ПОЛОЖЕНИЕ о защите персональных данных
«УТВЕРЖДЕНО» Панкратов Н.В.
Приказом Генерального директора
ООО «Рыбаков ПлэйСкул»
№ 002 от 17.10.2020
ПОЛОЖЕНИЕ
о защите персональных данных
Клиентов и Контрагентов ООО «Рыбаков ПлэйСкул»
Термины и определения
1.1. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, адрес электронной почты, телефонный номер, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
1.2. Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование.
1.3. Конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания.
1.4. Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
1.5. Использование персональных данных — действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц.
1.6. Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
1.7. Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
1.8. Обезличивание персональных данных — действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
1.9. Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
1.10. Информация — сведения (сообщения, данные) независимо от формы их представления.
1.11. Клиент или Контрагент (субъект персональных данных) — физическое лицо, вступающее во взаимодействие ООО «Рыбаков ПлэйСкул», далее «Организация».
1.12. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящего Положения Оператором признается Общество с ограниченной ответственностью «Рыбаков ПлэйСкул».
2. Общие положения.
2.1. Настоящее Положение об обработке персональных данных (далее — Положение) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом 152-ФЗ «О персональных данных», иными федеральными законами.
2.2. Цель разработки Положения — определение порядка обработки и защиты персональных данных всех Клиентов и Контрагентов Организации, данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
2.3. Порядок ввода в действие и изменения Положения.
2.3.1. Настоящее Положение вступает в силу с момента его утверждения Генеральным директором Организации и действует бессрочно, до замены его новым Положением.
2.3.2. Изменения в Положение вносятся на основании Приказов Генерального директора Организации.
3. Состав персональных данных.
3.1. В состав персональных данных Клиентов и Контрагентов в том числе входят:
фамилия, имя, отчество, год, месяц, дата и место рождения, гражданство, документы, удостоверяющие личность, идентификационный номер налогоплательщика, номер страхового свидетельства государственного пенсионного страхования, данные из резюме и анкеты для трудоустройства, адреса фактического места проживания и регистрации по местожительству, почтовые и электронные адреса, номера телефонов, фотографии, сведения об образовании, профессии, специальности и квалификации, семейном положении и составе семьи, сведения об имущественном положении, доходах, задолженности, занимаемых ранее должностях и стаже работы, воинской обязанности; сведения, указанные в полисе ОМС, личной медицинской книжке, медицинских справках, справке об отсутствии судимости; сведения о трудовом договоре и его исполнении (занимаемые должности, существенные условия труда, сведения об аттестации, повышении квалификации и профессиональной переподготовке, поощрениях и наказаниях, видах и периодах отпуска, временной нетрудоспособности, социальных льготах, командировании, рабочем времени и проч. ), а также о других договорах (индивидуальной, коллективной материальной ответственности, ученических, оказания услуг и т. п.), заключаемых при исполнении трудового договора.
3.2. В Организации могут создаваться (создаются, собираются) и хранятся следующие документы и сведения, в том числе в электронном виде, содержащие данные о Клиентах/ Контрагентах:
3.2.1. Договоры (публичная оферта) и дополнительные соглашения к ним.
3.2.2. Акты выполненных работ.
3.2.3. Копии документов, удостоверяющих личность, а также иных документов, предоставляемых Клиентом/Контрагентом, и содержащих персональные данные.
3.2.5. Документы, содержащие платежные и иные реквизиты Клиента/Контрагента.
3.2.6. Иные документы, необходимые для осуществления взаимодействия Организации с Клиентом/Контрагентом.
4. Цель обработки персональных данных.
4.1. Цель обработки персональных данных — осуществление комплекса действий, направленных на достижение цели, в том числе:
4. 1.1. Оказание консультационных и информационных услуг.
4.1.2. Иные сделки, не запрещенные законодательством, а также комплекс действий с персональными данными, необходимых для исполнения вышеуказанных сделок.
4.1.3. В целях исполнения требований законодательства РФ.
4.2. Условием прекращения обработки персональных данных является ликвидация Организации, а также соответствующее требование Клиента или Контрагента.
5. Сбор, обработка и защита персональных данных.
5.1. Порядок получения (сбора) персональных данных:
5.1.1. Все персональные данные Клиента/Контрагента следует получать у него лично с его письменного согласия, кроме случаев, определенных в п. 5.1.4 и 5.1.6 настоящего Положения и иных случаях, предусмотренных законами РФ.
