложение к Указу о телекоммуникациях).
Финансовые организации должны иметь политику информационной безопасности, которая могла бы предотвратить любую возможную утечку данных.Эта политика информационной безопасности должна быть опубликована и доведена до сведения различных отделов контролируемой организации в понятной и доступной форме. Поднадзорная организация должна пересматривать и обновлять политику не реже одного раза в год, обеспечивая правильное применение методов безопасности (статья 8 Финансового регламента).
2019 Законопроект
Субъекты данных имеют право требовать информацию о нарушении безопасности. Контроллер данных должен, когда он или она узнает о нарушении безопасности личных данных, незамедлительно уведомить приложение и владельца личных данных (статья 59 Законопроекта 2019 г.).
7.7. Хранение данных
Телекоммуникации (только для агентств по сертификации цифровых подписей)
ДТО посредством административного постановления определит процедуру и условия, которые должны соблюдаться сертифицирующими организациями для сохранения физических и оцифрованных документов, обеспечивая их хранение на серверах, расположенных на территории и в соответствии с законодательством Боливии.
Финансовый сектор
Документы, связанные с операциями, микрофильмированные или зарегистрированные на магнитных и / или электронных носителях, должны храниться и храниться не менее десяти лет.
Документация, которая представляет собой доказательства в административной, судебной или иной инстанции, ожидающая решения, не должна уничтожаться, чтобы гарантировать права сторон в разбирательстве.
7,8. Детские данные
Лица в возрасте до 18 лет не могут дать согласие, и организации должны защищать их личные данные, если нет специального разрешения компетентного органа (Кодекс о мальчиках, девочках и подростках (Закон No.548 от ноября 2018 г.) (доступно только на испанском языке здесь)).
7.9. Особые категории персональных данных
Не применимо.
7.10. Контракты на контроллер и процессор
Не применимо.
8. ПРАВА СУБЪЕКТОВ ДАННЫХ8.1. Право на получение информации
Субъекты данных должны быть проинформированы о следующем:
- , что их информация будет подлежать обработке;
- цели сбора и регистрации данных;
- потенциальных получателя информации;
- личности и места жительства стороны, ответственной за обработку, или ее представителя; и
- о возможности реализации своих прав на доступ, исправление, обновление, отмену, возражение или отзыв в отношении собранных данных.
8,2. Право на доступ
Владельцы данных имеют право на доступ, исправление, обновление, аннулирование, возражение или отзыв в отношении собранных данных (статья 56 Указа).
Конституция также предоставляет гражданам Действие по защите конфиденциальности в отношении любого отдельного или коллективного лица, которому, как считается, неправомерно или незаконно запрещается знать, возражать или добиваться удаления или исправления данных, зарегистрированных с помощью любых физических, электронных, магнитных или информационных технологий, в публичных или частных файлах или базах данных, или которые влияют на их фундаментальное право на личную или семейную неприкосновенность частной жизни и неприкосновенность частной жизни, или на их собственный имидж, честь и репутацию.
Статья 3 Законопроекта 2019 года предусматривает права на доступ, исправление, аннулирование, возражение и компенсацию.
8.3. Право на исправление
См. Раздел 8.2. выше.
8.4. Право на стирание
См. Раздел 8.2. выше.
8,5. Право на возражение / отказ
Закон о защите прав потребителей и Закон о телекоммуникациях гласит, что пользователи могут контролировать использование своих данных в маркетинговых или рекламных целях, а поставщики услуг должны защищать их от несанкционированной рекламы.Он также устанавливает, что поставщики услуг всегда должны предоставлять возможность отказаться от списков рассылки.
Статья 22 (II) (d) Закона о защите прав потребителей устанавливает, что молчание не может быть истолковано как принятие дополнительных необязательных льгот, услуг или других обязательств, прямо не оговоренных.
8.6. Право на переносимость данных
Не применимо.
8,7. Право не подвергаться автоматизированному принятию решений
Статья 24 Законопроекта 2019 устанавливает, что владелец данных будет иметь право не подчиняться решениям, которые имеют юридические последствия или существенно влияют на них и основаны исключительно на автоматизированной обработке.
