Подать уведомление об обработке персональных данных: Уведомление об обработке персональных данных в Роскомнадзор — Независимое театральное объединение "Зрительские симпатии"

Содержание

Разъяснения по вопросам уведомления об обработке персональных данных

Один из главных вопросов, который встаёт перед операторами персональных данных, – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?

Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление: нежелание обратить на себя взор надзирающего ока (Роскомнадзора).

С пассивностью операторов в этом вопросе государство, в лице уполномоченного органа (Роскомнадзора), борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами. Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.
Здесь важно учесть, что запрос Роскомнадзора — это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.

Возможны две ситуации:

вы ничего не знаете о персональных данных (или что-то слышали, но не заинтересовались), и вам пришел запрос уполномоченного органа;

вы сознательно решили выполнить требования законодательства о персональных данных и подали уведомление.

Для начала рассмотрим первую ситуацию. Вам поступил запрос от уполномоченного органа о том, что информация о Вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.

В соответствии с частью 4 статьи 20 ФЗ «О персональных данных» ответить на запрос необходимо в течение 30 дней.

Те, кто не отвечают на запрос, совершают ошибку сразу, т.к. в соответствии со статьей 19.7 КоАП РФ за непредоставление информации в срок предусмотрена административная ответственность.

Другая распространенная ошибка – непродуманный ответ. Притом как положительный, так и отрицательный.

Многие организации подают уведомление, не разобравшись в законе, и тем самым подставляют себя под удар, потому что часто в «быстрых» уведомлениях содержатся ошибки или неполные данные.

Следует обратить внимание на то, все ли пункты уведомления заполнены. Статья 19.7 КоАП РФ предусматривает ответственность и за подачу уведомления в неполном объеме.

В свою очередь, скоропостижный отказ в подаче уведомления, также может содержать множество ошибок. Так, некоторые организации, обрабатывающие данные не только своих работников (например, учебные либо лечебные учреждения), в своем ответе ссылаются только на пункт 1 часть 2 статьи 22 ФЗ «О персональных данных».
Чтобы избежать этих ошибок, мы советуем, получив запрос, не торопиться. У вас есть 30 дней на ответ. Прежде всего, найдите непосредственную форму уведомления — она находится на сайте Роскомнадзора. Изучив форму, вы поймете, что заполнение уведомления — это серьезная работа, и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную.

Прежде всего необходимо выполнить самообследование. Для этого и послужит отправной точкой форма уведомления. В нем четко видно, что необходимо определить:

категории персональных данных,
категории субъектов персональных данных,
цель обработки персональных данных,
правовое основание обработки персональных данных,
перечень действий с персональными данными,
описание способов обработки,
осуществление трансграничной передачи персональных данных,
описание мер, предусмотренных статьями 18.

1. и 19 Федерального закона «О персональных данных»,
ответственный за организацию обработки персональных данных,
сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

В качестве помощника в затруднительных ситуациях можно использовать «Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» утвержденных приказом Роскомнадзора от 19.08.2011 г. N 706. Эти рекомендации содержат то, что хочет от вас видеть Роскомнадзор в уведомлении.
Если вам удалось провести полноценное обследование, и вы выявили самое главное — цели обработки персональных данных, то дальше следует обратиться к части 2 статьи 22 ФЗ «О персональных данных». В ней содержатся основания обработки персональных данных БЕЗ уведомления уполномоченного органа. Если у вас есть хотя бы один случай обработки персональных данных, не подпадающий под эти основания, вы обязаны подать уведомление.

Дальше необходимо заняться выполнением требований законодательства о персональных данных как в сфере организации и регламентации обработки персональных данных, так и в сфере их технической защиты.

Важно понимать — наличие оснований для обработки персональных данных без уведомления уполномоченного органа не освобождает вас от обязанности по выполнению всех требований законодательства о персональных данных!

Если вы решили ответить на запрос подачей уведомления, сроки выполнения будут крайне сжаты. Все основные мероприятия вполне можно выполнить в течение месяца (все зависит от размера предприятия/учреждения), однако могут возникнуть проблемы с задержкой доставки средств защиты информации. Чтобы уложиться в отведенные для ответа на запрос сроки — в поле «описание мер, предусмотренных статьями 18.1 и 19» некоторые операторы временно указывают общие фразы типа: «обеспечена техническая защита персональных данных», а впоследствии, когда завершают процесс защиты, вносят изменения в ранее поданное уведомление через сайт Роскомнадзора.

Конечно, такая мера может вызвать проблемы и нарекания контролирующих органов, но «это лучше чем ничего».

Если вы решили, что не должны подавать уведомление, то вам необходимо подготовить ответ на запрос Роскомнадзора. В нем вы должны указать основания для обработки персональных данных без уведомления уполномоченного органа, сославшись на пункты части 2 статьи 22 ФЗ «О персональных данных». Многие операторы не должны подавать уведомление, но эта позиция должна быть четко основана на законе.

И опять повторим главное: Если вы решили не подавать уведомление, то вы все равно должны выполнить все требования закона и защитить персональные данные.

Если вы решили подать уведомление, то здесь мы плавно переходим ко второй ситуации. Чтобы упростить себе жизнь с придумыванием формулировок, мы советуем вам заглянуть в реестр операторов на сайте Роскомнадзора. В нем вы найдете все уведомления, которые подавали операторы. Конечно, у всех операторов ситуация своя, но вы сможете увидеть в них общие тенденции и что-то перенести себе.

Можно даже найти подобного оператора (например, если вы учебное заведение, поищите в реестре себе подобных). Заполняя уведомление, обратитесь к «Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утвержденным приказом Роскомнадзора от 19.08.2011 г. N 706. В них приведены довольно доступные и понятные примеры, но некоторые разделы уведомления все равно оставляют массу вопросов у операторов.

Большинство вопросов связано со следующими пунктами:

описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»;
сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Смотрим статью 18.1. Исходя из ее требований, можно понять, что мы должны выполнить следующие действия (данные рекомендации — исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по рекомендации авторов, нареканий со стороны контролирующих органов не вызывали):

назначить ответственного за организацию обработки;
издать политику оператора в отношении обработки персональных данных;
издать локальный акт, один или несколько, котором описываются процедуры, направленные на предотвращение и выявление нарушений законодательства РФ;

и так далее. ..

В нашей «Базе Решений» Вы можете найти шаблоны документов с примерами их заполнения для выполнения требований законодательства о персональных данных.

В свою очередь в уведомлении в данном пункте мы пишем: назначен ответственный за организацию обработки (некоторые пишут номер приказа), издана политика оператора в отношении обработки персональных данных; издан локальный акт, описывающий процедуры… И так далее.

С 19 статьей делаем то же самое.

Что касается второго пункта, в него необходимо включать те меры и действия, которые вы предприняли, выполняя Постановления Правительства РФ в сфере персональных данных:

Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Для примера возьмем постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления. В итоге, в уведомлении вам следует писать, например: Руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.

Если у вас возникли трудности с указанием даты начала обработки и сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, и условие — прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов!

Отправив электронную форму уведомления, вы должны не забыть распечатать его, подписать у руководителя и отправить по почте! Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр!

Через две-три недели мы советуем проверить, добавлено ли ваше уведомление в реестр. Это довольно легко сделать на сайте Роскомнадзора.

Напомним — Вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано!

Удачной Вам работы в сфере обработки и защиты персональных данных!

Отправка Уведомления Оператора «без ошибок»

Анна Каплина, 02 сентября 2018

Один из главных вопросов, который встаёт перед операторами персональных данных – подавать или не подавать в Роскомнадзор уведомление об обработке персональных данных?

Основная причина, по которой организации, осуществляющие обработку персональных данных, не спешат подавать уведомление в нежелании обращать на себя взор надзирающего ока Роскомнадзора.

С пассивностью операторов в этом вопросе государство, в лице Роскомнадзора, борется регулярными мерами – проводится выборочная рассылка официальных запросов. Многие юридические лица уже столкнулись с такими запросами. Это запросы уполномоченного органа по поводу подачи уведомления об обработке персональных данных.
Здесь важно учесть, что запрос Роскомнадзора – это официальное обращение государственного органа, игнорирование которого, так же как и некорректный ответ, может повлечь административную ответственность.

Возможны две ситуации:

Вы ничего не знаете о персональных данных или что-то слышали, но не заинтересовались и вам пришел запрос уполномоченного органа
Вы сознательно решили выполнить требования законодательства о персональных данных и подали уведомление

Для начала рассмотрим первую ситуацию – вам поступил запрос от уполномоченного органа о том, что информация о вас, как об операторе персональных данных, в реестре операторов отсутствует и вам необходимо подать уведомление, чтобы зарегистрироваться как оператор персональных данных.

В соответствии с частью 4 статьи 20 ФЗ «О персональных данных» ответить на запрос необходимо в течение 30 дней.

Те, кто не отвечают на запрос, совершают ошибку сразу, так как в соответствии со статьей 19.7 КоАП РФ за непредоставление информации в срок предусмотрена административная ответственность.

Другая распространенная ошибка – непродуманный ответ. Притом как положительный, так и отрицательный.

Следует обратить внимание на то, все ли пункты уведомления заполнены. Статья 19.7 КоАП РФ предусматривает ответственность и за подачу уведомления в неполном объеме.
В свою очередь, скоропостижный отказ в подаче уведомления также может содержать множество ошибок. Некоторые организации, обрабатывающие данные не только своих работников, например, учебные либо лечебные учреждения, в своем ответе ссылаются только на пункт 1 части 2 статьи 22 ФЗ «О персональных данных».
Чтобы избежать этих ошибок получив запрос мы советуем не торопиться. У вас есть 30 дней на ответ. Прежде всего найдите непосредственную форму уведомления – она находится на сайте Роскомнадзора. Изучив форму вы поймете, что заполнение уведомления – это серьезная работа и если раньше вы ничего не делали в отношении регламентации обработки и защиты персональных данных, то теперь придется заняться этим вплотную.

Прежде всего необходимо выполнить самообследование. Отправной точкой для этого и послужит форма уведомления. В нем четко видно, что необходимо определить:

категории персональных данных
категории субъектов персональных данных
цель обработки персональных данных
правовое основание обработки персональных данных
перечень действий с персональными данными
описание способов обработки
осуществление трансграничной передачи персональных данных
описание мер, предусмотренных статьями 18. 1. и 19 ФЗ «О персональных данных»
ответственного за организацию обработки персональных данных
сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ

В качестве помощника в затруднительных ситуациях можно использовать «Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» утвержденные приказом Роскомнадзора от 19.08.2011 г. N 706. Эти рекомендации содержат то, что хочет от вас видеть Роскомнадзор в уведомлении.
Если вам удалось провести полноценное обследование и вы выявили цели обработки персональных данных, являющиеся самым главным, то дальше следует обратиться к части 2 статьи 22 ФЗ «О персональных данных». В ней содержатся основания обработки персональных данных без уведомления уполномоченного органа. Если у вас есть хотя бы один случай обработки персональных данных не подпадающий под эти основания, вы обязаны подать уведомление.