5.1.2. Согласие Клиента или Контрагента на использование его персональных данных хранится в Организации в бумажном и/или электронном виде.
5.1.3. Согласие субъекта на обработку персональных данных действует в течение всего срока действия договора, а также в течение 5 лет с даты прекращения действия договорных отношений Клиента или Контрагента с Организацией. По истечении указанного срока действие согласия считается продленным на каждые следующие пять лет при отсутствии сведений о его отзыве.
5.1.4. Если персональные данные Клиента или Контрагента возможно получить только у третьей стороны, Клиент или Контрагент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Третье лицо, предоставляющее персональные данные Клиента или Контрагента, должно обладать согласием субъекта на передачу персональных данных Организации. Организация обязана получить подтверждение от третьего лица, передающего персональные данные Клиента или Контрагента о том, что персональные данные передаются с его согласия. Организация обязана при взаимодействии с третьими лицами заключить с ними соглашение о конфиденциальности информации, касающейся персональных данных Клиентов или Контрагентов.
5.1.5. Организация обязана сообщить Клиенту или Контрагенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
5.1.6. Обработка персональных данных Клиентов или Контрагентов без их согласия осуществляется в следующих случаях:
5.1.6.1. Персональные данные являются общедоступными.
5.1.6.2. По требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.
5.1.6.3. Обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.
5.1.6.4. Обработка персональных данных осуществляется в целях заключения и исполнения договора, одной из сторон которого является субъект персональных данных – Клиент или Контрагент.
5.1.6.5. Обработка персональных данных осуществляется для статистических целей при условии обязательного обезличивания персональных данных.
5.1.6.6. В иных случаях, предусмотренных законом.
5.1.7. Организация не имеет права получать и обрабатывать персональные данные Клиента/ Контрагента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
5.2. Порядок обработки персональных данных:
5.2.1. Субъект персональных данных предоставляет Организации достоверные сведения о себе.
5.2.2. К обработке персональных данных Клиентов/Контрагентов могут иметь доступ только сотрудники Организации, допущенные к работе с персональными данными Клиента и подписавшие Соглашение о неразглашении персональных данных Клиента.
5.2.3. Право доступа к персональным данным Клиента/Контрагента в Организации имеют:
· Генеральный директор Организации,
· Главный бухгалтер Организации,
· Работники, ответственные за ведение финансовых расчетов,
· Работники, в чьи должностные обязанности входит работа с Клиентами/Контрагентами,
· Клиент или Контрагент как субъект персональных данных.
5.2.3.1. Поименный перечень сотрудников Организации, имеющих доступ к персональным данным Клиентов, определяется приказом Генерального директора Организации.
5.2.4. Обработка персональных данных Клиента или Контрагента может осуществляться исключительно в целях установленных Положением и соблюдения законов и иных нормативных правовых актов РФ.
5.2.5. При определении объема и содержания обрабатываемых персональных данных Организация руководствуется Конституцией Российской Федерации, законом о персональных данных, и иными федеральными законами.
5.3. Защита персональных данных:
5.3.1. Под защитой персональных данных Клиентов или Контрагентов понимается комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.
5.3.2. Защита персональных данных Клиентов или Контрагентов осуществляется за счёт Организации в порядке, установленном федеральным законом РФ.
5.3.3. Общую организацию защиты персональных данных Клиентов или Контрагентов осуществляет Генеральный директор Организации.
5.3.4. Доступ к персональным данным Клиента или Контрагента имеют сотрудники Организации, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.
5.3.5. Все сотрудники, связанные с получением, обработкой и защитой персональных данных Клиентов или Контрагентов, обязаны подписать Соглашение о неразглашении персональных данных Клиентов или Контрагентов.
5.3.6. Процедура оформления доступа к персональным данным Клиента или Контрагента включает в себя:
· Ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента или Контрагента, с данными актами также производится ознакомление под роспись.
· Истребование с сотрудника (за исключением Генерального директора) письменного обязательства о соблюдении конфиденциальности персональных данных Клиентов или Контрагентов и соблюдении правил их обработки в соответствии с внутренними локальными
актами Организации, регулирующих вопросы обеспечения безопасности конфиденциальной информации.