8,8. Другие права
Не применимо.
9. ШТРАФЫКонституция устанавливает право возбуждать иски о конфиденциальности в отношении организаций, которые нарушают права субъектов данных на доступ, возражение, удаление или исправление в отношении их личных данных (статья 130).
Закон о защите прав потребителей устанавливает, что в случае нарушения, пользователи могут подать жалобу поставщику услуг. В случае отсутствия ответа пользователи могут подать иск в «Центры обслуживания пользователей и потребителей», чтобы исправить нарушенное право и наложить санкции.Кроме того, пользователи могут официально подать иск о нарушении в местный регулирующий орган, это ATT (статья 26 Закона о защите прав потребителей).
Кроме того, ATT может наложить следующие санкции за нарушение Закона о телекоммуникациях:
- административных предупреждения;
- изъятие оборудования, комплектующих, деталей и материалов;
- денежных штрафов; и
- лишение права работать в телекоммуникационном секторе Боливии.
Субъекты данных могут подать конституционный иск о защите конфиденциальности (данные habeas ) или гражданский иск о возмещении ущерба, причиненного нарушением норм конфиденциальности данных.
Субъект данных может подавать гражданские иски в суды по гражданским делам о возмещении ущерба, связанного с административными или уголовными нарушениями норм конфиденциальности данных. Ущерб будет определяться судьей в индивидуальном порядке.
Уголовное дело за фальсификацию корреспонденции и личных документов на основании Уголовного кодекса, предусматривающее возможное лишение свободы на срок от трех месяцев до года или штраф.
9.1 Решения об исполнении
Не применимо.
Защита личных данных в вашем бизнесе
Развитие цифрового учета и интернет-коммуникаций полностью изменило общество. В результате персональных данных собираются и используются практически каждым бизнесом. Законы о конфиденциальности и защите данных различаются по своему объему и эффективности. Но общим для многих из этих законов является требование хранить личные данные в безопасности.
Вы можете не осознавать , сколько личных данных на самом деле имеет дело ваша компания.Очевидные вещи, такие как записи сотрудников и базы данных клиентов, — это лишь верхушка айсберга. Если вы действительно учитываете объем данных, поступающих в системы вашей компании и исходящих из них, вы можете быть удивлены тем, какая их часть квалифицируется как «личные данные».
В этой статье мы рассмотрим ваши юридические и этические обязанности по обеспечению безопасности данных людей. Мы также дадим несколько практических советов, как это сделать.
Персональные данные и закон
Защита личных данных важна по многим причинам:
- Это этически важно уважать частную жизнь людей
- Создает доверительные отношения с клиентами, пользователями и / или сотрудниками
- Это закон
Давайте сосредоточимся на третьем моменте.В большинстве стран существуют законы, регулирующие обработку персональных данных. Эти законы выполняют несколько функций, в том числе:
- Ограничение способов сбора, хранения или передачи личных данных
- Требование от компаний раскрыть способы использования личных данных
- Требует минимального уровня защиты личных данных
Вот краткий обзор некоторых основных законов о защите данных, с которыми может столкнуться ваша компания.Важно отметить, что, вообще говоря, вы будете связаны как местным законодательством вашей компании , так и законами стран, в которых проживают ваши клиенты .
США
В Соединенных Штатах (США) нет всеобъемлющего закона о межотраслевой защите данных. Вместо этого существуют различные отраслевые федеральные законы и лоскутное одеяло законов штата , которые большинство компаний, работающих в США, должны будут соблюдать.
Вот несколько примеров важных законов о защите данных в США:
- Закон штата Калифорния о защите конфиденциальности в Интернете (CalOPPA): Закон штата, который применяется к любому коммерческому веб-сайту, доступному для жителей Калифорнии. Закон требует, чтобы оператор веб-сайта размещал на своем веб-сайте Политику конфиденциальности.
- Закон о защите конфиденциальности детей в Интернете (COPPA): Федеральный закон, строго регулирующий сбор личных данных детей.
