Политика обработки персональных данных образец с 2020: Политика обработки персональных данных для сайта — образец, генератор

Разное 

Содержание

Положение о персональных данных работников — образец 2022 года

Положение о персональных данных работников — образец 2022 года вы найдете в этой статье — должно быть обязательно включено в структуру кадрового документооборота фирмы, имеющей наемных сотрудников. Каковы нюансы составления этого источника? Для чего нужно положение о работе с персональными данными работников? Рассмотрим ответы на эти и другие вопросы, а также приведем образец заполнения такого положения.

Есть вопросы, какие кадровые документы должны быть оформлены в обязательном порядке, как их вести и заполнять? Задайте их на нашем форуме. Например, здесь можно узнать, чем грозит отсутствие согласия на обработку данных.

Что такое персональные данные

Под персональными данными принято понимать любую информацию, относящуюся к человеку — субъекту, определяемому прямо либо косвенно согласно критериям закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

Данные о человеке попадают под юрисдикцию закона № 152-ФЗ в том случае, если находятся в распоряжении оператора персональных данных или подлежат обработке с его участием (п.  1 ст. 1 закона № 152-ФЗ). Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений.

Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в «КонсультантПлюс». Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото, например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Получите бесплатный доступ к К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.

Как составить согласие на обработку персональных данных, смотрите здесь.

См. также «Пропуск с фото может повлечь штраф за персональные данные».

Для чего нужно положение о работе с персональными данными

Нормы ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ предписывают работодателям регламентировать операции с персональными данными своих работников — посредством издания документов, определяющих политику предприятия в области персональных данных, локальных актов по вопросам обработки данных. При этом соответствующие документы и акты должны определять (для каждой цели обработки данных):

  • категории и перечни данных;
  • категории субъектов, в отношении которых осуществляется обработка персональных данных;
  • способы, сроки обработки, хранения данных;
  • порядок уничтожения данных при достижении целей осуществления их обработки либо при появлении иных законных оснований.

Документы и акты не могут включать норм, ограничивающих прав субъектов данных, так же, как и возлагающих на предприятие полномочия и обязанности, что не предусмотрены законом.

Отметим, что в действующих федеральных источниках права, четко не определено, каким именно образом данная обязанность должна выполняться. На практике это чаще всего осуществляется посредством разработки и утверждения фирмой внутрикорпоративного положения о персональных данных нанятых работников.

ВАЖНО! С 1 сентября 2022 года у операторов персональных данных появилась новая обязанность — уведомление Роскомнадзора об установлении фактов неправомерной или случайной утечки персональных данных в течение 24 часов после инцидента (ч. 3.1 ст. 21 закона № 156-ФЗ в редакции, действующей с 01.09.2022).

Узнайте больше из специального материала о новых обязанностях операторов персональных данных.

Является ли положение о персональных данных обязательным для работодателя документом? Ответ на этот вопрос дали эксперты «КонсультантПлюс». Получите пробный доступ к системе и переходите в материал.

Положение о персональных данных работников: структура документа

Рассматриваемый документ содержит локальные нормы, определяющие:

  • цели и задачи фирмы при работе с персональными данными;
  • перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
  • описание операций с данными, практикуемых компанией;
  • способы доступа к данным, используемые в фирме;
  • обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
  • права сотрудников фирмы на приобретение санкционированного доступа к данным;
  • правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.

Персональные данные без штрафов Время прохождения около 5 мин. Пройти тест

Исходя из отмеченного перечня норм, положение об обработке персональных данных работников может быть представлено следующими ключевыми разделами:

  • устанавливающим общие положения документа;
  • фиксирующим критерии выделения персональных данных из массива информации, задействуемой в документообороте и на иных участках внутрикорпоративных коммуникаций;
  • определяющим перечень ключевых операций с персональными данными;
  • регламентирующим осуществление соответствующих операций;
  • определяющим порядок доступа работников фирмы и иных лиц к данным;
  • устанавливающим обязанности сотрудников, участвующих в операциях с данными;
  • устанавливающим права сотрудников компании в части получения доступа к таким данным и осуществления необходимых операций с ними;
  • определяющим механизмы ответственности сотрудников фирмы за нарушения локальных норм и положений законодательства РФ, регламентирующих операции с персональными данными.

