Политика обработки персональных данных 2020: Политика обработки персональных данных — СКБ Контур

Политика обработки персональных данных | Группа компаний ЦРТ

Редакция, действующая с 05 октября 2020 года

Настоящая Политика обработки и защиты персональных данных (далее – «Политика») принята и действует в Обществе с ограниченной ответственностью «Центр речевых технологий», расположенном по адресу: 194044, Российская Федерация, Санкт-Петербург, Выборгская набережная, д. 45, лит. Е, пом. 1Н, офис 133 (далее – «Компания»).

1. Общие положения

Компания может собирать и использовать персональные данные в следующих случаях:

• Вы используете сайт Компании, расположенный по адресу http://www.speechpro.ru (далее – «сайт»), с любого устройства или контактируете с Компанией в любой форме, в соответствии с данной Политикой.  Используя сайт и предоставляя Компании свои персональные данные, Вы даете согласие на обработку Ваших персональных данных в соответствии с настоящей Политикой;
• Вы обращаетесь к Компании с вопросом, направляете Компании свои комментарии, замечания или предложения (предоставляете такие данные, как имя, фамилия, контактная информация и содержание обращения). В этих случаях Вы контролируете предоставленные Компании персональные данные, и Компания будет использовать их исключительно для целей подготовки ответа на обращение и рассмотрения вопроса в установленном порядке. Упомянутые выше персональные данные могут включать фамилию, имя, отчество, наименование организации, номер телефона, адрес электронной почты и прочую деловую контактную информацию;
• Вы посещаете офисы Компании. Получение и обработка Ваших персональных данных необходимы Компании для соблюдения мер безопасности и обеспечения пропускного режима;
• Вы посещаете мероприятия Компании. При участии Вами в мероприятии Вы предоставляете нам данные, которые могут содержать фамилию, имя, отчество, наименование работодателя, занимаемую должность, номер телефона, адрес электронной почты и прочую деловую контактную информацию.
• Компания оказывает услуги/выполняет работы/поставляет товары/предоставляет лицензии своим клиентам. В соответствии с Политикой Компания осуществляет сбор только тех персональных данных, которые необходимы для указанных целей, Компания просит своих клиентов предоставлять персональные данные только в том случае, если это необходимо для достижения указанных целей. Компания использует полученные данные исключительно для взаимодействия с клиентами в отношении оказания услуг/выполнения работ/поставки товаров/предоставления лицензий своим клиентам. При возникновении необходимости в обработке персональных данных для оказания услуг/выполнения работ/ поставки товаров/предоставления лицензий Компания просит своих клиентов получить согласие соответствующего лица и предоставляет необходимую информацию субъектам персональных данных об использовании их данных.

  Обработка персональных данных лиц, с которыми Компания контактирует (существующих и потенциальных клиентов Компании и (или) лиц, связанных с ними) осуществляется с использованием систем управления отношениями с клиентами (далее – «CRM-система»).
  Сбор персональных данных лиц, с которыми Компания контактирует, и внесение этих персональных данных в CRM-систему совершаются по инициативе сотрудника Компании, являющегося ответственным за такое взаимодействие. Такие данные могут включать фамилию, имя, отчество, наименование работодателя, занимаемую должность, номер телефона, адрес электронной почты и прочую деловую контактную информацию.

• Компания покупает услуги/товары/работы и управляет своими отношениями с поставщиками и исполнителями, вступает с ними в договорные отношения и получает от них услуги/товары/работы. Компания использует полученные от своих поставщиков/исполнителей персональные данные исключительно в тех случаях, когда это необходимо для взаимодействия с контрагентом по вопросам приобретения Компанией товаров/работ/услуг. Такие данные включают фамилию, имя, отчество, наименование работодателя, занимаемую должность, номер телефона, адрес электронной почты и прочую деловую контактную информацию.

2. Основные понятия

Персональные данные – любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3. Правовые основания для обработки персональных данных

 Правовым основанием обработки персональных данных Компанией являются:

• Договоры, заключаемые Компанией с ее клиентами, поставщиками, заказчиками, исполнителями и т. д.;
• Согласия, получаемые от субъектов персональных данных.