- Закон о переносимости и подотчетности медицинской информации (HIPAA): Федеральный закон, регулирующий методы защиты данных медицинских компаний.
Законы о защите данных соблюдаются различными организациями, включая генерального прокурора штата , Федеральную торговую комиссию (FTC) и федеральное правительство .
Европейский Союз
В Европейском союзе (ЕС) действует самый строгий и самый строгий закон о защите данных в мире — Общее положение о защите данных (GDPR).
GDPR — это длинный и всеобъемлющий закон, который охватывает все аспекты обработки персональных данных.Среди прочего, GDPR:
- Требует, чтобы компании предоставляли прозрачной информации о личных данных, которые они собирают от потребителей
- Разрешает сбор, хранение или передачу персональных данных только на определенной правовой основе
- Обеспечивает высокий уровень защиты личных данных
GDPR требует, чтобы предприятия (и другие организации) « реализовали соответствующих технических и организационных мер для обеспечения уровня безопасности » личных данных.
Невыполнение этого требования может привести к предупреждению, штрафам и другим санкциям со стороны органа по защите данных. Эти штрафы, кстати, могут составлять до 20 миллионов евро или четырех процентов годового оборота вашей компании (в зависимости от того, что больше).
GDPR применяется в каждой стране ЕС (включая Великобританию), которые внедрили его в соответствии со своими национальными законами.
Другие места
Вот лишь несколько примеров важных законов о защите данных в других юрисдикциях:
- Канада : Закон о защите личной информации и электронных документах (PIPEDA)
- Австралия : Закон о конфиденциальности 1988 г.
- Сингапур : Закон о защите личных данных (PDPL)
Эти законы различаются по своим конкретным обязательствам, но каждый требует определенного уровня защиты личных данных.
Что такое личные данные?
Вопрос , что представляют собой личные данные , не является однозначным.
В разных юрисдикциях могут быть самые разные ответы. Это означает, что определенная информация будет рассматриваться как личные данные в , в одних местах , но не в других. Также возможно, что даже в пределах одной страны определенная информация будет личными данными в одних контекстах , но не в других.
При рассмотрении того, какую информацию считать персональными данными, важно использовать широкий подход . Многие компании попали в суд , утверждая, что данная часть данных не является «личной».
Идентифицируемость
Многие определения личных данных сводятся к « идентифицируемость » — можно ли идентифицировать человека по этой информации?
Существуют очевидные примеры, такие как имя человека , адрес электронной почты или физический адрес .Попросите кого-нибудь на вашем веб-сайте указать свое имя и адрес доставки, и должно быть очевидно, что вы запрашиваете личные данные. Лицо может быть , непосредственно идентифицировано по этой информации.
Но вы также должны мыслить более критически. Если не очевидно, что человек может быть идентифицирован по части или набору информации, вам нужно подумать, могут ли они быть опознаваемыми .
Согласно законам ЕС и Калифорнии, например, все, что угодно, от IP-адреса человека до файлов cookie браузера , может представлять собой персональные данные.
Такая информация может многое рассказать о человеке. Теоретически его можно использовать для их идентификации. Поэтому во многих странах они рассматриваются как личные данные.
Безопасный сбор и хранение личных данных
При сборе, хранении или передаче личных данных подумайте о шагах, которые вы можете предпринять, чтобы сохранить их в безопасности . Кибератаки и другие утечки данных становятся все более распространенными и все более жестко наказываются.
Например, в 2015 году британский розничный торговец Carphone Warehouse пострадал от утечки данных, в результате которой были скомпрометированы личные данные трех миллионов клиентов .Компания была оштрафована на 400000 фунтов стерлингов в соответствии с законодательством Великобритании, предшествующим GDPR (согласно которому возможны только меньшие штрафы), потому что она, среди прочего, не смогла протестировать и поддерживать свою систему безопасности данных .