Важно понимать, что наличие оснований для обработки персональных данных без уведомления уполномоченного органа не освобождает вас от обязанности по выполнению всех требований законодательства о персональных данных.

Если вы решили ответить на запрос подачей уведомления, сроки выполнения будут крайне сжаты. Все основные мероприятия вполне можно выполнить в течение месяца, все зависит от размера предприятия или учреждения, однако могут возникнуть проблемы с задержкой доставки средств защиты информации. Чтобы уложиться в отведенные для ответа на запрос сроки некоторые операторы в поле «описание мер, предусмотренных статьями 18.1 и 19» временно указывают общие фразы типа «обеспечена техническая защита персональных данных», а впоследствии, когда завершают процесс защиты, вносят изменения в ранее поданное уведомление через сайт Роскомнадзора. Конечно, такая мера может вызвать проблемы и нарекания контролирующих органов, но это лучше, чем ничего.

И опять повторим главное, что если вы решили не подавать уведомление, то вы все равно должны выполнить все требования закона и защитить персональные данные.
Если вы решили подать уведомление, то здесь мы плавно переходим ко второй ситуации. Чтобы упростить себе жизнь с придумыванием формулировок, мы советуем вам заглянуть в реестр операторов на сайте Роскомнадзора. В нем вы найдете все уведомления, которые подавали операторы. Конечно, у всех операторов ситуация своя, но вы сможете увидеть в них общие тенденции и что-то перенести себе. Можно даже найти подобного оператора, например, если вы учебное заведение, поищите в реестре себе подобных. Заполняя уведомление, обратитесь к «Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утвержденным приказом Роскомнадзора от 19.08.2011 г. N 706. В них приведены довольно доступные и понятные примеры, но некоторые разделы уведомления все равно оставляют массу вопросов у операторов.

Большинство вопросов связано со следующими пунктами:

описание мер, предусмотренных статьями 18.1. и 19 ФЗ «О персональных данных»
сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ

Чтобы заполнить информацию по первому пункту, вам необходимо выписать меры, которые оператор должен предпринять в соответствии с данными статьями. Исходя из требований статьи 18.1 можно понять, что мы должны выполнить следующие действия:

назначить ответственного за организацию обработки
издать политику оператора в отношении обработки персональных данных
издать локальный акт, один или несколько, котором описываются процедуры, направленные на предотвращение и выявление нарушений законодательства РФ
и так далее

Данные рекомендации представляют исключительно мнение авторов и не закреплены действующим законодательством, однако, уведомления, поданные с данными формулировками по этим рекомендациям, нареканий со стороны контролирующих органов не вызывали.

В свою очередь в уведомлении в данном пункте мы пишем, что назначен ответственный за организацию обработки, некоторые пишут номер приказа, издана политика оператора в отношении обработки персональных данных, издан локальный акт, описывающий процедуры и так далее.

С 19 статьей делаем то же самое.

Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»
Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Для примера возьмем постановление 1119. Если вы установили, что у вас 4 уровень защищенности, вы должны выполнить требования пункта 13 Постановления. В итоге, в уведомлении вам следует писать, например, руководителем утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных либо трудовых обязанностей. И так далее по другим мерам и другим Постановлениям Правительства в сфере персональных данных.

Если у вас возникли трудности с указанием даты начала обработки, сроком или условием прекращения обработки, то чаще всего пишут дату регистрации предприятия, а условием указывают прекращение деятельности. Но, конечно, существует еще множество различных вариантов для этих двух пунктов.

Отправив электронную форму уведомления, вы должны не забыть распечатать его, подписать у руководителя и отправить по почте. Ваше уведомление не будет добавлено в реестр операторов, пока в Роскомнадзор не придет его печатный экземпляр.

Напомним, что вы не просто должны подать уведомление, вы должны выполнить все, что в нем написано.

Удачной вам работы в сфере обработки и защиты персональных данных.

«О персональных данных». О заполнении Уведомления об обработке персональных данных ⁄ Тегульдетский район

В соответствии с ч.1 ст.23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон) и п.1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16. 03.2009 № 228, Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи и массовых коммуникаций (Роскомнадзор).

На территории Томской области Уполномоченным органом является Управление Роскомнадзора по Томской области (далее – Управление) и осуществляющий в установленном порядке государственный контроль и надзор за деятельностью органов государственной власти субъектов Российской Федерации, иных государственных органов, органов местного самоуправления, юридических лиц и физических лиц в сфере обработки персональных данных и за соответствием обработки персональных данных требованиям законодательства.

Ст.22 Федерального закона закрепила за операторами обязанность до начала обработки персональных данных уведомить Уполномоченный орган о своем намерении осуществлять обработку персональных данных.

На основании ч.7 ст.22 Федерального закона в случае изменения сведений, указанных в ч.3 ст.22, указанного Федерального закона, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Листовка. (7 102,98 КБ)

Методические рекомендации по заполнению форм уведомлений и инф. писем. (37,1 КБ)

Пример уведомления для органов МСУ (69,0 КБ)

Пример уведомления для учреждений образования (66,5 КБ)

Пример уведомления для ООО (ЗАО. ОАО и др.) (66,5 КБ)

Пример уведомления для инд. предпринимателей (60,0 КБ)

Пример уведомления для организаций в сфере (УК, ЖСК, ЖК, ТСЖ и др.) (64,5 КБ)

Последнее обновление: 21 апреля 2021, 05:48

Уведомление о конфиденциальности третьих лиц

Цель и предмет настоящего Уведомления о конфиденциальности

BMI Group Management UK и ее аффилированные юридические лица (совместно именуемые Группа BMI, мы, нас) с уважением относимся к вашей персональной информации.

В настоящем Уведомлении о конфиденциальности описываются способы получения, использования, обмена и хранения Группой BMI предоставляемых вами данных во время и после периода взаимодействия или взаимоотношений с нами. Мы стремимся к тому, чтобы любые персональные данные, которые мы получаем, были защищены и обработаны в соответствии с применимыми законами о защите данных.

Настоящее Уведомление о конфиденциальности применяется в отношении всех внешних сторон, осуществляющих обмен персональными данными с Группой BMI, включая, в частности, подрядчиков, владельцев зданий, соискателей, клиентов, поставщиков, персонал и конечных пользователей (совместно именуемых вы).

Если вы являетесь владельцем здания и один из наших подрядчиков выполнял для вас работу, мы можем хранить определенную информацию о вас на нашем портале подрядчиков. Настоящее Уведомление о конфиденциальности в данном случае не применимо. Убедительно просим вас ознакомиться с Уведомлением о конфиденциальности для портала подрядчиков, доступ к которому должен предоставить ваш подрядчик, для получения дополнительной информации, касающейся наших методов работы с персональными данными, поступающими через этот портал. Кроме того, для получения текста подобного Уведомления вы можете обратиться непосредственно к нам.

Дополнительную информацию о Группе BMI см. на https://www.bmigroup.com/our-company

Информация о вас, которую мы храним и обрабатываем

Мы будем собирать, хранить и использовать такую персональную информацию о вас, которая касается нашего взаимодействия и взаимоотношений с вами. Подобная персональная информация может включать в себя ваше имя, адрес электронной почты, личную и профессиональную контактную информацию, информацию о кредитной карте, информацию о предпочитаемом способе коммуникации, данные о продукции, которой вы интересовались, или которую приобретали у нас, а также информацию о всех проектах, на которых вы были заняты в качестве подрядчика Группы BMI. Также к указанной информации могут относиться персональные данные, которые вы предоставили в случае участия в конкурсе, исследовании рынка или опросе (например, отзывы, рейтинги и другие формы обратной связи), а также информация о контенте, который вы просматриваете на нашем веб-сайте.

Мы будем собирать эти персональные данные напрямую от вас, вашего работодателя или от стороннего посредника в процессе продаж. Периодически мы можем получать ваши персональные данные из других сторонних источников (таких как регулирующие органы, сторонние справочные агентства и т. д.).

Подбор персонала

Вы можете подать заявку на трудоустройство или профессиональную подготовку, предлагаемые Группой BMI, либо подписаться на получение оповещений о появлении вакансий на нашем веб-сайте или отправив письмо по электронной почте. При отправке таких оповещений и заявок в режиме онлайн применяется настоящее Уведомление о конфиденциальности, помимо других юридических требований.

Отправляя заявку представителям Группы BMI в режиме онлайн или по электронной почте, вы предоставляете Группе BMI персональные данные, такие как имя, почтовый и электронный адрес, сведения об образовании, профессиональном опыте, имеющихся сертификатах, другие данные и документы, обычно предоставляемые при приеме на работу, а также копии документов о праве на осуществление трудовой деятельности. Кроме того, мы можем собирать другие данные о вашем опыте работы, например, сведения о ранее занимаемых должностях, опыте работы, профессиональной подготовке, членстве в профсоюзах и информации о судимостях.

Вы можете предоставить особую персональную информацию (например, о национальной принадлежности, политических взглядах, участии в профсоюзной организации, физическом и умственном состоянии здоровья, религиозных или философских убеждениях). Предоставляя такую информацию вы открыто выражаете согласие на ее получение нами. Мы не ожидаем и не требуем от вас предоставления подобной информации за исключением случаев, когда такая информация требуется нам для удовлетворения ваших требований доступа.

На основании отправляемой вами заявки в режиме онлайн мы осуществляем обработку персональных данных, предоставляемых вами Группе BMI и проверку на наличие у вас судимостей.

Правовая основа и цель обработки ваших личных данных (только для проживающих в ЕЭЗ)

В большинстве случаев мы используем ваши данные в следующих целях:

для выполнения условий нашего с вами контракта, например, контракта на покупку продуктов или услуг;
для соблюдения наших юридических обязательств и/или сотрудничества с контрольно-надзорными и другими органами, а также
для реализации наших законных интересов, над которыми не превалируют ваши интересы или основные права или свободы, предусматривающие защиту личных данных, например, для управления и улучшения наших деловых и клиентских отношений, для развития бизнеса и анализа, для управления и оценки использования наших продуктов, для предоставления нашего инструмента поиска подрядчиков, а также проведения маркетинговых исследований или опросов.

Мы будем использовать ваши личные данные только в целях, разрешенных законом. Они включают в себя обработку данных в случае необходимости для следующих целей:

выполнение запросов или распоряжений компетентного суда, правоохранительного органа или другого государственного органа;
защита жизненных интересов кого бы то ни было; а также
соблюдение, осуществление или защита законных требований.

Некоторые приведенные выше основания для обработки данных будут частично дублироваться, другие могут подтверждать использование нами ваших персональных данных. Если у вас возникли вопросы или вам необходима дополнительная информация в отношении законных оснований или целей обработки ваших персональных данных, свяжитесь с нами, написав на наш адрес электронной почты [email protected].

Хранение и передача ваших персональных данных

Как долго мы храним ваши персональные данные?

Мы храним ваши персональные данные до тех пор, пока это разумно необходимо для выполнения соответствующих целей, изложенных в этом Уведомлении о конфиденциальности, и в течение времени, предусмотренного или разрешенного законом. Срок хранения определяется в первую очередь соответствующими правовыми и нормативными обязательствами и/или продолжительностью деловых взаимоотношений с вами. Мы безопасно удалим или сотрем ваши персональные данные, когда обоснованная причина для их хранения исчезнет.