4. Принципы обработки персональных данных

• Обработка персональных данных осуществляется на законной основе;
• Обработке подлежат только персональные данные, которые отвечают целям их обработки;
• Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
• Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
• Компания принимает все необходимые меры для обеспечения безопасности персональных данных при их обработке;
• Компания соблюдает права и законные интересы субъектов персональных данных и обеспечивает их защиту при обработке персональных данных;

5. Данные, которые собираются Компанией

Компания может собирать следующие типы данных:

• персональные данные, которые Вы предоставляете Компании при заполнении информационных полей на сайте Компании, в том числе при заполнении контактной формы, при подписке на новостную рассылку, при регистрации на мероприятия;
• персональные данные и другую информацию, содержащуюся в сообщениях, которые Вы направляете Компании;
• сведения из социальных сетей: посты, лайки, твиты и прочие виды взаимодействия с Компанией в социальных сетях;
• технические данные, которые автоматически передаются устройством, с помощью которого Вы используете сайт Компани и, в том числе технические характеристики устройства, IP-адрес, информацию, сохраненную в файлах cookies, которые были отправлены на Ваше устройство, информацию о браузере, дате и времени доступа к сайту, адреса запрашиваемых страниц и иную подобную информацию. Для получения дополнительной информации об использовании файлов cookies ознакомьтесь с «Политикой использования cookie-файлов»;
• сведения о поставщиках, исполнителях и иные сведения о компаниях/организациях, если они оказывают услуги/выполняют работы/поставляют товары Компании;
• персональные данные, которые Вы предоставляете при посещении офисов Компании;
• Компания обрабатывает обезличенные данные о посещаемости сайта, которые не позволяют идентифицировать конкретного посетителя страницы сайта, при помощи таких инструментов как Яндекс.Метрика и Google Аналитика;

6. Цели обработки персональных данных

Компания может обрабатывать Ваши персональные данные исключительно для тех целей, для которых они были предоставлены, в том числе:

• предоставления Вам информации о Компании, услугах/работах/товарах и программном обеспечении Компании, а также мероприятиях, проводимых Компанией;
• реагирования на Ваши обращения и предоставления ответов на запросы;
• организации Вашего участия в проводимых Компанией мероприятиях;
• направления Вам новостных материалов Компании;
• предоставления или получения услуг, выполнения работ, предоставления лицензий;
• для других целей с вашего согласия.

Компания обрабатывает технические данные для:

• обеспечения функционирования и безопасности сайта Компании;
• улучшения качества сайта Компании.

Компания не размещает Ваши персональные данные в общедоступных источниках, не принимает решений, порождающих для Вас юридические последствия или иным образом затрагивающих Ваши права и законные интересы на основании исключительно автоматизированной обработки персональных данных.

7. Права субъекта персональных данных

Для Компании важным условием является обеспечение защиты прав и свобод субъекта персональных данных в сфере персональных данных.
Чтобы обеспечить защиту Ваших прав и свобод, по Вашему запросу Компания:

• предоставит Вам информацию, о факте обработки персональных данных, правовых основаниях и целях обработки, сроках и способах обработки, источнике получения и составе обрабатываемых Компанией персональных данных, а также предоставит Вам возможность с ними ознакомиться в течение 30 (тридцати) дней с даты получения запроса, направленного по адресу электронной почты Компании info@speechpro. com;
• по Вашему запросу, направленному по адресу электронной почты Компании [email protected], Компания внесет изменения в Ваши персональные данные, если вы подтвердите, что они неполные, неточные или неактуальные, в течение 7 (семи) рабочих дней с даты получения такого подтверждения и уведомит о внесенных изменениях;
• исключит Вас из рассылки новостных, продуктовых и иных материалов Компании, получив от Вас соответствующий запрос, направленный по адресу электронной почты Компании [email protected];
• прекратит обработку Ваших персональных данных в течение 30 (тридцати) дней с момента получения отзыва согласия на такую обработку, если у Компании не будет иных правовых оснований для обработки Ваших персональных данных, предусмотренных законодательством Российской Федерации. Отзыв согласия может быть направлен Компании с темой письма «Отзыв согласия на обработку персональных данных» по адресу электронной почты Компании [email protected] или по адресу Компании: 194044, Российская Федерация, Санкт-Петербург, Выборгская набережная, д. 45, лит. Е, пом. 1Н, офис 133. Компания также прекратит обработку Ваших персональных данных, если будет подтверждено, что такие данные обрабатываются Компанией неправомерно;
• уничтожит Ваши персональные данные, если будет подтверждено, что они получены незаконно или не соответствуют заявленным целям обработки, в течение 7 (семи) рабочих дней с даты получения соответствующего подтверждения.