Сетевая безопасность
Вы должны принять меры для обеспечения безопасности при сборе или доступе к личным данным по сети . Сюда входят:
- При получении персональных данных через веб-формы на вашем сайте или в приложении
- При обеспечении удаленного доступа к личным данным, хранящимся в ваших системах
- При передаче личных данных по сети внутри или за пределы сети (т.е. третьему лицу)
Важно продумать все шаги, которые вы можете предпринять для защиты личных данных при передаче .
При сборе любых личных данных на вашем веб-сайте (включая учетные данные) важно использовать криптографические протоколы TLS / SSL. Для этого требуется хостинг только с выделенным IP-адресом (, а не общий IP-адрес) и получение сертификата TLS / SSL .
Это будет очень очевидно для ваших пользователей, если вы не сможете обеспечить безопасный доступ к странице на своем сайте. браузеры проявляют повышенную бдительность в привлечении внимания к уровням безопасности сайта . Если это произойдет на вашем сайте, это будет выглядеть непрофессионально или совершенно сомнительно.
Защита данных в состоянии покоя
Рассмотрение того, как личные данные хранятся в системах и на устройствах вашей компании, и кто может получить к ним доступ.
- Используйте методы шифрования всего диска , такие как FileVault для Mac или BitLocker для Windows.
- Внедрить методов деидентификации , таких как псевдонимизация и анонимизация, где это необходимо.
- Используйте шифрование на уровне файлов и парольную защиту для определенных файлов. Это также важно, если вам нужно передать личные данные через вложение электронной почты.
Также важно, чтобы вы:
- Регулярно проверяйте личных данных, хранящихся в ваших системах.
- Удалите все личные данные, которые вам больше не нужны.
- Создайте «график хранения», который поможет вам решить, как долго хранить различные типы личных данных.
Ограничение доступа внутри вашей компании
Убедитесь, что вы знаете , у которого есть доступ к личным данным в вашей компании. Предоставляйте доступ только по служебной необходимости.
Если кто-то покидает вашу компанию, вы должны убедиться, что вы отозвали его права доступа . В 2014 году недовольный бывший сотрудник британской супермаркеты Morrisons утек в сеть личные данные клиентов и коллег. Сам сотрудник получил восемь лет тюремного заключения, и компания также понесла юридическую ответственность за утечку данных.
Вам следует регулярно проверять и тщательно управлять разрешениями на доступ ко всем личным данным, хранящимся в ваших системах.
Резервное копирование личных данных
Если вам нужно вести учет личных данных, важно хранить резервных копий . Но вы должны делать это только в том случае, если вы можете гарантировать, что эти резервные копии безопасны и доступны (для нужных людей).
Хранение резервных копий личных данных может помочь защитить от атак программ-вымогателей и смягчить последствия утечки данных .
Некоторые важные соображения:
- Убедитесь, что данные резервной копии хранятся в системе , полностью отделенной от исходных данных .
- Убедитесь, что данные защищены от доступа большинства сотрудников
- Интегрируйте систему в , регулярно создавайте безопасные резервные копии данных
Вы можете рассмотреть возможность использования поставщика облачного хранилища для резервного копирования. Хранение данных в «облаке» квалифицируется как передача этих данных третьей стороне.Мы обсудим некоторые соображения по этому поводу позже в статье.
Политика в отношении утечки данных
Важно продумать , какие действия вы предпримете , если произойдет худшее и произойдет утечка данных. Помните, что утечка данных может касаться потери, кражи или несанкционированного доступа личных данных.
Сообщение об утечке данных является обязательным согласно определенным законам. Например, если компания, подпадающая под действие GDPR, страдает от утечки данных определенного уровня серьезности, определенная информация должна быть отправлена в Управление по защите данных и, иногда, затронутых лиц в течение 72 часов.
Ознакомьтесь с применимыми к вам законами. Напишите полис, охватывающий:
- Как могло произойти утечек данных
- Какие существуют требования (если таковые имеются) к уведомить орган власти
- Кто в вашей компании должен быть основным контактным лицом в случае утечки данных
- Какие меры можно предпринять, чтобы локализовать нарушение
- Процесс оценки после нарушения
Если вам необходимо связаться с компетентным органом в случае утечки данных, целесообразно заранее подготовить шаблон письма с уведомлением.
