Порядок обработки персональных данных граждан для целей исполнения договора: Как работать с персональными данными сотрудников в 2021 году из-за изменений в законах

Политика обработки персональных данных — Аризона М

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. . Настоящая Политика устанавливается порядок обработки персональных данных пользователей сайта arizona-m.ru ООО «Аризона М» (далее – Компания, Оператор), и обеспечивается соблюдение требований защиты прав граждан при обработке персональных данных.
1.2. Основные понятия, используемые в Положении:
— Сайт — совокупность программно-аппаратных средств для ЭВМ, обеспечивающих публикацию данных в Интернет для всеобщего обозрения. Сайт доступен по уникальному электронному адресу или его буквенному обозначению. Может содержать графическую, текстовую, аудио-, видео-, а также иную информацию, воспроизводимую с помощью ЭВМ.
— Интернет-магазин – сайт — торгующий товарами и услугами Компании посредством сети Интернет. Позволяет пользователям онлайн связаться с сотрудниками Компании и сформировать заказ на покупку, заказ услуги, определить способ оплаты и доставки заказа, узнать стоимость товаров и услуг;
— Оператор — юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных;

— Клиент — субъект персональных данных в контексте настоящей политики — физическое лицо, являющееся клиентом — пользователем сайта arizona-m. ru.
— Персональные данные — информация, сохраненная в любом формате относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), которая сама по себе или в сочетании с другой информацией, имеющейся в распоряжении интернет-магазина, позволяет идентифицировать личность Клиента;
— Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
— Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
— Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
— Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
1.3. Настоящей Политикой устанавливается порядок обработки персональных данных Клиентов, пользователей интернет-магазина arizona-m.ru.
1.4. Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных.
1.5. Персональные данные обрабатываются в целях исполнения договора купли- продажи товаров, оказания услуг интернет-магазина, одной из сторон которого является Клиент.
Интернет-магазин собирает данные только в объеме, необходимом для достижения названной цели.
1.6. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
1.7. Настоящая Политика утверждается директором ООО «Аризона М» и является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным Клиента.

2. СОСТАВ И ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ
2.1. К персональным данным, сбор и обработку которых осуществляет интернет-магазин, относятся:
— фамилия, имя, отчество;
— контактная информация, включая номера телефонов, e-mail.
Автоматически собираемые данные:
— IP-адрес, данные файлов cookie;
— информация о браузере Пользователя, технические характеристики оборудования и программного обеспечения, используемых Пользователем,

— дата и время доступа к сайту, адреса запрашиваемых страниц и иная подобная информация.
2.2. Все персональные данные сотрудники интернет-магазина получают непосредственно от субъекта персональных данных — Клиентов.

3. ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ.
3.1. Обработка персональных данных интернет-магазином в интересах Клиентов заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа.
3.2. Согласие Клиентов на обработку персональных данных не требуется, поскольку обработка персональных данных осуществляется в целях исполнения договора купли-продажи, оказания услуг, одной из сторон которого является субъект персональных данных — Клиент.

3.3. Обработка персональных данных Клиентов ведется методом смешанной обработки.
3.4. К обработке персональных данных Клиентов могут иметь доступ только сотрудники интернет-магазина, допущенные к работе с персональными данными Клиента и подписавшие Соглашение о неразглашении персональных данных Клиента.
3.5. Перечень сотрудников интернет-магазина, имеющих доступ к персональным данным Клиентов, определяется приказом директора ООО «Аризона М».
3.6. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством.

4. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Сведения, перечисленные в статье 2 настоящего Положения, являются конфиденциальными. Компания обеспечивает конфиденциальность персональных данных и обязан не допускать их распространения без согласия клиентов, либо наличия иного законного основания.
4.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных клиентов распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
4.3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или опубликования их в общедоступных источниках (СМИ, Интернет, ЕГРЮЛ и иных публичных государственных реестрах).

5. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных Пользователей осуществляется Компанией с согласия субъектов персональных данных, за исключением случаев, предусмотренных пунктом 5.2 настоящей статьи. Обязанность представить доказательство получения согласия на обработку персональных данных по основаниям данного пункта в соответствии с законом возлагается на оператора.
5.2. Компания имеет право без согласия субъекта персональных данных осуществлять обработку его персональных данных в следующих случаях:
— обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

— обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
— обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
— обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
— осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
5.3. В целях обеспечения прав и свобод человека и гражданина Компания и ее работники при обработке персональных данных Пользователя обязаны соблюдать следующие общие требования.
5.3.1. При определении объема и содержания персональных данных Пользователя подлежащих обработке, сотрудники Компании руководствуются Федеральным законом «О персональных данных», законодательством, регулирующим деятельность средств массовой информации, пользовательским соглашением. Компания получает персональные данные Пользователя только в объеме, необходимом для достижения законных целей сбора и обработки персональных данных.
5.3.2. Сотрудники Компании не должны обрабатывать не являющиеся общедоступными персональные данные Пользователя о его судимости, политических, религиозных и иных убеждениях и частной жизни.
5.4. Компания обеспечивает защиту персональных данных Пользователя от неправомерного их использования или утраты за собственный счет в порядке, установленном федеральным законодательством.
5.5. В случае, если Компания на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

6. ПРАВА КЛИЕНТА
6.1. Клиент — Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
6.3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Компании при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
6.4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые Оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
6.5. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия.
6.6. Субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
6.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Передача персональных данных осуществляется Оператором исключительно в случае необходимости предоставления Пользователю определенных Сервисов интернет сайта, услуг Компании с согласия Пользователя.
7.2. Передача персональных данных третьим лицам осуществляется Оператором только на основании соответствующего договора, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
Данная Политика не распространяется в случае обезличивания персональных данных и в отношении общедоступных персональных данных.
7.3. Передача персональных данных государственным органам осуществляется в рамках их полномочий в соответствии с применимым законодательством.

8. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЕЙ
8.1. Защите подлежит информация, содержащая персональные данные Пользователя, размещенная на электронных носителях.
8.2. Оператор обязан при обработке персональных данных Пользователей принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
8.3. Общую организацию защиты персональных данных Пользователей осуществляет сотрудник Компании.
8.4. Защита персональных данных Пользователей, хранящихся в электронных базах данных Компании, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается работниками Компании.
8.5. Сотрудник Компании, имеющий доступ к персональным данным Пользователя в связи с исполнением трудовых обязанностей:
— обеспечивает хранение информации, содержащей персональные данные Пользователей, исключающее доступ к ним третьих лиц;
— в отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Пользователей;
— при уходе в отпуск, во время служебной командировки и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать носители, содержащие персональные данные Пользователей лицу, на которое локальным актом Компании (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, указанные выше документы и иные носители передаются другому сотруднику, имеющему доступ к персональным данным Пользователей.
8.6. При увольнении сотрудника, имеющего доступ к персональным данным Пользователей, носители, содержащие персональные данные, передаются другому сотруднику, имеющему доступ к персональным данным Пользователей.
8.7. Допуск к персональным данным Пользователей других сотрудников Компании, не имеющих надлежащим образом оформленного доступа, запрещается.
8.8. Защита доступа к электронным базам данных, содержащим персональные данные Пользователей, обеспечивается:
— использованием антивирусных и иных программно-технических средств защиты периметра внутренней сети, не допускающих несанкционированный вход в локальную сеть Оператора;
— разграничением прав доступа с использованием учетной записи;
8.10. Все электронные приложения, содержащие персональные данные, включая информационные системы персональных данных, папки и файлы, содержащие персональные данные, защищаются паролем.
8.11. Копировать персональные данные Пользователей разрешается исключительно в служебных целях с письменного разрешения руководителя Компании.
8.12. Ответы на письменные запросы уполномоченных государственных органов, других организаций и учреждений о персональных данных Пользователей даются только с письменного согласия субъектов персональных данных, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Компании, и в том объеме, который позволяет не разглашать излишний объем персональных данных.

9. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ЧАСТНОГО КЛИЕНТА ИЛИ ПРЕДСТАВИТЕЛЕЙ КОРПОРАТИВНОГО КЛИЕНТА
9.1. Работники Компании, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
10.1. Настоящая Политика является внутренним документом Оператора, общедоступной и подлежит размещению на официальном сайте Оператора.
10.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.