Компания уведомит Вас обо всех мерах, предпринятых Компанией, на основании Ваших запросов.

8. Трансграничная передача персональных данных

Компания не осуществляет трансграничную передачу Ваших персональных данных. Однако, в случае возникновения необходимости трансграничной передачи Ваших персональных данных, Компания сообщит о такой предполагаемой трансграничной передача Ваших персональных данных.

9. Контактные данные Компании

По любым вопросам, запросам и жалобам, связанным с обработкой Компанией Ваших персональных данных, Вы можете обратиться к Компании, направив письмо на адрес электронной почты Компании info@speechpro. com или по адресу: 194044, Российская Федерация, Санкт-Петербург, Выборгская набережная, д. 45, лит. Е, пом. 1Н, офис 133. Компания оставляет за собой право запросить дополнительную информацию, касающуюся Вашего запроса, необходимую для подготовки ответа Вам.

10. Сроки, порядок передачи персональных данных и место обработки данных

Компания может передать персональные данные третьим лицам только при наличии для этого законных оснований. При передаче данных третьим лицам Компания заключает соответствующие договоры, а также использует необходимые механизмы безопасности для защиты данных и соблюдения принятых в практике стандартов безопасности, конфиденциальности и защиты.
Компания может передавать хранящиеся у нее персональные данные:

• Компаниям, входящим в группу компаний ЦРТ;
• Сторонним организациям, предоставляющим Компании приложения, функциональные возможности, услуги по обработке данных или ИТ-услуги;
• Компания привлекает сторонние организации, которые оказывают услуги и предоставляют Компании внутренние ИТ-системы, обеспечивают их работу, например, поставщики информационных технологий, облачного программного обеспечения, услуг в сфере хостинга веб-сайтов и управления ими. Серверы, обеспечивающие работу облачной инфраструктуры, размещаются в безопасных центрах обработки данных в Российской Федерации;
• Аудиторам и другим профессиональным консультантам;
• Правоохранительным и другим государственным и регулирующим органам, а также другим сторонним организациям и лицам в соответствии с требованиями действующего законодательства и нормативно-правовых актов.

11. Безопасность персональных данных

Компания будет хранить персональные данные в строгом соответствии с физическими, техническими и административными мерами безопасности. Однако передача информации через Интернет не является полностью безопасной. Несмотря на то, что Компания принимает все разумно обоснованные меры для защиты персональных данных, Компания не может гарантировать полную безопасность информации, передаваемой таким образом, и любая передача осуществляется на Ваш собственный риск.
В Компании приняты локальный нормативные акты, регламентирующие работу сотрудников с персональными данными. Сотрудники, имеющие доступ к персональным данным, ознакомлены с такими локальными нормативными актами, а также с настоящей Политикой.

12. Прекращение обработки персональных данных

Обработка Ваших персональных данных будет прекращена в следующих случаях:

• при наступлении условий прекращения обработки персональных данных или по истечении установленных сроков;
• по достижении целей их обработки либо в случае утраты необходимости в достижении этих целей;
• по Вашему требованию, если обрабатываемые персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
• в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки невозможно;
• по истечении срока действия Вашего согласия на обработку персональных данных или в случае отзыва Вами такого согласия, если для обработки персональных данных не будет иных правовых оснований, предусмотренных законодательством Российской Федерации;
• в случае ликвидации Компании.

13. Изменение Политики

Компания оставляет за собой право обновлять Политику по мере необходимости. Компания рекомендует Вам периодически проверять актуальность данной Политики. Продолжая пользоваться сайтом Компании после изменения Политики, Вы подтверждаете свое согласие с внесенными изменениями.

Вы можете направить любые вопросы, касающиеся данной Политики, по адресу электронной почты Компании [email protected] или по адресу Компании: 194044, Российская Федерация, Санкт-Петербург, Выборгская набережная, д. 45, лит. Е, пом. 1Н, офис 133.