5.3.8. Сотрудник Организации, имеющий доступ к персональным данным Клиентов или Контрагентов в связи с исполнением трудовых обязанностей:
· Обеспечивает хранение информации, содержащей персональные данные Клиента или Контрагента, исключающее доступ к ним третьих лиц.
· В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Клиентов или Контрагентов.
· При уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Клиентов или Контрагентов лицу, на которое локальным актом Общества (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.
· В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Клиентов или Контрагентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов или Контрагентов по указанию Генерального директора Организации.
· При увольнении сотрудника, имеющего доступ к персональным данным Клиентов или Контрагентов, документы и иные носители, содержащие персональные данные Клиентов или Контрагентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов или Контрагентов по указанию Генерального директора.
· В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией Генерального директора, доступ к персональным данным Клиента или Контрагента может быть предоставлен иному сотруднику. Допуск к персональным данным Клиента или Контрагента других сотрудников Организации, не имеющих надлежащим образом оформленного доступа, запрещается.
5.4. Хранение персональных данных:
5.4.1. Персональные данные Клиентов или Контрагентов на бумажных носителях хранятся в сейфах.
5.4.2. Персональные данные Клиентов или Контрагентов в электронном виде хранятся в локальной компьютерной сети Организации, в электронных папках и файлах в персональных компьютерах Генерального директора и сотрудников, допущенных к обработке персональных данных Клиентов или Контрагентов.
5.4.3. Документы, содержащие персональные данные Клиентов или Контрагентов, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные Клиентов/ Контрагентов, помещаются в шкафы (сейфы), обеспечивающие защиту от несанкционированного доступа.
5.4.4. Защита доступа к электронным базам данных, содержащим персональные данные Клиентов или Контрагентов, обеспечивается:
· Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный вход в локальную сеть Организации.
· Разграничением прав доступа с использованием учетной записи.
5.4.5. Копировать и делать выписки персональных данных Клиента или Контрагента разрешается исключительно в служебных целях.
5.4.6. Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов или Контрагентов даются только с письменного согласия самого Клиента или Контрагента, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Организации, и в том объеме, который позволяет не разглашать излишний объем персональных данных Клиентов или Контрагентов.
6. Блокировка, обезличивание, уничтожение персональных данных
6.1. Порядок блокировки и разблокировки персональных данных:
6. 1.1. Блокировка персональных данных Клиентов или Контрагентов осуществляется с письменного заявления Клиента или Контрагента.
6.1.2. Блокировка персональных данных подразумевает:
6.1.2.1. Запрет редактирования персональных данных.
6.1.2.2. Запрет распространения персональных данных любыми средствами (e-mail, сотовая связь, материальные носители).
6.1.2.3. Изъятие бумажных документов, относящихся к Клиенту или Контрагенту и содержащих его персональные данные из внутреннего документооборота Организации и запрет их использования.
6.1.3. Блокировка персональных данных Клиента или Контрагента может быть временно снята, если это требуется для соблюдения законодательства РФ.
6.1.4. Разблокировка персональных данных Клиента или Контрагента осуществляется с его письменного согласия (при наличии необходимости получения согласия) или заявления Клиента или Контрагента.
6.1.5. Повторное согласие Клиента или Контрагента на обработку его персональных данных (при необходимости его получения) влечет разблокирование его персональных данных.
6.2. Порядок обезличивания и уничтожения персональных данных:
6.2.1. Обезличивание персональных данных Клиента или Контрагента происходит по письменному заявлению Клиента или Контрагента, при условии, что все договорные отношения завершены и от даты окончания последнего договора прошло не менее 5 лет.
6.2.2. При обезличивании персональные данные в информационных системах заменяются набором символов, по которому невозможно определить принадлежность персональных данных к конкретному Клиенту или Контрагенту.
6.2.3. Бумажные носители документов при обезличивании персональных данных уничтожаются.
6.2.4. Организация обязана обеспечить конфиденциальность в отношении персональных данных при необходимости проведения испытаний информационных систем на территории разработчика и произвести обезличивание персональных данных в передаваемых разработчику информационных системах.
6.2.5. Уничтожение персональных данных Клиента или Контрагента подразумевает прекращение какого-либо доступа к персональным данным Клиента или Контрагента.