Передача личных данных за пределами вашей компании
Вам может понадобиться или вы захотите поделиться личными данными ваших пользователей со сторонней компанией. Примеры того, где это может быть уместно, включают:
- Сбор информации в Интернете с помощью сторонней аналитики или файлов cookie
- Совместное использование списка рассылки с компанией, занимающейся маркетингом электронной почты
- Использование почтальона для доставки вашей продукции
Если вы делитесь личными данными с третьими сторонами, вы должны быть полностью прозрачными в этом отношении и убедиться, что вы получаете надлежащим образом четкое согласие от ваших пользователей, где это необходимо.
В апреле 2019 года британское агентство по защите данных оштрафовало компанию по беременности и родам Bounty UK на 400 000 фунтов стерлингов за то, что «небрежно» передала личные данные . Из-за того, что не смог должным образом раскрыть и получить согласие на обмен данными о клиентах в целях прямого маркетинга, компания была признана «действующей в качестве брокера данных».
Комплексная проверка
Очень важно провести расследование в отношении любой компании, с которой вы планируете делиться личными данными своих пользователей.
Перед передачей личных данных пользователей убедитесь, что компания соответствует всем законам о защите данных , которые вы должны соблюдать . На ваши вопросы могут не ответить ответы на часто задаваемые вопросы или документация компании. В этом случае напишите им электронное письмо или, что еще лучше, позвоните им.
Если ваши пользователи доверяют вашей компании достаточно, чтобы предоставить вам доступ к их личным данным, вы должны делиться ими только с компаниями, которые также могут продемонстрировать свою надежность .
Соглашения об обработке данных
Согласно законодательству ЕС, личные данные могут передаваться между определенными компаниями только в соответствии со строгими условиями .
Если, например, вам необходимо воспользоваться услугами компании , занимающейся маркетингом электронной почты, , такой как HubSpot или MailChimp, вам необходимо иметь Соглашение об обработке данных (DPA).
Вот отрывок из стандартного DPA HubSpot:
Не во всех законах о защите данных подобное официальное соглашение является обязательным условием для обмена личными данными.Но наличие четкого письменного контракта для обмена данными никогда не бывает плохим.
Прозрачность в ваших личных данных
Прозрачность — требование даже самых мягких законов о защите данных.
Опять же, это не только юридически обязательный , но и просто передовой опыт . Если кто-то хочет знать, как ваша компания обращается с его личными данными, ему должно быть легко узнать.
Политика конфиденциальности
Создание политики конфиденциальности — это самое важное, что вы можете сделать, чтобы обеспечить честную и прозрачную защиту личных данных пользователей.
Политика конфиденциальности — это документ, в котором указывается, какие типов персональных данных вы собираете, как вы можете использовать их и какие компании могут ими поделиться . Он должен быть написан на понятном языке и сделать легко доступным через ваш веб-сайт или приложение.
Наличие Политики конфиденциальности является обязательным требованием при работе со многими третьими сторонами. . Например, Google Play Store требует от разработчиков приложений наличия Политики конфиденциальности, если их приложение собирает какие-либо личные данные. В том числе, если приложение использует рекламу (даже «неперсонализированная» реклама Google собирает некоторые личные данные).
Сводка
Защита личных данных в вашем бизнесе имеет решающее значение, если вы хотите завоевать доверие клиентов и избежать юридических проблем.
Вот несколько способов сделать это:
- Понимание законов о защите данных , имеющих отношение к вашему бизнесу
- Обеспечение высокого уровня безопасности при сборе и передаче персональных данных по сети
- Шифрование и регулярный просмотр личных данных в хранилище
- Строгое контроль Доступ к персональным данным
- Создание резервных копий и их безопасность
- Создание политики нарушения данных в случае потери или кражи персональных данных
- Только передача личных данных ответственным третьим лицам
- Наличие письменного соглашения при передаче личных данных сторонним компаниям
- Всегда быть ясным и прозрачным об использовании личных данных
- Наличие политики конфиденциальности