Политика обработки персональных данных – ЖИРОК

1. Общие положения

Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» (далее – Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ООО «СЧАСТЬЕ 2020» (далее – Оператор).

1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://zhirok.moscow.

1.3. Вся информация на сайте является публичной офертой.

 

2. Основные понятия, используемые в Политике

2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://zhirok. moscow.

2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.

2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.

2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://zhirok.moscow.

2.9. Персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее – персональные данные, разрешенные для распространения).

2.10. Пользователь – любой посетитель веб-сайта https://zhirok.moscow.

2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.12. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

2.14. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.

3. Основные права и обязанности Оператора

3.1. Оператор имеет право:

– получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;

– в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;

– самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.

3.2. Оператор обязан:

– предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;

– организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;

– отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;

– сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса;

– публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;

– принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

– прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;

– исполнять иные обязанности, предусмотренные Законом о персональных данных.

4. Основные права и обязанности субъектов персональных данных

4.1. Субъекты персональных данных имеют право:

– получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

– требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

– выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;

– на отзыв согласия на обработку персональных данных;

– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;

– на осуществление иных прав, предусмотренных законодательством РФ.

4.2. Субъекты персональных данных обязаны:

– предоставлять Оператору достоверные данные о себе;

– сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

4.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

5. Оператор может обрабатывать следующие персональные данные Пользователя

5.1. Фамилия, имя, отчество.

5.2. Электронный адрес.

5.3. Номера телефонов.

5.4. Год, месяц, дата и место рождения.

5.5. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).

5.6. Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные.

5.7. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

5.8. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в ч. 1 ст. 10 Закона о персональных данных, допускается, если соблюдаются запреты и условия, предусмотренные ст. 10.1 Закона о персональных данных.

5.9. Согласие Пользователя на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Закона о персональных данных. Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных.

5.9.1 Согласие на обработку персональных данных, разрешенных для распространения, Пользователь предоставляет Оператору непосредственно.

5.9.2 Оператор обязан в срок не позднее трех рабочих дней с момента получения указанного согласия Пользователя опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.

5.9.3 Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Оператором, которому оно направлено.

5.9.4 Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления Оператору требования, указанного в п. 5.9.3 настоящей Политики в отношении обработки персональных данных.

6. Принципы обработки персональных данных

6.1. Обработка персональных данных осуществляется на законной и справедливой основе.

6.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

6.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

6.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

6.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.

6.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

6. 7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7. Цели обработки персональных данных

7.1. Цель обработки персональных данных Пользователя:

– предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте https://zhirok.moscow.

7.2. Также Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты an. [email protected] с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».

7.3. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания. 

8. Правовые основания обработки персональных данных

8.1. Правовыми основаниями обработки персональных данных Оператором являются:

– перечислите нормативно-правовые акты, регулирующие отношения, связанные с вашей деятельностью, например, если ваша деятельность связана с информационными технологиями, в частности с созданием сайтов, то здесь можно указать Федеральный закон “Об информации, информационных технологиях и о защите информации” от 27.07.2006 N 149-ФЗ;

– уставные документы Оператора;

– договоры, заключаемые между оператором и субъектом персональных данных;

– федеральные законы, иные нормативно-правовые акты в сфере защиты персональных данных;

– согласия Пользователей на обработку их персональных данных, на обработку персональных данных, разрешенных для распространения.

8.2. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://zhirok.moscow или направленные Оператору посредством электронной почты. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.

8.3. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).

8.4. Субъект персональных данных самостоятельно принимает решение о предоставлении его персональных данных и дает согласие свободно, своей волей и в своем интересе.

9. Условия обработки персональных данных

9.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

9.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

9.3. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

9.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

9.5. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

9.6. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – общедоступные персональные данные).

9.7. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

10. Порядок сбора, хранения, передачи и других видов обработки персональных данных

Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.

10.1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.

10.2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.

10.3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора [email protected] с пометкой «Актуализация персональных данных».

10.4. Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством.
Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора [email protected] с пометкой «Отзыв согласия на обработку персональных данных».

