Согласие на обработку персональных данных что это и зачем: Персональные данные: ответы на популярные вопросы — Независимое театральное объединение "Зрительские симпатии"

Содержание

Согласие на обработку персональных данных: зачем оно нужно

Шаг 2.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Шаг 3.

Самое главное по теме. Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор — «галочек»:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г.

N 152-ФЗ «О персональных данных» устанавливает обязательство собирать персональные данные:

«4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью…».

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

«Получение согласия на обработку персональных данных может быть получено посредством проставления „галочки“ пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме».

Вариативно, ещё шаг 4.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Обработка персональных данных, ГБОУ Школа № 2073, Москва

Развитие различных информационных технологий привело к тому, что личная информация о человеке становится все более доступной. Различные сообщества, многочисленные социальные сети могут содержать целое «досье» на взрослого и ребенка. Каждый взрослый сам для себя решает, какую именно информацию можно выложить в информационные сети «Интернет».

Дети часто создают свои аккаунты и там делятся личной информацией.

При поступлении в школу каждый родитель получает соглашение, где дает свое письменное согласие на обработку персональных данных. У многих возникает вопросы и опасения, относительно распространения персональных данных семьи или ребенка. Нередко родители хотят узнать, каким образом, в каких случаях личная информация о ребенке может быть распространена.

Для начала необходимо определиться, что такое персональные данные?

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (Федеральный Закон от 27.07.2006 № 152-ФЗ«О персональных данных»).

Что значит, дать согласие на обработку персональных данных?

«Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных» (Федеральный Закон «О персональных данных» от 27.

07.2006 № 152-ФЗ).

Обработка указанных специальных категорий персональных данных допускается в случаях, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных.

Каждая школа разрабатывает локальный акт, который конкретизирует сведения, относящиеся к персональным данным, кто имеет доступ к персональным данным обучающегося, права и обязанности работников, получивших доступ к персональным данным ученика и т. д.

Например, к персональным данным ученика относятся:

сведения, содержащиеся в свидетельстве о рождении, паспорте или ином документе, удостоверяющем личность; информация, содержащаяся в личном деле учащегося; информация, содержащаяся в личном деле учащегося, лишенного родительского попечения; информация, содержащаяся в классном журнале; информация, содержащаяся в Карточке здоровья учащегося; информация о состоянии здоровья; документ о месте проживания; фотографии; иные сведения, необходимые для определения отношений обучения и воспитания.

Иные персональные данные учащегося, необходимые в связи с отношениями обучения и воспитания, администрация может получить только с письменного согласия одного из родителей (законного представителя). К таким данным относятся документы, содержащие сведения, необходимые для предоставления учащемуся гарантий и компенсаций, установленных действующим законодательством:

документы о составе семьи;
документы о состоянии здоровья;
документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (родители-инвалиды, неполная семья, ребенок-сирота, ребенок из многодетной семьи и т. п.).

Персональные данные учащегося являются конфиденциальной информацией и не могут быть использованы администрацией или любым иным лицом в личных целях.

Право доступа к персональным данным обучающегося могут иметь:

работники департамента (управления) образования (при наличии соответствующих полномочий, установленных приказом департамента (управления) образования;
директор образовательного учреждения;
секретарь образовательного учреждения;
заместители директора по УВР;
социальный педагог;
педагоги дополнительного образования
врач/медработник.
учителя-предметники;
классный руководитель.

Не имеет права получать информацию об учащемся родитель (законный представитель), лишенный или ограниченный в родительских правах на основании вступившего в законную силу постановления суда.

Работники, имеющие доступ к персональным данным учащегося, обязаны:

1. Не сообщать персональные данные обучающегося третьей стороне без письменного согласия одного из родителей (законного представителя), кроме случаев, когда в соответствии с федеральными законами такого согласия не требуется.

2. Использовать персональные данные обучающегося, полученные только от него лично или с письменного согласия одного из родителей (законного представителя).

3. Обеспечить защиту персональных данных обучающегося от их неправомерного использования или утраты, в порядке, установленном законодательством Российской Федерации.

4. Ознакомить родителя (родителей) или законного представителя с настоящим Положением и их правами и обязанностями в области защиты персональных данных, под роспись.

5. Соблюдать требование конфиденциальности персональных данных учащегося.

6. Исключать или исправлять по письменному требованию одного из родителей (законного представителя) обучающегося его недостоверные или неполные персональные данные, а также данные, обработанные с нарушением требований законодательства.

7. Ограничивать персональные данные учащегося при передаче уполномоченным работникам правоохранительных органов или работникам департамента (управления) образования только той информацией, которая необходима для выполнения указанными лицами их функций.

8. Запрашивать информацию о состоянии здоровья учащегося только у родителей (законных представителей).