Положение о внутрикорпоративных операциях с персональными данными должен заверить руководитель фирмы. С копией этого документа обязаны ознакомиться все сотрудники под расписку (подп. 6 п. 1 ст. 18.1 закона № 152-ФЗ).

Эксперты «КонсультантПлюс» подробно разъяснили специфику обработки персональных данных работников предприятия. Получите пробный доступ к публикации на данную тему бесплатно.

Где можно скачать образец положения об обработке персональных данных работников

Загрузить актуальный для 2022 года образец внутрикорпоративного положения об операциях с подобными данными вы можете на нашем портале. Для вас доступен источник, соответствующий структуре, рассмотренной нами выше.

Скачать образец

Итоги

Каждая фирма, имеющая статус оператора персональных данных (таковыми являются все работодатели), обязана утвердить локальный правовой акт, который регламентирует операции с подобными данными. Чаще всего таким локальным актом становится положение, утверждаемое генеральным директором фирмы.

Ознакомиться с прочими аспектами кадрового документооборота вы можете в статьях:

  • «Воинский учет в организации — пошаговая инструкция»;
  • «Какой срок хранения документов в архиве организации».

Источники:

  • Федеральный закон от 27.07.2006 № 152-ФЗ
  • Трудовой кодекс РФ

Обработка персональных данных: образцы всех документов 2022

В 2022 году согласие на обработку персональных данных работников нужно собирать с учетом новшеств в законодательстве. Что изменилось для работодателей? Какой теперь использовать бланк согласия на обработку персональных данных? Нужно ли оформлять согласие на распространение персональных данных сотрудников? Какие вообще работодателю нужны документы для работы с персональными данными? Поясним,  покажем бланки для работодателей и образцы согласия на обработку персональных данных для работников в 2022 году.

Работодатель – оператор персональных данных

Защита и обработка персональных данных регулируется Федеральным законом <О персональных данных> от 27.07.2006 N 152-ФЗ.

Персональные данные люди передают многим юридическим лицам (например, банкам, магазинам или салонам красоты).

Работодатель также признается оператором персональных данных. Однако уведомлять об их обработке Роскомнадзор не надо, поскольку данные используются только в рамках трудовых отношений (ст. ст. 3, 22 Закона N 152-ФЗ). Вместе с этим, на работодателе лежит ответственность за корректную организацию системы обработки и защиты персональных данных своих сотрудников.

Работодателю можно получать от сотрудников только те персональные данные, которые позволяет обрабатывать закон (ч. 1 ст. 86 ТК). Например, Ф. И. О., дату рождения и адрес можете запрашивать у любого сотрудника. Поскольку без этой информации не сможете принять его на работу. Если по должности обязательно образование, можете обрабатывать данные диплома или аттестата сотрудника.

А если для работы нужен медосмотр, сможете также запросить информацию о состоянии его здоровья (ст. 213 ТК).

Полный список документов с видами персональных данных, которые они содержат, смотрите в таблице.

Положение о защите персональных данных в 2022 году

Чтобы учесть все новшества законодательства о персональных данных в 2022 году в положении о защите персональных данных работников установите порядок работы с данными, перечень лиц, имеющих к ним доступ, правила хранения личных дел и других кадровых документов, способы защиты электронных документов. Утвердите положение приказом руководителя и ознакомьте с ним работников под роспись (ст. 88 ТК РФ).