6.2.6. При уничтожении персональных данных Клиента или Контрагента работники Организации не могут получить доступ к персональным данным субъекта в информационных системах.
6.2.7. Бумажные носители документов при уничтожении персональных данных уничтожаются, персональные данные в информационных системах обезличиваются. Персональные данные восстановлению не подлежат.
6.2.8. Операция уничтожения персональных данных необратима.
6.2.9. Срок, после которого возможна операция уничтожения персональных данных Клиента/ Контрагента, определяется окончанием срока, указанным в пункте 7.3 настоящего Положения.
7. Передача и хранение персональных данных
7.1. Передача персональных данных:
7.1.1. Под передачей персональных данных субъекта понимается распространение информации по каналам связи и на материальных носителях.
7.1.2. При передаче персональных данных работники Организации должны соблюдать следующие требования:
7.1.2.1. Не сообщать персональные данные Клиента или Контрагента в коммерческих целях.
7.1.2.2. Не сообщать персональные данные Клиента или Контрагента третьей стороне без письменного согласия Клиента или Контрагента, за исключением случаев, установленных федеральным законом РФ.
7.1.2.3. Предупредить лиц, получающих персональные данные Клиента или Контрагента о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
7.1.2.4. Разрешать доступ к персональным данным Клиентов или Контрагентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиентов или Контрагентов, которые необходимы для выполнения конкретных функций.
7.1.2.5. Осуществлять передачу персональных данных Клиента или Контрагента в пределах Организации в соответствии с настоящим Положением, нормативно-технологической документацией и должностными инструкциями.
7.1.2.6. Предоставлять доступ Клиента или Контрагента к своим персональным данным при обращении либо при получении запроса Клиента/Контрагента. Организация обязана сообщить Клиенту или Контрагенту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения.
7.1.2.7. Передавать персональные данные Клиента или Контрагента представителям Клиента или Контрагента в порядке, установленном законодательством и нормативно-технологической документацией и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функции.
7.2. Хранение и использование персональных данных:
7.2.1. Под хранением персональных данных понимается существование записей в информационных системах и на материальных носителях.
7.2.2. Персональные данные Клиентов или Контрагентов обрабатываются и хранятся в информационных системах, а также на бумажных носителях в Организации. Персональные данные Клиентов или Контрагентов также хранятся в электронном виде: в локальной компьютерной сети Организации, в электронных папках и файлах в ПК Генерального директора и работников, допущенных к обработке персональных данных Клиентов.
7.2.3. Хранение персональных данных Клиента или Контрагента может осуществляться не дольше, чем этого требуют цели обработки, если иное не предусмотрено федеральными законами РФ.
7.3. Сроки хранения персональных данных:
7.3.1. Сроки хранения гражданско-правовых договоров, содержащих персональные данные Клиентов/Контрагентов, а также сопутствующих их заключению, исполнению документов — 5 лет с момента окончания действия договоров.
7.3.2. В течение срока хранения персональные данные не могут быть обезличены или уничтожены.
7.3.3. По истечении срока хранения персональные данные могут быть обезличены в информационных системах и уничтожены на бумажном носителе в порядке, установленном в Положении и действующем законодательстве РФ. (Приложение Акт об уничтожении персональных данных).
8. Права оператора персональных данных
Организация вправе:
8.1. Отстаивать свои интересы в суде.
8.2. Предоставлять персональные данные Клиентов или Контрагентов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др. ).
8.3. Отказать в предоставлении персональных данных в случаях, предусмотренных законом.
8.4. Использовать персональные данные Клиента или Контрагента без его согласия, в случаях, предусмотренных законодательством РФ.
9. Права Клиента или Контрагента
Клиент или Контрагент имеет право:
9.1. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
9.2. Требовать перечень обрабатываемых персональных данных, имеющихся в Организации и источник их получения.
9.3. Получать информацию о сроках обработки персональных данных, в том числе о сроках их хранения.
9.4. Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
9.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.
10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
10.1. Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующем законодательством Российской Федерации и внутренними локальными актами Организации
Какие персональные данные являются общедоступными | Что такое общедоступные персональные данные
Каждый день физические лица предоставляют личную информацию в различные инстанции. За обработку сведений отвечают операторы персональных данных. Это банки, работодатели, медицинские организации, интернет-сайты и другие структуры. В соответствии с законом операторы обязаны защищать персональную информацию. Для создают источники, где содержатся общедоступные персональные данные (ПД).