Политика обработки персональных данных — НПЦ «КСБ»

6. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

6.1. Права субъектов персональных данных

6.1.1. Право субъекта персональных данных на доступ к его персональным данным

6.1.1.1. Субъект персональных данных имеет право на получение информации (далее – запрашиваемая субъектом информация), касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных Обществом;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые Обществом способы обработки персональных данных;

4) наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

6.1.1.2. Субъект персональных данных имеет право на получение запрашиваемой субъектом информации, за исключением следующих случаев:

– обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

– обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

– обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

– доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

– обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

6.1.1.3. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.1.1.4. Запрашиваемая субъектом информация должна быть предоставлена субъекту персональных данных Обществом в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

6.1.1.5. Запрашиваемая информация предоставляется субъекту персональных данных или его представителю Обществом при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом, подпись субъекта персональных данных или его представителя (далее – необходимая для запроса информация). Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

6.1.1.6. В случае если запрашиваемая субъектом информация, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Общество или направить повторный запрос в целях получения запрашиваемой субъектом информации и ознакомления с такими персональными данными не ранее чем через тридцать дней (далее – нормированный срок запроса) после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

6.1.1.7. Субъект персональных данных вправе обратиться повторно в Общество или направить повторный запрос в целях получения запрашиваемой субъектом информации, а также в целях ознакомления с обрабатываемыми персональными данными до истечения нормированного срока запроса, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимой для запроса информацией должен содержать обоснование направления повторного запроса.

6.1.1.8. Общество вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.

6.1.2. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

6.1.2.1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации Обществом не осуществляется.

6.1.3. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

6. 1.3.1. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, Обществом не осуществляется.

6.1.4. Право на обжалование действий или бездействия Общества

6.1.4.1. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6.1.4.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6.2. Обязанности оператора

6.2.1. Обязанности оператора при сборе персональных данных

6. 2.1.1. При сборе персональных данных Общество предоставляет субъекту персональных данных по его просьбе запрашиваемую информацию, касающуюся обработки его персональных данных в соответствии с частью 7 статьи 14 Федерального закона «О персональных данных».

6.2.1.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Общество разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

6.2.1.3. Если персональные данные получены не от субъекта персональных данных, Общество до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию (далее – информация, сообщаемая при получении персональных данных не от субъекта персональных данных):

1) наименование либо фамилия, имя, отчество и адрес Оператора или представителя Оператора;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные Федеральным законом «О персональных данных» права субъекта персональных данных;

5) источник получения персональных данных.

6.2.1.4. Общество не предоставляет субъекту информацию, сообщаемую при получении персональных данных не от субъекта персональных данных, в случаях, если:
1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных Обществом;

2) персональные данные получены Обществом на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона «О персональных данных»;

4) Общество осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных информации, сообщаемой при получении персональных данных не от субъекта персональных данных, нарушает права и законные интересы третьих лиц.

6.2.1.5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации, обрабатываемых в следующих информационных системах:

6.2.1.5.1. Информационная система персональных данных «Бухгалтерский и кадровый учет» с использованием баз данных, находящихся на территории следующих стран:
6.2.1.5.1.1. Россия.

6.2.1.5.2. Информационная система персональных данных «Основная деятельность» с использованием баз данных, находящихся на территории следующих стран:
6.2.1.5.2.1. Россия.

6.2.1.5.3. Информационная система «Сервис автоматизации процессов по обеспечению безопасности информации «Альфа-Док» с использованием баз данных, находящихся на территории следующих стран:
6.2.1.5.3.1. Россия.

6.2.1.5.4. Информационная система «Альфа-ID» с использованием баз данных, находящихся на территории следующих стран:
6. 2.1.5.4.1. Россия.

6.2.1.5.5. Информационная система «Альфа-Образование» с использованием баз данных, находящихся на территории следующих стран:
6.2.1.5.5.1. Россия.

6.2.1.6. Местонахождение центра(ов) обработки данных и сведения об организации, ответственной за хранение данных, определены внутренними документами Общества.

6.2.2. Меры, направленные на обеспечение выполнения Обществом своих обязанностей

6.2.2.1. Общество принимает меры, необходимые и достаточные для обеспечения выполнения своих обязанностей. Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, если иное не предусмотрено федеральными законами. К таким мерам, в частности, относятся:

1) назначение ответственного за организацию обработки персональных данных;

2) издание Политики, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям к защите персональных данных, Политике, локальным актам Общества;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;

6) ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, Политикой, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

6.2.3. Меры по обеспечению безопасности персональных данных при их обработке
6.2.3.1. Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.2.3.2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

6.2.3.3. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

6.2.4. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных

6.2.4.1. Общество сообщает в установленном порядке субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

6.2.4.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Общество дает в письменной форме мотивированный ответ в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

6.2.4.3. Общество предоставляет безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Общество вносит в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество уничтожает такие персональные данные. Общество уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

6.2.4.4. Общество сообщает в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

6.2.5. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

6.2.5.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Общество осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Общество осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

6.2.5.2. В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

6.2.5.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Обществом или лицом, действующим по поручению Общества, Общество в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению Общества. В случае если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Общество уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

6.2.5.4. В случае достижения цели обработки персональных данных Общество прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.

6.2.5.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Общество прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных либо если Общество не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.

6.2.5.6. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Общество блокирует такие персональные данные или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

6.2.6. Уведомление об обработке персональных данных

6.2.6.1. Общество, за исключением случаев, предусмотренных Федеральным законом «О персональных данных», до начала обработки персональных данных уведомляет уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

6.2.6.2. Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление содержит следующие сведения:

1) наименование (фамилия, имя, отчество), адрес Оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых Обществом способов обработки персональных данных;

7) описание мер, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

8) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

9) дата начала обработки персональных данных;

10) срок или условие прекращения обработки персональных данных;

11) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

12) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;

13) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

6.2.6.3. В случае изменения указанных сведений, а также в случае прекращения обработки персональных данных Общество уведомляет об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

7. СФЕРЫ ОТВЕТСТВЕННОСТИ

7.1. Лица, ответственные за организацию обработки персональных данных в организациях

7.1.1. Общество назначает лицо, ответственное за организацию обработки персональных данных.

7.1.2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.

7.1.3. Общество предоставляет лицу, ответственному за организацию обработки персональных данных, необходимые сведения.

7.1.4. Лицо, ответственное за организацию обработки персональных данных, в частности, выполняет следующие функции:

1) осуществляет внутренний контроль за соблюдением Обществом и работниками Общества законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2) доводит до сведения работников Общества положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывает прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.

7.2. Ответственность

7.2.1. Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.

7.2.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом «О персональных данных», а также требований к защите персональных данных, установленных в соответствии с Федеральным законом «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

8. КЛЮЧЕВЫЕ РЕЗУЛЬТАТЫ

При достижении целей ожидаются следующие результаты:

– обеспечение защиты прав и свобод субъектов персональных данных при обработке его персональных данных Обществом;

– повышение общего уровня информационной безопасности Общества;

– минимизация юридических рисков Общества.

9. СВЯЗНЫЕ ПОЛИТИКИ

Связные политики отсутствуют.

Политика обработки персональных данных

1. Общие положения

1.1. Настоящая политика в области обработки и защиты персональных данных  в лице Фонда «Жилищное и социальное строительство Калининградской области»(далее по тексту — Политика):

— разработана в целях обеспечения реализации требований законодательства РФ в области обработки персональных данных субъектов персональных данных;

— раскрывает основные категории персональных данных, обрабатываемых в лице Фонда «Жилищное и социальное строительство Калининградской области» (далее по тексту — Оператор), цели, способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке;

— является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных.

2. Правовые основания и цели обработки персональных данных.

2.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:

— Конституция Российской Федерации;

— Трудовой кодекс Российской Федерации;

— Гражданский кодекс Российской Федерации;

— Федеральный закон РФ от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете и системе обязательного пенсионного страхования»;

— Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;

— Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;

— Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных»;

— Положение об обработке персональных данных, осуществляемых без использования средств автоматизации, утверждённое постановлением Правительства Российской Федерации от 15. 09.2008 № 687;

— Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных»

2.2. Во исполнение настоящей Политики руководителем Оператора утверждены следующие локальные правовые акты:

— Приказ о назначении ответственного лица за организацию обработки персональных данных;

— Приказ об организации работ по обеспечению безопасности персональных данных;

— перечень обрабатываемых персональных данных;

— перечень должностей, замещение которых предусматривает осуществление обработки персональных данных;

— правила рассмотрения запросов субъектов персональных данных или их представителей;

— правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;

— типовое обязательство работника Оператора, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением трудовых обязанностей;

— типовая форма согласия на обработку персональных данных работника Оператора, иных субъектов персональных данных;

— типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

2. 3. Цели обработки персональных данных:

— исполнение положений нормативных правовых актов, указанных в пункте 2.1 настоящей Политики;

— ведение кадрового учета работников Оператора и начисления им заработной платы, социальных пособий (в предусмотренных законодательством случаях), оплаты услуг лиц по договорам гражданско-правового характера;

— оказание услуг по предоставлению ипотечных займов гражданам – физическим лицам в соответствии с Уставом Оператора;

— иные цели.