Положение о защите персональных данных зачастую называют Положением о работе с персональными данными. Никакой ошибки в этом нет. Суть документа зависит от содержания, а не от названия. Главное, чтобы в Положении были определены: порядок работы с данными, перечень лиц, имеющих к ним доступ, правила хранения личных дел и других кадровых документов, способы защиты электронных документов.

Приведем образец приказа об утверждении положения о защите персональных данных в 2022 году. Образец самого положения, актуальный в 2022 году, вы можете скачать в конце этой статьи.

Приказ о назначении ответственного за перс.данные

Назначьте ответственного за обработку персональных данных, с него и с остальных лиц, имеющих к ним доступ, возьмите обязательство о неразглашении. Приведем примеры этих документов.

Обязательство о неразглашении перс.данных

Если человек (работник организации) имеет доступ к персональным данным работников, то с него нужно взять обязательство о неразглашении этих сведений. Приведем пример обязательства о неразглашении персональных данных сотрудников:

Согласие работника на обработку перс.данных

При приеме на работу оформите согласие работника на обработку персональных данных. Можно сделать отдельный документ или включить условие о согласии в трудовой договор.

Срок действия согласия закон не ограничивает, поэтому можно указать любой срок. Например, до дня его отзыва (ст. 9 Закона N 152-ФЗ). Подробнее об оформлении согласия вы можете прочитать в отдельной статье “Каким должно быть согласие на обработку персональных данных“. В этой же статье вы посмотреть образец согласия, актуальный в 2022 году.

 

Согласие на передачу персональных данных

Имейте в виду, что персональные данные без согласия работника можно передать третьим лицам только в установленных законом случаях, например, в налоговый орган, ПФР и ФСС. В других ситуациях надо получить письменное согласие работника (ст. 88 ТК РФ).

Важные документы

Актуально на 27 января 2022

Положение о работе с персональными данными (образец)

Актуально на 27 января 2022

Бланк положения о защите персональных данных работников

Шаблон политики защиты данных — L2 Cyber ​​Security Solutions

GDPR требует, чтобы каждый бизнес имел политику защиты данных, которую необходимо регулярно пересматривать. Вы можете скачать этот шаблон здесь GDPR-05-Шаблон политики защиты данных.

Поскольку каждая компания уникальна, при разработке политики защиты данных обращайтесь за профессиональной консультацией. Ваш бизнес может столкнуться с обстоятельствами и проблемами, которые не охвачены этим образцом политики.

Эта политика защиты данных предоставляется на условиях «как есть». L2 Cyber ​​Security Solutions не несет никакой ответственности за последствия ошибок или упущений. Вы можете полагаться на этот документ на свой страх и риск.

Ни компания L2 Cyber ​​Security Solutions, ни ее сотрудники не несут ответственности за какие-либо убытки или ущерб, возникшие в результате использования вами данного документа. Эти лица и организации исключают все гарантии и заверения, явные или подразумеваемые, в отношении использования вами веб-сайта и его содержимого.

Контекст и обзор

Ключевые данные

Политика, подготовленная: Имя

Утверждено советом / управлением: Дата

Политика стала введенной работой по: Дате.

Дата следующей проверки:                                                  Дата.

Введение

[Название компании] необходимо собирать и использовать определенную информацию о лицах.

Сюда могут входить клиенты, поставщики, деловые контакты, сотрудники и другие люди, с которыми организация поддерживает отношения или с которыми может ей понадобиться связаться.

Эта политика описывает, как эти личные данные должны собираться, обрабатываться и храниться в соответствии со стандартами защиты данных компании и в соответствии с законом.

Почему существует эта политика

Эта политика защиты данных обеспечивает [название компании]:

  • Соответствует закону о защите данных и следует добросовестной практике
  • Защищает права сотрудников, клиентов и партнеров
  • Открыто о том, как он хранит и обрабатывает данные физических лиц
  • Защищает себя от рисков утечки данных

Закон о защите данных

Общее положение о защите данных 2016/679 описывает, как организации, включая [название компании], должны собирать, обрабатывать и хранить личную информацию.