Каким образом мы обеспечиваем безопасное хранение ваших персональных данных?

Мы используем соответствующие технические и организационные меры для защиты обрабатываемых нами персональных данных от случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия и доступа. Группа BMI хранит ваши личные данные в централизованных базах данных с контролируемым доступом, а также в защищенных бумажных и электронных файлах. Доступ к данным ограничен санкционированными пользователями, обязанными соблюдать конфиденциальность данных ввиду служебной необходимости (например, бухгалтерия, отдел кадров).

Обмен данными

Передача третьим лицам

Мы можем передавать ваши персональные данные следующим категориям третьих лиц.

При условии согласия с вашей стороны мы можем передавать ваши личные данные третьим сторонам, которым вы предоставили такое согласие, например, когда вы разрешаете третьей стороне связываться с вами по вопросам предоставляемых услуг.
Нашим поставщикам услуг, деловым партнерам и подрядчикам, которые предоставляют услуги от нашего имени или которых мы используем для поддержки нашего бизнеса.
Мы также можем передавать ваши персональные данные другим третьим сторонам в контексте возможной продажи или реструктуризации бизнеса. Мы передадим этим получателям соответствующие инструкции о необходимости использовать персональные данные только в целях, описанных в настоящем Уведомлении.
Если ваша компания или работодатель является участником сертифицированной программы подрядчиков Группы BMI, в том числе BMI RoofPro, мы можем опубликовать контактные данные ваших монтажников на нашем веб-сайте, как часть инструмента поиска подрядчика BMI Group.
От нас могут потребовать предоставить ваши персональные данные регулирующему, компетентному правоохранительному органу, правительственному органу, суду или другой третьей стороне в целях (i) соблюдения закона; (ii) обеспечения выполнения условий контракта; а также (iii) защиты прав, собственности или безопасности Группы BMI или других лиц.
Мы также можем передавать ваши персональные данные другим организациям Группы BMI, которые будут использовать эти персональные данные в целях, описанных в настоящем Уведомлении о конфиденциальности.

Передача информации за пределы ЕЭЗ (только для лиц, проживающих в ЕЭЗ)

Мы можем передавать персональные данные, которые собираем о вас, третьим лицам, описанным выше, находящимся за пределами страны или региона, в котором вы проживаете. В таких случаях мы принимаем соответствующие меры для обеспечения защиты ваших личных данных в соответствии со стандартами, описанными в данном Уведомлении о конфиденциальности. Например, путем заключения договорных соглашений на основе стандартных договорных положений Комиссии ЕС или использования сертификата получателя от третьей стороны в рамках Системы защиты конфиденциальности ЕС-США. Если у вас возникли вопросы или вам необходима дополнительная информация в отношении передачи ваших персональных данных на международном уровне, свяжитесь с нами, написав на наш адрес электронной почты [email protected].

Ваши права

Обзор

У вас есть конкретные юридические права, связанные с обработкой ваших персональных данных Группой BMI. К ним относятся право запрашивать доступ, исправление и удаление ваших персональных данных, которые мы обрабатываем. Вы также можете отказаться от маркетинговых предложений, отозвать согласие на обработку (если эта процедура основана на вашем согласии) и выразить свои опасения регулирующим органам.

Некоторые юрисдикции (включая ЕЭЗ) предоставляют своим жителям дополнительные права в соответствии с применимым законодательством. Мы обработаем запросы на реализацию ваших прав в соответствии с этими законами, где это применимо. Эти права могут включать право возражать против обработки, а также требовать от нас ограничить обработку или переносимость ваших личных данных.

Осуществление ваших прав

Если вы хотите отказаться от маркетинговых предложений, направляемых по электронной почте, вы можете сделать это, перейдя по ссылке «Отказаться» в рекламных письмах, если таковая имеется, или отправив письмо по электронной почте [email protected].

Чтобы отказаться от других видов маркетинговых предложений, если вам нужна помощь в отказе от участия или вы хотите воспользоваться какими-либо своими правами, свяжитесь с нами по адресу [email protected].

Информация на веб-сайте и файлы cookie

Cookie-файлы

Чтобы узнать, как мы используем любые персональные данные, получаемые через наш веб-сайт и cookie-файлы, ознакомьтесь с Политикой использования cookie-файлов Группы BMI. Настоящая политика представлена на www.bmigroup.com/legal/cookie-policy.

Третьи стороны

Наше уведомление о конфиденциальности не распространяется на информацию, обрабатываемую нашими деловыми партнерами или другими третьими лицами. Наш веб-сайт может содержать ссылки на веб-сайты, которыми мы не владеем или не можем контролировать. Настоящее Уведомление о конфиденциальности не распространяется на сторонние веб-сайты или приложения, переход на которые осуществляется с нашего веб-сайта или на которые на нашем веб-сайте имеются ссылки.

Изменения в этом уведомлении о конфиденциальности

Данное Уведомление о конфиденциальности не является частью какого-либо контракта с вами. Мы оставляем за собой право обновить это Уведомление о конфиденциальности в любое время. Мы предпримем соответствующие меры для информирования вас об обновлениях нашего Уведомления о конфиденциальности (например, разместив обновленное Уведомление о конфиденциальности на нашем веб-сайте или, в соответствующих случаях, используя более прямые способы для информирования, например, уведомление по электронной почте).

Чтобы узнать, когда мы в последний раз обновляли Уведомление о конфиденциальности, см. «Дату вступления в силу», указанную в верхней части данного Уведомления о конфиденциальности.

Контактные данные

Если у вас имеются какие-либо вопросы относительно настоящего Уведомления о конфиденциальности или способах хранения или обработки ваших персональных данных, свяжитесь с нами по адресу эл. почты [email protected].

BMI Group несет ответственность за обработку ваших персональных данных. Для целей применимого законодательства о защите данных ваши данные будут независимо контролироваться юридическим лицом Группы BMI, которое предоставляет вам услуги или связывается с вами. BMI Group Management UK Limited управляет настоящим сайтом и является оператором персональных данных.

Роскомнадзор по Республике Коми напоминает о необходимости уведомления о намерении осуществлять обработку персональных данных

Ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту — Федеральный закон «О персональных данных») закрепила за операторами обязанность до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Если деятельность оператора по обработке персональных данных не подпадает под действие ч. 2 ст. 22 Федерального закона «О персональных данных», то он обязан подать в Управление Роскомнадзора по Республике Коми (далее – Управление) уведомление об обработке (о намерении осуществлять обработку) персональных данных согласно частям 1, 3 ст. 22 Федерального закона «О персональных данных».

Дополнительно информируем, что электронная форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных (далее –Уведомление), предусмотренная ч. 3 ст. 22 Федерального закона «О персональных данных», размещена на сайте Управления 11. rkn.gov.ru в разделе Электронные формы заявлений / нажать на кнопку «заполнить форму уведомления об обработке (о намерении осуществлять обработку) персональных данных в электронном виде», либо в указанный раздел можно перейти с помощью QRcode

(для перехода необходимо запустить программу QR-сканер и навести камеру устройства на код).

Рекомендации по заполнению формы Уведомления и пример заполнения размещены на портале персональных данных (https://pd.rkn.gov.ru) (в разделе Реестр операторов / Документы / Пример заполнения Уведомления (пункт 5).

После заполнения формы Уведомления и отправки ее в информационную систему Роскомнадзора, Вам необходимо распечатать заполненную форму, подписать ее и направить в Управление Роскомнадзора по Республике Коми по адресу: 167000, Республика Коми, г. Сыктывкар, ул. Коммунистическая, д. 17.

Кроме того, согласно ч. 7 ст. 22 Федерального закона «О персональных данных» в случае изменений сведений, указанных в ч. 3 ст. 22 этого закона, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Консультацию по заполнению Уведомления можно получить по телефону (8212) 40-01-24.

Формы заявлений

Закон о защите персональных данных

Один из главных вопросов:

Всем ли нужно регистрироваться в Роскомнадзоре?

Есть несколько вариантов, которые позволяют избежать этой регистрации. Однако, в этом случае нужно юридически грамотно обосновать контролирующему органу то, что Ваша организация соответствует данным критериям.

Исключения из правил для бизнеса:

сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
обработка персональных данных, находящимся в открытом доступе;
сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации.

Во всех остальных случаях регистрация в реестре операторов Роскомнадзора обязательна!

Регистрация обязательна?

Взвешивая все причины, организации могут принять следующие решения.

Первое. Ждать. Надеяться, что проверка не придет. Смотреть, как поступят другие операторы персональных данных. Плюсы очевидны – “авось пронесет”. А вот минусы часто упускают, а они более чем существенные. В ходе проверки выявленные нарушения становятся известны всем на общедоступном сайте соответствующего территориального управления Роскомнадзора, что, во-первых, поставит под сомнение Вашу репутацию перед клиентами, во-вторых, этими сведениями могут воспользоваться недобросовестные конкуренты.

Второе. Подать несмотря ни на что. Не важно надо, не надо, просто подать. Сразу обратим внимание, это сложный процесс, даже учитывая подсказки и рекомендации на сайте. За ошибки в составлении уведомления предусматривается ответственность и штрафы.

Третье. Не подавать. Попытаться найти способ не подавать уведомление. Ниже рассмотрим подробнее как это можно сделать.

Реально ли избежать регистрации?

Чтобы избежать регистрации в Роскомнадзоре необходимо все процессы и документооборот в организации построить таким образом, чтобы они четко были определены п.2 ст.22 № 152-ФЗ. И другого выхода нет. Либо подавать уведомление, либо привести в порядок все документы.

Алгоритм действий прост:

Для начала необходимо определить тип, субъект персональных данных и на основании каких документов они обрабатываются.
Выявленные процессы сбора и использования персональных данных необходимо юридически грамотно сопоставить с видами обработки, которые позволяют не подавать уведомления в Роскомнадзор (п.2 ст.22 №152-ФЗ и п.2 ст.1).
Получить согласие на распространение и предоставление персональных данных гражданина третьим лицам, которое бы соответствовало Закону.
Внести коррективы в договоры с субъектами.
Грамотно составить все документы имеющиеся, как на сайте Вашей организации, так и привести в порядок внутреннюю документацию.

Стоит отметить, что все это трудно выполнить штатным работникам, так как решение данных задач выходит далеко за рамки типовых обязанностей. Для приведения в соответствие с законом всех процессов в организации руководитель будет терять большое количество своего дорогостоящего времени.

Наиболее разумным выходом из данной ситуации является привлечение специализированной организации, чьи эксперты проходили обучение и участвовали в конференциях по изменениям в ФЗ-152, которые обладают необходимыми знаниями и огромным опытом. Наши специалисты избавят Вас и Ваших сотрудников от выполнения задач, которые занимают много времени и будут несвойственные их характеру работы, а также оценить и при необходимости реализовать меры, которые дадут возможность избежать подачи уведомления.