Что такое общедоступные ПД?
К общедоступным относят сведения о человеке, которые он или она самостоятельно предоставляет в инстанции. Чтобы к открыть свободный доступ к информации, требуется письменное разрешение человека – субъекта персональных данных. Субъект – это физическое лицо, ПД которого собирает, хранит и обрабатывает оператор. Оператор – это юридическое или физическое лицо, муниципальный или государственный орган власти.
К общедоступным ПД относят сведения о субъекте, по которым его можно идентифицировать:
- ФИО;
- дата и место рождения;
- домашний адрес;
- номер телефона;
- профессия;
- индивидуальный налоговый номер;
- место работы или учебы и другие сведения.
В состав общедоступных данных может входить любая информация, которая с точки зрения закона не является конфиденциальной. ПД субъекта могут классифицироваться по объему и степени важности информации личного характера.
К общедоступным данным относится также персональная информация, которая предоставляется:
- при трудоустройстве, заключении контракта или трудового договора;
- во время переписи населения;
- при оформлении договорных отношений во время торговых операций и других подобных ситуациях.
Персональные данные субъекта, которые распространяются через СМИ, не относятся к конфиденциальным, так как являются общедоступными в соответствии с «Перечнем сведений конфиденциального характера».
Письменное согласие субъекта на получение, передачу, обработку и другие действия с ПД требуется не всегда. В отдельных случаях, например, при участии в анкетировании или подписке на новостную рассылку, достаточно поставить галочку в графе, которая разрешает использование ПД.
Данные общего типа допускает размещать в источниках, которые являются общедоступными. Это означает, что источники просматривает и использует огромное количество заинтересованных лиц. Пример такого источника – телефонные справочники.
Обработка общедоступных данных
Обработкой общедоступных данных занимаются отделы и подразделения, в обязанности которых входит сбор, систематизация, хранение, изменение, использование и уничтожение ПД. Физические лица вправе запросить сведения об операторе данных и узнать, какую цель преследует оператор во время обработки ПД.
Контроль соблюдения законов при обработке возложен на Роскомнадзор. Определенными ревизионными и контролирующими полномочиями обладают ФСБ и ФСТЭК. Операторы создают системы защиты личных данных для собственных нужд поэтому, в связи с этим лицензировать такую деятельность.
ПД обрабатывают организации, которым для осуществления своей деятельности необходимо собирать, накапливать, обрабатывать и хранить информацию о сотрудниках, поставщиках и клиентах. В определенных случаях такие данные входят в состав открытых.
Права субъектов общедоступных данных
Субъекты ПД могут подать заявление с требованием заблокировать, уничтожить, уточнить или изменить общедоступные данные, если сведения утратили актуальность, являются неполными или не требуются для целей обработки. Субъекты праве также запросить доступ к своим ПД и узнать, какие средства использует оператор для их обработки.
Информация должна использоваться в соответствии с требованиями законодательства и быть защищенной независимо от того, является она конфиденциальной или общедоступной. В обязанности операторов входит обеспечить полную защиту ПД субъекта и ограничить доступа к данных посторонних лиц.
Оператор начинает обрабатывать персональные данные только после получения письменного разрешения субъекта на обработку. Согласие включает информацию о физическом лице и данные оператора: название компании, фамилия, имя и отчество оператора, должность. Также в согласии требуется указать цель обработки и список данных с описанием операций, которые будут выполняться с информацией. Физическое лицо имеет право на отзыв своих ПД и аннулирование своего согласия на обработку.
В случае недееспособности или смерти субъекта согласие на обработку и использование ПД запрашивается у наследников или законных представителей. При этом нужно руководствоваться Федеральным законом о персональных данных.
В случае нарушения требований законодательства виновные несут административную, уголовную и другие виды ответственности. Неважно, являются ли ПД конфиденциальными или общедоступными, в соответствии со статьей 8 ФЗ-152 о персональных данных общедоступные ПД могут размещаться в общедоступных источниках только с согласия субъекта данных. Персональные данные должны быть исключены из источников, если этого требует субъект или уполномоченные органы: Роскомнадзор, суд или другие госструктуры.
ЕС против США: в чем разница между их законами о конфиденциальности данных?