Эти правила применяются независимо от того, хранятся ли данные в электронном виде, на бумаге или в других материалах.

В соответствии с законом личная информация должна собираться и использоваться добросовестно, храниться в безопасности и не разглашаться незаконно.

Общий регламент по защите данных основан на восьми важных принципах. В них говорится, что персональные данные должны:

  1. Обрабатываться честно и законно
  2. Можно получить только для определенных законных целей
  3. Быть адекватным, актуальным и не чрезмерным
  4. Будьте точны и всегда в курсе
  5. Не удерживать дольше, чем необходимо
  6. Обрабатывается в соответствии с правами субъектов данных
  7. Будьте защищены надлежащим образом
  8. Не передавать за пределы ЕС, если только эта страна или территория не обеспечивает адекватный уровень защиты

Люди, риски и ответственность

Сфера действия политики

Действие данной политики распространяется на:

  • Головной офис [название компании]
  • Все филиалы [название компании]
  • Все сотрудники и волонтеры [название компании]
  • Все подрядчики, поставщики и другие лица, работающие от имени [название компании]

Это относится ко всем данным, которые компания хранит в отношении живых лиц, даже если эта информация технически не подпадает под действие Общего регламента по защите данных 2016/679. Это может включать:

  • Имена физических лиц
  • Почтовые адреса
  • Адреса электронной почты
  • Номера телефонов
  • …плюс любая другая информация, прямо или косвенно относящаяся к физическим лицам

Риски защиты данных

Эта политика помогает защитить [название компании] от некоторых очень реальных угроз безопасности данных, в том числе:

  • Нарушение конфиденциальности. Например, информация выдается ненадлежащим образом.
  • Отсутствие возможности выбора. Например, все лица должны иметь право выбирать, как компания будет использовать относящиеся к ним данные.
  • Репутационный ущерб. Например, компания может пострадать, если хакеры успешно получат доступ к конфиденциальным данным.

Обязанности

Каждый, кто работает в [название компании] или с ней, несет определенную ответственность за обеспечение надлежащего сбора, хранения и обработки данных.

Каждая команда, работающая с персональными данными, должна гарантировать, что они обрабатываются и обрабатываются в соответствии с этой политикой и принципами защиты данных.

Однако у этих людей есть ключевые сферы ответственности:

  • Совет директоров несет полную ответственность за обеспечение того, чтобы [название компании] выполняло свои юридические обязательства.
  • [сотрудник по защите данных], [имя], отвечает за:
    • Информирование совета директоров об обязанностях, рисках и проблемах в области защиты данных.
    • Проверка всех процедур защиты данных и соответствующих политик в соответствии с согласованным графиком.
    • Организация обучения и консультаций по защите данных для людей, на которых распространяется эта политика.
    • Обработка вопросов о защите данных от сотрудников и всех, на кого распространяется эта политика.
    • Обработка запросов от отдельных лиц на просмотр данных о них, хранящихся в [название компании] (также называемых «запросами на предметный доступ»).
    • Проверка и утверждение любых контрактов или соглашений с третьими сторонами, которые могут обрабатывать конфиденциальные данные компании.
  • [ИТ-менеджер], [имя], отвечает за:
    • Обеспечение соответствия всех систем, служб и оборудования, используемых для хранения данных, приемлемым стандартам безопасности.
    • Выполнение регулярных проверок и сканирований для обеспечения правильной работы аппаратного и программного обеспечения безопасности.
    • Оценка любых сторонних сервисов, которые компания планирует использовать для хранения или обработки данных. Например, сервисы облачных вычислений.
  • [менеджер по маркетингу], [имя], отвечает за:
    • Утверждение любых заявлений о защите данных, прилагаемых к сообщениям, таким как электронные письма и письма.
    • Ответы на любые запросы о защите данных от журналистов или средств массовой информации, таких как газеты.
    • При необходимости работа с другими сотрудниками для обеспечения того, чтобы маркетинговые инициативы соответствовали принципам защиты данных.