Как избежать штрафов и блокировки Вашего сайта? Заполните форму заявки на нашем сайте, и с Вами свяжется наш специалист.

У Вас еще остались вопросы по ФЗ-152? Ответы на них можно найти в следующих статьях:
Перейдем на личности

Политика обработки персональных данных — Иркутская область. Официальный портал

Управление Роскомнадзора по Иркутской области информирует, что в соответствии с требованиями Федерального закона от 27 января 2007 года № 152-ФЗ «О персональных данных» организации: государственные органы, муниципальные органы, юридические лица и индивидуальные предприниматели, осуществляющие обработку персональных данных, обязаны подать уведомление об обработке персональных данных. В случае изменения сведений, содержащихся в представленном ранее Уведомлении об обработке персональных данных, Оператор, обязан уведомить Управление Роскомнадзора по Иркутской области, об изменениях в течение 10 рабочих дней с даты возникновения таких изменений, путем направления информационного письма.

Одновременно, Управление Роскомнадзора по Иркутской области продолжает вести прием Информационных писем о внесении изменений в Уведомление об обработке персональных данных,в отношении операторов, осуществлявших обработку персональных данных до 1 июля 2011 года и зарегистрированных в Реестре операторов, обрабатывающих персональные данные, в соответствии с изменениями Федерального закона от 27. 07.2006 № 152-ФЗ «О персональных данных», вступившими в силу 27.07.2011 (ст. 25).

Дополнительно напоминаем государственным и муниципальным органам о необходимости приведения деятельности связанной с обработкой персональных данных в соответствие с требованиями Постановления Правительства РФ от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствие с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

Информацию по заполнению уведомления, информационного письма можно получить в Интернете по адресу 38.rsoc.ru,http://www.pd.rsoc.ru, также на данных порталах реализована возможность подачи уведомления в электронной форме (с последующим направлением в бумажном виде, за подписью уполномоченного лица) по адресу: 664011, г. Иркутск, ул. Халтурина, д. 7, а/я 169». Более подробную информацию можно получить по телефонам: 8 (3952) 289183, 289172, 289163, 289171, 289153.

Распоряжение службы государственного жилищного надзора Иркутской области «Об утверждении политики обработки персональных данных службы государственного жилищного надзора Иркутской области» от 10 марта 2020 года № 54-1-ср (скачать;)

Политика обработки персональных данных службы государственного жилищного надзора Иркутской области от 10 марта 2020 года № 54-1-ср (скачать;)

Приказ о принятии мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» от 14 августа 2019 года № 37-срп (скачать;)

Арт. 33 GDPR — Уведомление надзорного органа о нарушении личных данных

Ст. 33 GDPR — Уведомление о нарушении личных данных в надзорный орган — Общие правила защиты данных (GDPR) перейти к содержанию

¹ В случае утечки персональных данных контролер должен без неоправданной задержки и, где это возможно, не позднее чем через 72 часа после того, как узнал об этом, уведомить об утечке персональных данных в надзорный орган, компетентный в соответствии с Статья 55, за исключением случаев, когда нарушение личных данных может привести к риску для прав и свобод физических лиц. ² Если уведомление в надзорный орган не сделано в течение 72 часов, оно должно сопровождаться причинами задержки.
Оператор должен уведомить контролера без неоправданной задержки после того, как станет известно об утечке личных данных.
Уведомление, указанное в параграфе 1, должно как минимум:
1. описывают характер нарушения личных данных, включая, где это возможно, категории и приблизительное количество соответствующих субъектов данных, а также категории и приблизительное количество соответствующих записей личных данных;
2. сообщить имя и контактные данные сотрудника по защите данных или другого контактного лица, где можно получить дополнительную информацию;
3. описать вероятные последствия нарушения личных данных;
4. описывает меры, принятые или предлагаемые контролером для устранения утечки персональных данных, включая, где это уместно, меры по смягчению его возможных неблагоприятных последствий.
Если и поскольку невозможно предоставить информацию одновременно, информация может предоставляться поэтапно без неоправданной дополнительной задержки.
¹ Контроллер должен задокументировать любые нарушения личных данных, включая факты, касающиеся нарушения личных данных, его последствий и принятых мер по исправлению положения. ² Эта документация должна позволить надзорному органу проверить соблюдение настоящей статьи.

Уведомление об обработке персональных данных

«Персональные данные» означают данные, относящиеся к живому человеку, которого можно идентифицировать по этим данным.Он включает в себя данные о занятости, информацию о клиентах и информацию, полученную с помощью системы видеонаблюдения.

Если вы обрабатываете персональные данные, ваша организация является «контроллером данных» для целей Закона о защите данных 1998 года.

Большинство организаций должны уведомить ICO , если только они не обрабатывают личные данные только для следующих целей:

Управление персоналом (в т. ч. заработная плата)
реклама, маркетинг и связи с общественностью для собственного бизнеса
счетов и записей
судебных функций
личные, семейные или домашние дела (в том числе в рекреационных целях)

Следующие лица также освобождены от требования регистрации:

некоторые некоммерческие организации
контроллеров данных, которые обрабатывают персональные данные только для ведения публичного реестра
контроллеров данных, которые не обрабатывают персональные данные на компьютере

Если вы не уверены, освобождены ли вы от уведомления, всегда обращайтесь к ICO .

Как уведомить

Вы можете уведомить ICO по:

заполнение формы онлайн-уведомления, ее распечатка и отправка на ICO
заполнив запрос формы уведомления и отправив его в ICO
звонок по горячей линии для уведомлений ICO и запрос формы уведомления

Вам необходимо указать сведения о вашей организации и общее описание обработки личной информации, выполняемой контроллером данных.

Плата за уведомление в размере 500 фунтов стерлингов применяется к контроллерам данных с:

оборот 25,9 миллиона фунтов стерлингов и 250 или более сотрудников
, если они являются государственным органом с 250 или более сотрудниками.

Все остальные операторы данных, включая зарегистрированные благотворительные организации и небольшие профессиональные пенсионные фонды, независимо от их размера и оборота, должны платить 35 фунтов стерлингов в год, если они не освобождены от уплаты налогов.

После того, как вы успешно уведомите ICO , данные вашей организации будут внесены в реестр контроллеров данных.

Вам необходимо ежегодно продлевать регистрацию. Если вы этого не сделаете, вы совершите уголовное преступление и можете столкнуться с неограниченным штрафом. ICO напишет вам до истечения срока действия и объяснит процесс обновления вашей записи в реестре.

Как сообщить о потере личных данных

Первоначально опубликовано в апреле 2018 г. и обновлено в июне 2019 г.

Общие правила защиты данных (GDPR) — это глобальный стандарт, предназначенный для кодификации и расширения прав субъектов данных.Он вступил в силу 25 мая 2018 г. и заменил действующую сейчас Европейскую директиву о защите данных 95/46 / EC (DPD). Штрафы за несоблюдение GDPR могут достигать 20 миллионов евро и более — существенно больше, чем за нарушение других стандартов, таких как HIPAA, SOX и GLBA.

Основной причиной беспокойства предприятий по поводу этого правила является одно из требований об уведомлении о нарушении GDPR, указанное в статьях 33–34: у организаций есть только 72 часа, чтобы сообщить о нарушении в органы по защите данных.

Но не нужно паниковать. В этом сообщении в блоге я отвечаю на 7 основных вопросов об этом требовании, чтобы помочь вам наладить надлежащие процессы или убедиться, что у вас есть все необходимые процессы. Затем я расскажу о 7 передовых методах подготовки эффективного плана реагирования на утечки данных. Наконец, я рассмотрю три недавних громких дела о взломе данных и посмотрю, насколько в каждом из них сильно не хватало надлежащего уведомления о взломе.

Часто задаваемые вопросы о требованиях GDPR к уведомлению об утечке данных

1.Что считается «утечкой личных данных»?

Согласно статье 4 GDPR, нарушение безопасности персональных данных — это нарушение безопасности, которое приводит к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным, которые хранятся, передаются или иным образом обрабатываются организацией. Сюда также входят инциденты, в результате которых личные данные только временно теряются или становятся недоступными. Важно понимать, что это определение резко отличается от других стандартов, таких как HIPAA, которые часто ограничивают понятие утечки данных только несанкционированным доступом и раскрытием.

Более того, GDPR защищает гораздо более широкий набор данных. Согласно статье 4 «персональные данные» означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу (субъекту данных), которая включает не только имена и личные идентификационные номера, но также данные о местонахождении, этническом происхождении, политических взглядах, генетических и биометрических данных. , и многое другое. Напротив, большинство стандартов соответствия США (например, PCI DSS и FISMA) защищают только информацию, которая может быть использована для совершения кражи личных данных или мошенничества — как правило, имя человека и второй фрагмент данных, такой как его номер социального страхования или номер платежной карты.

2. Кто такие обработчики данных и контроллеры данных?

Чтобы соответствовать GDPR, первое, что вам нужно сделать, это определить, является ли ваша компания обработчиком данных, контроллером данных или и тем, и другим. Обе роли несут ответственность за защиту личных данных, но контроллер данных — это тот, кто определяет процедуры и цель использования данных, а обработчик данных обрабатывает данные в соответствии с правилами, установленными контроллером.

Компания может быть контроллером одних персональных данных и обработчиком других данных.Однако невозможно быть обработчиком и контролером одних и тех же данных с одинаковыми целями обработки.

Справочник по европейскому законодательству о защите данных приводит следующий пример: «Компания Everready специализируется на обработке данных для управления данными о человеческих ресурсах других компаний. В этой функции Everready является процессором. Однако там, где Everready обрабатывает данные своих сотрудников, он контролирует операции по обработке данных с целью выполнения своих обязательств в качестве работодателя.”

3. Когда необходимо уведомить надзорный орган и субъектов данных?

Когда произошла утечка личных данных, вам необходимо оценить риски для прав и свобод людей. Если существует вероятность возникновения риска, вы должны уведомить регулирующие органы; если это маловероятно, вам не нужно сообщать об этом.

Оценка рисков включает определение того, будут ли негативные последствия для людей. В декларации 85 объясняется, что нарушение может иметь различные неблагоприятные последствия для людей, такие как нанесение ущерба репутации, физический и материальный ущерб и другие серьезные вредные последствия.Если вы решите не информировать регулирующие органы, вы должны иметь возможность обосновать свое решение и доказать, что такие риски маловероятны.

Если утечка данных представляет высокий риск для отдельных лиц, все они должны быть проинформированы. Существуют следующие исключения:

Вы ввели эффективные меры защиты, такие как шифрование или другие меры, которые гарантируют, что риски «для прав и свобод» больше не возникнут.
Контроллер принял меры, чтобы предотвратить возникновение этих рисков после того, как диспетчер узнал об утечке данных.
Уведомление об утечке данных потребует «непропорциональных усилий». В таких случаях публичное сообщение, такое как пресс-релиз для известной медиа-организации, может заменить индивидуальные уведомления.

4. Каковы процедуры уведомления об утечке данных?

Процесс уведомления об утечке данных зависит от того, является ли ваша организация обработчиком данных или контролером данных.