3. Обрабатываемые категории персональных данных и источники их поступления

3.1. Персональные данные работников Оператора:

— Фамилия, имя, отчество (в том числе прежние фамилии, имена
и (или) отчества в случае их изменения, причина изменения).

— Число, месяц, год рождения.

— Место рождения, данные свидетельства о рождении.

— Информация о гражданстве (в том числе предыдущие гражданства, иные гражданства).

— Вид, серия, номер, документа, удостоверяющего личность
на территории Российской Федерации, наименование органа, выдавшего документ, дата выдачи.

— Адрес места жительства (адрес регистрации и фактического проживания, дата регистрации по месту жительства).

— Номер контактного телефона или сведения о других способах связи.

— Семейное положение, реквизиты свидетельств государственной регистрации актов гражданского состояния.

— Состав семьи, данные свидетельств о рождении детей (при наличии).

— Реквизиты страхового свидетельства государственного пенсионного страхования.

— Идентификационный номер налогоплательщика.

— Реквизиты страхового медицинского полиса обязательного медицинского страхования.

— Сведения о трудовой деятельности.

— Отношение к воинской обязанности, сведения по воинскому учету.

— Сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании).

— Сведения об ученой степени, ученом звании.

— Информация, содержащаяся в контракте (трудовом договоре), дополнительных соглашениях к контракту (трудовому договору).

— Фотография.

— Сведения о состоянии здоровья.

— Сведения о заработной плате (номера расчетного счета и банковской карты, данные договоров, размер денежного содержания).

— Сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющийся основанием для предоставления льгот и статуса).

— Сведения, содержащиеся в копиях решений судов.

— Сведения, подаваемые в налоговую инспекцию, пенсионный фонд, фонд социального страхования и другие учреждения.

— Сведения, содержащиеся в регистрах бухгалтерского учета
и внутренней бухгалтерской отчетности.

3.2. Персональные данные граждан – физических лиц, обратившихся с целью приобретения недвижимого имущества:

— Фамилия, имя, отчество;

— Паспортные данные, данные свидетельств о рождении несовершеннолетних граждан;

— Дата и место рождения;

— Адрес проживания;

— Номера телефонов, сведения о других способах связи.

4) Персональные данные посетителей сайта Оператора, направивших  Оператору запросы (обращения) посредством информационно-телекоммуникационной сети «Интернет» через официальный сайт Оператора: http://www.арсенальная.рф

— Фамилия, имя, отчество;

— Паспортные данные;

— Дата и место рождения;

— Адрес проживания;

— Номера телефонов, адреса электронной почты, сведения о других способах связи;

4. Источники получения персональных данных

4.1. Получение сведений о персональных данных осуществляется на основании документов и информации, представленных лично работниками Оператора в процессе трудовых отношений, а также лично лицами, заключающими гражданско-правовые договоры с Оператором.

4.2. Получение сведений о персональных данных граждан, обратившихся к Оператору в установленном порядке с целью заключения договоров купли-продажи, цессии, договоров долевого участия на приобретение прав собственности и/или прав требований на недвижимое имущество.

5. Основные принципы обработки, передачи и хранения персональных данных

5.1 Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

5.2 Оператор не осуществляет обработку биометрических (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) персональных данных.

5.3 Оператор не осуществляет трансграничную передачу персональных данных (передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).

6. Сведения о лицах, осуществляющих обработку персональных данных

6.1 В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:

— Федеральной налоговой службе России;

— Пенсионному фонду России;

— Негосударственным пенсионным фондам;

— Страховым компаниям в системе ОМС;

— Лицензирующим и/или контролирующим органам государственной власти и местного самоуправления;

— Кредитным организациям, осуществляющим ипотечное кредитование граждан;

— Кредитным организациям, осуществляющим перечисление заработной платы и иных платежей, предусмотренных действующим законодательством, сотрудникам Оператора.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

7. Меры по обеспечению безопасности персональных данных при их обработке

7.1 Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.2 Обеспечение безопасности персональных данных достигается, в частности:

— назначением ответственного за организацию обработки персональных данных;

— осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам;

— ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных работников;

— применением организационных мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;

— учетом машинных носителей персональных данных;

— обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

— восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— контролем за принимаемыми мерами по обеспечению безопасности персональных данных.

8. Права субъектов персональных данных

8.1 Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.

8.2 Субъект персональных данных вправе требовать от Оператора уточнения, обрабатываемых Оператором персональных данных субъекта персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.3 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

— обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

— обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

— обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

— доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

— обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

8.4 Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

8.5 Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

8.6 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

9. Сроки обработки (хранения) персональных данных

Течение срока обработки персональных данных начинается с момента их получения Оператором.

Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъект персональных данных, не дольше, чем того требуют цели их обработки.

Персональные данные работников Оператора, в том числе родственников работника, используются в течение трудовой деятельности в соответствии с трудовым договором, а также на протяжении установленного законодательством срока хранения личного дела в архиве (75 лет).

Персональные данные граждан (за исключением договора, содержащего персональные данные), обратившихся к Оператору с целью приобретения недвижимого имущества хранятся в отделе реализации жилья в течение 6 месяцев.  Договоры, заключенные с гражданами – физическими лицами хранятся в течение срока, установленного для хранения первичной бухгалтерской документацией (3-5 лет).

10. Уточнение, блокирование и уничтожение персональных данных

Целью уточнения персональных данных, в том числе обновления и изменения, является обеспечение достоверности, полноты и актуальности персональных данных, обрабатываемых Оператором.

Уточнение персональных данных осуществляется Оператором по собственной инициативе, по требованию субъекта персональных данных или его представителя, по требованию уполномоченного органа по защите прав субъектов персональных данных в случаях, когда установлено, что персональные данные являются неполными, устаревшими, недостоверными.

Целью блокирования персональных данных является временное прекращение обработки персональных данных до момента устранения обстоятельств, послуживших основанием для блокирования персональных данных.

Блокирование персональных данных осуществляется Оператором по требованию субъекта персональных данных или его представителя, а также по требованию уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними.

Уничтожение персональных данных осуществляется Оператором:

— по достижении цели обработки персональных данных;

— в случае утраты необходимости в достижении целей обработки персональных данных;

— в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных;

— по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных в случае выявления фактов совершения администрацией района неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.

При уничтожении материальных носителей персональных данных составляется акт об уничтожении носителей, содержащих персональные данные.

11. Заключительные положения

11.1 Настоящая Политика является внутренним документом Оператора, общедоступной и подлежит размещению в сети «Интеренет» по адресу: www.

11.2 Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не чаще одного раза в три года.

11.3 Контроль исполнения требований настоящей Политики осуществляется лицом ответственным за обеспечение безопасности персональных данных.

11.4 Ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Оператора.

11.5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интеренет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Применяется ли GDPR к компаниям США

В мае 2018 года Европейский Союз принял один из самых строгих в мире сводов правил по защите персональных данных. Официальное название этого закона — Общий регламент по защите данных, но он более известен как GDPR.

GDPR регулирует персональные данные, которые определяются как любая информация, которая может идентифицировать человека, называемого «субъектом данных». Затронутые компании должны выполнять пожелания субъектов данных о том, как обрабатываются их персональные данные, а также вести учет того, как происходит эта обработка.

Эта статья отвечает на вопрос, когда и как GDPR применяется к американским компаниям и гражданам США? Он охватывает основные требования закона и особенности применения GDPR, которые должна знать каждая компания в США.

Объем персональных данных в соответствии с этим определением значительно шире, чем в большинстве стандартов соответствия США, которые, как правило, защищают только те данные, которые могут быть использованы для совершения мошенничества. Помимо имен и государственных идентификационных номеров, GDPR также защищает информацию, которая может быть связана с «физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичностью» человека.

Краткий обзор GDPR

Какие данные защищает GDPR?

GDPR призван предоставить гражданам ЕС больший контроль над персональными данными, которые организации собирают, обрабатывают и хранят о них. Объем термина «персональные данные» в соответствии с GDPR значительно шире, чем в большинстве законов США о соответствии, которые, как правило, защищают только те данные, которые могут быть использованы для совершения мошенничества. В дополнение к именам и государственным идентификационным номерам GDPR также защищает информацию , которая может быть связана с «физической, физиологической, генетической, психической, экономической, культурной или социальной идентичностью» человека, например его IP-адрес и данные файлов cookie браузера.

Распространяется ли GDPR на граждан ЕС, проживающих в США?

Нет. GDPR конкретно относится к «субъектам данных, которые находятся в Союзе». Если гражданин ЕС проживает в США, GDPR не применяется. Это важное различие следует учитывать, если весь или почти весь бизнес компании осуществляется в обычных офисах на территории США.