10.5. Вся информация, которая собирается сторонними сервисами, в том числе платежными системами, средствами связи и другими поставщиками услуг, хранится и обрабатывается указанными лицами (Операторами) в соответствии с их Пользовательским соглашением и Политикой конфиденциальности. Субъект персональных данных и/или Пользователь обязан самостоятельно своевременно ознакомиться с указанными документами. Оператор не несет ответственность за действия третьих лиц, в том числе указанных в настоящем пункте поставщиков услуг.

10.6. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ.

10.7. Оператор при обработке персональных данных обеспечивает конфиденциальность персональных данных.

10.8. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

10.9. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.

11. Перечень действий, производимых Оператором с полученными персональными данными

11.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

11.2. Оператор осуществляет автоматизированную обработку персональных данных с получением и/или передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.

12. Трансграничная передача персональных данных

12.1. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.

12.2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.

13. Конфиденциальность персональных данных

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

14. Заключительные положения

14.1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты [email protected].

14.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.

14.3. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://zhirok.moscow.

Gartner заявляет, что к 2023 году 65% населения мира будут иметь свои личные данные, подпадающие под действие современных правил конфиденциальности

Gartner заявляет, что к 2023 году 65% населения мира будут иметь свои личные данные, подпадающие под действие современных правил конфиденциальности

Аналитики исследуют будущее конфиденциальности на виртуальном саммите Gartner Security & Risk Management Summit, 14–17 сентября.

По данным Gartner, Inc., к 2023 г. 65% населения мира будут иметь свои личные данные, подпадающие под действие современных правил конфиденциальности, по сравнению с 10% в 2020 г.

«Поскольку все больше стран вводят современные законы о конфиденциальности в том же ключе, что и Общий регламент по защите данных (GDPR), мир достиг порога, когда европейская базовая линия для обработки личной информации теперь является глобальным стандартом де-факто», — сказал Надер Хенейн, вице-президент по исследованиям в Gartner. «Законодатели вводят новые законы о конфиденциальности, которые стремятся к паритету с GDPR. Эти правила позволяют целым странам приблизиться на один шаг к достижению соответствия требованиям ЕС, где их местные предприятия могут извлечь выгоду из более крупного рынка с их новым «доверенным» статусом».

Аналитики Gartner представили эти результаты на саммите Gartner Security & Risk Management Summit 2020, который пройдет виртуально в Америке и регионе EMEA до четверга.

Хотя некоторые организации сосредоточили внимание на оптимизации затрат во время глобальной пандемии COVID-19, крайне важно, чтобы они учитывали требования быстро меняющегося ландшафта конфиденциальности в стратегии обработки данных своего бизнеса. «Лидеры в области управления безопасностью и рисками (SRM) должны помочь своей организации адаптировать свои методы обработки персональных данных, не подвергая бизнес убыткам из-за штрафов или репутационного ущерба».

Руководители

SRM должны внедрить ключевые возможности, которые поддерживают увеличение объема, разнообразия и скорости передачи персональных данных, внедрив трехэтапную программу обеспечения конфиденциальности на основе технологий: создание, поддержка и развитие (см. рис. 1).

Рисунок 1: Трехэтапная программа обеспечения конфиденциальности на основе технологий

Источник: Gartner (сентябрь 2020 г.)

Этап установки включает основные возможности программы управления конфиденциальностью. Они необходимы для любой организации, работающей с клиентами, которая обрабатывает личную информацию. К ним относятся обнаружение и обогащение, которые позволяют организациям создавать и поддерживать реестры рисков для конфиденциальности.

Этап обслуживания позволяет организациям масштабировать свои программы управления конфиденциальностью. Возможности сосредоточены на текущем администрировании и управлении ресурсами. К ним относятся расширение реагирования на инциденты для устранения утечек личных данных, а также автоматизация оценки воздействия на конфиденциальность.

Этап Evolution включает в себя специализированные инструменты, направленные на снижение рисков для конфиденциальности практически без влияния на полезность данных. Одна из наиболее популярных возможностей позволяет организациям извлекать информацию о своих потребителях из больших пулов данных, не подвергая их чрезмерному риску конфиденциальности. Это было критически важной функцией для маркетинговых команд.