Когда процессор данных обнаруживает утечку данных, которая ставит под угрозу конфиденциальность данных, начинается 72-часовой обратный отсчет.В течение этих часов обработчики данных должны уведомить контроллеры данных, а затем контроллеры данных обязаны уведомить надзорные органы. Важно понимать, когда начинается этот период. Например, если вы обнаружите брешь в кибербезопасности, вам необходимо проверить, безопасны ли личные данные. Как только вы убедитесь, что это не так, начнется обратный отсчет. Контроллеры могут уведомить надзорных органов на этом этапе о том, что требуется дополнительное расследование и что этот процесс может занять более 72 часов, что разрешено GDPR.Если уведомление задерживается, в описании утечки данных должны быть подробно описаны причины.

Кроме того, если нарушение личных данных «может привести к высокому риску для прав и свобод людей», контроллер данных должен уведомить этих лиц «без неоправданной задержки». Это объясняется в статьях 33 и 34 GDPR. Это тяжелый срок для соблюдения — другие стандарты обычно требуют 30–45 дней для уведомления о нарушении. Например, HIPAA определяет 60 дней, а FISMA строже — 30 дней, в то время как стандарты, такие как SOX и FERPA, даже не имеют конкретного срока уведомления о нарушениях.

Помимо этих строгих обязательств, важно знать, о каком надзорном органе уведомлять. В каждой стране ЕС есть свои местные органы по защите данных. Если нарушение затрагивает несколько организаций в Европе, контролер данных должен уведомить ведущий орган по защите данных. То же самое относится к случаю нарушения, связанного с трансграничной обработкой. В руководстве WP29 поясняется, что в этом случае следует также направить уведомление в ведущий надзорный орган, «который не обязательно должен указывать на то, где находятся затронутые субъекты данных или где действительно произошло нарушение.”

5. Что должно включать в себя уведомление об утечке данных?

Как и многие другие стандарты соответствия, GDPR не определяет точный формат для уведомлений об утечке данных. Однако статья 33 требует, чтобы в уведомления надзорных органов включалась следующая информация:

Характер нарушения данных, категории и приблизительное количество затронутых субъектов данных, а также задействованные записи данных
Вероятные последствия утечки персональных данных
Меры, принятые или предлагаемые для устранения нарушения
Имя и контактные данные сотрудника по защите данных (DPO) или другого контактного лица

Затронутые субъекты данных также должны быть уведомлены эффективным способом, например, по электронной почте или путем размещения письма-уведомления на официальном веб-сайте компании.

6. Каковы размеры штрафов за несоблюдение?

Статья 83 определяет штрафы за нарушение GDPR. В частности, любое нарушение положений об уведомлении об утечке данных (например, неспособность вовремя сообщить об утечке данных, предоставить подробное описание проблемы или указать меры, которые примет организация) может стоить организации 10 миллионов евро или 2 евро. % от их глобального годового оборота за предыдущий финансовый год, в зависимости от того, что больше.

7.Есть ли какие-то другие последствия помимо штрафов?

Помимо наложения административных штрафов, компетентные надзорные органы имеют право делать предупреждения и выговоры, заставлять организации сообщать о нарушениях субъектам данных и — в крайних случаях — запрещать им обработку персональных данных (статья 58). Однако существует небольшая вероятность того, что надзорные органы наложат максимальный штраф за каждый инцидент, связанный с безопасностью. Пока организация сотрудничает со следствием и демонстрирует, что она усердно работает над повышением безопасности, она, вероятно, избежит огромных штрафов.

Примеры из практики: три недавних ошибки уведомления об утечке данных

Исследования показывают, что неспособность своевременно сообщать о нарушениях данных часто происходит из-за недостаточного контроля безопасности и неправильных управленческих решений.Руководители высшего звена предпочитают скрывать нарушение, чтобы избежать крупных штрафов и ущерба репутации, пренебрегая интересами людей, которые доверили им конфиденциальные данные и заслуживают уведомления, если эти данные будут скомпрометированы. GDPR кодифицирует и расширяет права субъектов данных, поэтому он вынуждает этих руководителей переосмыслить свой ответ или столкнуться с более суровыми финансовыми и юридическими последствиями.

Вот три истории о компаниях, которым не удалось обеспечить безопасность данных своих клиентов и своевременно уведомить соответствующие стороны об утечках данных. Во всех трех случаях организации знали об инцидентах безопасности задолго до того, как решили о них сообщить, что еще больше усугубляло ситуацию. С вступлением в силу GDPR подобное поведение может легко повлечь за собой штраф в размере 10 миллионов евро или более.

1. Uber: Компания платит хакерам за сокрытие кражи 57 миллионов пользовательских записей.

Что случилось?

В октябре 2016 года хакеры украли личные данные 57 миллионов клиентов и водителей Uber. Генеральный директор компании Трэвис Каланик узнал о нарушении в ноябре 2016 года, через месяц после нарушения, но компания не раскрыла информацию о нарушении только через год.Более того, компания фактически заплатила хакерам 100 000 долларов, чтобы они удалили данные и скрыли взлом. Uber заявил, что считает, что эта информация никогда не использовалась, но отказался раскрыть личности злоумышленников.

Какие данные были украдены?

Взломанные данные включали имена, адреса электронной почты, номера телефонов и другие личные данные 57 миллионов пассажиров и водителей Uber по всему миру.

Каков был результат утечки данных?

Сотрудник службы безопасности Uber Джо Салливан был уволен.Каланик был вытеснен в июне 2017 года, хотя он остается членом совета директоров. Uber все еще находится под следствием в нескольких странах (включая США, Великобританию и Италию) и сталкивается с многочисленными судебными исками от клиентов и водителей по всему миру. Окончательный размер штрафов за нарушение комплаенса пока не определен.

2. Yahoo: о крупнейшем взломе в истории не сообщалось в течение трех лет.

Что случилось?

В сентябре 2016 года Yahoo сообщила, что в результате кибератаки было скомпрометировано 500 миллионов учетных записей пользователей.Затем, в декабре 2016 года, он признал, что более ранняя утечка данных затронула 1 миллиард пользователей, число, которое позже было пересмотрено до 3 миллиардов, или каждую учетную запись Yahoo, которая существовала в то время.

Это достаточно плохо, но становится еще хуже. Первый компромисс произошел в конце 2014 года, а второй — еще раньше, в августе 2013 года, но ни о чем не сообщалось до конца 2016 года. Неясно, когда именно Yahoo узнала о взломах, но похоже, что руководители Yahoo знали о них давно. прежде, чем они решили их раскрыть.

Какие данные были украдены?

Имена пользователей, адреса электронной почты, номера телефонов, даты рождения, хешированные пароли и (в некоторых случаях) зашифрованные или незашифрованные контрольные вопросы и ответы.

Каковы были последствия утечки данных?

Yahoo подвергся резкой критике со стороны членов правительства США и экспертов по безопасности за позднее раскрытие нарушений и в целом небрежное отношение к безопасности. И Комиссия по ценным бумагам и биржам США, и Конгресс все еще проводят расследования.Yahoo также столкнулась с более чем 40 коллективными исками потребителей. Наконец, нарушения повлияли на приобретение Verizon Yahoo в 2017 году: первоначальная цена в 4,83 миллиарда долларов была пересмотрена на 350 миллионов долларов, и сделка была отложена на несколько месяцев.

3. eBay: Уведомление об утечке данных идет очень и очень неправильно.

Что случилось?

В начале 2014 года хакеры взломали учетные данные сотрудников eBay и использовали их для копирования базы данных, содержащей записи 145 миллионов пользователей.Компании потребовалось не только несколько месяцев, чтобы обнаружить нарушение, но и еще две недели, чтобы уведомить затронутых клиентов, многие из которых уже узнали о нарушении из новостей.

Более того, когда eBay наконец разместил уведомление о взломе, они не разместили его на своем официальном сайте; вместо этого они сначала опубликовали его на небольшом корпоративном веб-сайте www.ebayinc.com. Затем компания разместила на сайте PayPal нечеткое заявление, в котором не объясняется ситуация и сбивает с толку пользователей, которые думали, что их счета PayPal также могут быть затронуты.

Какие данные были украдены?

Имена пользователей, домашние адреса, номера телефонов, даты рождения, адреса электронной почты и зашифрованные пароли.

Каковы были последствия утечки данных?

Тот факт, что хакеры могли легко получить доступ к личным данным клиентов eBay, негативно повлиял на имидж компании и связи с общественностью. eBay столкнулся с коллективным иском, который был отклонен в 2015 году из-за отсутствия доказательств экономического ущерба для клиентов. В июне 2014 года генеральный директор eBay Джон Донахью подтвердил, что акции eBay упали примерно на 20% в результате утечки данных и перестановок в высшем руководстве PayPal.

Заключение

Как показывают эти примеры, уведомления о взломе данных необходимо обрабатывать должным образом, особенно после того, как GDPR вступил в силу. Вам нужен контроль над тем, что происходит с данными, которые вы храните, а также четкий и проверенный план действий в случае взлома.

ИТ-инфраструктуры

стали более сложными, поэтому теперь стало труднее, чем когда-либо, отслеживать потоки данных и гарантировать, что конфиденциальные файлы не будут передержаны. Для быстрого обнаружения утечек данных и своевременного составления отчетов в соответствии с требованиями закона вам необходимо четкое представление о том, что происходит в вашей ИТ-среде.Кроме того, знание того, где находятся ваши конфиденциальные данные и кто имеет к ним доступ, поможет вам определить масштаб нарушения и какие именно файлы могли быть скомпрометированы.

Бывший генеральный директор Netwrix по региону EMEA. Мэтт имеет сертификат CISSP и более 19 лет опыта работы в индустрии кибербезопасности.Он работал во многих организациях, специализируясь в таких областях, как управление рисками, управление идентификацией и доступом, а также безопасность сети и баз данных. В блоге Netwrix Мэтт делится мыслями о том, как добиться более высоких уровней безопасности и соответствия требованиям.

Обработка персональных данных уполномоченных по защите данных

Контроллеры и обработчики должны сообщить в наш офис контактные данные своих сотрудников по защите данных.Уведомление может быть сделано с помощью формы на нашем веб-сайте или путем предоставления контактных данных в наш реестр другим способом. Уведомления регистрируются в нашей системе управления делами. Организации, направившей уведомление, будет отправлен информационный пакет о задачах сотрудника по защите данных, который она должна направить сотруднику.

Если должностное лицо по защите данных или его или ее контактные данные изменяются, контролер или процессор должен обновить информацию, подав уведомление об изменении в Управление омбудсмена по защите данных.Для отправки уведомления можно использовать форму изменения на нашем веб-сайте. Мы храним исторические данные, относящиеся к уполномоченным по защите данных, назначенным каждой организацией.

Срок хранения персональных данных, связанных с уведомлениями сотрудника по защите данных, определяется Законом об архивах (831/1994), постановлением Национальной архивной службы (AL 16465 / 07.01.01.03.02 / 2016) и планом архивирования Управления.

Цель обработки

Целью обработки персональных данных сотрудников по защите данных является обеспечение связи между надзорным органом и сотрудниками по защите данных контроллеров и процессоров.Сотрудник по защите данных служит связующим звеном с надзорными органами по вопросам, связанным с обработкой персональных данных.