Введение Общего регламента по защите данных (GDPR) в мае 2018 года установило высокую планку в защите конфиденциальности для физических лиц в странах-членах ЕС. Ландшафт конфиденциальности данных в США значительно изменился за последние годы, и правила защиты данных в настоящее время все больше согласуются с европейским подходом, хотя остаются некоторые большие различия. В этой статье рассматриваются различия между современными законами о конфиденциальности данных в Европейском Союзе и США.
GDPR: краткий обзор
GDPR — это всеобъемлющий закон о конфиденциальности данных, который применяется к организациям, которые собирают, хранят или хранят персональные данные, принадлежащие субъектам данных в государствах-членах ЕС. Европейская комиссия определяет персональные данные как любую информацию, которая относится к идентифицированному или идентифицируемому физическому лицу (субъекту данных). Организации, работающие в странах ЕС, организации, продающие товары или услуги гражданам ЕС, и организации, отслеживающие поведение субъектов данных, должны соблюдать GDPR.
Правила соответствия GDPR содержательны и основаны на семи ключевых принципах, включая минимизацию сбора данных, ограничение хранения и подотчетность. Определенные категории конфиденциальных данных требуют дополнительной защиты.
Несоблюдение GDPR разделяет штрафы на два уровня в зависимости от серьезности нарушений. Стандартные нарушения влекут за собой штрафы в размере до 10 миллионов евро или 2% от годового оборота, в то время как штрафы за более серьезные нарушения могут составлять до 20 миллионов евро или 4% от годового оборота.
GDPR заменил Директиву о защите данных, поскольку этот закон был сочтен недостаточным по объему и силе для современной защиты конфиденциальности данных в Европе. После введения в действие GDPR несколько важных постановлений Европейского суда еще больше укрепили права личности, в том числе разрешив ассоциациям по защите прав потребителей предпринимать представительные действия от имени потребителей, пострадавших от нарушений GDPR. Органы по защите данных в каждом государстве-члене обычно рассматривают жалобы на нарушения GDPR.
Законы США о конфиденциальности данных и различия с ЕС
Возможно, наиболее существенным отличием законодательства США от законодательства ЕС является отсутствие всеобъемлющего закона о конфиденциальности данных, который применяется ко всем типам данных и ко всем американским компаниям. Вместо этого американское законодательство использует более фрагментированный подход с различными положениями, регулирующими различные сектора и типы данных, в том числе:
- Закон о переносимости и подотчетности медицинского страхования (HIPAA) — этот федеральный закон защищает конфиденциальную медицинскую информацию о пациентах, определяя, как здравоохранение поставщики должны защищать такие данные от мошенничества и кражи. Закон также устанавливает ограничения на то, как организации могут использовать или раскрывать защищенную медицинскую информацию. Об обновлениях HIPAA, вероятно, будет объявлено не позднее 2022 или 2023 года.
- Закон Грэмма-Лича-Блайли (GLBA) — этот закон применяется к финансовым учреждениям и устанавливает обязанности и стандарты для защиты конфиденциальности и безопасности непубличной личной информации потребителей. Федеральная торговая комиссия (FTC) объявила о важных изменениях в Правилах защиты GLBA (которые должны стать обязательными в ноябре 2022 года), подробно описывающих более предписывающие меры безопасности данных, которые финансовые учреждения должны принимать для защиты данных клиентов.
- Федеральный закон об управлении информационной безопасностью (FISMA) — этот федеральный закон требует, чтобы федеральные агентства разработали, задокументировали и внедрили общеагентскую программу, обеспечивающую информационную безопасность. FISMA 2022 — это двухпартийное обновление FISMA, в котором используется передовой и стратегический подход к обеспечению того, чтобы федеральные ИТ-системы могли лучше подготовиться и реагировать на современные кибервызовы, которые угрожают федеральной информации и информационным системам из-за несанкционированного доступа, использования и раскрытия.
Изменение законов США
Заметной тенденцией являются недавние или предстоящие изменения в нескольких существующих законах США о защите данных, которые отражают все более взаимосвязанный мир с большими объемами данных, которые перемещаются по более сложной информационной экосистеме. Необходимость этих изменений свидетельствует о разном подходе к законам ЕС и США.