Клиенты Gartner могут узнать больше в отчете «Состояние конфиденциальности и защиты персональных данных, 2020–2022».

О саммите Gartner Security & Risk Management Summit

Саммит Gartner Security & Risk Management Summit 2020 объединяет лиц, принимающих решения в области безопасности, рисков и управления идентификацией и доступом (IAM), которые стремятся адаптировать и развивать свою организацию в условиях сбоев и неопределенности, управлять рисками и расставлять приоритеты для инвестиций. Следите за новостями с саммита Gartner Security & Risk Management Summit в отделе новостей Gartner, Smarter With Gartner, в Twitter с помощью #GartnerSEC, Instagram и LinkedIn.

Новый законопроект Индии о защите данных представляет собой смешанный пакет для конфиденциальности

Парламент Индии опубликовал свой законопроект о защите цифровых персональных данных, который является вторым принятием всеобъемлющего закона о конфиденциальности данных после того, как правительство отозвало свой законопроект о защите персональных данных в начале этого года. Текущий проект короче, чем предыдущий законопроект, хотя во многом он состоит из тех же компонентов.

Индийские политики также распространили комментарии к законопроекту, которые не были опубликованы, но которые я обсуждаю здесь. Важно отметить, что новый законопроект предлагает смешанный пакет для конфиденциальности — с некоторыми требованиями к компаниям получать индивидуальное «согласие», исправлять неточные личные данные и защищать права на данные наряду с положениями о доступе к государственным данным. Этот анализ не является всеобъемлющим, но выделяет некоторые ключевые моменты в законодательстве, которые представляют собой важное событие в глобальном регулировании данных.

Идея «согласия»

Как и в случае со старым законопроектом, Закон о защите цифровых персональных данных требует, чтобы организации, обрабатывающие данные (которые в нем называются «фидуциариями данных»), получали «согласие» от лиц, о которых они обрабатывают данные. . Когда человек дает свое «согласие», говорится в законопроекте, организация должна предоставить этому лицу «подробное уведомление четким и простым языком», в котором описаны собранные данные и цель, для которой они обрабатываются, «как только они разумно осуществимо». Законопроект также предлагает, чтобы люди могли отозвать свое «согласие» на обработку данных организациями, после чего соответствующая организация должна прекратить это делать.

Это понятие согласия нарушено, и оно не является специфичным для Индии. Американские и европейские компании и политики продвигают одну и ту же идею. Люди не читают соглашения об условиях обслуживания, а компании, которые демонстрируют длинный документ с недоступным юридическим языком — ожидая, пока люди просто нажмут «принять», — знают, что пользователи не читают и не понимают этот документ.

Это противоречит самому понятию согласия.

Точно так же люди не читают политику конфиденциальности, однако многие веб-сайты и приложения буквально утверждают, что просмотр веб-сайта или открытие приложения само по себе означает согласие с их политикой конфиденциальности. Кроме того, согласие не дается полностью и свободно в мире, в котором граждане, в том числе граждане Индии, не могут получить доступ к основным услугам, не подвергая себя сбору данных. Тем не менее формулировка нового законопроекта о согласии ставит Индию относительно в том же направлении, что и положения о «согласии» в законах штата о конфиденциальности США и Общем регламенте по защите данных в Европейском союзе.

Сбор государственных данных исключен

Законопроект еще больше ослабляет понятие согласия, указывая многочисленные исключения, в том числе многие исключения для правительства Индии. В то время как некоторые из них, возможно, более разумны, другие создают риски для конфиденциальности граждан Индии и вызывают сложные юридические вопросы для компаний и организаций, работающих в Индии.

Считается, что в последнем проекте публичного законопроекта лица дали согласие, если обработка данных «необходима» для «выполнения какой-либо функции в соответствии с законом», «для выполнения любого судебного решения или приказа, изданного в соответствии с любым законом, «для реагирования на неотложную медицинскую помощь, связанную с угрозой жизни или непосредственной угрозой здоровью [физического лица] или любого другого лица», и «для принятия мер по обеспечению безопасности или оказанию помощи или услуг любому лицу во время любое бедствие или любое нарушение общественного порядка», среди прочего. Это также исключит ситуации, в которых «обоснованно ожидается», что кто-то добровольно предоставит организации свои личные данные, обработку «общедоступных личных данных» и оценку кредитоспособности.