Общее руководство для персонала

  • 0005 нужен для работы .
  • Данные не должны передаваться неофициально . Когда требуется доступ к конфиденциальной информации, сотрудники могут запросить его у своих непосредственных руководителей.
  • [Название компании] проведет обучение для всех сотрудников, чтобы помочь им понять свои обязанности при обработке данных.
  • Сотрудники должны обеспечивать безопасность всех данных, принимая разумные меры предосторожности и следуя приведенным ниже рекомендациям.
  • В частности, должны использоваться надежные пароли и никогда не должны использоваться совместно.
  • Персональные данные не должны разглашаться посторонним лицам как внутри компании, так и за ее пределами.
  • Данные должны регулярно пересматриваться и обновляться, если обнаруживается, что они устарели. Если он больше не нужен, его следует удалить и утилизировать.
  • Сотрудники должны обратиться за помощью к своему непосредственному руководителю или сотруднику по защите данных, если они не уверены в каком-либо аспекте защиты данных.

Хранение данных

Эти правила описывают, как и где следует безопасно хранить данные. Вопросы о безопасном хранении данных можно направлять ИТ-менеджеру или контроллеру данных.

  • Когда данные хранятся на бумаге, их следует хранить в надежном месте, где их не смогут увидеть посторонние лица.
  • Эти рекомендации также относятся к данным, которые обычно хранятся в электронном виде, но по какой-либо причине были распечатаны:
  • Если бумага или файлы не требуются, их следует сохранить в запертом ящике или картотеке .
  • Сотрудники должны убедиться, что бумага и распечатки не оставлены там, где их могут увидеть посторонние , например, на принтере.
  • Распечатки данных должны быть уничтожены и безопасно утилизированы, когда они больше не нужны.

Когда данные хранятся в электронном виде , они должны быть защищены от несанкционированного доступа, случайного удаления и злонамеренных попыток взлома:

  • Данные должны быть защищен надежными паролями , которые регулярно меняются и никогда не передаются сотрудникам.
  • Если данные хранятся на съемном носителе (например, на компакт-диске или DVD), их следует надежно заблокировать, когда они не используются.
  • Данные должны храниться только на специально отведенных дисках и серверах и должны загружаться только в утвержденные службы облачных вычислений .
  • Серверы, содержащие персональные данные, должны быть размещены в безопасном месте , вдали от обычных офисных помещений.
  • Данные должны часто создавать резервные копии . Эти резервные копии следует регулярно проверять в соответствии со стандартными процедурами резервного копирования компании.
  • Данные никогда не должны сохраняться напрямую на ноутбуки или другие мобильные устройства, такие как планшеты или смартфоны.
  • Все серверы и компьютеры, содержащие данные, должны быть защищены одобренным программным обеспечением безопасности и брандмауэром .

Использование данных

Персональные данные не представляют ценности для [название компании], если бизнес не может их использовать. Однако именно при доступе к персональным данным и их использовании существует наибольший риск потери, повреждения или кражи:

  • При работе с персональными данными сотрудники должны следить за тем, чтобы экраны их компьютеров всегда были заблокированы когда они остаются без присмотра.
  • Персональные данные не должны передаваться неофициально . В частности, его никогда не следует отправлять по электронной почте, так как эта форма связи не является безопасной.
  • Данные должны быть зашифрованы перед передачей в электронном виде . ИТ-менеджер может объяснить, как отправлять данные авторизованным внешним контактам.
  • Персональные данные никогда не должны передаваться за пределы Европейской экономической зоны .
  • Сотрудники не должны сохранять копии личных данных на своих компьютерах. Всегда обращайтесь к центральной копии любых данных и обновляйте ее.

Точность данных

Закон требует от [название компании] принятия разумных мер для обеспечения точности и актуальности данных.