В эту категорию входит больше организаций, чем вы думаете. По данным исследовательской группы Clutch.co, 36 % малых предприятий не имеют веб-сайтов. В результате этим компаниям гораздо проще определить, ведут ли они бизнес с резидентами ЕС.

Распространяется ли GDPR на граждан США?

Можно. GDPR защищает информацию всех, кто живет в ЕС. Поэтому, если гражданин США проживает в стране ЕС, когда компания собирает информацию об этом, GDPR будет применяться к этим данным.

GDPR не распространяется на граждан США, проживающих в США, но в США существует несколько правил конфиденциальности на федеральном уровне и уровне штатов, которые предлагают аналогичные меры защиты. В частности, Калифорнийский закон о защите конфиденциальности (CalOPPA) и Калифорнийский закон о конфиденциальности потребителей (CCPA) регулируют сбор «личной информации» от любого лица, проживающего в штате Калифорния (включая всех жителей Калифорнии, являющихся гражданами ЕС).

Аналогичным образом, Закон о защите конфиденциальности детей в Интернете (COPPA) регулирует сбор, использование и распространение данных, принадлежащих любому ребенку в возрасте до 13 лет, независимо от гражданства, при условии, что они находятся в США на момент сбора их информации.

Как GDPR влияет на компании США?

В отличие от отраслевых нормативных актов США, таких как HIPAA для медицины и GLBA для финансов , GDPR представляет собой общее положение о конфиденциальности данных, которое применяется ко всем организациям, государственным и частным, которые хранят или обрабатывают персональные данные жителей ЕС. Это означает, что многие американские компании подлежат регулированию.

Однако GDPR признает, что некоторые компании, не входящие в ЕС, ведут дела с гражданами ЕС только на случайной основе. Согласно Recital 23, иностранные компании обязаны соблюдать GDPR только в том случае, если они нацелены на жителей ЕС в своем маркетинге. Например, если у вас есть локализованный веб-сайт на языке страны-члена ЕС и/или прейскурантные цены в евро, предполагается, что вы ориентируетесь на граждан ЕС и, следовательно, подпадаете под действие GDPR.

Как правило, вы можете быть привлечены к ответственности, если выполняется одно из следующих условий:

• Вы регулярно обрабатываете данные жителей ЕС.
• Права и свободы этих субъектов данных могут быть под угрозой.
• Вы обрабатываете информацию, относящуюся к особым категориям данных, включая состояние здоровья, расовое или этническое происхождение, сексуальную ориентацию или религиозные убеждения.

Распространяется ли GDPR на государственные учреждения США и другие организации государственного сектора?

Технически GDPR применяется ко всем организациям, государственным и частным, по всему миру. Однако с практической точки зрения только некоторые правительственные учреждения США могут

GDPR контролирует действия по обработке персональных данных, только если эта обработка служит одной из двух целей:

• Предложение товаров или услуг
• Мониторинг поведения субъекта данных, как это происходит в Европейском Союзе

Таким образом, многие организации государственного сектора не подпадают под действие GDPR. Некоторые федеральные агентства, в том числе Министерство внутренней безопасности и Государственный департамент, могут иметь основания собирать личные данные граждан ЕС и использовать их для отслеживания поведения. Точно так же, если государственное управление по туризму собирает данные с целью саморекламы гражданам ЕС или если государственный колледж собирает информацию о потенциальном студенте, применяется GDPR. Но большинство других государственных учреждений, в том числе те, которые собирают данные, связанные с деловыми интересами граждан ЕС, вряд ли подпадают под действие GDPR 9. 0003

Каковы самые важные требования GDPR для компаний США?

Любая организация в частном или государственном секторе, которая хранит или обрабатывает личную информацию о резидентах ЕС, должна соблюдать GDPR, даже если она не имеет физического присутствия в ЕС. Наиболее важные требования описаны ниже.

Требования к контроллерам и процессорам

Требования GDPR зависят от того, выступаете ли вы в качестве контроллера или процессора:

• Контролеры определяют цели и средства обработки персональных данных. Они должны принять соответствующие технические и организационные меры для обеспечения и демонстрации того, что обработка персональных данных осуществляется в соответствии с GDPR.
• Процессоры обрабатывают персональные данные по документально оформленным инструкциям Контролера. Обработчиками могут быть внутренние группы, которые ведут и обрабатывают записи личных данных, или аутсорсинговая фирма, которая выполняет все или часть этих действий.

GDPR возлагает ответственность как на контролеров, так и на обработчиков данных за нарушение его положений. Поэтому вполне возможно, что и ваша компания, и партнер по обработке данных, например поставщик облачных услуг, будут нести ответственность за штрафы и другие санкции в соответствии с GDPR, даже если вина полностью лежит на стороне вашего партнера по обработке.

Требования к контрактам на обработку данных

GDPR требует, чтобы контролеры и обработчики данных заключали юридически обязывающий договор, когда контролер нанимает обработчика для обработки персональных данных от своего имени. Контроллеры обязаны использовать только процессоры, которые обеспечивают достаточные гарантии наличия соответствующих технических и организационных мер для соблюдения GDPR. Эти меры должны быть подробно описаны в политике безопасности данных организации.

В статье 28 подробно описывается, что должно быть включено в договор на обработку данных между контролером данных и обработчиком данных. Во-первых, он должен включать следующие данные:

• Предмет, продолжительность, характер и цель обработки данных
• Тип обрабатываемых персональных данных
• Категории субъектов данных, персональные данные которых обрабатываются
• Требования и права Контролера

Кроме того, договор должен содержать следующие положения:

• Обработчик будет обрабатывать персональные данные, полученные от Контролера, только на основании документально оформленных указаний Контролера (за исключением случаев, когда по закону требуется обработка персональных данных без таких инструкций).
• Обработчик гарантирует, что любое лицо, обрабатывающее персональные данные, обязано соблюдать конфиденциальность.
• Обработчик принимает все меры, требуемые Статьей 32, в том числе реализует соответствующие технические и организационные меры для защиты персональных данных, полученных от Контролера.
• Обработчик получает письменное разрешение для любых подпроцессоров, которых он может привлечь для обработки персональных данных, полученных от Контроллера. Если Контролер предоставляет общее письменное разрешение на привлечение субобработчиков, Контролеру должна быть предоставлена ​​возможность заранее возражать против каждого отдельного субобработчика, которого он предлагает привлечь.
• На всех субобработчиков, привлеченных Обработчиком, распространяются те же требования по защите данных, что и на Обработчика, и что Обработчик несет прямую ответственность перед Контролером за выполнение требований по защите данных субобработчика.
• Процессор поддерживает Контроллера, реализуя соответствующие технические и организационные меры для ответа на запросы от субъектов данных в соответствии с GDPR.

• Обработчик поддерживает Контроллера для обеспечения соблюдения требований GDPR в отношении безопасности обработки данных (статья 32), уведомления об утечке данных (статьи 33 и 34) и оценки воздействия на защиту данных (статьи 35 и 36).
• По окончании обработки данных Обработчиком и по поручению Контролера, Обработчик удаляет или возвращает персональные данные, полученные от Контролера.
• Обработчик предоставляет Контролеру всю информацию, необходимую для демонстрации соблюдения Статьи 28, а также того, что Обработчик допускает и участвует в проверках, проводимых Контролером или третьей стороной от имени Контролера.

Существуют и другие положения, которые Контроллеры и Обработчики могут захотеть включить в Договор на обработку данных в каждом конкретном случае, но которые не являются обязательными в соответствии с GDPR, например:

• Положения об ответственности (включая возмещение убытков)
• Подробные (технические) положения о безопасности
• Дополнительные условия сотрудничества между контроллером и обработчиком

Правила для многонациональных компаний

Если ваша американская компания является частью многонациональной компании, учрежденной в ЕС, и вы регулярно получаете данные от своих коллег из ЕС о гражданах ЕС, на вас распространяются правила, регулирующие передачу этих данных между странами . Настоящие Обязательные корпоративные правила (ОКП) указаны в статье 29.и предоставить транснациональным компаниям основу для передачи персональных данных из Европейской экономической зоны (ЕЭЗ) своим аффилированным лицам, расположенным за пределами ЕЭЗ, в соответствии с законом 8-го принципа защиты данных и статьи 25 Директивы 95/46/ЕС.