Хотя некоторые из этих исключений могут показаться разумными на первый взгляд (например, кредитный скоринг), многие из них вызывают серьезные опасения с точки зрения конфиденциальности и гражданских прав. Правительство премьер-министра Индии Нарендры Моди часто делало ложные заявления об угрозах общественной безопасности и приказах подавить протесты и инакомыслие. Власти также использовали такие же сомнительные, но основанные на общественном порядке заявления о том, что юридически и риторически оправдывают отключение интернета больше раз, чем в любой другой стране мира. В аналогичной форме нынешняя формулировка законопроекта позволит собирать данные на основе «общественных интересов», определяемых чрезвычайно широко и включающих интересы суверенитета и целостности Индии, государственной безопасности, дружественных отношений с иностранными государствами, поддержания общественного порядка, предотвращения подстрекательства. любой из вышеупомянутых действий (например, подрыв общественного порядка) и предотвращение распространения «ложных заявлений о фактах».

Правительство Моди едва ли единственное правительство в номинально демократической стране, занимающееся откровенно недемократическими методами. Тем не менее, предложение о невероятно широком исключении правительственных данных в законопроекте расширит возможности государственного надзора за счет конфиденциальности и гражданских прав граждан Индии. Это также заставит компании и организации, работающие в Индии, постоянно решать еще более сложный набор юридических вопросов, связанных с расширенным доступом правительства к данным.

В связи с этим, это всего лишь один из компонентов более широкой попытки правительства Моди подорвать шифрование и усилить его способность принуждать технологические компании.

Локализация данных

Самым спорным элементом старого Закона о защите персональных данных, вероятно, были его требования к локализации данных. Эти положения требовали бы, чтобы организации, располагающие личными данными граждан Индии, хранили эту информацию в стране, в некоторых случаях просто в виде копии, а в других случаях полностью предотвращая передачу за границу. Разные индийские политики хотели ввести эти требования по целому ряду причин, в том числе для возложения расходов на иностранные компании, развития индустрии хранения данных в Индии, усиления надзора правительства Индии за хранением данных, касающихся граждан Индии, и, как некоторые считали, позволить улучшение доступа индийских правоохранительных органов к имеющим отношение к преступлениям данным, хранящимся в американских компаниях, которые в настоящее время менее чем доступны из-за нарушенного процесса договора о взаимной правовой помощи.

Новый законопроект отходит от упора на локализацию. Вместо того, чтобы требовать локального хранения данных как таковых, он предлагает разрешить правительству Индии оценивать режимы защиты данных зарубежных стран, а затем сертифицировать их как достаточные для предоставления мест назначения для данных граждан Индии. В частности, в нем говорится: «Центральное правительство может после оценки таких факторов, которые оно сочтет необходимым, уведомить такие страны или территории за пределами Индии, в которые доверенное лицо может передавать личные данные, в соответствии с такими условиями, которые могут быть указано».

Иностранные компании наверняка обрадуются этому изменению. Чаще всего их жалобы на локализацию данных сводились к затратам — нежеланию платить за технические изменения и техническую инфраструктуру для локального хранения данных в Индии, а также к другим юридическим и организационным издержкам. Но есть и другие проблемы, связанные с локализацией данных, в том числе затраты на климатические выбросы из-за дублирования инфраструктуры хранения данных и риски кибербезопасности при хранении еще одной копии информации, когда раньше их было на одну меньше.

Это дает как минимум несколько причин, по которым индийское правительство отказывается от строго контролируемого режима локализации данных.

Другие идеи в стадии обсуждения

Действующая редакция законопроекта на сайте Министерства электроники и информационных технологий Индии не распространяется на «неавтоматизированную обработку персональных данных», «офлайновые персональные данные», «персональные данные, обрабатываемые физическим лицом для любых личных или бытовых целей», и «личные данные о физическом лице, содержащиеся в записи, которая существует не менее 100 лет».