Чем важнее точность личных данных, тем больше усилий должна приложить [название компании] для обеспечения их точности.

Все сотрудники, работающие с данными, несут ответственность за принятие разумных мер для обеспечения их максимальной точности и актуальности.

  • Данные будут храниться в сколь угодно малом количестве мест . Персонал не должен создавать ненужных дополнительных наборов данных.
  • Сотрудники должны использовать любую возможность для обновления данных. Например, подтверждая данные клиента при звонке.
  • [Название компании] облегчит субъектам данных обновление информации о них, хранящейся в [название компании]. Например, через сайт компании.
  • Данные должны быть обновлены по мере обнаружения неточностей . Например, если с клиентом больше нельзя связаться по его сохраненному номеру телефона, его следует удалить из базы данных.
  • В обязанности менеджера по маркетингу входит обеспечение 9Маркетинговые базы данных 0005 проверяются на соответствие отраслевым файлам подавления каждые шесть месяцев.

Субъект запросов на доступ

Все лица, являющиеся субъектом персональных данных, которыми владеет [название компании], имеют право:

  • Спросить , какую информацию компания хранит о них и почему.
  • Спросите , как получить к нему доступ .
  • Будьте в курсе , как поддерживать его в актуальном состоянии.
  • Будьте в курсе, как компания выполняет свои обязательства по защите данных .

Если физическое лицо связывается с компанией, запрашивающей эту информацию, это называется запросом на предметный доступ.

Запросы на предметный доступ от физических лиц следует направлять по электронной почте на адрес контроллера данных по адресу [адрес электронной почты]. Контролер данных может предоставить стандартную форму запроса, хотя физические лица не обязаны ее использовать.

С физических лиц нельзя взимать плату за выполнение запроса субъекта на доступ. Контроллер данных будет стремиться предоставить соответствующие данные в течение 30 дней.

Контроллер данных всегда проверяет личность любого, кто делает запрос на доступ субъекта, прежде чем передать какую-либо информацию.

Раскрытие данных по другим причинам

При определенных обстоятельствах Общий регламент по защите данных разрешает раскрытие персональных данных правоохранительным органам без согласия субъекта данных.

В этих обстоятельствах [название компании] раскроет запрошенные данные. Тем не менее, контроллер данных обеспечит законность запроса, обратившись за помощью к совету директоров и юрисконсультам компании, если это необходимо.

Предоставление информации

[Название компании] направлено на то, чтобы люди знали, что их данные обрабатываются, и чтобы они понимали:

  • Как используются данные
  • Как реализовать свои права

В связи с этим у компании есть заявление о конфиденциальности, в котором указывается, как компания использует данные, относящиеся к физическим лицам.

[Доступно по запросу. Версия этого заявления также доступна на веб-сайте компании.]

Простой шаблон политики защиты данных

Закон о защите данных сложен, и невозможно написать пример политики, охватывающей все. Даже если бы я мог, политика, которая действительно охватывала бы все и была абсолютно правильной, была бы длинной и, вероятно, недоступной для многих ваших людей, которые управляют личными данными.

Эта политика написана кратко и доступна для всех. В конце я включил примечания и ссылки на дополнительные специальные вопросы, о которых вы, возможно, захотите узнать и включить, если они относятся к вам. Повсюду есть гиперссылки, так что вы можете расширить мою работу, чтобы удовлетворить ваши собственные потребности, если хотите. Это ресурс из бесплатного онлайн-инструментария Charity Excellence Framework. Очень высоко оцененный пользователями, этот набор инструментов, его огромный набор ресурсов и знак качества абсолютно бесплатны, но он не требует больших усилий и очень прост в использовании.

CEF работает на основе сотрудничества сообщества. Можете ли вы добавить к этой статье что-нибудь, что поможет другим? Если да, дайте мне знать в комментариях или напишите мне по адресу charityexcellence@gmail. com. Любые взносы будут зачислены, спасибо.