GDPR, возможно, устанавливает стандарт конфиденциальности данных во всем мире, и его еще не нужно было изменять. Но отсутствие подлинного подхода, ориентированного на конфиденциальность, в разрозненных американских правилах конфиденциальности данных делает необходимым обновление их в соответствии с фундаментальными правами, которые люди теперь ожидают в отношении того, как их данные используются, передаются или раскрываются.
CCPA и др.
В последние годы появились законы штатов, направленные на обеспечение более надежной защиты личных данных лиц в этих юрисдикциях и большей прозрачности в отношении обмена данными. Закон США, наиболее сопоставимый с GDPR, — это Калифорнийский закон о конфиденциальности потребителей (CCPA), который применяется к потребителям, проживающим в Калифорнии.
CCPA вступил в силу в январе 2020 года, но предстоящий Закон о правах на конфиденциальность Калифорнии (CPRA) вносит поправки в законодательство о конфиденциальности, чтобы расширить права отказа и внести другие изменения, которые еще больше приведут его в соответствие с GDPR. CPRA вступает в силу в январе 2023 года. Интересно, что Вирджиния и Колорадо — единственные два других штата США, подписавшие всеобъемлющий закон о конфиденциальности данных.
Культурные различия
Существуют важные культурные различия, которые нельзя игнорировать при оценке различий в законах о конфиденциальности данных между ЕС и США. Примером различных подходов является то, как Хартия основных прав ЕС устанавливает защиту данных в качестве основного права. Такое отношение к конфиденциальности, вероятно, проистекает из истории использования личной информации в гнусных целях, уходящей корнями во времена национал-социализма и коммунизма.
Напротив, в США традиционно применяется более невмешательный подход, который отдает предпочтение компаниям, которые собирают и используют персональные данные. Использование личных данных в коммерческих целях выходит за рамки важности конфиденциальности данных. В последние годы мировоззрение несколько сместилось в сторону лучшей защиты людей, поскольку утечки данных продолжают вызывать хаос, но потребуется больше времени, чтобы растворить лежащие в основе культурные различия и привести США в более полное соответствие с мышлением и законами ЕС.
Замена Privacy Shield Framework
В марте 2022 года было объявлено о важном нормативном изменении: Trans-Atlantic Data Privacy Framework должна заменить соглашение между ЕС и США. Фреймворк «Щит конфиденциальности». Обе эти нормативно-правовые базы относятся к передаче персональных данных ЕС в Соединенные Штаты.
Европейский суд признал недействительным Privacy Shield в 2020 году после того, как австрийский активист успешно заявил, что эта система не защищает европейцев от слежки США. Это решение привело к неуверенности многих компаний, в том числе таких, как Google и Facebook, в отношении трансграничной передачи данных.
Трансатлантическая структура конфиденциальности данных вводит меры безопасности, которые ограничивают доступ к данным для разведывательных органов США до того, что необходимо и соразмерно для защиты национальной безопасности. Результатом, вероятно, станет более свободный трансграничный поток данных и меньшая регуляторная неопределенность для предприятий, работающих в обоих регионах.
Навигация в сложной экономике данных
Сегодня компаниям приходится ориентироваться в сложной экономике данных, в которой все большее число нормативных актов требует от них очень осторожного сбора, хранения и использования данных о клиентах. Существуют заметные пробелы в масштабах и силе законов США о конфиденциальности данных по сравнению с Европой, но ситуация продолжает меняться по мере того, как в существующие законы США вносятся поправки и вступают в силу новые.
Независимо от того, какой закон (законы) должен соблюдать ваш бизнес, соблюдение нормативных требований современных законов о конфиденциальности данных необходимо для поддержания доверия клиентов и предотвращения существенных юридических и финансовых последствий.
Часто задаваемые вопросы
Что эквивалентно GDPR в США?
CCPA (Калифорнийский закон о конфиденциальности потребителей) является аналогом GDPR в США. Этот всеобъемлющий закон о конфиденциальности данных дает жителям Калифорнии большую прозрачность и контроль над тем, как предприятия собирают и используют их личную информацию.
Каковы основные принципы GDPR?
7 принципов защиты данных, на которых основан GDPR:
1. Законность, справедливость и прозрачность
2. Ограничение цели
3. Минимизация данных
4. Точность
5. Ограничение хранения
9000 6. Честность и конфиденциальность7. Подотчетность
Чем CCPA отличается от GDPR?
Хотя CCPA был вдохновлен GDPR, между этими двумя правилами есть некоторые существенные различия. Только коммерческие предприятия, отвечающие нескольким другим критериям, должны соответствовать CCPA, в то время как GDPR распространяется на все виды организаций, от коммерческих до некоммерческих, которые хранят персональные данные, принадлежащие людям, проживающим в ЕС. Еще одно важное отличие заключается в том, что GDPR требует, чтобы отдельные лица согласились, прежде чем компании смогут собирать данные, в то время как в CCPA нет условий согласия.
Зачем вам нужно решение DLP, чтобы соответствовать требованиям по защите данных?
Решения для предотвращения потери данных (DLP) важны для соблюдения правил защиты данных, поскольку эти правила содержат ограничения на перемещение данных и другие правила, которые требуют соответствующих мер безопасности для предотвращения несанкционированной потери или раскрытия данных.
Общий регламент ЕС по защите данных (EU GDPR)
Когда GDPR ЕС применяется к исследовательской деятельности с участием людей?
В соответствии с GDPR к персональным данным относится любая информация, которая может идентифицировать или использоваться для идентификации лиц, находящихся в ЕЭЗ, иначе называемых Субъектом данных. Закон предоставляет Субъектам данных определенные права, связанные с Обработкой их Персональных данных. Обработка в широком смысле относится к любому использованию Персональных данных и включает в себя доступ, хранение, объединение и даже удаление Персональных данных. Кроме того, субъекты данных имеют еще больше прав в соответствии с GDPR в отношении того, как обрабатываются более конфиденциальные данные, такие как расовые, этнические данные или данные, связанные со здоровьем.
Среди прочих требований GDPR требует, чтобы субъекты данных, в том числе субъекты исследования, были проинформированы об обработке их персональных данных. Это обязательство по информированию может быть выполнено путем предоставления надлежащей информации в уведомлении о конфиденциальности, доступном для субъектов данных. Другое использование Персональных данных в контексте исследования, в частности использование более конфиденциальных данных, передача Персональных данных в Соединенные Штаты, а также использование Персональных данных для принятия решений или прогнозов, которые могут существенно повлиять на Субъекта данных (например, как использование Персональных данных для включения Субъекта данных в лечебную группу исследования), требуется согласие Субъекта данных.
Что такое персональные данные?
Персональные данные определяются как «любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу». Различные части информации, которые при совместном сборе или использовании могут привести к идентификации конкретного лица, составляют Персональные данные. Примерами Персональных данных являются следующие типы Персональных данных:
- Имя и фамилия
- Домашний адрес
- Адрес электронной почты физического лица
- Номер удостоверения личности
- Адрес интернет-протокола (IP)
- Идентификатор файла cookie
- Телефонные идентификаторы
- Демографическая, поведенческая или связанная со здоровьем информация, которая может идентифицировать человека
Персональные данные имеют более широкое определение, чем типы данных, защищаемые любым федеральным законом США или законом штата о конфиденциальности, например, в соответствии с Законом о переносимости и подотчетности медицинского страхования (HIPAA) или Законом о правах семьи на образование и конфиденциальность (FERPA).
Закодированные данные, называемые псевдонимизированными данными, также подпадают под действие GDPR. Псевдонимизированные данные — это Персональные данные, которые больше не могут быть отнесены к конкретному Субъекту данных без использования дополнительной информации, такой как кодовый ключ, при условии, что такая дополнительная информация хранится отдельно и на нее распространяются меры безопасности для обеспечения того, чтобы Персональные данные, используемые в исследование не может быть отнесено к идентифицированному или идентифицируемому лицу. Хотя Псевдонимизированные данные по-прежнему подпадают под действие GDPR, псевдонимизация является подходящей для защиты Персональных данных. Фактически, GDPR требует, чтобы Персональные данные были псевдонимизированы, если цель исследования может быть достигнута с использованием псевдонимизированных данных.
Данные о физических лицах не подпадают под действие GDPR только в том случае, если они анонимизированы. Анонимизация является высоким стандартом GDPR: все прямые и косвенные идентификаторы человека должны быть удалены, а исследователь должен внедрить меры безопасности, гарантирующие, что данные никогда не смогут быть повторно идентифицированы.