Интересно, что одна размеченная версия законопроекта, которую я просматривал, — изменения которой не отражены в текущем онлайн-проекте, — содержала предложение также исключить «анонимные персональные данные», которые «принадлежат центральному правительству или правительству штата, в зависимости от предмет, к которому относятся данные» из законопроекта. Он также содержал поправку, в которой прямо использовалась фраза «свободный поток данных с доверием» для описания положений об одобрении правительством Индии передачи и хранения данных за границу.

The Economic Times сообщает в том же духе, что в следующей итерации законопроекта правительство Индии определит «надежные» географические регионы, в которые фидуциары данных могут передавать и хранить данные, относящиеся к гражданам Индии.

Первое — (здесь, было) плохое предложение. В Соединенных Штатах федеральные законодатели и законодатели штатов продолжают исключать «анонимизированные» или «деидентифицированные» данные из законов и законопроектов о конфиденциальности, ложно полагая, что такие термины технически значимы. Многочисленные исследования показали, насколько легко связать предположительно «деидентифицированные» или «анонимизированные» данные с реальными людьми, учитывая достижения в статистическом анализе данных, огромный объем данных в современном мире и доступ компаний к точкам данных, которые удивительно уникальные для отдельных лиц, такие как история геолокации или шаблоны подключения устройства к Wi-Fi.

Тем не менее, законодатели продолжают включать эти вырезки в законы, в том числе потому, что компании продвигают фиктивную линию о том, что «анонимизация» реальна. Будем надеяться, что парламент Индии не попадет в ту же ловушку. Ценны новые методы, позволяющие лучше защитить конфиденциальность данных и в то же время позволяющие организациям их обрабатывать, такие как дифференциальная конфиденциальность. Лучший путь вперед — признать, что существует целый спектр возможностей связывать данные с людьми по имени или другому четкому индивидуальному идентификатору, а полная «анонимизация» — это миф.

Второе предложение в разметке неопубликованного законопроекта, которое я рассмотрел, — фраза «бесплатный поток данных с доверием» — является отсылкой к инициативе «Свободный поток данных с доверием», которую возглавило правительство Японии на встрече G-20 в 2019 году в Осаке. В то время в нем описывалось общее мнение о том, что страны заинтересованы в разрешении свободного обмена данными между собой, но с некоторыми гарантиями. Нью-Дели отказался подписать первоначальное соглашение о бесплатном потоке данных с доверием в 2020 году — расплывчатое заявление о продолжении сотрудничества в рамках «бесплатного потока данных с доверием», — потому что он считал, что усилия слишком ориентированы на страны с высокими ресурсами. Министр торговли и промышленности Индии тогда заявил, что «учитывая огромный цифровой разрыв между странами, существует потребность в политическом пространстве для развивающихся стран, которым еще предстоит доработать законы, касающиеся цифровой торговли и данных. Данные — это мощный инструмент для развития, и равный доступ к данным является для нас критическим аспектом».

По мере того, как правительства расширяют свои правила в отношении потоков данных, переход Индии от акцента на локализацию к сосредоточению внимания на надежных географических регионах объединяет Индию с некоторыми из этих усилий, оставляя при этом пространство для политиков, чтобы выработать так называемый четвертый способ управление данными, направленное на страны глобального юга. Примечательно, что Индия также берет на себя председательство в G-20, а это означает, что свободный поток данных с подходом, основанным на доверии, может дать стране влиятельную позицию для проведения глобальных дискуссий о данных в следующем году.

Заключение

О последней попытке всестороннего регулирования данных в Индии развернулись интенсивные дебаты, в том числе среди политиков Индии, политиков США, американских технологических компаний и представителей гражданского общества в Индии. Несомненно, подобные дебаты вокруг нового законодательства будут продолжаться.

Есть также множество других проблем и вопросов, поднятых в предложении, которые заслуживают более глубокого анализа и обсуждения — гораздо больше, чем описано в этой статье. На данный момент, однако, ясно, что Индия намерена установить свой флаг в регулировании данных, и что там, где речь идет о «надежных географических регионах», у правительства США есть много возможностей для продуктивного участия.

Джастин Шерман ( @jshermcyber ) является научным сотрудником Cyber ​​Statecraft Initiative Атлантического совета. Он также был членом Целевой группы по цифровой экономике США и Индии Центра AC в Южной Азии и возглавлял ее рабочую группу

по политике в отношении данных США и Индии.

No related posts.