Персональные данные сотрудников по защите данных также могут обрабатываться в ходе надзорных функций Управления омбудсмена по защите данных, например, для определения того, сделали ли это все организации, обязанные в соответствии с GDPR или специальным законодательством назначить сотрудника по защите данных.

Данные сотрудников по защите данных также используются для планирования и реализации деятельности нашего офиса, и на их основе может быть создана статистика. Предоставленные нам контактные данные используются для официальных сообщений.

Какие данные об уполномоченных по защите данных мы обрабатываем?

Имя, контактные данные и бизнес-идентификатор контроллера / процессора. Мы также указываем сектор компании для нашей системы управления делами.
Имя уполномоченного по защите данных. Объявление имени добровольно, но рекомендуется для облегчения сотрудничества.
Электронный адрес уполномоченного по защите данных
Телефон уполномоченного по защите данных
Адрес уполномоченного по защите данных
Информация, на основании которой был объявлен сотрудник по защите данных, то есть было ли уведомление основано на GDPR или специальном законодательстве или было сделано добровольно.

Наша обработка основана на

Мы обрабатываем персональные данные в соответствии с юридическим обязательством Уполномоченного по защите данных

Общий регламент по защите данных, статья 6 (1), пункт c
Общий регламент по защите данных, статья 37 (7)

Раскрытие данных

Нет регулярного раскрытия данных.

Данные раскрываются в соответствии с Законом об открытости государственной деятельности. Данные и документы являются общедоступными, если иное не установлено законом о конфиденциальности.

Данные могут быть переданы также другим надзорным органам в ЕС или ЕЭЗ в обстоятельствах, когда мы должны рассматривать жалобы и расследования в сотрудничестве с другими надзорными органами в ЕС / ЕЭЗ.

Никакие данные не будут раскрываться для целей прямого маркетинга, опросов или маркетинговых исследований, за исключением случаев, когда существуют отдельные положения, касающиеся раскрытия информации для таких целей.

Ваши права на защиту данных в отношении обработки персональных данных

Право на получение информации об обработке персональных данных

Вы имеете право знать, для каких целей и какими методами мы обрабатываем ваши персональные данные.
Цель этого описания наших политик защиты данных — предоставить полную картину обработки персональных данных в нашей деятельности. Однако если какой-то аспект нашей обработки персональных данных остается неясным, значит, описание не соответствует своей цели. В таких случаях вы можете задать нам более подробную информацию.
Подробнее о праве на получение информации об обработке персональных данных.

Право доступа

Вы имеете право знать, обрабатываем ли мы персональные данные, которые вас интересуют. Если да, вы имеете право получить копию этих данных, если у нас нет законных оснований для отказа в выполнении этого права.
Дополнительная информация о праве доступа.

Право на исправление

Если личные данные, которые мы обрабатываем, неточны, вы можете попросить нас исправить такие данные, которые вас беспокоят.
Если мы исправим данные на основании вашего запроса, мы обязаны уведомить все стороны, которым мы ранее раскрыли ваши данные, о возможном исправлении.
Дополнительная информация о праве на исправление.

Право на ограничение обработки

Если вы считаете данные, которые мы обрабатываем, неточными или обработку незаконными, или вы возражаете против обработки ваших данных, вы можете попросить нас ограничить обработку ваших данных.
В таких случаях нам разрешается обрабатывать ваши данные только с вашего согласия.
- , если нам нужны данные для установления, исполнения или защиты судебных исков
- в общественных интересах или
- для защиты прав другого лица.
Если мы ограничиваем обработку данных на основании вашего запроса, мы обязаны уведомить все стороны, которым мы ранее раскрыли ваши данные, об ограничении, где это возможно.
Дополнительная информация о праве на ограничение обработки.

Вы можете отправлять запросы, касающиеся ваших прав на защиту данных, в Управление омбудсмена по защите данных по электронной почте ([электронная почта защищена]) или по почте (PL 800, 00531 HELSINKI).

Аппарат Уполномоченного по защите данных не принимает решения на основе автоматизированной обработки. Офис также не создает профили на основе обрабатываемых личных данных.

Решения Управления омбудсмена по защите данных могут быть обжалованы в соответствующем административном суде в соответствии с инструкциями по апелляции, предоставленными Управлением омбудсмена по защите данных. Законность действий Управления Уполномоченного по защите данных контролируется высшими блюстителями закона, т.е. Парламентский омбудсмен и канцлер юстиции.

Уведомление о нарушении

| Уполномоченный по защите данных

Сводка изменений формы уведомления о нарушениях

Обзор новых веб-форм уведомления о нарушениях

С 25 мая 2018 года Общий регламент по защите данных (GDPR) вводит требование для организаций сообщать о нарушениях личных данных в соответствующий надзорный орган, если нарушение представляет риск для пострадавших лиц. Организации должны сделать это в течение 72 часов с момента обнаружения нарушения.

Если нарушение может привести к высокому риску для затронутых лиц, организации также должны проинформировать этих лиц без неоправданной задержки.

Пожалуйста, ознакомьтесь с инструкциями ниже в отношении уведомления этого офиса о нарушении. Обратите внимание на отдельные требования к отчетности, которые применяются к поставщикам общедоступных сетей или услуг электронных коммуникаций в соответствии с Правилами 2011 г. (SI 336 от 2011 г.) Европейских сообществ (Сети и услуги электронных коммуникаций) (Конфиденциальность и электронные коммуникации).

Чтобы облегчить принятие решений и определить, нужно ли вашей организации уведомлять соответствующий надзорный орган и затронутых лиц, у вас должен быть высококачественный процесс управления рисками и надежные процессы обнаружения, расследования и отчетности.

Обратите внимание, даже если вы определяете отсутствие риска для затронутых лиц в результате утечки личных данных, вам необходимо вести внутренний учет деталей, средств для принятия решения об отсутствии риска, тех, кто решил, что риск отсутствует, и рейтинг риска, который был зарегистрирован.

Первоначальное уведомление о нарушении

Все уведомления о нарушениях должны быть отправлены с использованием «Формы уведомления о нарушениях».
Все трансграничные утечки персональных данных должны быть указаны как трансграничные в соответствующем разделе формы.
Трансграничная обработка означает:
- Обработка персональных данных, которая происходит в контексте деятельности предприятий в более чем одном государстве-члене организации; или
- Обработка персональных данных, которая происходит в контексте деятельности одного учреждения организации, которая существенно влияет или может существенно повлиять на субъектов данных в более чем одном государстве-члене.
Примечание для поставщиков общедоступных сетей или услуг электронной связи: Поскольку Правила Европейского сообщества (Сети и услуги электронной связи) (Конфиденциальность и электронные сообщения) 2011 г. (SI 336 2011 г.) налагают определенные обязательства на поставщиков общедоступных электронных коммуникаций. сетей или служб для обеспечения безопасности своих услуг, чтобы сообщить о нарушении от имени любой организации в этом секторе, заполните нашу форму уведомления о нарушении безопасности данных поставщиков телекоммуникационных услуг / интернет-провайдеров.
В теме письма укажите следующую информацию:
- Является ли нарушение, о котором вы хотите уведомить DPC, «новым» или «обновлением» предыдущего уведомления о нарушении;
- Название вашей организации; и
- Ваш самопровозглашенный рейтинг риска нарушения.

Пример строки темы электронного письма приведен ниже:
Тема: Отчет о новом нарушении, [название организации], высокий риск

Самопровозглашенный рейтинг риска

При определении того, насколько серьезным, по вашему мнению, является нарушение для затронутых лиц, вы должны принять во внимание влияние, которое нарушение потенциально может оказать на лиц, чьи данные были раскрыты.При оценке этого потенциального воздействия вы должны учитывать характер нарушения, причину нарушения, тип раскрытых данных, имеющиеся смягчающие факторы и то, были ли раскрыты личные данные уязвимых лиц. Уровни риска дополнительно определены ниже:

Низкий риск: Маловероятно, что нарушение окажет влияние на людей, или воздействие будет минимальным.
Средний риск: Нарушение может повлиять на людей, но вряд ли воздействие будет значительным.
Высокий риск: Нарушение может иметь значительные последствия для пострадавших.
Серьезный риск: Нарушение может иметь критическое, обширное или опасное воздействие на затронутых лиц.

Обновление существующего уведомления

Если ваше уведомление было неполным по какой-либо причине, вы должны предоставить дополнительную информацию, когда она станет доступной. В этом случае отправьте новую версию соответствующей формы с заполненными соответствующими полями формы.
Для получения обновленных уведомлений укажите в теме письма следующую информацию:
- Обновленное уведомление о нарушении;
- Название организации; и
- ЦОД (если таковой был предоставлен).

Пример строки темы электронного письма приведен ниже:
Тема: Обновить отчет о нарушении, [название организации], [справочный номер], высокий риск

Пожалуйста, не указывайте в уведомлении личную информацию затронутых лиц.

Дополнительная информация

Сводка изменений формы уведомления о нарушениях

Обзор новых веб-форм уведомления о нарушениях

Краткое руководство по уведомлениям о нарушении GDPR

Практическое руководство по уведомлениям об утечке личных данных в соответствии с GDPR

Тенденции утечки данных с первого года принятия GDPR

Уведомить о нарушении личных данных

Нарушение личных данных означает нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к личным данным, передаваемым, хранящимся или обрабатываемым иным образом.

Контроллер должен уведомить об утечке личных данных в этот Офис в течение 72 часов с момента обнаружения такого нарушения.

Уведомление не требуется в тех конкретных случаях, когда контролер определяет, что нарушение вряд ли приведет к риску для прав и свобод субъектов данных.

Для облегчения процесса диспетчерам следует перейти по этой ссылке, заполнить и отправить онлайн-форму уведомления.

Ссылочный номер, указанный в электронном письме с подтверждением, которое будет получено после отправки онлайн-формы, должен быть указан для целей любого дальнейшего взаимодействия с этим Офисом в случае уведомления об утечке данных.

ВАЖНО : контролеры должны провести оценку рисков, чтобы решить, представляет ли инцидент безопасности какие-либо риски для субъекта данных и, как следствие, нужно ли уведомить о нарушении надзорный орган или иным образом. Например, если одно электронное письмо было отправлено одному неправильному получателю, маловероятно, что это приведет к риску для прав и свобод людей, и поэтому этот Офис НЕ ДОЛЖЕН БЫТЬ УВЕДОМЛЕН.

Для получения дополнительной информации о том, как проводить такую оценку риска, контроллеры могут обратиться к Руководству EDPB 01/2021 по Руководству 01_2021 — Примеры уведомления о нарушении данных.

Нарушение персональных данных означает нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным, переданным, хранящимся или обрабатываемым иным образом.

