Регистрация в качестве оператора персональных данных с июля 2020: Об изменениях в законодательстве о персональных данных

Защита персональных данных — Центр трансфера технологий МОУ СОШ № 37 г. Комсомольск-на-Амуре

Обращение директора МОУ СОШ №37 к родителям по вопросу защиты персональных данных.

 Для соблюдения требований закона N 152-ФЗ «О персональных данных» (ПДн) школа должна получить от родителей каждого ученика согласие на обработку персональных данных. Без такого согласия мы не сможем вести учет Ваших детей в привычном режиме.

Мы гарантируем, что данные Ваших детей будут использоваться только для организации образовательного процесса. По факту обработки и использования персональных данных Ваших детей ничего не изменится по сравнению с сегодняшней ситуацией.

Наша школа на протяжении многих лет активно внедряет информационные технологии во все направления деятельности. Последние годы мы успешно развиваем электронную систему классных журналов «Дневник.РУ», ведутся базы регистрации АИС «Зачисление в ОУ»,  ЕГЭ, ГИА и многие другие.

Мы прекрасно понимаем, что определение «общедоступности» вызывает у Вас оправданную настороженность. Со своей стороны, обращаем Ваше внимание на многолетний опыт взаимодействия: все это время мы фактически работали в режиме, который теперь назван общедоступным. Мы используем современные общеизвестные средства защиты от несанкционированного доступа и за все годы ни одной жалобы на утечку информации не поступало. Гарантируем и в дальнейшем заботливо относиться к Вашим персональным данным.

В отношении тех, кто не даст согласие на обработку данных, должна быть выполнена норма 152-ФЗ по блокированию обработки данных:

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных.

п.5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

В этом случае ребенок принимает участие только в тех мероприятиях, которые не сопровождаются составлением списка участников.

 

Разрешение хранится в школе, его содержание недоступно другим операторам, поэтому распространяться оно будет только на школу. Любой другой оператор персональных данных должен будет независимо получать от Вас разрешение на обработку Ваших персональных данных.

Принимая решение, не забывайте, что в любой момент на основании того же закона Вы можете изменить свое решение.

Лист согласия

В соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ “О персональных данных”, в целях защиты персональных данных, обрабатываемых в МОУ СОШ №37, родителям (законным представителям) обучающихся необходимо заполнить листы согласия на обработку персональных данных.

Информация о ребенке и его законных представителях в образовательном учреждении используется в образовательном и воспитательном процессе. Данные об обучающихся используются и передаются в медицинские учреждения (в поликлинику при прохождении медосмотра), в санитарно-эпидемиологическую службу (при возникновении нештатных ситуаций), охранные службы в экстренных ситуациях (пожар), в военкомат (при постановке юношей на воинский учет), в Администрацию города Комсомольска-на-Амуре (льготное питание, защита интересов детей), в структурные подразделения органов внутренних дел (Комиссию по делам несовершеннолетних), в органы управления образования (статистические отчетность по численности и успеваемости, организация и проведение ЕГЭ в 9 и 11 классах, при проведении конкурсов и олимпиад и  др).
Лист согласия заполняется родителем (законным представителем) ребенка и прикрепляется к личному делу обучающегося.
Обработка персональных данных, предусмотренных настоящим Федеральным законом, осуществляется только с согласия родителей в письменной форме.
Письменное согласие должно включать в себя:
1. фамилию, имя, отчество, адрес родителя (законного представителя), номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, сведения о дате рождения, месте рождения;
(Без этих данных лист согласия недействителен!!!!)
2. цель обработки персональных данных;
3. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
4. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных.
Например, в соответствии с п. 38 Порядка проведения единого государственного экзамена проводится автоматизированное распределение участников ЕГЭ и организаторов по аудиториям, если нет согласия на обработку персональных данных, то обучающиеся 11 классов будут отсутствовать в списках выпускников, что приведет к невозможности участия в сдаче ЕГЭ (получения бланков, контрольно-измерительных материалов). Участие в дистанционных конкурсах и олимпиадах (отправка заявки на участие по сети Интернет), выставление на сайте школы информации о победителях олимпиад и конкурсов (Ф.И. обучающегося и фото) и т.д.
5. срок, в течение которого действует согласие, а также порядок его отзыва.
Настоятельно просим подтвердить своё согласие на обработку всех данных.
В случаях, когда администрация может получить необходимые персональные данные обучающегося только у третьего лица, она должна уведомить об этом одного из родителей (законного представителя) заранее и получить от него письменное согласие.

Цели обработки персональных данных

Основной целью обработки персональных данных обучающихся/воспитанников (далее по тексту – обучающихся) является обеспечение наиболее полного исполнения образовательным учреждением своих обязанностей, обязательств и компетенций, определенных Федеральным законом “Об образовании”.
Целями обработки персональных данных обучающихся/воспитанников являются:

• обеспечение соблюдения законов и иных нормативных правовых актов;
• учет детей, подлежащих обязательному обучению в образовательном учреждении;
• соблюдение порядка и правил приема в образовательное учреждение;
• индивидуальный учет результатов освоения обучающимися образовательных программ, а также хранение архивов данных об этих результатах на бумажных носителях и/или электронных носителях;
• учет реализации права обучающихся на получение образования в соответствии с государственными стандартами в форме самообразования, экстерната, на обучение в пределах этих стандартов по индивидуальным учебным планам;
• учет обучающихся, нуждающихся в социальной поддержке и защите;
• учет обучающихся, нуждающихся в особых условиях воспитания и обучения и требующих специального педагогического подхода, обеспечивающего их социальную реабилитацию, образование и профессиональную подготовку, содействие в обучении, трудоустройстве;
• использование в уставной деятельности с применением средств автоматизации или без таких средств, включая хранение этих данных в архивах и размещение в информационно-телекоммуникационных сетях с целью предоставления доступа к ним;
• заполнение базы данных автоматизированной информационной системы управления качеством образования в целях повышения эффективности управления образовательными процессами, проведения мониторинговых исследований в сфере образования, формирования статистических и аналитических отчётов по вопросам качества образования;
• обеспечение личной безопасности обучающихся;
• планирование, организация, регулирование и контроль деятельности образовательного учреждения в целях осуществления государственной политики в области образования.

Законы

• Конституция Рoссийской Фeдерации Статья 23, Статья 24
• Федеральный закон от 27 июля 2006г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
• Федеральный закон от 27 июля 2006г. № 152-ФЗ «О персональных данных»
• Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»
• Дополнительный протокол к Конвенции о защите физических лиц при автоматизированной обработке персональных данных, о наблюдательных органах и трансграничной передаче информации (Страсбург, 8 ноября 2001 г.)
• Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.) (с изменениями от 15 июня 1999 г.)

Приказы

• Приказ федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28 марта 2008 г. № 153 «Об утверждении формы уведомления об обработке персональных данных»
• Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Приказ МОУ СОШ №37 от 9 июля 2020 г. № 185 «Об утверждении Положения об организации обработки персональных данных»
• Приказ МОУ СОШ №37 от 9 июля 2020 г. № 186 «Об утверждении Положения об обеспечении безопасности персональных данных»
• Приказ МОУ СОШ №37 от 9 июля 2020 г. № 187 «Об утверждении Положения об организации обработки персональных данных без использования средств автоматизации»
• Приказ МОУ СОШ №37 от 9 июля 2020 г. № 188 «О разрешительной системе доступа»
• Приказ МОУ СОШ №37 от 9 июля 2020 г. № 189 «Об утверждении регламента реагирования на инциденты»
• Приказ МОУ СОШ №37 от 14 июля 2020 г. № 192 «Об утверждении инструкций по защите персональных данных»

Указы, постановления, распоряжения

• Указ Президента РФ от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»
• Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»
• Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
• Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Инструкции

• Инструкция ответственного за организацию обработки персональных данных в МОУ СОШ № 37
• Инструкция пользователя информационных систем

Положения

 

ФГАОУ ДПО «Академия Минпросвещения России»

Деятельность в области информационных технологий

> 295 000

Человек прошло обучение в 2022 году

> 5 000

Часов обучения в 2022 году

81

ДПП ПК разработано в 2022 году

Новости

Финалистами Всероссийского конкурса «Первый учитель» стали 30 педагогов

Татьяна Голикова и Сергей Кравцов вручили дипломы с отличием выпускникам российских педвузов

Сотрудникам Минпросвещения России и подведомственных организаций вручены награды Президента РФ

Семинар «Вектор образования: вызовы, тренды, перспективы» пройдет 11 июля

В 2023 году планируется провести капитальный ремонт 1760 зданий школ

Приемная кампания в педвузах: что, где, когда

В Академии Минпросвещения России обсудили итоги первого этапа проекта «Комфортная школа»

Общественный совет при Министерстве просвещения Российской Федерации первого созыва подвел итоги работы за три года

Минпросвещения России определило единые подходы к формированию зарплаты педагогов

Загрузить еще

Программы повышения квалификации

Все программы

Использование библиотеки цифрового образовательного контента в учебной деятельности

Как создать сообщество общеобразовательной организации

Методика преподавания общеобразовательной дисциплины «Физика» с учетом профессиональной направленности основных образовательных программ среднего профессионального образования

Методика преподавания общеобразовательной дисциплины «Информатика» с учетом профессиональной направленности основных образовательных программ среднего профессионального образования

Школа управленцев: управление общеобразовательной организацией

Организация деятельности профильных психолого-педагогических классов (групп) в образовательных организациях

Формирование естественнонаучной грамотности обучающихся при изучении раздела «Генетика» на уроках биологии

Организация образовательного процесса обучающихся с ограниченными возможностями здоровья в условиях инклюзивного образования

Школа управленца: управление дошкольной образовательной организацией

Содержательные аспекты методической подготовки будущего учителя к реализации требований обновленных ФГОС ООО, ФГОС СОО

Использование современного учебного оборудования в центрах образования естественно-научной и технологической направленностей «Точка роста»

Использование современного учебного оборудования детских технопарков «Кванториум» на базе общеобразовательных организаций (естественно-научное направление)

Использование библиотеки цифрового образовательного контента в учебной деятельности

Раннее выявление, профилактика девиаций поведения, оказание своевременной педагогической помощи детям / подросткам с девиациями поведения

Функциональные возможности федеральной государственной информационной системы «Моя школа» и ее применение в образовательном процессе

Мероприятия и проекты

Все проекты

Флагманы образования

Проект «Флагманы образования» – это ресурс для профессионального и карьерного роста управленцев в сфере образования, талантливых педагогов и перспективных молодых специалистов, а также для отраслевой системы управления в целом. Участники проекта имеют возможность попасть в кадровый резерв системы образования Российской Федерации и пройти путь от личного успеха в профессии к развитию национальной системы образования.

Школа Минпросвещения России

«Школа Минпросвещения России» – проект, нацеленный на формирование единого образовательного пространства для каждого школьника Российской Федерации независимо от места его проживания, местонахождения его школы, социально-экономических условий его семьи и других факторов. Проект предоставит педагогам и управленцам возможность получить систематизированные рекомендации по совершенствованию школьной среды и процесса обучения.

Образовательные VR/AR-фильмы

Образовательные VR/AR-фильмы – уникальные интерактивные учебные пособия нового поколения, которые объединяют знания по физике, химии, истории, географии и другим школьным дисциплинам, позволяют почувствовать себя непосредственным участником событий, увидеть то, что обычно недоступно для глаз и трансформировать полученную информацию и новые знания в личный опыт каждого ученика.

Информационно-обучающие видеоролики

Информационно-обучающие видеоролики, нацеленные на совершенствование компетенций педагогических работников в области цифровой грамотности и информационной безопасности.

Дидактическая интерактивная педагогическая игра «Это не игра»

Цель игры – совершенствование профессиональных навыков педагогов в области цифровой грамотности и информационной безопасности детей в сети Интернет. «Это не игра» помогает педагогическим работникам не только познакомиться с актуальными киберугрозами и деструктивными явлениями в сети, с которыми сталкиваются современные школьники, но и понять, какими путями можно снизить связанные с ними риски, посильно противодействовать им с помощью конкретных мер.

Всероссийский педагогический конгресс «Подготовка учителя будущего поколения России»

Проект по формированию единого пространства педагогического образования для консолидации усилий и возможностей в опережающей подготовке учителя будущего поколения России.

Семинар в дистанционном формате для широкой аудитории по вопросам цифровой грамотности и информационной безопасности «Цифровой триатлон 2023»

Академия Минпросвещения России приглашает педагогов и руководителей образовательных организаций принять участие в Семинаре в дистанционном формате для широкой аудитории по вопросам цифровой грамотности и информационной безопасности «Цифровой Триатлон 2023», который состоится в онлайн формате 26 октября 2023 года.

Проект «Комфортная школа»

«Комфортная школа» — это проект, направленный на внедрение инструментов «Бережливого производства» в образовательных организациях. Такие технологии обычно используются на производствах и позволяют предприятиям повысить производительность труда, снизить себестоимость и улучшить качество продукции.

Педагогический хакатон «Вызовы будущего»

Проект реализуется в рамках федерального проекта «Патриотическое воспитание граждан Российской Федерации» национального проекта «Образование» при финансовой поддержке Министерства просвещения Российской Федерации.

IV Всероссийский дистанционный конкурс среди классных руководителей на лучшие методические разработки воспитательных мероприятий

Конкурс проводится с целью выявления и распространения лучших методических разработок воспитательных мероприятий, реализуемых классными руководителями. Оператором Конкурса выступает Академия Минпросвещения России.

Инновационный курс подготовки управленческих команд педагогических вузов

Подготовка управленческих команд педагогических вузов для прогрессивных изменений в образовании.

Семинар «Строим «Школу Минпросвещения России»

Регулярный семинар является площадкой для профессионального общения в рамках проекта «Школа Минпросвещения России».

«Вектор образования: вызовы, тренды, перспективы»

Семинар для представителей педагогических вузов и организаций дополнительного профессионального образования педагогов (работников образования).

Викторина для учителей «Впрок на урок»

В рамках Форума молодых педагогов в г. Гатчине Ленинградской области прошла апробацию викторина для учителей «Впрок на урок». Викторина посвящена Году культурного наследия народов России и включает задания на знание объектов всемирного наследия, народных промыслов, а также значимых исторических мест и памятников.

Пилотная апробация установления новых квалификационных категорий «педагог-методист» и «педагог-наставник»

С 1 сентября 2021 года в 13 субъектах Российской Федерации стартует пилотная апробация установления педагогическим работникам организаций, осуществляющих образовательную деятельность, новых квалификационных категорий «педагог-методист» и «педагог-наставник».

Всероссийский конкурс сочинений – 2023

Всероссийский конкурс сочинений предоставляет ученикам 4-11 классов, а также студентам организаций среднего профессионального образования возможность проявить свои литературные таланты и творческие навыки.

Учитель будущего поколения России

«Учитель будущего поколения России» — комплексная программа по модернизации и стратегическому развитию педагогических вузов.

Психолого-педагогические классы

Обеспечение организационно-методического сопровождения развития сети классов психолого-педагогической направленности.

Педагогический «Кванториум»

Педагогические технопарки «Кванториум» — площадки, формируемые на базе педагогических вузов в целях обеспечения реализации федерального проекта «Современная школа» национального проекта «Образование».

Академическая мастерская

Обеспечение высоких стандартов качества дополнительного профессионального педагогического образования через единство подходов при проектировании и экспертном оценивании ДПП ПК.

Принципы защиты персональных данных | Entry Engineering

I. Основные положения

1. Администратор персональных данных в соответствии со статьей 4 пункт 7 Регламента ЕС № 2016/679 Европейского парламента и Совета о защите физических лиц в отношении обработки персональных данных и о свободном перемещении данных (далее только « GDPR ») является Entry Engineering s.r.o. ID компании 28750098, зарегистрированный адрес 1. máje 863/9, Либерец III-Ержаб, 460 07 Либерец (далее только « администратор »).
2. Контактная информация администратора данных
   1. адрес: 1. máje 863/9, Либерец, 460 07
   2. электронная почта: [email protected]
   3. телефон: +420 737 218 242
3. Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу; идентифицируемое физическое лицо — это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на такой идентификатор, как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или на один или несколько факторов, характерных для физического, физиологическая, генетическая, умственная, экономическая, культурная или социальная идентичность этого физического лица.
4. Администратор назначил ответственного за защиту персональных данных. Контактные данные ответственного лица: Ян Соучек, менеджер по информационной безопасности, [email protected], +420 737 218 242.

II. Источники и категории обрабатываемых персональных данных

1. Администратор обрабатывает предоставленные вами персональные данные или персональные данные, полученные администратором на основании выполнения вашего заказа.
2. Администратор обрабатывает вашу идентификационную и контактную информацию, а также другую информацию, необходимую для выполнения контракта.

III. Правовая причина и цель обработки персональных данных

1. Правовая причина обработки персональных данных
   1. выполнение договора между вами и администратором в соответствии со статьей 6, (1) пункт b) Общего регламента по защите данных,
   2. законный интерес администратора в прямом маркетинге (отправка коммерческих сообщений и информационных бюллетеней) в соответствии со статьей 6 (1) (f) GDPR,
   3. Ваше согласие на обработку в целях прямого маркетинга (в частности, для отправки коммерческих сообщений и информационных бюллетеней) в соответствии со статьей 6 (1) (a) GDPR в связи с разд. 7 (2) Закона № 480/2004 Сб., о некоторых информационных услугах предприятия – в случае, если товары или услуги не были заказаны.

3. Целью обработки персональных данных является
   1. выполнение вашего заказа и выполнение прав и обязанностей, вытекающих из договорных отношений между вами и администратором; при заказе персональные данные требуются и необходимы для успешного выполнения вашего заказа (имя и адрес, контакты), предоставление персональных данных является необходимым требованием для выполнения договора.
   2. без предоставления персональных данных администратор не может заключать и выполнять договор, а также не может отправлять коммерческие сообщения или осуществлять другие маркетинговые действия.
4. Администратор не принимает автоматического индивидуального решения по смыслу статьи 22 GDPR. Вы дали свое прямое согласие на такую ​​обработку.

IV. Срок хранения данных

1. Администратор хранит персональные данные
   1. на время, необходимое для осуществления прав и обязанностей, вытекающих из договорных отношений между вами и администратором, и для предъявления претензий, вытекающих из этих договорных отношений (в течение 15 лет с момента прекращения договорных отношений).
   2. до момента отзыва согласия на обработку персональных данных в маркетинговых целях, но не более 5 лет, если персональные данные обрабатываются на основании согласия.
2. По истечении срока хранения персональных данных администратор удаляет персональные данные.

В. Получатели персональных данных (субподрядчики администратора)

1. Получателями персональных данных являются лица
   1. занимается поставкой товаров/услуг/осуществлением платежей на основании договора, а также обеспечением функционирования услуг и маркетинговых услуг.
   2. Администратор не намерен передавать персональные данные какой-либо третьей стране (стране, не входящей в ЕС) или международной организации. Получателями персональных данных в третьих странах являются поставщики почтовых/облачных услуг.

VI. Ваши права

2. В соответствии с условиями, изложенными в GDPR, у вас есть
   1. право на доступ к вашим личным данным в соответствии со статьей 15 GDPR,
   2. право на исправление ваших личных данных в соответствии со статьей 16 GDPR или ограничение обработки данных в соответствии со статьей 18 GDPR,
   3. право на удаление персональных данных в соответствии со статьей 17 GDPR,
   4. право возражать против обработки в соответствии со статьей 21 GDPR,
   5. право на переносимость данных в соответствии со статьей 20 GDPR,
   6. право отозвать согласие на обработку в письменной или электронной форме, отправив сообщение на адрес или электронную почту администратора, указанные в статье III настоящих условий.
3. Вы также имеете право подать жалобу в Управление по защите персональных данных, если считаете, что ваше право на защиту персональных данных было нарушено.

VII. Условия и требования по защите персональных данных

1. Администратор заявляет, что он принял все необходимые технические и организационные меры для защиты персональных данных.
2. Администратор применил технические меры для обеспечения безопасности хранилищ данных и хранения персональных данных в бумажной форме, в частности указанные во внутренней директиве «Политика информационной безопасности».
3. Администратор заявляет, что доступ к личным данным имеют только лица, уполномоченные администратором.

VIII. Заключительные положения

1. Отправляя заказ через онлайн-форму заказа, вы подтверждаете, что ознакомлены с условиями защиты персональных данных и принимаете их в полном объеме.
2. Вы соглашаетесь с этими условиями, устанавливая флажок согласия в онлайн-форме. Установив флажок согласия, вы подтверждаете, что ознакомились с этими условиями защиты персональных данных и полностью принимаете эти условия.
3. Администратор имеет право изменить эти условия. Новая редакция настоящих условий о защите персональных данных будет опубликована администратором на своем сайте, либо новая редакция будет отправлена ​​на указанный вами адрес электронной почты.

Настоящие условия вступают в силу 26 июля 2020 года.

Защита данных в Японии: все, что вам нужно знать об APPI

Японский закон о защите данных, Закон о защите личной информации (APPI), принятый еще 2003 г., был одним из первых правил защиты данных в Азии. В сентябре 2015 года он подвергся капитальному ремонту после серии громких утечек данных, потрясших Японию, из которых стало ясно, что требования APPI больше не соответствуют современным потребностям. Измененный APPI вступил в силу 30 мая 2017 года, на один год раньше Общего регламента ЕС по защите данных (GDPR).

Обновление принесло с собой создание Комиссии по защите личной информации (PPC), независимого агентства, которое, среди прочего, защищает права и интересы отдельных лиц и способствует правильному и эффективному использованию личной информации.

Благодаря обновленному закону 23 января 2019 года Япония стала первой страной, получившей решение Европейской комиссии (ЕК) о соответствии требованиям после вступления в силу GDPR. Эти решения, которые регулируют трансграничную передачу данных из ЕС, отражают адекватность уровня защиты данных третьей страны по сравнению с законодательством ЕС.

Дополнительные положения поправки APPI предусматривают, что закон будет пересматриваться и обновляться каждые три года, если это необходимо, чтобы гарантировать, что он продолжает учитывать последние технические разработки. Первая такая проверка была проведена в 2020 году, а дальнейшие поправки к APPI были приняты после общественных консультаций 12 июня 2020 года. сделать уведомления об утечке данных обязательными и ограничить объем личной информации, которая может быть предоставлена ​​третьим лицам. Поправки 2020 г. вступили в силу 1 апреля 2022 г.

К кому применяется APPI?

APPI применяется ко всем бизнес-операторам, которые обрабатывают личные данные физических лиц в Японии. Это касается как компаний, предлагающих товары и услуги в Японии и находящихся внутри страны, так и имеющих офисы за ее пределами. Таким образом, как и GDPR, закон Японии о конфиденциальности имеет экстерриториальное действие.

В то время как более ранняя версия APPI применялась только к бизнес-операторам, у которых было 5000 идентифицируемых лиц в их базе данных как минимум один день в течение предыдущих шести месяцев, APPI с поправками 2017 г. снял это ограничение, расширив его охват, чтобы включить всех бизнес-операторов, которые обрабатывать личную информацию в деловых целях, даже если у вас небольшая база данных, состоящая из нескольких человек.

Центральные правительственные организации, местные органы власти, независимые административные агентства и местные административные агентства, которые подпадают под действие других правил, освобождаются от соблюдения APPI.

Какой тип данных защищен APPI?

APPI различает две категории защищенных данных: персональные данные и персональные данные, требующие особого ухода. Первый относится к информации, позволяющей установить личность (PII), такой как имя, дата рождения, адрес электронной почты или биометрические данные. В обновлении APPI от 2017 года уточняется, что персональные данные также включают числовые ссылки, которые можно использовать для идентификации конкретного человека, например номера водительских прав или номера паспорта.

«Личная информация, требующая особого ухода» — это новая категория, введенная в соответствии с измененным APPI 2017 года, которая относится к данным, которые могут быть основанием для дискриминации или предрассудков. Медицинская история, семейное положение, раса, религиозные убеждения и судимости, среди прочего, подпадают под эту категорию. Бизнес-операторы ограничены в обработке такой информации и всегда нуждаются в предварительном согласии заинтересованного лица.

APPI также указывает, что анонимные данные, поскольку они лишены информации, которая может быть использована для идентификации личности, не должны следовать тем же строгим правилам обработки, что и личная информация. Например, компаниям не нужно запрашивать согласие пользователя на передачу данных, но они должны объявить об этом публично и убедиться, что получающая их третья сторона знает, что данные анонимны.

Поправки 2020 г. ввели новую категорию данных, псевдонимизированную информацию, которая относится к физическому лицу, но не может идентифицировать его, если не сопоставлена ​​с дополнительными данными. Бизнес-операторы могут использовать псевдонимно обработанную информацию для внутренних целей, таких как бизнес-аналитика и разработка вычислительных моделей. Они также не обязаны удалять обработанную под псевдонимом информацию, полученную из персональных данных, которая больше не нужна для первоначальной цели, для которой она была собрана, но могут сохранить ее для потенциального использования в будущем для статистического анализа.

Права субъектов данных

В соответствии с APPI субъекты данных могут потребовать, чтобы бизнес-оператор раскрыл цель использования их личных данных, как они могут получить доступ, исправить или приостановить их, а также куда они могут подать жалобы относительно обработки их личную информацию.

Версия APPI 2017 года позволяла субъектам данных запрашивать удаление их личной информации или приостанавливать ее использование только в ограниченных обстоятельствах. Поправки 2020 года расширили эти права, чтобы разрешить запросы в более широком диапазоне вариантов использования, включая потенциальные нарушения прав или законных интересов субъекта данных и передачу третьим лицам, не соответствующим требованиям APPI. Запросы теперь также могут относиться к краткосрочным данным, которые хранятся в течение шести месяцев или меньше.

Когда дело доходит до раскрытия личной информации, которая была собрана о них, субъекты данных теперь могут запрашивать данные как в цифровом, так и в печатном формате. Субъекты данных в Японии имеют право подать в суд на бизнес-операторов, которые собрали их личную информацию, если они не ответят на свои запросы на основе APPI в течение двух недель.

Обязанности бизнес-операторов

Компании, желающие стать совместимыми с APPI, должны убедиться, что у них есть политика конфиденциальности, определяющая цель использования собранной информации. Они должны применять меры кибербезопасности и физические средства защиты, гарантирующие безопасность обрабатываемой ими личной информации.

Организации, подпадающие под действие японского закона о защите данных, также должны создать структуры и процессы для оперативной обработки запросов субъектов данных.

Уведомления об утечке данных теперь являются обязательными

Одним из самых больших изменений, внесенных поправками к APPI 2020 года, является введение обязательных уведомлений об утечке данных. Уведомление PPC и затронутых субъектов данных ранее было только рекомендацией, но теперь это стало юридическим требованием.

Если бизнес-операторы узнают об утечке данных, которая может нарушить права и интересы отдельных лиц, они теперь обязаны уведомить PPC, а также затронутых субъектов данных. Сначала им нужно будет подать первоначальный отчет, чтобы проинформировать КПП о ситуации как можно скорее, а затем представить вторичный отчет, чтобы указать конкретные причины и предпринятые действия по устранению. Если прямое уведомление затронутых субъектов данных оказывается слишком сложным, APPI позволяет бизнес-операторам вместо этого сделать публичное объявление и создать офис для обработки запросов.

Передача данных в соответствии с APPI

Для передачи данных третьим лицам в Японии компании ранее могли передавать данные без согласия, если они предоставляли определенную информацию PPC, и субъект данных не отказывался от передачи после будучи уведомленным об этом. Поправки 2020 г. ограничили использование исключения для отказа от передачи третьим лицам. Компании больше не могут передавать персональные данные, собранные обманным или ненадлежащим образом, или продолжать передачу персональных данных на основании предыдущего исключения. Если компания желает продолжить передачу этих данных, она должна получить прямое согласие субъекта данных.

Если передача личной информации отвечает общественным интересам, предварительное согласие не требуется. Сюда входят дела, связанные с национальной безопасностью, юридическими вопросами или проблемами общественного здравоохранения.

Внешние поставщики услуг, которые обрабатывают данные от имени бизнес-оператора, не считаются третьими лицами, если они находятся в Японии. Поэтому бизнес-операторы могут передавать им данные по своему усмотрению при условии, что обработка, которую будет проводить третья сторона, подпадает под цель использования, для которой была собрана личная информация.

Поправка к APPI ввела ограничения на передачу данных за пределы Японии: они могут иметь место только в том случае, если зарубежные получатели находятся в странах с адекватным уровнем защиты данных, равным Японии, договорные соглашения, обеспечивающие соблюдение стандартов защиты данных в Японии были подписаны с зарубежными получателями или субъект данных, чья личная информация должна быть передана, дал предварительное согласие на такую ​​передачу.