__________________________________________________________________________  

Закон о защите данных сложен, но основан на уважении желаний людей и использовании их личных данных только так, как они того хотели бы. То, чего мы все хотим для себя и что особенно важно при работе с уязвимыми людьми.

Эта политика была краткой и простой, чтобы сделать ее максимально доступной для всех. Таким образом, он не может быть окончательным, и при необходимости могут быть выпущены другие политики, охватывающие специализированные области. Он охватывает фундаментальное практическое применение Закона о защите данных, который должен соблюдать любой сотрудник нашей организации, который управляет личными данными или несет ответственность за них.

Данные:

Обрабатываются законно, честно и прозрачно  

o  Существует несколько оснований для сбора данных, включая согласие.

o  Нам ясно, что сбор данных является законным, и мы получили согласие на хранение персональных данных, где это уместно.

o  Мы открыто и честно говорим о том, как и почему мы собираем данные, и люди имеют право на доступ к своим данным.

Собраны для определенных, явных и законных целей и не используются для каких-либо других целей

o  У нас есть четкое представление о том, какие данные мы будем собирать и с какой целью они будут использоваться.

o  И собирать только те данные, которые нам нужны.

o  Когда данные собираются для определенной цели, они не могут использоваться для каких-либо других целей без согласия лица, чьи данные это.

Адекватно, актуально и ограничено тем, что необходимо 

o  Мы собираем все данные, необходимые для выполнения работы.

o  И ничего, что нам не нужно.

Точные и, при необходимости, обновляемые

o  Мы гарантируем точность собираемых нами данных, а также процессы и/или проверки, обеспечивающие актуальность данных, таких как сведения о бенефициаре, сотрудниках или волонтерах.

o Мы оперативно исправляем любые ошибки.

Хранить не дольше, чем это необходимо  

Мы понимаем, какие данные нам нужно хранить, как долго и почему.

o  Мы храним данные ровно столько, сколько нам нужно.

o  Включает как печатные копии, так и электронные данные.

o  Некоторые данные должны храниться в течение определенного периода времени (например, бухгалтерский учет, H&SW).

o  У нас есть определенная форма политики/процесса архивирования/проверки, обеспечивающая уничтожение данных, которые больше не нужны.

Надежно хранится

Обработано для обеспечения надлежащей безопасности, не только для защиты от незаконного использования, но также от потери или повреждения.

o   Данные надежно хранятся , поэтому доступ к ним могут получить только те, кому это необходимо. Например, бумажные документы заблокированы, доступ к онлайн-папкам на общих дисках ограничен теми, кто в этом нуждается, ИТ-системы защищены паролем, и/или конфиденциальные документы, которые могут использоваться совместно (например, платежная ведомость), защищены паролем.

o   Данные надежно защищены.  Наши ИТ-системы оснащены адекватной антивирусной защитой и современными брандмауэрами. Персонал понимает, что они должны и чего не должны делать для защиты от кибератак, и что пароли должны быть надежными, а не записанными или разглашенными.

o   Данные можно восстановить. У нас есть адекватные процессы резервного копирования данных и аварийного восстановления.

Мы признаем, что права отдельных лиц включают право на получение информации, доступ, исправление, удаление, ограничение обработки, переносимость данных и возражение.

Использование изображений/видео

Все изображения защищены авторским правом и не могут быть использованы без согласия владельца, обычно лица, снявшего изображение. Вам также может потребоваться согласие от лиц на изображениях отдельных лиц и небольших групп, что вполне может подпадать под действие Закона о защите данных. Тем не менее, есть некоторая двусмысленность, поэтому будьте осторожны и получите согласие везде, где это разумно возможно. Следует соблюдать особую осторожность при использовании изображений детей или других уязвимых лиц.

Вот несколько вопросов, которые следует учитывать при использовании изображений:

·      Для какой цели было сделано исходное изображение? Если оно предназначалось для одной цели, например для личного использования, его нельзя использовать для другой цели без согласия заинтересованных лиц

·      Является ли изображение конфиденциальными личными данными? Если да, то есть ли у вас согласие человека?