Нарушение личных данных | ICO

Кратко

GDPR Великобритании вводит обязанность всех организаций сообщать об определенных нарушениях личных данных в соответствующий надзорный орган.Вы должны сделать это в течение 72 часов после того, как стало известно о нарушении, если это возможно.
Если нарушение может привести к высокому риску неблагоприятного воздействия на права и свободы людей, вы также должны незамедлительно проинформировать этих лиц.
Убедитесь, что у вас есть надежные процедуры обнаружения, расследования и внутренней отчетности. Это облегчит принятие решения о том, нужно ли вам уведомлять соответствующий надзорный орган или затронутых лиц, или и то, и другое.
Вы также должны вести учет любых утечек личных данных, независимо от того, обязаны ли вы уведомлять.

Контрольные списки

Подготовка к утечке персональных данных

☐ Мы знаем, как распознать утечку личных данных.

☐ Мы понимаем, что нарушение личных данных касается не только потери или кражи личных данных.

☐ Мы подготовили план действий по устранению любых утечек личных данных.

☐ Мы возложили ответственность за устранение нарушений на отдельного человека или команду.

☐ Наши сотрудники знают, как передать инцидент безопасности соответствующему лицу или группе в нашей организации, чтобы определить, произошло ли нарушение.

Реагирование на нарушение личных данных

☐ У нас есть процесс оценки вероятного риска для людей в результате нарушения.

☐ У нас есть процесс информирования пострадавших лиц о нарушении, когда их права и свободы подвергаются высокому риску.

☐ Мы знаем, что должны незамедлительно проинформировать пострадавших.

☐ Мы знаем, кто является соответствующим надзорным органом в отношении нашей деятельности по обработке данных.

☐ У нас есть процесс уведомления ICO о нарушении в течение 72 часов после того, как стало известно о нем, даже если мы еще не располагаем всеми подробностями.

☐ Мы знаем, какую информацию мы должны предоставить ICO о нарушении.

☐ Мы знаем, какую информацию о взломе мы должны предоставить отдельным лицам, и что мы должны дать им совет, чтобы помочь им защитить себя от его последствий.

☐ Мы документируем все нарушения, даже если о них не нужно сообщать.

Вкратце

Что такое утечка личных данных?

Нарушение личных данных означает нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию личных данных или доступу к ним. Это включает нарушения, которые являются результатом как случайных, так и преднамеренных причин. Это также означает, что нарушение — это больше, чем просто потеря личных данных.

Пример

Нарушения личных данных могут включать:

доступ неавторизованной третьей стороны;
умышленное или случайное действие (или бездействие) контроллера или процессора;
отправка личных данных неверному получателю;
компьютерных устройств, содержащих персональные данные, которые были потеряны или украдены;
изменение личных данных без разрешения; и
потеря доступности персональных данных.

Нарушение личных данных можно в широком смысле определить как нарушение безопасности, которое повлияло на конфиденциальность, целостность или доступность личных данных. Короче говоря, нарушение личных данных будет происходить всякий раз, когда какие-либо личные данные будут случайно потеряны, уничтожены, повреждены или раскрыты; если кто-то получает доступ к данным или передает их без надлежащей авторизации; или если данные становятся недоступными, и эта недоступность оказывает значительное негативное влияние на людей.

Нарушение данных при оценке рисков

В декларации

GDPR Великобритании говорится, что при возникновении инцидента безопасности вы должны быстро установить, произошло ли нарушение личных данных, и, если да, незамедлительно принять меры для его устранения, в том числе сообщить об этом в ICO, если это необходимо.

Помните, что при сообщении о нарушениях основное внимание уделяется потенциальным негативным последствиям для отдельных лиц. В декларации 85 GDPR Великобритании поясняется, что:

«Нарушение личных данных может, если его не устранить надлежащим и своевременным образом, может привести к физическому, материальному или нематериальному ущербу для физических лиц, например, к потере контроля над их личными данными или ограничению их прав, дискриминации, кражи личных данных. или мошенничество, финансовые потери, несанкционированное изменение псевдонима, ущерб репутации, потеря конфиденциальности личных данных, защищенных профессиональной тайной, или любой другой существенный экономический или социальный ущерб для заинтересованного физического лица. ”

Это означает, что нарушение может иметь ряд неблагоприятных последствий для людей, в том числе эмоциональный стресс, а также физический и материальный ущерб. Некоторые утечки личных данных не приведут к рискам, выходящим за рамки возможных неудобств для тех, кому данные нужны для выполнения своей работы. Другие нарушения могут существенно повлиять на лиц, чьи личные данные были скомпрометированы. Вы должны оценивать этот случай от случая к случаю, рассматривая все относящиеся к делу факторы.

Пример

О краже клиентской базы данных, данные которой могут быть использованы для совершения мошенничества с идентификационной информацией, необходимо будет уведомить, учитывая ее вероятное воздействие на тех лиц, которые могут понести финансовые убытки или другие последствия.Но обычно вам не нужно уведомлять ICO, например, об утере или несоответствующем изменении списка телефонов сотрудников.

Итак, узнав о нарушении, вы должны локализовать его и оценить потенциальные неблагоприятные последствия для отдельных лиц, исходя из того, насколько они серьезны или существенны, и насколько вероятно, что они произойдут.

Для получения дополнительных сведений об оценке риска см. Раздел IV руководящих принципов Рабочей группы по статье 29 по уведомлению о несанкционированном использовании персональных данных.

Когда нам нужно сообщить людям о взломе?

Если нарушение может привести к высокому риску для прав и свобод человека, GDPR Великобритании требует, чтобы вы проинформировали заинтересованных лиц напрямую и без неоправданной задержки. Другими словами, это должно произойти как можно скорее.

«Высокий риск» означает, что требование информировать людей выше, чем требование об уведомлении ICO. Опять же, вам необходимо будет оценить как серьезность потенциального или фактического воздействия на людей в результате нарушения, так и вероятность его возникновения.Если последствия нарушения более серьезны, риск выше; если вероятность последствий больше, то риск снова выше. В таких случаях вам нужно будет незамедлительно проинформировать пострадавших, особенно если есть необходимость снизить непосредственный риск нанесения им ущерба. Одна из основных причин информирования людей — помочь им принять меры для защиты от последствий нарушения.

Пример

В больнице произошло нарушение, которое приводит к случайному раскрытию истории болезни.Вероятно, это окажет значительное влияние на пострадавших людей из-за секретности данных и их конфиденциальных медицинских данных, которые станут известны другим. Это может привести к высокому риску для их прав и свобод, поэтому они должны быть проинформированы о нарушении.
В университете происходит нарушение, когда сотрудник случайно удаляет запись с контактными данными выпускников. Детали позже воссоздаются из резервной копии. Маловероятно, что это приведет к высокому риску для прав и свобод этих лиц.Им не нужно сообщать о нарушении.
Медицинский работник отправляет неверные медицинские записи другому специалисту. Они немедленно информируют отправителя и надежно удаляют информацию. Маловероятно, что это повлечет за собой риск для прав и свобод человека. Им не нужно сообщать о нарушении.

Если вы решите не уведомлять отдельных лиц, вам все равно нужно будет уведомить ICO, если только вы не докажете, что нарушение вряд ли приведет к риску для прав и свобод.Вы также должны помнить, что ICO имеет право заставить вас информировать пострадавших лиц, если мы считаем, что существует высокий риск. В любом случае вы должны задокументировать процесс принятия решений в соответствии с требованиями принципа подотчетности.

Какую информацию мы должны предоставить людям, сообщая им о взломе?

Вам необходимо ясным и понятным языком описать характер утечки личных данных и, по крайней мере,:

имя и контактные данные любого сотрудника по защите данных, который у вас есть, или другого контактного лица, где можно получить дополнительную информацию;
описание возможных последствий нарушения персональных данных; и
описание мер, принятых или предлагаемых для борьбы с утечкой персональных данных, и, при необходимости, описание мер, принятых для смягчения любых возможных неблагоприятных последствий.

Если возможно, вам следует дать конкретный и ясный совет людям о шагах, которые они могут предпринять, чтобы защитить себя, и о том, что вы готовы сделать, чтобы им помочь. В зависимости от обстоятельств сюда могут входить такие вещи, как:

принудительный сброс пароля;
советует людям использовать надежные уникальные пароли; и
, предлагая им следить за фишинговыми сообщениями электронной почты или мошенническими действиями в своих учетных записях.

О каких нарушениях нужно уведомлять ICO?

Когда произошла утечка личных данных, необходимо установить вероятность угрозы правам и свободам людей.Если риск вероятен, вы должны уведомить ICO; если риск маловероятен, вам не нужно сообщать о нем. Однако, если вы решите, что вам не нужно сообщать о нарушении, вы должны иметь возможность обосновать это решение, поэтому вам следует задокументировать его.

Какую роль играют процессоры?

Если ваша организация использует процессор данных, и этот процессор нарушает правила, то в соответствии со Статьей 33 (2) он должен проинформировать вас без неоправданной задержки, как только станет известно об этом.

Пример

Ваша организация (контролер) заключает договор с фирмой, оказывающей ИТ-услуги (обработчиком), на архивирование и хранение записей о клиентах.ИТ-компания обнаруживает атаку на свою сеть, в результате которой к персональным данным ее клиентов осуществляется незаконный доступ. Поскольку это нарушение личных данных, ИТ-компания незамедлительно уведомляет вас о том, что нарушение имело место. Вы, в свою очередь, уведомляете ICO, если это необходимо.

Это требование позволяет вам предпринять шаги для устранения нарушения и выполнения ваших обязательств по отчетности о нарушениях в соответствии с GDPR Великобритании.

Если вы используете процессор, требования к сообщению о нарушениях должны быть подробно описаны в контракте между вами и вашим процессором, как того требует статья 28.Дополнительные сведения о контрактах см. В нашем проекте руководства GDPR для Великобритании по контрактам и обязательствам между контроллерами и обработчиками.

Сколько времени у нас есть, чтобы сообщить о нарушении?

Вы должны сообщить ICO о нарушении, подлежащем уведомлению, без неоправданной задержки, но не позднее, чем через 72 часа после того, как стало известно о нем. Если у вас будет больше времени, вы должны указать причины задержки.

Раздел II Руководства Рабочей группы по статье 29 по уведомлению о нарушении личных данных дает более подробную информацию о том, когда контролер может считаться «узнавшим» о нарушении.

Какую информацию должно содержать уведомление о нарушении для ICO?

Согласно GDPR Великобритании, при сообщении о нарушении вы должны предоставить:

описание характера нарушения личных данных, включая, где это возможно:
- категории и приблизительное количество заинтересованных лиц; и
- категории и приблизительное количество соответствующих записей персональных данных;
имя и контактные данные сотрудника по защите данных (если он есть в вашей организации) или другого контактного лица, где можно получить дополнительную информацию;
описание возможных последствий нарушения персональных данных; и
описание мер, принятых или предлагаемых для борьбы с утечкой персональных данных, и, где это уместно, мер, принятых для смягчения любых возможных неблагоприятных последствий.

Что делать, если у нас еще нет всей необходимой информации?

GDPR Великобритании признает, что не всегда можно полностью расследовать нарушение в течение 72 часов, чтобы понять, что именно произошло, и что необходимо сделать для его устранения. Таким образом, статья 33 (4) позволяет вам предоставлять требуемую информацию поэтапно, если это делается без неоправданной дальнейшей задержки.

Однако мы ожидаем, что диспетчеры расставят приоритеты в расследовании, предоставят ему необходимые ресурсы и в срочном порядке ускорят его.Вы все равно должны уведомить нас о нарушении, когда вам станет известно о нем, и как можно скорее предоставить дополнительную информацию. Если вы знаете, что не сможете предоставить полную информацию в течение 72 часов, рекомендуется объяснить нам задержку и сообщить, когда вы собираетесь предоставить дополнительную информацию.

Пример

Вы обнаруживаете вторжение в свою сеть и получаете доступ к файлам, содержащим личные данные, но вы не знаете, как злоумышленник получил доступ, в какой степени был осуществлен доступ к этим данным и скопировал ли злоумышленник данные с вашего компьютера. система.

Вы уведомляете ICO в течение 72 часов с момента обнаружения нарушения, объясняя, что у вас еще нет всей необходимой информации, но вы ожидаете получить результаты своего расследования в течение нескольких дней. Как только ваше расследование обнаружит подробности инцидента, вы незамедлительно предоставите ICO дополнительную информацию о нарушении.

Как мы уведомляем о взломе ICO?

Чтобы уведомить ICO о нарушении личных данных, посетите наши страницы, посвященные сообщению о нарушении.На этих страницах есть инструмент для самооценки и некоторые примеры утечки личных данных.

Помните, что нарушение, затрагивающее людей в странах ЕЭЗ, затронет GDPR ЕС. Это означает, что в рамках вашего плана реагирования на нарушения вы должны установить, какое европейское агентство по защите данных будет вашим ведущим надзорным органом в отношении операций по обработке, которые стали предметом нарушения. Для получения дополнительных указаний по определению того, кто является вашим ведущим органом, см. Руководство Рабочей группы по статье 29 по определению вашего ведущего органа.

Требует ли GDPR Великобритании каких-либо других действий в ответ на нарушение?

Убедитесь, что вы регистрируете все нарушения, независимо от того, нужно ли сообщать о них ICO.

Статья 33 (5) требует, чтобы вы задокументировали факты, касающиеся нарушения, его последствий и принятых мер по исправлению положения. Это часть вашего общего обязательства по соблюдению принципа подотчетности и позволяет нам проверять соблюдение вашей организацией своих обязанностей по уведомлению в соответствии с GDPR Великобритании.

Как и в случае любого инцидента безопасности, вам следует выяснить, было ли нарушение результатом человеческой ошибки или системной проблемы, и посмотреть, как можно предотвратить повторение. Человеческая ошибка является основной причиной утечки данных. Чтобы снизить риск этого, примите во внимание:

обязательный вводный курс по защите данных и повышение квалификации;
поддерживает и контролирует до тех пор, пока сотрудники не овладеют своей ролью.
обновления политик и процедур, чтобы сотрудники чувствовали себя способными сообщать о случаях предаварийной аварии;
работает по принципу «дважды проверить, один раз отправить»;
внедрение культуры доверия — сотрудники должны чувствовать себя способными сообщать о случаях непредвиденных обстоятельств;
расследование первопричин нарушений и возможных аварий; и
защищает ваших сотрудников и личные данные, за которые вы несете ответственность.Это может включать:
- Ограничение доступа и системы аудита, или
- Выполнение технических и организационных мероприятий, например, отключение автозаполнения.

Как упоминалось ранее, в рамках процесса управления нарушениями вы должны провести оценку рисков и иметь соответствующую матрицу оценки рисков, которая поможет вам управлять нарушениями на повседневной основе. Это поможет вам оценить влияние нарушений и выполнить ваши требования к отчетности и регистрации. Это обеспечит основу для вашей политики в отношении нарушений и поможет вам продемонстрировать свою ответственность как контролера данных.

Что еще нужно учесть?

Следующие ниже требования не являются конкретными требованиями GDPR Великобритании в отношении нарушений, но вы должны принять их во внимание, когда столкнетесь с нарушением.

В результате нарушения организация может столкнуться с большим объемом запросов или жалоб на защиту данных, особенно в отношении запросов доступа и удаления.У вас должен быть план действий на случай непредвиденных обстоятельств. Важно, чтобы вы продолжали рассматривать эти запросы и жалобы наряду с любой другой работой, которая была произведена в результате нарушения. Вам также следует подумать о том, как вы можете справиться с последствиями для отдельных лиц, в том числе объяснить, как они могут добиваться компенсации, если ситуация того требует.

Важно знать, что у вас могут быть дополнительные обязательства по уведомлению в соответствии с другими законами, если вы столкнетесь с утечкой личных данных. Например:

Если вы являетесь поставщиком услуг связи, вы должны уведомить ICO о любом нарушении личных данных в течение 24 часов в соответствии с Правилами конфиденциальности и электронных коммуникаций (PECR). Вам следует использовать нашу форму уведомления о нарушении PECR, а не процедуру GDPR. Пожалуйста, посетите наши страницы о PECR для получения более подробной информации.
Если вы являетесь поставщиком трастовых услуг в Великобритании, вы должны уведомить ICO о нарушении безопасности, которое может включать в себя нарушение личных данных, в течение 24 часов в соответствии с Положением об электронной идентификации и доверительных услугах (eIDAS).Вы можете использовать нашу форму уведомления о нарушении eIDAS или процесс сообщения о нарушениях GDPR. Однако, если вы сообщите нам об этом в соответствии с GDPR Великобритании, это все равно необходимо сделать в течение 24 часов. Пожалуйста, прочтите наше Руководство по eIDAS для получения дополнительной информации.
Если ваша организация является оператором основных услуг или поставщиком цифровых услуг, вы будете обязаны сообщать об инцидентах в соответствии с Директивой NIS. Они отделены от уведомления об утечке личных данных в соответствии с GDPR Великобритании. Если вы столкнулись с инцидентом, который также связан с утечкой личных данных, вам все равно нужно будет сообщить об этом в ICO отдельно, и вы должны использовать для этого процесс GDPR.

Вам также может потребоваться рассмотреть возможность уведомления третьих сторон, таких как полиция, страховые компании, профессиональные организации, банки или компании, выпускающие кредитные карты, которые могут помочь снизить риск финансовых потерь для физических лиц.

Европейский совет по защите данных, пришедший на смену WP29, одобрил Руководящие принципы WP29 по уведомлению о взломе персональных данных. Хотя Великобритания вышла из ЕС, эти рекомендации по-прежнему актуальны. Вы также должны знать о любых рекомендациях, выпущенных в соответствии с соответствующими кодексами поведения или отраслевыми требованиями, которым может подчиняться ваша организация.

Что произойдет, если мы не сможем уведомить ICO обо всех подлежащих уведомлению нарушениях?

Отказ уведомить ICO о нарушении, когда это потребуется, может привести к крупному штрафу в размере до 8,7 миллиона фунтов стерлингов или 2 процента от вашего глобального оборота. Штраф может быть объединен с другими корректирующими полномочиями ICO в соответствии со статьей 58. Важно убедиться, что у вас есть надежный процесс отчетности о нарушениях, чтобы гарантировать, что вы обнаруживаете и уведомляете нарушения вовремя и предоставляете необходимые подробности, если только нарушение личных данных вряд ли приведет к риску для прав и свобод субъектов данных.Если вы решите, что вам не нужно сообщать о нарушении, вы должны иметь возможность обосновать это решение, поэтому вам следует задокументировать его.

Разъяснения по вопросам уведомления об обработке персональных данных

Отправка Уведомления Оператора «без ошибок»

«О персональных данных». О заполнении Уведомления об обработке персональных данных ⁄ Тегульдетский район

Листовка. (7 102,98 КБ)

Методические рекомендации по заполнению форм уведомлений и инф. писем. (37,1 КБ)

Пример уведомления для органов МСУ (69,0 КБ)

Пример уведомления для учреждений образования (66,5 КБ)

Пример уведомления для ООО (ЗАО. ОАО и др.) (66,5 КБ)

Пример уведомления для инд. предпринимателей (60,0 КБ)

Пример уведомления для организаций в сфере (УК, ЖСК, ЖК, ТСЖ и др.) (64,5 КБ)

Уведомление о конфиденциальности третьих лиц

Цель и предмет настоящего Уведомления о конфиденциальности

Информация о вас, которую мы храним и обрабатываем

Подбор персонала

Правовая основа и цель обработки ваших личных данных (только для проживающих в ЕЭЗ)

Хранение и передача ваших персональных данных

Обмен данными

Ваши права

Информация на веб-сайте и файлы cookie

Изменения в этом уведомлении о конфиденциальности

Контактные данные

Роскомнадзор по Республике Коми напоминает о необходимости уведомления о намерении осуществлять обработку персональных данных

Закон о защите персональных данных

Один из главных вопросов:

Всем ли нужно регистрироваться в Роскомнадзоре?

Регистрация обязательна?

Реально ли избежать регистрации?

Политика обработки персональных данных — Иркутская область. Официальный портал

Арт. 33 GDPR — Уведомление надзорного органа о нарушении личных данных

Уведомление об обработке персональных данных

Как уведомить

Как сообщить о потере личных данных

Часто задаваемые вопросы о требованиях GDPR к уведомлению об утечке данных

1.Что считается «утечкой личных данных»?

2. Кто такие обработчики данных и контроллеры данных?

3. Когда необходимо уведомить надзорный орган и субъектов данных?

4. Каковы процедуры уведомления об утечке данных?

5. Что должно включать в себя уведомление об утечке данных?

6. Каковы размеры штрафов за несоблюдение?

7.Есть ли какие-то другие последствия помимо штрафов?

Рекомендации по созданию плана уведомления о нарушении GDPR

Примеры из практики: три недавних ошибки уведомления об утечке данных

1. Uber: Компания платит хакерам за сокрытие кражи 57 миллионов пользовательских записей.

Что случилось?

Какие данные были украдены?

Каков был результат утечки данных?

2. Yahoo: о крупнейшем взломе в истории не сообщалось в течение трех лет.

Что случилось?

Какие данные были украдены?

Каковы были последствия утечки данных?

3. eBay: Уведомление об утечке данных идет очень и очень неправильно.

Что случилось?

Какие данные были украдены?

Каковы были последствия утечки данных?

Заключение

Обработка персональных данных уполномоченных по защите данных

Цель обработки

Какие данные об уполномоченных по защите данных мы обрабатываем?

Наша обработка основана на

Раскрытие данных

Ваши права на защиту данных в отношении обработки персональных данных

Право на получение информации об обработке персональных данных

Право доступа

Право на исправление

Право на ограничение обработки

| Уполномоченный по защите данных

Первоначальное уведомление о нарушении

Самопровозглашенный рейтинг риска

Обновление существующего уведомления

Дополнительная информация

Уведомить о нарушении личных данных

Нарушение личных данных | ICO

Кратко

Контрольные списки

Подготовка к утечке персональных данных

Реагирование на нарушение личных данных

Вкратце

Что такое утечка личных данных?

Нарушение данных при оценке рисков

Когда нам нужно сообщить людям о взломе?