9. Обеспечить учащемуся или одному из его родителей (законному представителю) свободный доступ к персональным данным обучающегося, включая право на получение копий любой записи, содержащей его персональные данные.

10. Предоставить по требованию одного из родителей (законного представителя) учащегося полную информацию о его персональных данных и обработке этих данных.

Данные должны храниться в недоступных местах всеобщего пользования (например, в сейфе) на бумажных носителях и (или) на электронных носителях с ограниченным доступом.

Существуют Приказы Министерства образования, которые также содержат некоторые вопросы, касающиеся личных данных обучающегося.

Приказ Министерства образования и науки РФ от 22 января 2014 г. № 32 «Об утверждении Порядка приема граждан на обучение по образовательным программам начального общего, основного общего и среднего общего образования».

Приказ Министерства образования и науки РФ от 12 марта 2014 г. N 177 «Об утверждении Порядка и условий осуществления перевода обучающихся из одной организации, осуществляющей образовательную деятельность по образовательным программам начального общего, основного общего и среднего общего образования, в другие организации, осуществляющие образовательную деятельность по образовательным программам соответствующих уровня и направленности».

Личные/персональные данные ребенка содержатся в основном в личном деле ребенка. На каждого ребенка, зачисленного в организацию, осуществляющую образовательную деятельность, заводится личное дело, в котором хранятся все сданные документы. Таким образом, на начальном этапе обучения ребенка в общеобразовательной организации его личное дело будет состоять из следующих данных: фамилия, имя, отчество, дата и место рождения ребенка, адрес места жительства родителей, контактные телефоны.

В процессе обучения личное дело будет пополняться документами о состоянии здоровья ребенка, данными о результатах промежуточной и итоговой аттестаций, какими-либо персональными данными, документами, подтверждающими достижения в учебе, спорте, иных видах деятельности, а также иными документами.

Личное дело обучающегося подлежит выдаче ему или его законным представителям в случае перевода в другую организацию, осуществляющую образовательную.

Если родители отказываются подписывать согласие на обработку персональных данных, то в этом случае школа действует в рамках законодательства и предполагается, что минимум персональных данных для обработки родитель предоставить обязан.

Страхи родителей, связанные с обработкой персональных данных ребенка и семьи чаще всего необоснованны. Ребенок все равно будет находиться школьной базе, и школа будет получать на него финансирование. Но учета его участия в школьной жизни может не быть. Обработка персональных данных нередко подразумевает ведения учета успеваемости в электронном журнале, передача данных ребенка для участия в олимпиадах и конкурсах.

Нарушением закона о защите персональных данных может стать рассылка персональных данных по общедоступным сетям, поскольку такие виды обработки данных не предусмотрены законодательством, в данном случае требуется желание субъектов данных, подкрепленное письменным согласием.

Документы школы, регламентирующие обработку и защиту персональных данных

Вы действительно хотите удалить папку?

Как не нужно составлять согласие на обработку персональных данных

И какие согласия не стоит подписывать.

Доброго времени суток, Хабр!

Эта статья родилась совершенно спонтанно из такой вот истории.

Поскольку я являюсь в том числе соучредителем организации, в которой работаю, мне время от времени приходится подписывать различные документы от банков с которыми мы работаем, то берем кредит, то нужно обеспечить заявку на торгах и так далее. Обычная жизнь обычного ООО.

И вот, вчера мне приносят на подпись очередной документ — согласие на обработку персональных данных от одного локального банка. Я сначала на автомате его подписал, а потом все-таки решил прочитать. ~~Яжпрограммист~~ Я же все-таки специалист в том числе по защите персональных данных. Прочитанное повергло меня в нехилый шок.

Под катом разберемся, что с согласием не так и почему оно незаконно.

Текст согласия начинается со слов:

Согласие дается мною для целей заключения с Банком любых договоров и их дальнейшего исполнения, принятия решений или совершения иных действий, порождающих юридические последствия в отношении меня или других лиц, предоставления мне информации об оказываемых Банком услугах и распространяется на следующую информацию: фамилия, имя, отчество… и любая иная информация, относящаяся к моей личности, доступная либо известная в любой конкретный момент времени Банку (далее — «Персональные данные»)

Здесь прекрасно все.

Даю свое согласие на обработку любых персональных данных с любыми целями. Ага, щас. Вот что нам говорит об этом федеральный закон №152-ФЗ «О персональных данных»:

ч. 2 статьи 5:
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Разжевывать не буду. На Хабре люди умные, сами понимаете какие тут коллизии формулировок согласия и закона. А еще немного заставила потупить фраза «любой конкретный момент времени». Хотя может с этой конструкцией и все нормально, если есть филологи, добро пожаловать в комментарии.

Едем дальше. Текст согласия (орфография и пунктуация сохранены):

Настоящее согласие действует в течении 5 (пяти) лет после истечения сроков хранения соответствующей информации или документов, содержащих вышеуказанную информацию, определяемых в соответствии с законодательством Российской Федерации и договорными отношениями, после чего может быть отозвано путем направления мною соответствующего письменного уведомления Банку не менее чем за 3 (три) месяца до момента отзыва согласия.

Мне жаль огорчать Банк, но согласие в соответствии с частью 2 статьи 9 все того же закона «О персональных данных» может быть отозвано в любой момент. Да и вообще что за бред — согласие может быть отозвано только после завершения срока действия согласия?

Далее идет абзац о действиях, которые можно совершать с моими персональными данными. Я даже не буду приводить оттуда цитату. Думаю итак понятно, что действия могут совершаться любые.

Ну и последний абзац тоже шедеврален (орфография и пунктуация сохранены):

Настоящим я признаю и подтверждаю, что в случае необходимости предоставления Персональных данных для достижения указанных выше целей третьему лицу (в том числе некредитной и небанковской организации), а равно как при привлечении третьих лиц к оказанию услуг в указанных целях, передачи Банком принадлежащих ему функций и полномочий иному лицу, Банк вправе в необходимом объеме раскрывать для совершения вышеуказанных действий информацию обо мне лично (включая мои Персональные данные) таким третьим лицам, их агентам и иным уполномоченным ими лицам, а также предоставлять таким лицам соответствующие документы, содержащие такую информацию. Также настоящим признаю и подтверждаю, что настоящее согласие считается данным мною любым третьим лицам, указанным выше, с учетом соответствующих изменений, и любые такие третьи лица имеют право на обработку Персональных данных на основании настоящего согласия.

Просто шикарно. Мало того, что Банк может делать что хочет с моими ЛЮБЫМИ персональными данными, так он еще и имеет право передавать их кому угодно, как угодно, в каком угодно объеме.

Что говорит закон?

часть 1 статьи 9:
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Извините, но ЭТО назвать «информированным и конкретным» язык не поворачивается.

При этом и регуляторы на проверках по нашему опыту за такие «согласия» сразу выписывают штраф. Я, в общем-то, и начал подписывать не глядя, думая, что такие тексты сгинули где-нибудь в 2012 году, а то и раньше. Печально видеть такое от финансовой организации, в которой наверняка сидит орава юристов.

Что же делать вам как организации? Составлять действительно конкретные и информированные согласия. Четко и не двусмысленно формулировать цели обработки и конкретные категории персональных данных, которые не являются излишними по заявлению к указанным целям. Если планируете передавать персональные данные третьим лицам, то придется попотеть и указать конкретные третьи лица, конкретные передаваемые персональные данные и конкретные цели такой передачи (важно помнить, что здесь не нужно указывать, то что вы обязаны передавать в соответствии с какими-либо Федеральными законами).

Что вам делать как субъекту персональных данных, если видите такое согласие? Тут все зависит от конкретной ситуации. Если вы откажитесь подписать согласие, то вам скорее всего сообщат, что в таком случае вам не смогут оказать услугу. Если услуга вам очень нужна, подписывайте согласие, получайте услугу, но потом можно нажаловаться на нарушение закона «О персональных данных» например сюда.

И помните, что если вы что-то где-то подписали, то это еще не значит, что Банк или кто-либо еще после этого может творить что захочет с вашими персональными данными. Любые договоры, согласия и прочие документы, прямо противоречащие действующему законодательству являются незаконными.

Что касается конкретной истории, то «куда надо» я сообщил. Ждем развития ситуации. Собственно поэтому пока что не разглашаем название Банка, вдруг одумается и исправится. Если нет, то, видимо, будет вторая часть — продолжение, в том числе с оглашением имен «героев» и реакцией регуляторов.

UPD 29.11.2019:
Пришел ответ от РКН на мое обращение:
… сначала идут цитаты из 152-ФЗ на 2 страницы…, затем:

Дополнительно сообщаю, что оценка деятельности оператора, осуществляющего обработку персональных данных, на предмет соответствия требованиям законодательства Российский Федерации в области персональных данных осуществляется при проведении контрольно-надзорных мероприятий в отношении указанного оператора.
В соответствии с пп. «б» п. 8 Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных, утвержденных постановлением Правительства Российской Федерации от 13. 02.2019 № 146 (далее – Правила), внеплановые проверки проводятся на основании приказа органа по контролю и надзору, изданного по результатам рассмотрения обращений граждан, поступивших в орган по контролю и надзору, при условии наличия в обращении материалов, подтверждающих факт нарушения их прав, определенных статьями 14-17 Федерального закона «О персональных данных», действиями (бездействием) оператора при обработке их персональных данных.
Вместе с тем, обстоятельства, указанные в Вашем обращении, не подпадают под основания, установленные Правилами, в связи с чем, Ваше обращение не является основанием для проведения Управлением Роскомнадзора по Приморскому краю внеплановой проверки.
Вы имеете право самостоятельного обращения в суд с исковым заявлением, если полагаете, что нарушены Ваши права как субъекта персональных данных. С порядком защиты Ваших прав можете ознакомиться в главе 3 «Права субъекта персональных данных».

Чего и требовалось ожидать: «Спи спокойно, гражданин, твои права не нарушаются»

Что такое «Согласие на обработку персональных данных»

В 2005 году Российская Федерация ратифицировала Конвенцию Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (Страсбург, 28 января 1981 г. ). С ратификацией этого международного документа наша страна и мы, её граждане вступили в новую социально-экономическую формацию, в которой полномочия государства и права человека вторичны относительно прав «операторов». Во исполнение Конвенции в 2006 году в России поспешно принят ФЗ-№152 «О персональных данных» (далее ФЗ-№152), который во всех базовых положениях повторяет Конвенцию. ФЗ-№152 действует с 2006 года, однако до последнего времени при походе в библиотеку или к стоматологу человеку не приходилось давать полный отчёт о своей жизни: себе, семье, работе, собственности.

Жёсткий и тотальный сбор информации обо всех сторонах жизни человека начался только в связи с принятием ФЗ-№210 «Об организации предоставления государственных и муниципальных услуг». Здесь-то и заработали заблаговременно принятые Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» и ФЗ-№152. Именно на основании ФЗ-№152 в последнее время гражданам предлагают подписывать различные бланки «о согласии на обработку их персональных данных» по месту работы, учёбы, в детском саду, который посещает ребёнок. Собирают наши «добровольные» согласия школы, поликлиники, библиотеки, все социальные учреждения. Подсуетились и магазины, которые при предоставлении скидки раздают анкеты, где мелким шрифтом включена фраза о согласии на обработку персональных данных.

Прежде чем дать такое согласие, человеку необходимо знать, что стоит за понятиями, употребляемыми в бланках

1. В соответствии с ФЗ-№152 персональные данные – это любая информация, относящаяся прямо или косвенно к физическому лицу.

2. Понятие «обработка персональных данных» имеет далеко не такое невинное значение как большинству из нас кажется. В соответствии с п. 3 статьи 3 ФЗ-№152, «обработка» включает в себя – любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3. Очень важно понятие «оператор». Нужно помнить, что оператор независимо от желания человека самостоятельно решает какие персональные данные он собирает и какие действия с этими данными человека совершает.

В соответствии с ФЗ-№152 оператор это – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

4. Что прячется за понятием «использование персональных данных»?

Поскольку операторам предоставлено право любых действий с нашими персональными данными, то и принятие юридически значимых решений охватывается этим правом.

Давая согласие на обработку своих персональных данных, человек соглашается на совершение операторами любых действий и манипуляций с любой своей, в том числе и конфиденциальной информацией.

5. В соответствии с ФЗ-№152 «распространение» – это действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Поскольку персональные данные – это любая информация о человеке, то распространение – это фактически не контролируемое человеком ознакомление с его самой конфиденциальной информацией любых физических и юридических лиц по усмотрению оператора.

Если оператор сочтёт необходимым, то в процессе обработки-распространения может осуществляться и трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

6. ФЗ-№152 даёт практически безграничные возможности для любых манипуляций с нашими персональными данными любому оператору, получившему согласие человека «на обработку персональных данных».

Формальная фраза бланков о праве человека отозвать согласие на обработку персональных данных ничего не решает. К моменту отзыва персональные данные человека уже разосланы в различные базы, где они остаются и используются. Кроме того, отзыв согласия чреват репрессивными мерами оператора. Некоторые операторы предупреждают о них сразу, а другие будут применять на практике без предупреждения. В статью 9 ФЗ-№152 внесены изменения, дающие оператору право продолжать обработку персональных данных и после отзыва согласия на обработку. А изменения в статье 6 этого закона допускают обработку персональных данных без согласия человека при оказании государственных и муниципальных услуг, включая регистрацию на едином портале государственных услуг. Если следовать логике этих положений, никакие электронные услуги не будут оказываться при отказе человека на обработку его персональных данных.

Итак, в информационном обществе на первый план выходит новое лицо – оператор, диктующий свои условия гражданам и государству.

7. Тысячи граждан по религиозным убеждениям не могут принять автоматизированный способ учета персональных данных, который основывается на использовании личных идентификаторов (СНИЛС, ИНН и других), штрихового кодирования информации, создании баз персональных данных, доступ в которые осуществляется на основании цифровых идентификаторов личности. Использование личных цифровых идентификаторов в любых правоотношениях нарушает право действовать под своим именем, гарантированное статьей 19 Гражданского кодекса РФ. Для верующего человека замена имени цифровым идентификатором неприемлема, поскольку происходит фактическая замена имени, данного при Крещении, цифровым номером, который является пожизненным и становится обязательным условием доступа к любым правам и услугам.

Однако отказ от использования автоматизированного способа учета персональных данных не лишает граждан прав, гарантированных Конституцией РФ. Первые примеры санкций за отказ предоставить всю информацию о себе в полное распоряжение оператора уже имеются. Так называемые операторы в ответ на отказ дать согласие на обработку персональных данных прекращают гражданам выплату дотаций, не оказывают медицинскую помощь и др. Учащиеся сообщают об угрозах не допустить к экзаменам или не выдать аттестат. Это является грубейшим нарушением прав граждан.

В Конституции РФ права граждан на социальное обеспечение, медицинскую помощь, образование и другие не обусловлены обязательным согласием на обработку персональных данных. Конституция имеет прямое действие и высшую юридическую силу. Граждане имеют право требовать реализации всех своих прав и в случае отказа на обработку персональных данных.

8. 4 февраля 2013 года Архиерейским Собором Русской Православной Церкви принят Документ «Позиция Церкви в связи с развитием технологий учета и обработки персональных данных».

В Документе говорится, что тысячи граждан на основе своих конституционных прав и по религиозной мотивации отказываются от использования новой идентификационной системы.

Церковь считает особенно важным принцип добровольности принятия любых идентификаторов и указывает, что необходимо проявлять уважение к конституционным правам граждан и не дискриминировать тех, кто отказывается от принятия электронных средств идентификации.

Церковь считает недопустимым ограничение прав граждан в случае отказа дать согласие на обработку персональных данных.

В п. 5 говорится: «В связи с тем, что обладание персональной информацией создает возможность контроля и управления человеком через различные сферы жизни (финансы, медицинская помощь, семья, социальное обеспечение, собственность и другое), возникает реальная опасность не только вмешательства в повседневную жизнь человека, но и внесения соблазна в его душу. Церковь разделяет опасения граждан и считает недопустимым ограничение их прав в случае отказа человека дать согласие на обработку персональных данных».

Подробнее – в книге О. А. Яковлевой «Новые технологии и права человека» (тел. издательства 8-800-200-84-85, Интернет-магазин www.zyorna.ru).

В Москве можно заказать книгу в магазинах:

http://www.russdom.ru/node/46

Магазин «Русский дом»

Адрес: Москва, Малый Кисельный переулок, дом 4, стр.1

Тел.:8-495- 621- 43-53, 621-35-02

http://www.oranta-book.ru/prais-list/

т.8(495)973-04-46

т.8(901)553-04-46

МАГАЗИН «СРЕТЕНИЕ», г. Москва, Б. Лубянка, 19, Тел. (495) 628-82-10, http://sretenie.com/book/element.php?ID=40836

http://www.labirint.ru/books/335535/

8-800-555-0863

http://www.ozon.ru/context/detail/id/10797479/

8 800 100 05 56

http://www.sprinter.ru/books/novye-tehnologii-i-prava-cheloveka-yakovleva-2079272.html

8 (499) 922-66-05, 8 (905) 509-24-33

http://www.otchiy.ru/shop/UID_1453.html

+7 926 926 0427

+7 495 633 0802

http://www. zlatoriza.ru/catalog/item/27991

Православный магазин «Риза»

125167, Москва, ул. Красноармейская, д. 2, строение 4, проезд до станции метро «Динамо»

Телефон +7 (495) 223 22 97

Подробности – на сайте http://rodinaprav.info в разделе «Издания». Правовая информация – на сайте «Союза правоcлавных юристов» http://rodinaprav.info.

Просьба сообщать о фактах нарушения ваших прав при отказе от обработки персональных данных в «Союз православных юристов».

Адрес: 115573, Москва, а/я 137, Яковлевой О.А.

[email protected]

Для чего брокеру ваше согласие на обработку персональных данных?

Итак, согласно букве закона (а именно 152-ФЗ «О персональных данных») персональными данными признается любая информация, относящаяся к прямо или косвенно к определённому или определяемому физическому лицу (данное физическое лицо является субъектом персональных данных). То есть любая информация о физическом лице, которую клиент указывает в анкете, является персональными данными.

Брокер, в свою очередь, является оператором персональных данных, т.е. лицом, самостоятельно или совместно с другими лицами организующим и/или осуществляющим обработку персональных данных (сокращенно ПнД). При этом каждый оператор обязан установить цели обработки ПнД, состав персональных данных, подлежащих обработке, а также действия, совершаемые с полученными ПнД (исключительно в соответствии с указанными целями).

Непосредственно в понятие обработки персональных данных включается не только использование и передача, но в принципе любое действие, включая сбор, запись, систематизацию, хранение, удаление или уточнение (но не ограничиваясь ими).

Если иное не предусматривается законодательством (например, в случае наличия определения суда либо во исполнение иного федерального закона), оператор может осуществлять указанные выше действия только при наличии согласия на обработку персональных данных со стороны субъекта.

Как указывалось выше, передача данных иному оператору возможна, но, опять же, только с согласия субъекта персональных данных. При этом поручение оператора должно содержать конкретные цели обработки и перечень действий с ПнД. Таким образом, данные физического лица не могут быть переданы третьим лицам в отсутствие согласия либо для неопределённых целей. Даже справочники или адресные книги могут быть составлены только при наличии согласия.

Хотя уже сейчас рабочей группой по нормативному регулированию цифровой экономики обсуждается возможность передачи данных на обработку иным организациям без предварительного получения согласия человека.

Россияне будут давать больше согласий на обработку персональных данных :: Политика :: РБК

Новый закон значительно ужесточает правила обработки и распространения персональных данных лиц для операторов и бизнеса, сообщил РБК Александр Надмитов, управляющий партнер юридической фирмы «Надмитов, Иванов и Партнеры». Так, до обработки персональных данных из открытых источников надо будет убеждаться в том, что человек дал согласие на их распространение. Кроме того, нужно будет проверять наличие условий и ограничений на обработку данных другими операторами, пояснил Надмитов. В новом законе прописаны условия обработки тех персональных данных, которые россияне разрешат распространять, рассказала в беседе с РБК партнер коллегии адвокатов Pen & Paper Екатерина Тягай.

Читайте на РБК Pro

Как будет предоставляться согласие

Россияне смогут предоставить согласие непосредственно оператору или с использованием информационной системы Роскомнадзора, сообщила Екатерина Тягай. В своем специальном согласии субъект должен будет прямо определить перечень персональных данных, которые смогут быть распространены оператором. Оператор обязан будет предоставить субъекту возможность произвести такое определение по каждой категории разрешенных для распространения персональных данных, указанной в согласии на их обработку, рассказала юрист.

Надмитов отметил, что закон не содержит требования об обязательной письменной форме согласия на распространение. По его словам, требования к содержанию согласия на распространение будут установлены Роскомнадзором. На данный момент соответствующих актов регулятора нет. В любом случае операторам придется дополнять и конкретизировать свои стандартные согласия на обработку персональных данных, сказал юрист.

Новый закон особенно затронет владельцев (операторов) онлайн-ресурсов и сервисов, которые позволяют пользователям делиться информацией с неограниченным кругом лиц. Также закон повлияет на тех, кто использует в своей работе информацию из открытых источников, в частности СМИ, компании, использующие системы мониторинга поведения в интернете, считает Надмитов.

Как по новому закону будут удалять персональные данные

Россияне смогут в любое время потребовать прекратить передачу или распространение персональных данных, напомнил о положениях закона Надмитов. Действие согласия на обработку персональных данных прекращается с момента поступления оператору требования их обладателя.

При этом запреты на использование персональных данных не распространяются на случаи обработки информации в государственных, общественных и иных публичных интересах, определенных законодательством, указал юрист.

В начале декабря Ассоциация больших данных (объединяет «Яндекс», Mail.ru Group, Сбербанк, Газпромбанк, мобильных операторов) просила Госдуму не принимать нововведения в закон о персональных данных. Компании опасались, что закон усложнит обработку общедоступных персональных данных. В частности, в заявлении говорилось, что закон может создать правовую неопределенность при использовании данных в тех случаях, когда пользователь дает двум социальным сетям согласие на обработку данных, но с разными параметрами.

Также требования могут привести к дополнительным расходам площадок на доработку интерфейсов, причем российские ресурсы окажутся в невыгодном положении, так как контролировать соблюдение требований иностранцами будет невозможно, считает бизнес. Председатель комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Александр Журавлев отмечал, что изменения могут осложнить работу компаний, которые используют искусственный интеллект и большие данные.

Согласие на обработку персональных данных

Общество с ограниченной ответственностью «ИРСИ» (ОГРН 1089847043131, адрес местонахождения: 196105, г. Санкт-Петербург, пер. Яковлевский, д. 6) (далее — Компания) настоящим сообщает, что в рамках использования сайта по адресу в сети Интернет: http://infometer.org а также его поддоменов (далее — Сайт), а также при использовании Вами автоматизированной информационной системы «Инфометр»: http://system.infometer.org (далее — Система) Компания запрашивает и собирает Ваши персональные данные.