Правила уведомления об утечке данных

Уведомления об утечке данных должны направляться, когда нарушение безопасности приводит к случайному или незаконному раскрытию, потере или изменению личных данных. Закон о конфиденциальности данных GDPR предписывает, что если утечка данных ставит под угрозу личные права и свободы людей, и вы не можете сдержать эти риски, все затронутые лица должны быть уведомлены. Если компания определяет, что такого риска нет, эта позиция должна быть подтверждена достоверными доказательствами. Обработчики данных, которые столкнулись с нарушениями, также должны уведомить соответствующего контроллера данных. Вы также должны уведомить органы по защите данных; если нарушение затрагивает людей в нескольких местах, вам необходимо уведомить орган с самой широкой юрисдикцией. Регулятор не собирается говорить, что у вас не должно было быть нарушений. Они скажут, что у вас должны быть политики, процедуры и структура реагирования, чтобы быстро решить эту проблему.

Хотя законный срок для сообщения о нарушении составляет 72 часа, не ждите до последнего часа, чтобы сделать это; сделайте отчет, как только вам станет известно о нарушении, и сообщите регулирующему органу, что вы внедрили свой процесс реагирования и что вы будете предоставлять обновления.

Требование об оценке воздействия на защиту данных

Статья 35 GDPR требует, чтобы все компании проводили оценку воздействия на защиту данных (DPIA) для оценки потенциального риска данных и демонстрации того, как данные проходят через организацию. Существует четыре основных компонента оценки воздействия на защиту данных:

• Описание операций обработки
• Объяснение, почему происходит обработка и зачем она нужна
• Описание мер, принимаемых для снижения рисков и защиты конфиденциальности пользователей
• Счет с подробным описанием риска и выгоды

GDPR не предоставляет конкретной структуры для этих оценок, но указывает, что сбор и обработка данных всегда должны «служить человечеству», указывая на то, что их внимание должно быть сосредоточено на их пользе для субъектов данных.

Согласие на обработку данных

В соответствии с GDPR компании должны получить явное согласие на обработку персональных данных: Каждый субъект данных должен дать согласие не только на то, чтобы разрешить вам собирать и хранить его данные, но и на то, чтобы его данные использовались в так, как вы намереваетесь.

Субъекты данных имеют право отозвать согласие для любой цели. Если клиент решит, что он больше не хочет получать таргетированную рекламу, которую вы создаете с использованием его данных, вам необходимо удалить клиента из вашей системы.

Защита прав субъектов данных

GDPR перечисляет восемь прав субъектов данных , которые компании обязаны соблюдать. Это:

• Право на информацию о том, что происходит с персональными данными
• Право на копию собранных данных и любую дополнительную информацию для контекста
• Право на исправление неточных данных
• Право на удаление персональных данных (при определенных обстоятельствах)
• Право ограничивать использование данных
• Право на получение отчета о том, какие данные были собраны
• Право распорядиться о прекращении обработки данных
• Право не подчиняться решениям, принятым на основе автоматизированной обработки данных

Кроме того, компании должны сделать так, чтобы субъектам данных было удобно пользоваться этими правами. Например, компании могут принять решение о выпуске политики конфиденциальности и потребовать от клиентов поставить флажок «согласен». Эти процедуры должны быть изложены в вашем заявлении о конфиденциальности, которое следует регулярно обновлять (хороший контроль версий — разумный способ продемонстрировать соответствие).

Назначение персонала

Европейская комиссия рекомендует каждой пострадавшей компании иметь в штате сотрудника по защите данных (DPO). Вам необходимо иметь DPO, если применимо любое из следующих условий:

• Вы являетесь государственным органом, который обрабатывает данные, защищенные GDPR.
• Ваша основная деятельность включает крупномасштабный систематический мониторинг данных.
• Вы обрабатываете данные особой категории, такие как состояние здоровья, расовая или этническая принадлежность, сексуальная ориентация или религиозные убеждения.

Даже если GDPR конкретно не требует назначения DPO, организации иногда могут счесть полезным назначить DPO на добровольной основе. DPO является краеугольным камнем подотчетности, и назначение DPO может продемонстрировать и облегчить соблюдение требований, давая конкурентное преимущество компаниям, демонстрируя, насколько этична ваша организация. Рабочая группа по защите данных в соответствии со Статьей 29 («WP29») поощряет эти добровольные усилия. (В эту группу входят представители органов по защите данных каждого государства-члена ЕС, и она издает рекомендации по соблюдению требований GDPR, например, по назначению DPO.)

DPO может быть любым сотрудником, который следит за тем, чтобы стратегия защиты данных вашей компании соответствовала GDPR. Если у вас нет физического присутствия в ЕС, вам необходимо назначить представителя в стране ЕС. У DPO могут быть другие обязанности, при условии, что у него еще есть время для контроля за соблюдением GDPR.

После того, как вы назначили DPO или наняли кого-то нового на эту роль, убедитесь, что они знают, что им нужно делать, и имеют необходимые для этого ресурсы. Полноценный контрольный список идеален. Помимо таких задач, как содействие DPIA и проведение аудитов, DPO выступают в качестве посредников между заинтересованными сторонами, такими как надзорные органы, субъекты данных и бизнес-подразделения внутри организации.

Обратите внимание, что DPO не несут личной ответственности в случае несоблюдения GDPR. Статья 24 разъясняет, что именно Контролер или Обработчик должен обеспечить и быть в состоянии продемонстрировать, что обработка выполняется в соответствии с положениями GDPR.

Далее: советы по обеспечению соответствия GDPR

Лучший способ добиться соответствия GDPR — использовать подход «сверху вниз», обдумывая ключевые цели, а затем определяя, какие технические средства управления выбрать для достижения этих целей. Помимо очевидных инструментов соответствия GDPR, есть три ключевых момента, о которых следует помнить, когда вы хотите обеспечить безопасность регулируемых данных:

Управление рисками безопасности

GDPR делает упор на риск-ориентированный подход к защите данных и безопасности ваших систем обработки и услуг. Вы должны определить и оценить свои риски, а затем принять соответствующие меры для управления ими на основе таких факторов, как:

• Доступная технология
• Стоимость внедрения инструментов и процессов
• Характер, объем, контекст и цель обработки
• Серьезность и вероятность рисков
• Персональные данные, которые вы обрабатываете
• Системы, обрабатывающие эти данные

Если обработка данных может привести к высокому риску для прав и свобод людей, вы должны провести DPIA, чтобы установить влияние предполагаемой обработки на защиту персональных данных и определить технические и организационные меры, необходимые для смягчения риск. Если эти меры не снижают риск до приемлемого уровня, вам необходимо проконсультироваться с вашим органом по регулированию данных, прежде чем начать обработку.

Управление

Вам также необходимо внедрить соответствующие политики и процессы защиты данных и информационной безопасности. Убедитесь, что вы ведете записи об обработке данных и, при необходимости, назначаете сотрудника по защите данных.

Осведомленность и обучение персонала

Помогите своим сотрудникам безопасно управлять личными данными, предоставив соответствующее информационное обучение, а также обучение правильному использованию ваших систем и инструментов. Например, сотрудники должны быть компетентными, чтобы они не обрабатывали персональные данные непреднамеренно (например, отправляя их не тому получателю).

Часто задаваемые вопросы

Что означает GDPR для компаний США?

GDPR регулирует сбор и обработку персональных данных, принадлежащих резидентам ЕС, даже если сама компания находится в США.

Как GDPR влияет на компании в США?

Американские компании должны соблюдать GDPR, если они предлагают товары или услуги, в частности, резидентам ЕС, или если они отслеживают поведение резидентов ЕС в пределах Союза.

Когда соблюдение GDPR необходимо в США?

Если компания собирает личные данные жителей ЕС в коммерческих целях и делает это чаще, чем время от времени, она должна соответствовать GDPR.

Что такое персональные данные согласно GDPR в США?

Персональные данные — это любая информация, которая может быть связана с индивидуальной или социальной идентичностью человека. Это включает имя человека, место жительства, работу или религиозную принадлежность.

Что произойдет, если американские компании не соблюдают GDPR?

Любая компания, уличенная в нарушении GDPR, может быть оштрафована на сумму от 10 до 20 миллионов евро или до 4% годового дохода компании.

Какая организация имеет право налагать санкции на американские компании, не соблюдающие требования?

Европейская комиссия является официальным регулирующим органом GDPR. Если будет установлено, что компания нарушает эти правила, но не подпадает под юрисдикцию Европы, ЕС может сотрудничать с международными правительствами для наложения штрафов и санкций.

 

Закон Филиппин о конфиденциальности данных и подзаконные акты

На Филиппинах существует растущая и важная отрасль управления бизнес-процессами и информационных технологий в области здравоохранения. Общие расходы на ИТ достигли 4,4 миллиарда долларов в 2016 году, и ожидается, что к 2020 году этот сектор вырастет более чем вдвое. Филиппинцы являются активными пользователями социальных сетей, 42,1 миллиона пользователей Facebook, 13 миллионов пользователей Twitter и 3,5 миллиона пользователей LinkedIn. Страна также находится в процессе включения бесплатного общественного Wi-Fi. В условиях быстрого роста цифровой экономики и расширения международной торговли данными Филиппины усилили защиту конфиденциальности и безопасности.

В 2012 г. на Филиппинах был принят Закон о конфиденциальности данных 2012 г., всеобъемлющее и строгое законодательство о конфиденциальности, «защищающее фундаментальное право человека на неприкосновенность частной жизни и общение при обеспечении свободного потока информации для содействия инновациям и росту». (Закон Республики № 10173, гл. 1, п. 2). Этот всеобъемлющий закон о конфиденциальности также учредил Национальную комиссию по конфиденциальности, которая обеспечивает соблюдение и надзор за его соблюдением и наделена полномочиями по нормотворчеству. 9 сентября 2016 года вступили в силу окончательные правила и положения , вносящие уточнения в Закон о конфиденциальности.

Сфера применения и применение

Закон о конфиденциальности данных широко применяется к физическим и юридическим лицам, обрабатывающим личную информацию, за некоторыми исключениями. Закон имеет экстерриториальное применение, применимое не только к предприятиям, имеющим офисы на Филиппинах, но и к случаям, когда для обработки используется оборудование, базирующееся на Филиппинах. Закон также применяется к обработке личной информации граждан Филиппин независимо от того, где они проживают.

Одно исключение из закона предусматривает, что закон не распространяется на обработку личной информации на Филиппинах, которая была законно получена от резидентов иностранных юрисдикций — исключение, полезное для филиппинских компаний, предлагающих облачные услуги.

Подход

Согласно законодательству Филиппин, «обработка персональных данных разрешается при соблюдении принципов прозрачности, законной цели и пропорциональности».

Сбор, обработка и согласие

Закон гласит , что сбор персональных данных «должен быть заявленной, указанной и законной целью», а также предусматривает, что согласие требуется до сбора всех персональных данных. . В нем требуется, чтобы при получении согласия субъект данных был проинформирован об объеме и цели обработки, и в нем конкретно упоминается «автоматизированная обработка его или ее личных данных для профилирования или обработка для прямого маркетинга и обмена данными». Согласие также требуется для обмена информацией с аффилированными лицами или даже материнскими компаниями.

Согласие должно быть «свободно предоставленным, конкретным, информированным», и определение также требует, чтобы согласие на сбор и обработку было подтверждено зарегистрированными способами. Однако обработка не всегда требует согласия.

Согласие не требуется для обработки, если субъект данных является стороной договорного соглашения, в целях выполнения этого договора. Также доступны исключения, связанные с соблюдением юридических обязательств перед контролером данных, защитой жизненно важных интересов субъекта данных и реагированием на чрезвычайное положение в стране.

Допускается исключение из согласия, когда обработка необходима для реализации законных интересов контролера данных, за исключением случаев, когда они преобладают над основными правами и свободами субъекта данных.

Требуемые соглашения

Закон требует, чтобы при обмене данными на обмен распространялось соглашение, обеспечивающее надлежащие гарантии прав субъектов данных, и чтобы эти соглашения проверялись Национальной комиссией по конфиденциальности.

Конфиденциальная личная и конфиденциальная информация

Закон определяет конфиденциальную личную информацию как:

• Информация о расе, этническом происхождении, семейном положении, возрасте, цвете кожи, религиозной, философской или политической принадлежности;
• О здоровье человека, образовании, генетической или сексуальной жизни человека или о любом судебном разбирательстве или любом совершенном или предположительно совершенном правонарушении;
• Выдается государственными органами «своеобразно» (уникально) физическому лицу, например, номер социального страхования;
• Помечено как засекреченное указом президента или актом Конгресса.

Любая обработка конфиденциальной и личной информации запрещена, за исключением определенных обстоятельств. Исключениями являются:

• Согласие субъекта данных;
• В соответствии с законом, не требующим согласия;
• Необходимость защиты жизни и здоровья человека;
• Необходимость лечения;
• Необходимость защиты законных прав субъектов данных в судебном разбирательстве, судебном разбирательстве или регулировании.

Наблюдение

Интересно, что закон Филиппин гласит, что закон страны о безопасности человека от 2007 года (основной закон о борьбе с терроризмом, разрешающий слежку) должен соответствовать Закону о конфиденциальности.

Требуется программа конфиденциальности

Закон требует, чтобы любая организация, участвующая в обработке данных и подпадающая под действие закона, должна была разработать, внедрить и пересмотреть процедуры сбора персональных данных, получения согласия, ограничения обработки определенными целями, управления доступом, обеспечение обращения к субъектам данных и соответствующих политик хранения данных. Эти требования требуют создания программы конфиденциальности. Требования к техническим мерам безопасности в законе также обязывают организацию иметь программу безопасности.

Права субъектов данных

В законе перечислены права, знакомые специалистам по конфиденциальности в отношении принципов уведомления, выбора, доступа, точности и целостности данных.

Закон Филиппин, как представляется, содержит «право на забвение» в форме права на стирание или блокировку, когда субъект данных может распорядиться об удалении своих личных данных из файловой системы контроллера данных. Для осуществления этого права требуются «существенные доказательства», бремя предоставления которых возлагается на субъекта данных. Это право прямо ограничено тем фактом, что продолжение публикации может быть оправдано конституционными правами на свободу слова, самовыражения и другими правами.

Примечательно, что закон предусматривает право частного иска о возмещении ущерба за неточное, неполное, устаревшее, ложное, незаконно полученное или несанкционированное использование персональных данных.

Также предоставляется право на переносимость данных.

Обязательное уведомление об утечке личной информации

Закон определяет «инцидент безопасности» и «нарушение безопасности личных данных», чтобы их нельзя было путать. «Инцидент безопасности» — это событие или событие, которое влияет или имеет тенденцию влиять на защиту данных или может поставить под угрозу доступность, целостность или конфиденциальность. Это определение включает инциденты, которые привели бы к личному нарушению, если бы не принятые меры безопасности.

«Нарушение персональных данных», с другой стороны, является частью нарушения безопасности, которое фактически приводит к «случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным, переданным, сохраненным или иначе обрабатываются.

Требование об уведомлении  

Закон также предусматривает, что не обо всех «нарушениях персональных данных» требуется уведомление, что дает несколько оснований для неуведомления субъектов данных или органа по защите данных. Раздел 38 IRR устанавливает требования к уведомлению о нарушении:

• Удаленная информация должна быть конфиденциальной личной информацией или информацией, которая может быть использована для мошенничества с идентификацией, и
• Существует разумное убеждение, что произошло несанкционированное приобретение, и
• Риск для субъекта данных реален, и
• Потенциальный вред серьезен.

Закон предусматривает, что Комиссия может определить, что уведомление субъектов данных является необоснованным, приняв во внимание соблюдение организацией Закона о конфиденциальности и добросовестность приобретения.

Сроки уведомления и получатели

Закон налагает параллельное обязательство уведомлять Национальную комиссию по конфиденциальности, а также затронутых субъектов данных в течение 72 часов после того, как стало известно или по разумному мнению контроллера данных, об утечке персональных данных, которая требует уведомление.

В настоящее время неясно, допустит ли комиссия отсрочку уведомления субъектов данных, чтобы комиссия могла определить, является ли уведомление необоснованным. По закону это выглядело бы как азартная игра.

Содержание уведомления

Содержание уведомления должно как минимум:

• Описывать характер нарушения;
• Возможные персональные данные;
• Меры, принятые организацией для устранения нарушения;
• Меры, принимаемые для уменьшения вреда или негативных последствий нарушения;
• Представители контроллера личной информации, включая их контактные данные;
• Любая помощь, которая должна быть оказана затронутым субъектам данных.

Штрафы

Закон предусматривает отдельные наказания за различные нарушения, большинство из которых также включает лишение свободы. Существуют отдельные подсчеты для несанкционированной обработки, обработки в несанкционированных целях, небрежного доступа, ненадлежащего удаления, несанкционированного доступа или преднамеренного нарушения, сокрытия нарушения конфиденциальной личной информации, несанкционированного раскрытия и злонамеренного раскрытия.

Любая комбинация или серия действий может привести к тюремному заключению на срок от трех до шести лет, а также штрафу в размере от 20 000 до 100 000 долларов США.

Примечательно, что существует также ранее упомянутое право частного иска о возмещении убытков, которое будет применяться.

Штрафы за неуведомление

Лица, которым известно о нарушении безопасности, связанном с конфиденциальной личной информацией, и об обязанности уведомить о таком нарушении, и которые не делают этого, могут быть подвергнуты наказанию за сокрытие, включая тюремное заключение на срок от 1 1/2 до пяти лет лишения свободы и штраф в размере примерно от 10 000 до 20 000 долларов США.

В зависимости от обстоятельств могут применяться дополнительные нарушения.

Фото предоставлено: Storm Crypt 12 июня через фотоштифт (лицензия)

PIPL // Cooley // Global Law Firm

Предупреждение Кули

30 ноября 2021 г.

Поскольку мир продолжает работать из дома после COVID-19, и компании используют онлайн-технологии для ведения своего бизнеса и обслуживания своих клиентов, Китайская Народная Республика (где проживает наибольшее количество онлайн-пользователей в мире) является одной из последних стран, принявших новый комплексный закон о конфиденциальности. С 1 ноября 2021 г., несмотря на многочисленные элементы, которые еще предстоит определить, Закон о защите личной информации (PIPL) ¹ является первым всеобъемлющим законом Китая, предназначенным для регулирования онлайн-данных и защиты личной информации.

Закон

о безопасности данных Китая вступил в силу ранее в этом году, 1 сентября 2021 года, и применяется к широкому спектру действий по обработке данных, включая, помимо прочего, обработку личной информации. Эти законы с экстерриториальным охватом и строгими штрафами и санкциями призваны установить все более сложную и всеобъемлющую правовую базу для обработки личной информации при ведении бизнеса в Китае.

PIPL обеспечивается и управляется Администрацией киберпространства Китая и соответствующими государственными и местными правительственными ведомствами. Закон основан на Общем регламенте ЕС по защите данных (GDPR) с суровыми штрафами до 5% от дохода за предыдущий год (возможно, в глобальном масштабе) или 7,7 млн ​​долларов в зависимости от того, что больше. PIPL состоит из более чем 70 статей, охватывающих восемь глав. (Прочитайте полный неофициальный перевод текста.) Наши выводы и краткое изложение основных положений закона приведены ниже.

Наш взгляд

Учитывая широкий охват, экстерриториальное применение и потенциальные значительные штрафы, организации или частные лица должны оценить свои обязательства по соблюдению PIPL, если они обрабатывают личную информацию в Китае, с целью предоставления продуктов или услуг для физических лиц в Китае, или для анализа или оценки поведение людей в Китае. Эти обязательства могут включать:

• Корректировка общедоступной документации, такой как политики конфиденциальности, процедуры запроса прав субъекта данных и другие пользовательские интерфейсы и взаимодействие с пользователем (например, процессы регистрации).
• Внедрение будущих стандартных договорных положений в контракты, связанные с личной информацией, которая передается за пределы Китая.
• Внедрение механизмов согласия, включая несколько уровней согласия для определенных действий по обработке или передаче (например, передача личной информации за пределы Китая или другому обработчику личной информации).
• Добавление требований уведомления об утечке данных PIPL в планы реагирования на инциденты.
• Оценка необходимости локализации данных в Китае и возможного влияния на глобальные операции.

Сопоставление данных и другие мероприятия, связанные с соблюдением GDPR, Калифорнийского закона о конфиденциальности потребителей (CCPA) и других нормативных актов, вероятно, могут быть перенаправлены, чтобы сделать соблюдение PIPL менее обременительным, хотя потребуется некоторая настройка. В целом усилия по соблюдению PIPL, скорее всего, останутся незавершенными, учитывая неопределенность, связанную с толкованием и применением нового длинного закона, а также в ожидании внедрения правил и положений. Как и в случае с CCPA и GDPR, клиенты должны продолжать отслеживать поправки к PIPL, положениям о его реализации и соответствующим правоприменительным действиям и соответствующим образом корректировать свою практику. Глобальная команда экспертов по конфиденциальности Cooley работает со многими клиентами, ведущими бизнес в Китае, для оценки обязательств по соблюдению PIPL. Свяжитесь с любым из контактов, перечисленных ниже, чтобы обсудить ваши вопросы PIPL.

Кто должен соблюдать PIPL?

Как и GDPR, PIPL предназначен для введения экстерриториальной юрисдикции и, возможно, распространяется на любую компанию или физическое лицо, которое обрабатывает личную информацию физических лиц в Китае (независимо от гражданства или места жительства человека). ² Кроме того, PIPL требует, чтобы обработчики личной информации (также известные как обработчики личной информации или 个人信息处理者), расположенные за пределами Китая, создавали специальные организации или назначали отдельных представителей, отвечающих за личную информацию в Китае. ³ Такие организации или представители не обязаны иметь какие-либо трудовые отношения или быть аффилированными с иностранным переработчиком. Кроме того, по аналогии с концепцией уполномоченного по защите данных в GDPR, обработчики персональных данных, обрабатывающие определенный порог личной информации (хотя этот порог на сегодняшний день не определен), должны назначать и публиковать контактную информацию лица, отвечающего за обработку и защита личной информации. ⁴

Делает ли PIPL различие между «контролерами» и «обработчиками» личной информации?

В обозначении, которое наверняка вызовет некоторую путаницу, в соответствии с PIPL «обработчики персональных данных» аналогичны «контролерам», а «доверенные стороны» аналогичны «обработчикам» в соответствии с GDPR. Обработчики личной информации принимают на себя ответственность и соблюдение требований PIPL. Между тем, совместные обработчики личной информации должны заключить соглашение, в котором определяются конкретные права и обязанности для каждого обработчика личной информации и указывается, что совместные обработчики личной информации несут совместную ответственность. ⁵

Кроме того, если обработка личной информации осуществляется доверенной стороной (например, обработчиком в соответствии с GDPR) от имени обработчика личной информации, стороны должны заключить соглашение, в котором конкретно указаны цель, продолжительность, метод, категории , защита, права и обязанности обработки личной информации. ⁶ На практике соглашение об обработке данных должно включать следующее в соответствии с требованиями PIPL ⁷ :

• Запрет на обработку личной информации доверенной стороной вне соглашения.
• Условия, требующие от доверенной стороны вернуть или удалить личную информацию после завершения, отзыва или истечения срока действия соглашения.
• Положения, требующие, чтобы доверенная сторона получила согласие обработчика личной информации, прежде чем разрешить вспомогательному обработчику обрабатывать личную информацию.

Какие типы данных покрываются PIPL?

PIPL определяет личную информацию так же, как CCPA и GDPR, как:

… различного рода информация, относящаяся к идентифицированным или идентифицируемым физическим лицам, записанная с помощью электронных или иных средств, за исключением анонимной информации. ⁸

PIPL также следует CCPA и GDPR, считая анонимную информацию неличной и находящейся вне сферы действия закона. Однако определение анонимизации является строгим, и его может быть трудно выполнить:

Под анонимизацией понимается процесс, при котором персональные данные обрабатываются таким образом, что невозможно идентифицировать определенное физическое лицо и нельзя отменить. ⁹

Подобно CCPA (с изменениями, внесенными Законом штата Калифорния о правах на неприкосновенность частной жизни (CPRA)) и GDPR, PIPL дает неоднозначное определение «конфиденциальной личной информации»:

Конфиденциальная личная информация относится к личной информации, которая может легко привести к ущемлению личного достоинства физических лиц или причинению вреда личной или имущественной безопасности в случае утечки или незаконного использования, включая такую ​​информацию, как биометрические данные, религиозные убеждения, конкретные личности, медицинское состояние, финансовые счета и местонахождение, а также личную информацию о несовершеннолетних в возрасте до 14 лет. ¹⁰

Конфиденциальная личная информация подлежит дополнительным требованиям для обработки, таким как:

• Определение конкретной цели и достаточной необходимости обработки.
• Предоставление пользователю уведомления о влиянии обработки на его права и интересы.
• Требование использования «строгих защитных мер» (еще не определено).
• Проведение оценки воздействия на конфиденциальность и создание записи об обработке.
• Получение отдельного индивидуального согласия на обработку (и, возможно, письменное согласие , если это требуется в соответствии с еще не опубликованными правилами).

PIPL также поручает Администрации киберпространства Китая сформулировать специальные правила защиты личной информации и стандарты для обработки конфиденциальной личной информации. ¹¹

Какие правовые основания доступны для обработки данных в рамках PIPL?

В соответствии с PIPL обработчики персональных данных могут обрабатывать персональные данные только в следующих случаях:

1. Получено согласие физического лица, которое должно быть информированным, добровольным и явным (с порогами, которые еще не определены), при соблюдении следующих условий: ¹²
1. В случае изменения цели, метода или категорий обработки информации необходимо получить новое согласие.
2. Физические лица должны иметь возможность отозвать согласие «удобными способами» (еще не определено).
3. Предоставление продуктов или услуг не может быть обусловлено согласием, за исключением случаев, когда собираемая информация необходима для предоставления продуктов или услуг (что, по-видимому, отражает концепцию «свободно предоставленного» согласия в соответствии с GDPR).
4. Согласие родителя/опекуна необходимо, если обработка включает личную информацию несовершеннолетнего младше 14 лет. ¹³
2. Это необходимо для заключения или выполнения договора, стороной которого является физическое лицо, или для осуществления управления человеческими ресурсами в соответствии с трудовыми нормами и правилами, сформулированными и коллективными договорами, заключенными в соответствии с законом.
3. Это необходимо для выполнения уставных обязанностей или обязательств.
4. Необходим для преодоления чрезвычайных ситуаций в области общественного здравоохранения или для защиты жизни, здоровья или имущества человека.
5. Такие действия, как сообщение новостей и надзор со стороны общественного мнения, осуществляются в общественных интересах, а обработка личной информации осуществляется в разумных пределах.
6. Личная информация уже раскрыта физическим лицом, или другая законно раскрытая личная информация обрабатывается в разумных пределах в соответствии с положениями настоящего закона.
7. Существуют и другие обстоятельства, предусмотренные китайскими законами и правилами.

Примечательно, что в PIPL указано, что индивидуальное согласие является правовой основой по умолчанию для обработки, если не применяется одна из других правовых баз. Также следует отметить отсутствие основы обработки «законных интересов», доступной в GDPR, которая использовалась многими контролерами данных ЕС в качестве более гибкого средства создания правовой основы для обработки. Тем не менее, все еще возможно, что китайские власти могут расширить доступные базы легальной обработки посредством регулирования.

Какие типы уведомлений требуются в соответствии с PIPL?

Уведомление о конфиденциальности

Перед обработкой личной информации обработчик личной информации должен правдиво, точно и полностью информировать людей «броским образом с четким и понятным языком», включая: ¹⁴

• Имя и способ связи с обработчиком личной информации.
• Цель и способ обработки персональных данных, а также тип и срок хранения обрабатываемых персональных данных.
• Методы и процедуры для осуществления физическими лицами прав, предусмотренных PIPL.
• Должны быть уведомлены другие пункты, о которых предусмотрены законы или административные правила.

Кроме того, лица должны быть уведомлены о любых изменениях в этих ключевых элементах обработки данных.

Уведомление о согласии

Если правовым основанием для обработки личной информации является согласие, обработчики личной информации должны предоставить четкое и понятное уведомление перед обработкой личной информации. ¹⁵

Уведомление о передаче личной информации для деловых операций

Если обработчик личной информации передает личную информацию во время деловой операции, обработчик должен сообщить лицам имя и контактную информацию получателя. PIPL также требует получения нового согласия, если получатель меняет цель или метод обработки личной информации. ¹⁶

Уведомление о передаче личной информации другому обработчику личной информации

Если обработчик личной информации передает личную информацию другому обработчику личной информации, обработчик должен:

• Сообщите лицу имя и контактную информацию нового обработчика личной информации.
• Уведомить человека о цели и методе обработки, а также о типе личной информации, обрабатываемой новым обработчиком личной информации.
• Получите отдельное согласие на эту новую обработку.

Новый обработчик личной информации также должен придерживаться первоначального объема метода, цели и типа личной информации, сообщаемой физическому лицу, или получить новое согласие. ¹⁷

Какие индивидуальные права предоставляет PIPL?

PIPL устанавливает особые права для физических лиц в отношении обработки их личной информации, включая право на ¹⁸ :

• Знать, принимать решения и ограничивать или возражать против обработки личной информации другими лицами.
• Доступ и копирование (включая передачу) своей информации из процессоров личной информации.
• Запросить исправление или дополнение своей личной информации.
• Запросить удаление при определенных обстоятельствах или отозвать согласие.

Обработчики личной информации должны установить удобный, но неопределенный механизм, позволяющий физическим лицам осуществлять эти права. ¹⁹ В частности, родственники умершего физического лица могут — в своих законных и законных интересах — получать доступ, копировать, исправлять и удалять личную информацию умершего. ²⁰

Требует ли PIPL оценки воздействия на конфиденциальность данных?

Обработчики и контролеры личной информации должны проводить и хранить в течение трех лет оценки воздействия на защиту личной информации (PIPIA) для определенной обработки личной информации, включая:

1. Обработка конфиденциальной личной информации.
2. Использование личной информации для принятия автоматизированных решений.
3. Поручение другим лицам обрабатывать или иным образом делиться или раскрывать личную информацию.
4. Передача личной информации за границу.
5. Другие действия по обработке, которые существенно влияют на права и интересы человека. ²¹

PIPIA должны включать определение ²² :

• Являются ли цель и метод обработки личной информации законными, оправданными и необходимыми.
• Воздействие на права и интересы отдельных лиц и риски безопасности.
• Являются ли принятые меры защиты законными, эффективными и соответствующими степени риска.

Налагает ли PIPL (или другие китайские законы о защите данных) требования к локализации данных и/или ограничивает ли трансграничная передача данных?

В дополнение к уведомлению о передаче соответствующим лицам и получению согласия, ²³ обработчики персональных данных должны провести предварительную оценку воздействия защиты персональных данных и записать обстоятельства обработки, ²⁴ , и выполнить одно из следующих условий до передача личной информации за пределы Китая: ²⁵

• Пройти оценку безопасности, организованную Управлением киберпространства Китая. ²⁶
• Получите сертификат, выданный организацией, уполномоченной Администрацией киберпространства Китая.
• Подписать соглашение о трансграничной передаче данных с зарубежными получателями данных в соответствии со стандартным договором, составленным Администрацией киберпространства Китая, в котором указаны права и обязанности обеих сторон.
• Удовлетворить другой механизм, который может быть предусмотрен другими законами и правилами.

Кроме того, PIPL требует, чтобы операторы критической информационной инфраструктуры (CIIO) ²⁷ или обработчики персональных данных, обрабатывающие большие объемы персональных данных (с пороговыми значениями, которые еще не определены), хранили личные данные локально в Китае. ²⁸ Такие CIIO или процессоры большого объема могут только передавать личную информацию за границу, когда такая передача необходима и они проходят официальную проверку безопасности. ²⁹

Без уточнения, PIPL требует, чтобы обработчики личной информации принимали необходимые меры для обеспечения того, чтобы обработка личной информации иностранными получателями соответствовала стандартам защиты личной информации, предусмотренным в PIPL. ³⁰

Обработчики личной информации также должны получить индивидуальное согласие на трансграничную передачу после информирования физических лиц:

1. Контактная информация зарубежных получателей их личной информации.
2. Цели, способ и тип личной информации, передаваемой за границу.
3. Процедуры осуществления своих прав в соответствии с PIPL в отношении этих данных. ³¹

Каковы потенциальные санкции за несоблюдение PIPL?

Штрафы

PIPL дифференцированы в зависимости от серьезности несоблюдения, начиная от предупреждения и приказа об устранении нарушений до приказа о приостановке предоставления услуг или аннулировании разрешений на деятельность или бизнес-лицензий, конфискации незаконных доходов и значительных административных штрафов. Сотрудники компании также могут быть привлечены к личной ответственности и им грозят штрафы или запрет на работу в качестве директоров, руководителей, должностных лиц или лиц, ответственных за вопросы защиты личной информации в соответствующих организациях.

В серьезных случаях компании и/или их сотрудники могут быть привлечены к уголовной ответственности. ³² Например, любое лицо, которое незаконно получает, продает или передает третьим сторонам более 500 единиц информации, которая может повлиять на личную и финансовую безопасность граждан (например, информация о жилье, записи разговоров, медицинская и физическая информация, информация о транзакциях, и др.) в нарушение PIPL может быть приговорен к лишению свободы на срок до трех лет. ³³

Примечания

1. Этот пост в блоге основан на неофициальном английском переводе PIPL.
2. Статья 3.
3. Статья 53.
4. Статья 52.
5. Статья 20.
6. Статья 21.
7. Идент.
8. Статья 4.
9. Статья 73(IV).
10. Статья 28.
11. Статья 28, Статья 29, Статья 30, Статья 31, Статья 32, Статья 55.
12. Статья 14.
13. Статья 31.
14. Статья 17.
15. Статья 14.
16. Статья 22.
17. Статья 23.
18. Глава IV: Права физических лиц при обработке персональных данных.
19. Статья 50.
20. Статья 49.
21. Статья 55.
22. Статья 56.
23. Статья 39.
24. Статья 55.
25. Статья 38.
26. 29 октября Управление киберпространства Китая опубликовало проект мер проверки безопасности для трансграничной передачи данных для общественного обсуждения., 2021. Несмотря на то, что он все еще находится на стадии проекта, он добавляет ясности в отношении того, когда потребуются проверки безопасности, критерии и процедуры проверки, ключевые условия соглашений о передаче данных (хотя проекты стандартных договорных положений явно отсутствовали) и периодичность проверки.

    No related posts.