·      Для небольших групп и отдельных лиц использовалась ли форма согласия на использование изображений?

·      При использовании изображений детей или людей, которые могут быть некомпетентными, есть ли у вас действительное согласие?

·      Используя изображения детей или других уязвимых людей, уверены ли вы, что использование изображения не подвергнет их риску? В частности, если он будет использоваться публично, например, в СМИ или в Интернете.

·      При фотографировании больших групп была ли предоставлена ​​возможность отдельным лицам отказаться от фотографии?

·      Сообщено ли человеку/людям на изображении, как будет использоваться изображение?

·      Используете ли вы изображение в соответствии с тем, как человеку/людям было сказано, что оно будет использоваться?

Мы будем поддерживать актуальную DPIA с адекватными процедурами надзора, чтобы мы могли быть уверены, что все существенные риски защиты данных были выявлены и эффективно управляются.

Нарушение — это не только потеря личных данных. Это нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным.

Мы расследуем обстоятельства любой потери или нарушения, чтобы определить, нужно ли предпринимать какие-либо действия. Действия могут включать в себя изменения в процедурах, которые помогут предотвратить повторение нарушения, дисциплинарные или иные меры в случае небрежности.

Мы уведомим ICO в течение 72 часов о нарушении, если оно может привести к риску для прав и свобод людей. Если такое нарушение не будет устранено, оно, вероятно, окажет значительное пагубное воздействие на отдельных лиц. Например:

·      Приводит к дискриминации.

·      Ущерб репутации.

·      Финансовые убытки.

·      Утрата конфиденциальности или любой другой существенный экономический или социальный ущерб.

__________________________________________________________________________

DPA является обширным, поэтому ниже перечислены некоторые положения, которые не распространяются на всех. Выберите те, которые относятся к вам, для включения в вашу политику, а остальные удалите.

Другие политики

Вы можете сослаться на свою политику защиты данных на другие соответствующие политики, такие как защита или хранение документов.

Дети

Лица моложе 13 лет по закону не могут дать согласие. Вы также можете убедиться, что уведомления о конфиденциальности или другая информация, которую вы им предоставляете, написаны и представлены понятным и справедливым образом.

Некомпетентные лица

Некоторые люди не могут или могут быть не в состоянии дать согласие, и оно должно быть получено от лица, которое может принимать решения от их имени, например, постоянная доверенность. Любые решения, которые вы можете принять от их имени, всегда должны отвечать их интересам.

Уязвимые группы

Если вы работаете с людьми, которые могут подвергаться особому риску, вы можете включить дополнительные положения для их защиты.

Данные специальной категории (конфиденциальные) являются более конфиденциальными и поэтому нуждаются в большей защите. Например, информация о расе, этническом происхождении, политике, религии, членстве в профсоюзах, генетике, биометрических данных (если они используются для целей идентификации), здоровье, сексуальной жизни или сексуальной ориентации.

Существуют особые правила при передаче данных в другую страну. Вот руководство, касающееся Brexit.

Известные как PECR, существуют специальные правила, регулирующие электронные маркетинговые сообщения (по телефону, факсу, электронной почте или тексту), файлы cookie и услуги электронной связи для населения.

Сбор средств

Регулирующий орган по сбору средств опубликовал руководство по обработке данных по сбору средств.

Обязанности

Правление.  В конечном итоге за защиту данных отвечает Правление. Комитет или ведущий попечитель должен нести ответственность за защиту данных, включая периодическую проверку политики и любых нарушений.

Исполнительный. Вы можете официально назначить ответственного за защиту данных, но кто-то должен быть конкретно ответственным за руководство защитой данных.

Специалист. Вы также можете назначить лиц, ответственных за области, где требуется особый опыт защиты данных.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *