Соглашение на обработку персональных данных
Политика в отношении обработки персональных данных
1. Общие положения
Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые Белым львом (далее – Оператор).
1.1. Белый лев ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая политика Белого льва в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Белый лев может получить о посетителях веб-сайта https://leo46.ru/.
2. Основные понятия, используемые в Политике
2.
1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://leo46.ru/.
2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.
2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.
2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://leo46.ru/.
2.9. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее — персональные данные, разрешенные для распространения).
2.10. Пользователь – любой посетитель веб-сайта https://leo46.
ru/.
2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.12. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
2.14. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.
3. Основные права и обязанности Оператора
3.1. Оператор имеет право:
- получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.
3.2. Оператор обязан:
- предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
- организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;
- отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
- сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса;
- публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
- принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;
- исполнять иные обязанности, предусмотренные Законом о персональных данных.
4. Основные права и обязанности субъектов персональных данных
4.1. Субъекты персональных данных имеют право:
- получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
- требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;
- на отзыв согласия на обработку персональных данных;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;
- на осуществление иных прав, предусмотренных законодательством РФ.
4.2. Субъекты персональных данных обязаны:
- предоставлять Оператору достоверные данные о себе;
- сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.
4.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.
5. Оператор может обрабатывать следующие персональные данные Пользователя
5.1. Фамилия, имя, отчество;
5.2. Номер телефона;
5.3. Адрес электронной почты;
5.4. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).
5.5. Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные.
5.6. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.
5.7. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в ч. 1 ст. 10 Закона о персональных данных, допускается, если соблюдаются запреты и условия, предусмотренные ст. 10.1 Закона о персональных данных.
5.8. Согласие Пользователя на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Закона о персональных данных. Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
5.8.1. Согласие на обработку персональных данных, разрешенных для распространения, Пользователь предоставляет Оператору непосредственно.
5.8.2. Оператор обязан в срок не позднее трех рабочих дней с момента получения указанного согласия Пользователя опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.
5.8.3. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Оператором, которому оно направлено.
5.8.4. Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления Оператору требования, указанного в п. 5.8.3 настоящей Политики в отношении обработки персональных данных.
6. Принципы обработки персональных данных
6.1. Обработка персональных данных осуществляется на законной и справедливой основе.
6.
2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
6.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
6.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
6.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
6.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
6.7.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
7. Цели обработки персональных данных
7.1. Цель обработки персональных данных Пользователя:
- информирование Пользователя посредством отправки электронных писем;
- заключение, исполнение и прекращение гражданско-правовых договоров;
- предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте https://leo46.ru/
- уточнение деталей заказа.
7.
7.3. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.
8. Правовые основания обработки персональных данных
8.1. Правовыми основаниями обработки персональных данных Оператором являются:
- перечислите нормативно-правовые акты, регулирующие отношения, связанные с вашей деятельностью, например, если ваша деятельность связана с информационными технологиями, в частности с созданием сайтов, то здесь можно указать Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.
07.2006 N 149-ФЗ; - уставные документы Оператора;
- договоры, заключаемые между оператором и субъектом персональных данных;
- федеральные законы, иные нормативно-правовые акты в сфере защиты персональных данных;
- согласия Пользователей на обработку их персональных данных, на обработку персональных данных, разрешенных для распространения.
8.2. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://leo46.ru/ или направленные Оператору посредством электронной почты. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.
8.3. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).
8.4. Субъект персональных данных самостоятельно принимает решение о предоставлении его персональных данных и дает согласие свободно, своей волей и в своем интересе.
9. Условия обработки персональных данных
9.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
9.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
9.3. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.
9.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
9.5. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
9.6. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – общедоступные персональные данные).
9.7. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
10. Порядок сбора, хранения, передачи и других видов обработки персональных данных
Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.
10.1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
10.2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.
10.3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора privacy@thismywebsite·com с пометкой «Актуализация персональных данных».
10.4. Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством.
Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора info@leo46.
ru с пометкой «Отзыв согласия на обработку персональных данных».
10.5. Вся информация, которая собирается сторонними сервисами, в том числе платежными системами, средствами связи и другими поставщиками услуг, хранится и обрабатывается указанными лицами (Операторами) в соответствии с их Пользовательским соглашением и Политикой конфиденциальности. Субъект персональных данных и/или Пользователь обязан самостоятельно своевременно ознакомиться с указанными документами. Оператор не несет ответственность за действия третьих лиц, в том числе указанных в настоящем пункте поставщиков услуг.
10.6. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ.
10.7. Оператор при обработке персональных данных обеспечивает конфиденциальность персональных данных.
10.8. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
10.9. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.
11. Перечень действий, производимых Оператором с полученными персональными данными
11.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
11.2. Оператор осуществляет автоматизированную обработку персональных данных с получением и/или передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.
12. Трансграничная передача персональных данных
12.1. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
12.2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.
13. Конфиденциальность персональных данных
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
14. Заключительные положения
14.1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты privacy@thismywebsite·com.
14.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.
14.3. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://leo46.ru/.
Политика обработки персональных данных
1. Общие положения
1.1. Настоящая политика в области обработки и защиты персональных данных в лице Фонда «Жилищное и социальное строительство Калининградской области»(далее по тексту — Политика):
— разработана в целях обеспечения реализации требований законодательства РФ в области обработки персональных данных субъектов персональных данных;
— раскрывает основные категории персональных данных, обрабатываемых в лице Фонда «Жилищное и социальное строительство Калининградской области» (далее по тексту — Оператор), цели, способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке;
— является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных.
2.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:
— Конституция Российской Федерации;
— Трудовой кодекс Российской Федерации;
— Гражданский кодекс Российской Федерации;
— Федеральный закон РФ от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете и системе обязательного пенсионного страхования»;
— Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
— Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
— Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных»;
— Положение об обработке персональных данных, осуществляемых без использования средств автоматизации, утверждённое постановлением Правительства Российской Федерации от 15.
09.2008 № 687;
— Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных»
2.2. Во исполнение настоящей Политики руководителем Оператора утверждены следующие локальные правовые акты:
— Приказ о назначении ответственного лица за организацию обработки персональных данных;
— Приказ об организации работ по обеспечению безопасности персональных данных;
— перечень обрабатываемых персональных данных;
— перечень должностей, замещение которых предусматривает осуществление обработки персональных данных;
— правила рассмотрения запросов субъектов персональных данных или их представителей;
— правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
— типовое обязательство работника Оператора, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением трудовых обязанностей;
— типовая форма согласия на обработку персональных данных работника Оператора, иных субъектов персональных данных;
— типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
2.
3. Цели обработки персональных данных:
— исполнение положений нормативных правовых актов, указанных в пункте 2.1 настоящей Политики;
— ведение кадрового учета работников Оператора и начисления им заработной платы, социальных пособий (в предусмотренных законодательством случаях), оплаты услуг лиц по договорам гражданско-правового характера;
— оказание услуг по предоставлению ипотечных займов гражданам – физическим лицам в соответствии с Уставом Оператора;
— иные цели.
3. Обрабатываемые категории персональных данных и источники их поступления
3.1. Персональные данные работников Оператора:
— Фамилия, имя, отчество (в том числе прежние фамилии, имена
и (или) отчества в случае их изменения, причина изменения).
— Число, месяц, год рождения.
— Место рождения, данные свидетельства о рождении.
— Информация о гражданстве (в том числе предыдущие гражданства, иные гражданства).
— Вид, серия, номер, документа, удостоверяющего личность
на территории Российской Федерации, наименование органа, выдавшего документ, дата выдачи.
— Адрес места жительства (адрес регистрации и фактического проживания, дата регистрации по месту жительства).
— Номер контактного телефона или сведения о других способах связи.
— Семейное положение, реквизиты свидетельств государственной регистрации актов гражданского состояния.
— Состав семьи, данные свидетельств о рождении детей (при наличии).
— Реквизиты страхового свидетельства государственного пенсионного страхования.
— Идентификационный номер налогоплательщика.
— Реквизиты страхового медицинского полиса обязательного медицинского страхования.
— Сведения о трудовой деятельности.
— Отношение к воинской обязанности, сведения по воинскому учету.
— Сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании).
— Сведения об ученой степени, ученом звании.
— Информация, содержащаяся в контракте (трудовом договоре), дополнительных соглашениях к контракту (трудовому договору).
— Фотография.
— Сведения о состоянии здоровья.
— Сведения о заработной плате (номера расчетного счета и банковской карты, данные договоров, размер денежного содержания).
— Сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющийся основанием для предоставления льгот и статуса).
— Сведения, содержащиеся в копиях решений судов.
— Сведения, подаваемые в налоговую инспекцию, пенсионный фонд, фонд социального страхования и другие учреждения.
— Сведения, содержащиеся в регистрах бухгалтерского учета
и внутренней бухгалтерской отчетности.
3.2. Персональные данные граждан – физических лиц, обратившихся с целью приобретения недвижимого имущества:
— Фамилия, имя, отчество;
— Паспортные данные, данные свидетельств о рождении несовершеннолетних граждан;
— Дата и место рождения;
— Адрес проживания;
— Номера телефонов, сведения о других способах связи.
4) Персональные данные посетителей сайта Оператора, направивших Оператору запросы (обращения) посредством информационно-телекоммуникационной сети «Интернет» через официальный сайт Оператора: http://www.арсенальная.рф
— Фамилия, имя, отчество;
— Паспортные данные;
— Дата и место рождения;
— Адрес проживания;
— Номера телефонов, адреса электронной почты, сведения о других способах связи;
4. Источники получения персональных данных
4.1. Получение сведений о персональных данных осуществляется на основании документов и информации, представленных лично работниками Оператора в процессе трудовых отношений, а также лично лицами, заключающими гражданско-правовые договоры с Оператором.
4.2. Получение сведений о персональных данных граждан, обратившихся к Оператору в установленном порядке с целью заключения договоров купли-продажи, цессии, договоров долевого участия на приобретение прав собственности и/или прав требований на недвижимое имущество.
5. Основные принципы обработки, передачи и хранения персональных данных
5.1 Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
5.2 Оператор не осуществляет обработку биометрических (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) персональных данных.
5.3 Оператор не осуществляет трансграничную передачу персональных данных (передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).
6. Сведения о лицах, осуществляющих обработку персональных данных
6.1 В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:
— Федеральной налоговой службе России;
— Пенсионному фонду России;
— Негосударственным пенсионным фондам;
— Страховым компаниям в системе ОМС;
— Лицензирующим и/или контролирующим органам государственной власти и местного самоуправления;
— Кредитным организациям, осуществляющим ипотечное кредитование граждан;
— Кредитным организациям, осуществляющим перечисление заработной платы и иных платежей, предусмотренных действующим законодательством, сотрудникам Оператора.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
7. Меры по обеспечению безопасности персональных данных при их обработке
7.1 Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.2 Обеспечение безопасности персональных данных достигается, в частности:
— назначением ответственного за организацию обработки персональных данных;
— осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам;
— ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных работников;
— применением организационных мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
— учетом машинных носителей персональных данных;
— обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
— восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— контролем за принимаемыми мерами по обеспечению безопасности персональных данных.
8. Права субъектов персональных данных
8.1 Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.
8.2 Субъект персональных данных вправе требовать от Оператора уточнения, обрабатываемых Оператором персональных данных субъекта персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.3 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
— обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
— обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
— обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
— доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
— обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
8.4 Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
8.5 Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
8.6 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
9. Сроки обработки (хранения) персональных данных
Течение срока обработки персональных данных начинается с момента их получения Оператором.
Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъект персональных данных, не дольше, чем того требуют цели их обработки.
Персональные данные работников Оператора, в том числе родственников работника, используются в течение трудовой деятельности в соответствии с трудовым договором, а также на протяжении установленного законодательством срока хранения личного дела в архиве (75 лет).
Персональные данные граждан (за исключением договора, содержащего персональные данные), обратившихся к Оператору с целью приобретения недвижимого имущества хранятся в отделе реализации жилья в течение 6 месяцев. Договоры, заключенные с гражданами – физическими лицами хранятся в течение срока, установленного для хранения первичной бухгалтерской документацией (3-5 лет).
10. Уточнение, блокирование и уничтожение персональных данных
Целью уточнения персональных данных, в том числе обновления и изменения, является обеспечение достоверности, полноты и актуальности персональных данных, обрабатываемых Оператором.
Уточнение персональных данных осуществляется Оператором по собственной инициативе, по требованию субъекта персональных данных или его представителя, по требованию уполномоченного органа по защите прав субъектов персональных данных в случаях, когда установлено, что персональные данные являются неполными, устаревшими, недостоверными.
Целью блокирования персональных данных является временное прекращение обработки персональных данных до момента устранения обстоятельств, послуживших основанием для блокирования персональных данных.
Блокирование персональных данных осуществляется Оператором по требованию субъекта персональных данных или его представителя, а также по требованию уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними.
Уничтожение персональных данных осуществляется Оператором:
— по достижении цели обработки персональных данных;
— в случае утраты необходимости в достижении целей обработки персональных данных;
— в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных;
— по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных в случае выявления фактов совершения администрацией района неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.
При уничтожении материальных носителей персональных данных составляется акт об уничтожении носителей, содержащих персональные данные.
11. Заключительные положения
11.1 Настоящая Политика является внутренним документом Оператора, общедоступной и подлежит размещению в сети «Интеренет» по адресу: www.
11.2 Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не чаще одного раза в три года.
11.3 Контроль исполнения требований настоящей Политики осуществляется лицом ответственным за обеспечение безопасности персональных данных.
11.4 Ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Оператора.
11.5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интеренет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Применяется ли GDPR к компаниям США
В мае 2018 года Европейский Союз принял один из самых строгих в мире сводов правил по защите персональных данных. Официальное название этого закона — Общий регламент по защите данных, но он более известен как GDPR.
GDPR регулирует персональные данные, которые определяются как любая информация, которая может идентифицировать человека, называемого «субъектом данных». Затронутые компании должны выполнять пожелания субъектов данных о том, как обрабатываются их персональные данные, а также вести учет того, как происходит эта обработка.
Эта статья отвечает на вопрос, когда и как GDPR применяется к американским компаниям и гражданам США? Он охватывает основные требования закона и особенности применения GDPR, которые должна знать каждая компания в США.
Объем персональных данных в соответствии с этим определением значительно шире, чем в большинстве стандартов соответствия США, которые, как правило, защищают только те данные, которые могут быть использованы для совершения мошенничества. В дополнение к именам и государственным идентификационным номерам GDPR также защищает информацию, которая может быть связана с «физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичностью» человека.
Краткий обзор GDPR
Какие данные защищает GDPR?
GDPR призван предоставить гражданам ЕС больший контроль над персональными данными, которые организации собирают, обрабатывают и хранят о них. Объем термина «персональные данные» в соответствии с GDPR значительно шире, чем в большинстве законов США о соответствии, которые, как правило, защищают только те данные, которые могут быть использованы для совершения мошенничества. В дополнение к именам и государственным идентификационным номерам GDPR также защищает информацию , которая может быть связана с «физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичностью» человека, например его IP-адрес и данные файлов cookie браузера.
Распространяется ли GDPR на граждан ЕС, проживающих в США?
Нет. GDPR конкретно относится к «субъектам данных, которые находятся в Союзе». Если гражданин ЕС проживает в США, GDPR не применяется. Это важное различие следует учитывать, если весь или почти весь бизнес компании осуществляется в обычных офисах на территории США.
В эту категорию входит больше организаций, чем вы думаете. По данным исследовательской группы Clutch.co, 36 % малых предприятий не имеют веб-сайтов. В результате этим компаниям гораздо проще определить, ведут ли они бизнес с резидентами ЕС.
Распространяется ли GDPR на граждан США?
Можно. GDPR защищает информацию любого, кто живет в ЕС. Поэтому, если гражданин США проживает в стране ЕС, когда компания собирает информацию об этом, GDPR будет применяться к этим данным.
GDPR не распространяется на граждан США, проживающих в США, но в США существует несколько правил конфиденциальности на федеральном уровне и уровне штатов, которые предлагают аналогичные меры защиты.
В частности, Калифорнийский закон о защите конфиденциальности (CalOPPA) и Калифорнийский закон о конфиденциальности потребителей (CCPA) регулируют сбор «личной информации» от любого лица, проживающего в штате Калифорния (включая всех жителей Калифорнии, являющихся гражданами ЕС).
Аналогичным образом, Закон о защите конфиденциальности детей в Интернете (COPPA) регулирует сбор, использование и распространение данных, принадлежащих любому ребенку в возрасте до 13 лет, независимо от гражданства, при условии, что они находятся в США в момент сбора их информации.
Как GDPR влияет на компании США?
В отличие от отраслевых нормативных актов США, таких как HIPAA для медицины и GLBA для финансов , GDPR представляет собой общее положение о конфиденциальности данных, которое применяется ко всем организациям, государственным и частным, которые хранят или обрабатывают персональные данные жителей ЕС. Это означает, что многие американские компании подлежат регулированию.
Однако GDPR признает, что некоторые компании, не входящие в ЕС, ведут дела с гражданами ЕС только на случайной основе. Согласно Recital 23, иностранные компании обязаны соблюдать GDPR только в том случае, если они нацелены на жителей ЕС в своем маркетинге. Например, если у вас есть локализованный веб-сайт на языке государства-члена ЕС и/или прейскурантные цены в евро, предполагается, что вы ориентируетесь на граждан ЕС и, следовательно, подпадаете под действие GDPR.
Как правило, вы можете быть привлечены к ответственности, если выполняется одно из следующих условий:
- Вы регулярно обрабатываете данные жителей ЕС.
- Права и свободы этих субъектов данных могут быть под угрозой.
- Вы обрабатываете информацию, относящуюся к особым категориям данных, включая состояние здоровья, расовое или этническое происхождение, сексуальную ориентацию или религиозные убеждения.
Распространяется ли GDPR на государственные учреждения США и другие организации государственного сектора?
Технически GDPR применяется ко всем организациям, государственным и частным, по всему миру.
Однако с практической точки зрения только некоторые правительственные учреждения США могут
GDPR контролирует действия по обработке персональных данных, только если эта обработка служит одной из двух целей:
- Предложение товаров или услуг
- Мониторинг поведения субъекта данных, как это происходит в Европейском Союзе
Таким образом, многие организации государственного сектора не подпадают под действие GDPR. Некоторые федеральные агентства, в том числе Министерство внутренней безопасности и Государственный департамент, могут иметь основания для сбора личных данных граждан ЕС и использования их для отслеживания поведения. Точно так же, если государственное управление по туризму собирает данные с целью саморекламы гражданам ЕС или если государственный колледж собирает информацию о потенциальном студенте, применяется GDPR. Но большинство других государственных учреждений, в том числе те, которые собирают данные, связанные с деловыми интересами граждан ЕС, вряд ли подпадают под действие GDPR 9.
0003
Каковы самые важные требования GDPR для компаний США?
Любая организация в частном или государственном секторе, которая хранит или обрабатывает личную информацию о резидентах ЕС, должна соблюдать GDPR, даже если она не имеет физического присутствия в ЕС. Наиболее важные требования описаны ниже.
Требования к контроллерам и процессорам
Требования GDPR зависят от того, выступаете ли вы в качестве контроллера или процессора:
- Контролеры определяют цели и средства обработки персональных данных. Они должны принять соответствующие технические и организационные меры для обеспечения и демонстрации того, что обработка персональных данных осуществляется в соответствии с GDPR.
- Процессоры обрабатывают персональные данные по документально оформленным инструкциям Контролера. Обработчиками могут быть внутренние группы, которые ведут и обрабатывают записи личных данных, или аутсорсинговая фирма, которая выполняет все или часть этих действий.
GDPR возлагает ответственность как на контролеров, так и на обработчиков данных за нарушение его положений. Поэтому вполне возможно, что и ваша компания, и партнер по обработке данных, например поставщик облачных услуг, будут нести ответственность за штрафы и другие санкции в соответствии с GDPR, даже если вина полностью лежит на стороне вашего партнера по обработке.
Требования к контрактам на обработку данных
GDPR требует, чтобы контролеры и обработчики данных заключали юридически обязывающий договор, когда контролер нанимает обработчика для обработки персональных данных от своего имени. Контроллеры обязаны использовать только процессоры, которые обеспечивают достаточные гарантии наличия соответствующих технических и организационных мер для соблюдения GDPR. Эти меры должны быть подробно описаны в политике безопасности данных организации.
В статье 28 подробно описывается, что должно быть включено в договор на обработку данных между контролером данных и обработчиком данных.
Во-первых, он должен включать следующие данные:
- Предмет, продолжительность, характер и цель обработки данных
- Тип обрабатываемых персональных данных
- Категории субъектов данных, персональные данные которых обрабатываются
- Требования и права Контролера
Кроме того, договор должен содержать следующие положения:
- Обработчик будет обрабатывать персональные данные, полученные от Контролера, только на основании документально оформленных указаний Контролера (за исключением случаев, когда по закону требуется обработка персональных данных без таких инструкций).
- Обработчик гарантирует, что любое лицо, обрабатывающее персональные данные, обязано соблюдать конфиденциальность.
- Обработчик принимает все меры, требуемые Статьей 32, в том числе реализует соответствующие технические и организационные меры для защиты персональных данных, полученных от Контролера.
- Обработчик получает письменное разрешение для любых подпроцессоров, которых он может привлечь для обработки персональных данных, полученных от Контроллера.
Если Контролер предоставляет общее письменное разрешение на привлечение субобработчиков, Контролеру должна быть предоставлена возможность заранее возражать против каждого отдельного субобработчика, которого он предлагает привлечь. - На всех субобработчиков, привлеченных Обработчиком, распространяются те же требования по защите данных, что и на Обработчика, и что Обработчик несет прямую ответственность перед Контролером за выполнение требований по защите данных субобработчика.
- Процессор поддерживает Контроллера, реализуя соответствующие технические и организационные меры для ответа на запросы от субъектов данных в соответствии с GDPR.
- Обработчик поддерживает Контроллера для обеспечения соблюдения требований GDPR в отношении безопасности обработки данных (статья 32), уведомления об утечке данных (статьи 33 и 34) и оценки воздействия на защиту данных (статьи 35 и 36).
- По окончании обработки данных Оператором и по поручению Контролера, Оператор удаляет или возвращает персональные данные, полученные от Контролера.
- Обработчик предоставляет Контролеру всю информацию, необходимую для демонстрации соблюдения Статьи 28, а также того, что Обработчик допускает и участвует в проверках, проводимых Контролером или третьей стороной от имени Контролера.
Существуют и другие положения, которые Контроллеры и Обработчики данных могут захотеть включить в договор на обработку данных в каждом конкретном случае, но которые не являются обязательными в соответствии с GDPR, например:
- Положения об ответственности (включая возмещение убытков)
- Подробные (технические) положения о безопасности
- Дополнительные условия сотрудничества между контроллером и обработчиком
Правила для многонациональных компаний
Если ваша американская компания является частью многонациональной компании, учрежденной в ЕС, и вы регулярно получаете данные от своих коллег из ЕС о гражданах ЕС, на вас распространяются правила, регулирующие передачу этих данных между странами .
Настоящие Обязательные корпоративные правила (ОКП) указаны в статье 29.и предоставить транснациональным компаниям основу для передачи персональных данных из Европейской экономической зоны (ЕЭЗ) своим аффилированным лицам, расположенным за пределами ЕЭЗ, в соответствии с 8-м принципом защиты данных и статьей 25 Директивы 95/46/ЕС.
Правила уведомления об утечке данных
Уведомления об утечке данных должны быть выпущены, когда нарушение безопасности приводит к случайному или незаконному раскрытию, потере или изменению личных данных. Закон о конфиденциальности данных GDPR предписывает, что если утечка данных ставит под угрозу личные права и свободы людей, и вы не можете сдержать эти риски, все затронутые лица должны быть уведомлены. Если компания определяет, что такого риска нет, эта позиция должна быть подтверждена достоверными доказательствами. Обработчики данных, которые столкнулись с нарушениями, также должны уведомить соответствующего контроллера данных. Вы также должны уведомить органы по защите данных; если нарушение затрагивает людей в нескольких местах, вам необходимо уведомить орган с самой широкой юрисдикцией.
Регулятор не собирается говорить, что у вас не должно было быть нарушений. Они скажут, что у вас должны быть политики, процедуры и структура реагирования, чтобы быстро решить эту проблему.
Хотя законный срок для сообщения о нарушении составляет 72 часа, не ждите до последнего часа, чтобы сделать это; сообщите об этом, как только вам станет известно о нарушении, и сообщите регулирующему органу, что вы внедряете процесс реагирования и будете предоставлять обновления.
Требование об оценке воздействия на защиту данных
Статья 35 GDPR требует, чтобы все компании проводили оценку воздействия на защиту данных (DPIA) для оценки потенциального риска данных и демонстрации того, как данные проходят через организацию. Существует четыре основных компонента оценки воздействия на защиту данных:
- Описание операций обработки
- Объяснение, почему происходит обработка и зачем она нужна
- Описание мер, принимаемых для снижения рисков и защиты конфиденциальности пользователей
- Счет с подробным описанием риска и выгоды
GDPR не предоставляет конкретной структуры для этих оценок, но указывает, что сбор и обработка данных всегда должны «служить человечеству», указывая на то, что в центре внимания должна быть их польза для субъектов данных.
Согласие на обработку данных
В соответствии с GDPR компании должны получить явно выраженное согласие на обработку персональных данных: Каждый субъект данных должен дать согласие не только на то, чтобы разрешить вам собирать и хранить его данные, но и на то, чтобы его данные использовались в так, как вы намереваетесь.
Субъекты данных имеют право отозвать согласие для любой цели. Если клиент решит, что он больше не хочет получать таргетированную рекламу, которую вы создаете с использованием его данных, вам необходимо удалить клиента из вашей системы.
Защита прав субъектов данных
GDPR перечисляет восемь прав субъектов данных , которые компании обязаны соблюдать. Это:
- Право на информацию о том, что происходит с персональными данными
- Право на копию собранных данных и любую дополнительную информацию для контекста
- Право на исправление неточных данных
- Право на удаление персональных данных (при определенных обстоятельствах)
- Право ограничивать использование данных
- Право на получение отчета о том, какие данные были собраны
- Право распорядиться о прекращении обработки данных
- Право не подчиняться решениям, принятым на основе автоматизированной обработки данных
Кроме того, компании должны сделать так, чтобы субъектам данных было удобно пользоваться этими правами.
Например, компании могут принять решение о выпуске политики конфиденциальности и потребовать от клиентов поставить флажок «согласен». Эти процедуры должны быть изложены в вашем заявлении о конфиденциальности, которое следует регулярно обновлять (хороший контроль версий — разумный способ продемонстрировать соответствие).
Назначение персонала
Европейская комиссия рекомендует каждой пострадавшей компании иметь в штате сотрудника по защите данных (DPO). Вам необходимо иметь DPO, если применимо любое из следующих условий:
- Вы являетесь государственным органом, который обрабатывает данные, защищенные GDPR.
- Ваша основная деятельность включает крупномасштабный систематический мониторинг данных.
- Вы обрабатываете данные особой категории, такие как состояние здоровья, расовая или этническая принадлежность, сексуальная ориентация или религиозные убеждения.
Даже если GDPR специально не требует назначения DPO, организации иногда могут счесть полезным назначить DPO на добровольной основе.
DPO является краеугольным камнем подотчетности, и назначение DPO может продемонстрировать и облегчить соблюдение требований, давая конкурентное преимущество компаниям, демонстрируя, насколько этична ваша организация. Рабочая группа по защите данных в соответствии со Статьей 29 («WP29») поощряет эти добровольные усилия. (В эту группу входят представители органов по защите данных каждого государства-члена ЕС, и она издает рекомендации по соблюдению требований GDPR, например, по назначению DPO.)
DPO может быть любым сотрудником, который следит за тем, чтобы стратегия защиты данных вашей компании соответствовала GDPR. Если у вас нет физического присутствия в ЕС, вам необходимо назначить представителя в стране ЕС. У DPO могут быть другие обязанности, при условии, что у него еще есть время для контроля за соблюдением GDPR.
После того, как вы назначили DPO или наняли кого-то нового на эту роль, убедитесь, что они знают, что им нужно делать, и имеют для этого необходимые ресурсы.
Полноценный контрольный список идеален. В дополнение к таким задачам, как содействие DPIA и проведение аудитов, DPO выступают в качестве посредников между заинтересованными сторонами, такими как надзорные органы, субъекты данных и бизнес-подразделения внутри организации.
Обратите внимание, что DPO не несут личной ответственности в случае несоблюдения GDPR. Статья 24 разъясняет, что именно Контролер или Обработчик должен обеспечить и быть в состоянии продемонстрировать, что обработка выполняется в соответствии с положениями GDPR.
Далее: советы по обеспечению соответствия GDPR
Лучший способ добиться соответствия GDPR — использовать подход «сверху вниз», обдумывая ключевые цели, а затем определяя, какие технические средства управления выбрать для достижения этих целей. Помимо очевидных инструментов соответствия GDPR, есть три ключевых момента, о которых следует помнить, когда вы хотите обеспечить безопасность регулируемых данных:
Управление рисками безопасности
GDPR делает упор на риск-ориентированный подход к защите данных и безопасности ваших систем обработки и услуг.
Вы должны определить и оценить свои риски, а затем принять соответствующие меры для управления ими на основе таких факторов, как:
- Доступная технология
- Стоимость внедрения инструментов и процессов
- Характер, объем, контекст и цель обработки
- Серьезность и вероятность рисков
- Персональные данные, которые вы обрабатываете
- Системы, обрабатывающие эти данные
Если обработка данных может привести к высокому риску для прав и свобод людей, вы должны провести DPIA, чтобы установить влияние предполагаемой обработки на защиту персональных данных и определить технические и организационные меры, необходимые для смягчения риск. Если эти меры не снижают риск до приемлемого уровня, вам необходимо проконсультироваться с вашим органом по регулированию данных, прежде чем начать обработку.
Управление
Вам также необходимо внедрить соответствующие политики и процессы защиты данных и информационной безопасности.
Убедитесь, что вы ведете записи об обработке данных и, при необходимости, назначаете сотрудника по защите данных.
Осведомленность и обучение персонала
Помогите своим сотрудникам безопасно управлять личными данными, предоставив соответствующее информационное обучение, а также обучение правильному использованию ваших систем и инструментов. Например, сотрудники должны быть компетентными, чтобы они не обрабатывали личные данные непреднамеренно (например, отправляя их не тому получателю).
Часто задаваемые вопросы
Что означает GDPR для компаний США?
GDPR регулирует сбор и обработку персональных данных, принадлежащих резидентам ЕС, даже если сама компания находится в США.
Как GDPR влияет на компании в США?
Американские компании должны соблюдать GDPR, если они предлагают товары или услуги, в частности, резидентам ЕС, или если они отслеживают поведение резидентов ЕС в пределах Союза.
Когда соблюдение GDPR необходимо в США?
Если компания собирает личные данные жителей ЕС в коммерческих целях и делает это чаще, чем время от времени, она должна соответствовать требованиям GDPR .
Что такое персональные данные согласно GDPR в США?
Персональные данные — это любая информация, которая может быть связана с индивидуальной или социальной идентичностью человека. Это включает имя человека, место жительства, работу или религиозную принадлежность.
Что произойдет, если американские компании не соблюдают GDPR?
Любая компания, уличенная в нарушении GDPR, может быть оштрафована на сумму от 10 до 20 миллионов евро или до 4% годового дохода компании.
Какая организация имеет право налагать санкции на американские компании, не соблюдающие требования?
Европейская комиссия является официальным регулирующим органом GDPR. Если будет установлено, что компания нарушает эти правила, но не подпадает под юрисдикцию Европы, ЕС может сотрудничать с международными правительствами для наложения штрафов и санкций.
Защита данных на рабочем месте
Введение
Общий регламент по защите данных (GDPR) вступил в силу на всей территории ЕС
25 мая 2018 г.
Это постановление значительно увеличивает обязательства работодателей и
обязанности в отношении того, как они собирают, используют и защищают личные
данные.
Сотрудники должны понимать свои обязанности в соответствии с законом о защите данных и работодатели должны иметь адекватные политики и процедуры защиты данных в место. Важно, чтобы организации сообщали своим сотрудникам о GDPR и провести обучение по новым правилам.
На этой странице представлен обзор некоторых основных обязательств работодателей.
и определяет права работников.
Правила
Ключевые термины GDPR включают:
- Персональные данные : данные, которые относятся к жизни или могут идентифицировать ее человек, либо сам по себе, либо вместе с другой доступной информацией. Примеры включают имя человека, номер телефона, банковские реквизиты и медицинскую информацию. история.
- Субъект данных : лицо, к которому относятся персональные данные.
Временные работники, заемные работники и другие независимые подрядчики имеют
те же права, что и любой другой субъект данных в соответствии с GDPR.
- Конфиденциальные данные (данные специальной категории) : данные, относящиеся к данным расовое или этническое происхождение субъекта, политические взгляды, религиозные убеждения, членство в профсоюзе, здоровье, сексуальная ориентация и генетические или биометрические данные. Как правило, конфиденциальные данные не могут быть обработаны без данных явное согласие субъекта, но работодатели могут обрабатывать конфиденциальные данные при необходимости выполнения трудового договора или выполнения коллективных обязательства по договору.
- Контроллеры и обработчики данных : организации, собирающие или использовать личные данные.
- Обработка : любая операция или совокупность операций,
выполненные с персональными данными, например, сбор, запись, организация,
структурирование, хранение, адаптация или изменение, поиск, консультация,
ограничение, стирание или уничтожение.
Права сотрудников
Сотрудники имеют ряд прав в соответствии с GDPR, включая право на:
- Информация о сборе и обработке их личных данные
- Доступ к личным данным и дополнительной информации о них, хранящейся контроллер данных
- Получить исправление своих личных данных контролером данных, если личные имеющиеся у них данные неточны или неполны
- Удалите свои личные данные контроллером данных
- Запретить контроллеру данных обрабатывать свои данные, если он считает это является незаконным или данные неточны
- возражать против обработки своих личных данных для прямого маркетинга, научное или историческое исследование
- Переносимость данных — это позволяет им получать данные от своего работодателя и повторно использовать его.
Подробнее о ваших правах в соответствии с GDPR.
Обязательства работодателя
Как работодатель, вы должны быть прозрачными в отношении того, как вы используете и
защита личных данных ваших сотрудников как внутри, так и за пределами
организация.
Вы должны нести ответственность за свою деятельность по обработке данных и
быть в состоянии показать, как вы соблюдаете принципы защиты данных.
Вам следует провести инвентаризацию всех имеющихся у вас личных данных. Ты следует проверить его под следующими заголовками и убедиться, что у вас есть необходимое согласие и правовая основа для обработки данных:
- Почему вы их храните?
- Как вы его получили?
- Зачем он изначально был собран?
- Как долго вы будете хранить его?
- Насколько это безопасно с точки зрения шифрования и доступности?
- Вы когда-нибудь делитесь ими с третьими лицами и на каком основании вы можете это делать? так?
Правовая основа (уважительная причина) для обработки личных data
Вашей организации требуется юридическое основание (уважительная причина) для обработки персональные данные работника. К законным причинам относятся:
- Сотрудник дал согласие на обработку
- Обработка необходима для выполнения частей контракта сотрудника
- Обработка необходима для принятия мер по запросу
работника до заключения договора.
(Например, по вопросам оплаты
в контексте занятости) - Выполнение юридического обязательства (например, законодательное требование вести учет сотрудников)
- Обработка необходима для соблюдения жизненно важных интересов работника. (Например, когда история болезни человека раскрывается госпиталь, лечащий их после серьезного дорожно-транспортного происшествия)
- Для целей законных интересов организации.
Согласие
Согласие является законной причиной для обработки данных сотрудников, и вы должны
получить согласие, если ни одно из других правовых оснований, указанных выше, не применимо. Вы должны быть
знать о своих обязательствах при запросе согласия от сотрудников. GDPR
говорится, что согласие должно быть ‘ свободно данное, конкретное, информированное и
однозначный ’. Это означает, что субъект данных должен осознавать, что он
соглашаются на обработку своих данных и не должны быть принуждены к
давая согласие.
Прежде чем работник даст согласие на обработку своих данных, работодатель должны показать, что они сообщили сотрудникам, почему собираются их личные данные, и как он будет использоваться и обрабатываться. Молчание, предварительно установленные галочки или бездействие нельзя считать согласием. Субъект данных может отозвать согласие в любое время, и отозвать согласие должно быть так же легко, как и дать его.
Обучение GDPR и общение с сотрудниками и потенциальными сотрудников
Как работодатель вы должны информировать сотрудников о:
- Какие персональные данные вы будете собирать (или будут ли они собираться третье лицо)
- Как будут обрабатываться данные
- Почему данные будут обрабатываться
Вы можете разместить в своем офисе Уведомление о защите данных, чтобы это обязательство.
Вы также должны иметь политику защиты данных и проводить обучение сотрудникам по GDPR.
Общего регламента по защите данных требует, чтобы определенная информация была предоставлена кандидатам на работу,
до того, как их персональные данные будут собраны и обработаны.
Эта информация должна быть
понятным и доступным и может быть уведомлением о конфиденциальности на веб-сайте и письмом
кандидат. Обучение сотрудников политикам защиты данных проводится один раз
кандидат является сотрудником.
Запросы на доступ субъектов данных (DSAR)
Работодатели должны иметь процедуры реагирования на доступ к персональным данным заявки от сотрудников в течение 1 месяца. Это может быть расширено еще на 2 месяцев, если запросы сложные или многочисленные.
Обязательства по безопасности
Данные должны быть защищены «соответствующими техническими и организационными меры’. Данные должны быть защищены, например, с помощью анонимизации, шифрование, меры антивирусной безопасности или резервное копирование данных. Работодатели должны проверить эти меры безопасности и быть в состоянии показать, что они соблюдают Обязательства безопасности GDPR.
Ведение учета и право на исправление
Организации должны хранить данные только до тех пор, пока они
задачи, для которой они были собраны, или в соответствии с требованиями закона.
Работодатели должны иметь
политики хранения и быть в состоянии обосновать, почему данные были сохранены.
Работники имеют право знать, какие данные есть у работодателя в файле о их, и они также имеют право исправить эти данные. Что происходит с данные работника при расторжении трудового договора должны быть документально подтверждены в кадровой политике.
Совместное использование и передача персональных данных
Организации, использующие третьи стороны, такие как кадровые агентства или платежная ведомость поставщики для обработки данных сотрудников будут нести ответственность за обеспечение третьего сторона соответствует GDPR, и они должны иметь соответствующие соглашения. Ты также должны соблюдать обязательства GDPR в отношении передачи данных за пределы ЕВРОСОЮЗ.
Сотрудник по защите данных
В соответствии с GDPR некоторые организации должны назначать ответственного за защиту данных
Должностное лицо, например, государственных органов и органов, государственных
ведомства, организации, занимающиеся крупномасштабной обработкой данных, и
организации, обрабатывающие конфиденциальные данные или данные особой категории.
Сообщить об утечке данных
Вы должны сообщить об утечке данных в Комиссию по защите данных (DPC) в течение 72 часа после того, как стало известно о взломе. Если вы не уведомите DPC в течение 72 часов, вы должны предоставить обоснование задержки. Нарушения, которые могут нанести вред субъект данных, например, о краже личных данных, также необходимо сообщить лицу обеспокоенный.
Штрафы
Важно, чтобы вы соблюдали законодательство и действующих политик и процедур. Ваша организация может быть проверена и может грозят серьезные штрафы, если ваши действия нарушают GDPR.
Как подать заявку
Если у вас есть жалоба на то, как обрабатываются ваши личные данные, Вам следует обратиться в ЦОД. Сайт dataprotection.ie.
Куда обращаться
Комиссия по защите данных
21 Fitzwilliam Square South,
Dublin 2,
D02 RD28
Ирландия
Часы работы: 09:30–17:30, с понедельника по пятницу (закрыто с 13:00 до 14:00) Тел.