Компания подтверждает, что предпринимает все необходимые меры для соблюдения конфиденциальности Ваших персональных данных. Компания реализует ряд надлежащих мер безопасности с целью обеспечения защиты Ваших персональных данных от случайной утраты и несанкционированного доступа, использования или раскрытия, а также несет ответственность за процесс обработки Ваших персональных данных.

Вы подтверждаете, что при использовании Сайта и Системы предоставляете согласие на обработку Компанией Ваших персональных данных (далее — Согласие) и подтверждаете, что, давая такое согласие, Вы действуете своей волей и в своем интересе. В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Вы согласны, при необходимости, во время заполнения информации при регистрации на Сайте предоставить следующую информацию, которая относится к Вашей личности: Фамилия; Имя; e-mail; номер телефона; наименование организации, от имени которой Вы пользуетесь Сайтом и Системой; должность в указанной организации для создания учетной записи и доступа к Системе.

Данное Согласие предоставляется Вами в целях исполнения договоров по предоставлению доступа к Системе посредством Сайта, заключаемых Компанией как непосредственно с Вами, так и с организациями, от имени которых Вы пользуетесь Сайтом и Системой (далее — Договоры).

Вы выражаете согласие на осуществление со всеми указанными персональными данными следующих действий: сбор, систематизация, накопление, хранение, уточнение (обновление или изменение), использование, распространение (в том числе — передача), обезличивание, блокирование, уничтожение, передача, а также осуществление любых иных действий с Вашими персональными данными в соответствии с действующим законодательством Российской Федерации. Обработка персональных данных может осуществляться с использованием средств автоматизации, а также без их использования (при неавтоматической обработке).

При обработке персональных данных Компания не ограничена в применении способов их обработки.

Согласие на обработку персональных данных распространяется исключительно на те персональные данные, которые обрабатываются в рамках использования Сайта, использования Системы и исполнения обязательств по Договорам с Компанией.

Вы выражаете согласие на осуществление Компанией обратной связи с Вами, включая: направление запросов и информации, которая касается использования Сайта, использования Системы и исполнения соглашений и договоров; направление уведомлений, включая уведомления (рассылки) о новостях и продуктах Компании, обработку заявок от пользователей.

В любой момент и на безвозмездной основе, Вы, как зарегистрированный пользователь Сайта, вправе отказаться от получения специальных уведомлений (рассылок) и иной информации о продуктах и услугах Компании, используя специальную процедуру отказа от таких рассылок, предусмотренную Компанией и указанную непосредственно в тексте соответствующих рассылок.

Компания вправе в любой момент без предварительного уведомления пользователей изменять, дополнять или обновлять текст настоящего Согласия в той или иной части. В том случае, если в настоящее Согласие будут внесены изменения, такое Согласие подлежит размещению на Сайте, а соответствующие изменения вступают в силу в течение 20 (Двадцати) дней с момента официальной публикации новой редакции Согласия на Сайте. Если в течение таких 20 (Двадцати) дней Вы в письменной форме не заявите отказ от принятия изменений, то это означает Ваше принятие Согласия в новой редакции. Компания рекомендует регулярно просматривать текст настоящего Согласия, чтобы Вы были своевременно информированы о любых изменениях и датах вступления в силу таких изменений. Действующая редакция Согласия постоянно доступна на странице Сайта по адресу: http://read.infometer.org/agreement.

Для получения более подробной информации о процессе обработки Компанией Ваших персональных данных, исправлении, блокировке или удаления любых Ваших персональных данных, получении доступа к Вашим персональным данным, отмене Вашего согласия на определенные виды обработки персональных данных, удаления Вашего адреса электронной почты из списков адресов в нашей базе данных, а также для направления вопросов, замечаний или предложений, касающихся настоящего Согласия, Вы можете связываться с Компанией по следующему адресу электронной почты info@infometer. org или направить письмо по адресу: 192 007, г. Санкт-Петербург, а/я 193.

Вы предоставляете согласие на обработку Ваших персональных данных в течение срока действия заключенных Компанией Договоров и в течение 1 (Одного) года после расторжения таких Договоров как в связи с окончанием срока их действия, так и досрочно. Вы можете в любой момент отозвать согласие на обработку персональных данных посредством письменного уведомления Компании по адресу электронной почты [email protected] или на адрес: 192 007, г. Санкт-Петербург, а/я 193, с пометкой «Отзыв согласия на обработку персональных данных», при этом вы осознаете, что, отзыв такого согласия влечёт за собой удаление Вашей учётной записи с Сайта, а также уничтожение записей, содержащих Ваши персональные данные, что повлечет невозможность использования Вами Системы.

В процессе использования Сайта и пользования Системой, после заполнения форм с Вашими персональными данными, нажимая соответствующую кнопку (а именно: «Да, хочу улучшить», «Отправить сообщение», «Зарегистрироваться»), Вы подтверждаете, что предоставляете Компании свое согласие на обработку Ваших персональных данных.

правовых оснований для правомерной обработки персональных данных

Общий регламент по защите данных (GDPR) упоминает несколько юридических оснований для законности обработки персональных данных субъектов данных. Законное основание для обработки персональных данных состоит как минимум из одного из этих юридических оснований и может варьироваться в зависимости от деятельности и цели обработки персональных данных.

Необходимость в законном основании для обработки персональных данных в соответствии с GDPR (с необходимыми исключениями) не нова.В своих выступлениях и статьях GDPR говорит примерно то же, что и его предшественник, Директива о защите данных (Директива 95/46 / EC) , по нескольким направлениям. Но есть и важные изменения.

Основные декларации и статьи о законной обработке и законных основаниях обработки как таковых, прежде всего, относятся к числу тех, в которых не так много изменилось.

В декларации 39 GDPR говорится о законности, справедливости, прозрачности и цели обработки персональных данных: любая обработка персональных данных должна быть законной и справедливой, она должна быть прозрачной для субъектов данных, которые обрабатывают персональные данные, относящиеся к ним, и принцип прозрачности требует, чтобы ЛЮБАЯ информация и сообщения, касающиеся обработки персональных данных, были легкодоступными и понятными.Наряду с необходимостью использовать ясный и простой язык, последний прямо упоминается в рамках целей обработки. Помните о цели, она возвращается.

Изложение 40 GDPR гласит, что для того, чтобы обработка была законной, личные данные должны обрабатываться на основании согласия соответствующего субъекта данных или на каком-либо другом законном основании.

Эта законная основа должна быть заложена в законе, при этом закон должен быть самим Общим регламентом защиты данных или другими законами ЕС или его государств-членов.

В жизни и юридических основаниях для законной обработки больше, чем согласие

Хотя согласие (что не совсем то же самое, что явное согласие, даже если де-факто граница может быть очень тонкой) является наиболее известным из юридических оснований, поскольку они резюмированы в статье 6 GDPR текста GDPR на законность обработки, это не всегда лучший путь.

Для каждого действия по обработке персональных данных важно определить наилучшее правовое основание, что также рекомендуется в руководящих принципах Рабочей группы (Европейский совет по защите данных) по статье 29 о согласии с конца ноября 2017 года.Проверка наилучшего правового основания для законности каждого процесса обработки начинается до фактической обработки. И, очевидно, в рамках соблюдения GDPR это означает, что у вас уже есть список и обязательная запись ваших действий по обработке персональных данных.

В упомянутых руководящих принципах подчеркивается, что согласие является одной из шести законных оснований для обработки персональных данных, как указано в этой статье 6. Тем не менее, в то же время, когда контролер инициирует действия, связанные с обработкой персональных данных, следует рассмотреть вопрос о том, является ли согласие является наиболее подходящим правовым основанием для законной обработки или может быть лучше другое.Помните, что когда согласие выбирается для какой-либо конкретной обработки, вам также необходимо соблюдать все правила и права в отношении согласия.

Шесть основных правовых оснований законности обработки персональных данных

Конечно, не всегда можно выбрать другой, и надо быть уверенным. Это начинается со знания и понимания всех шести юридических оснований для обработки персональных данных. Так что бегло взгляните на них в качестве напоминания.

Также помните, что законность обработки означает, что применимо, ПО МЕНЯ, одно из шести правовых оснований, другими словами: достаточно одного.

1. Согласие как правовое основание для законной обработки

В статьях GDPR согласие упоминается в первую очередь как правовое основание законности обработки персональных данных как в статье 6, так и в статье 40.

В то время как общие правила, касающиеся законного основания для согласия, не сильно изменились, новые правила о согласии как законном основании имеют большое влияние на организации (как контроллеры данных, так и обработчики данных) .

Согласие означает, что субъект данных дал согласие на обработку персональных данных для одной или нескольких конкретных целей. Как уже упоминалось, понятие цели здесь является ключевым. Если субъект данных, то есть физическое лицо, дает согласие на обработку, не зная (нескольких) целей (целей) в полном объеме и в понятной форме, то согласие не является законным основанием для обработки, поскольку оно по определению не предоставляется свободно, конкретно , информированный и недвусмысленный. Более того, согласие не может быть объединено.Таким образом, для каждого действия по обработке данных в рамках одной более широкой операции общее правило заключается в том, что согласие недействительно, если оно предназначено для всех действий одновременно. В качестве примера: давать согласие на ряд маркетинговых целей недействительно.

Статья 6 GDPR гласит, что согласие субъекта данных должно быть дано в отношении «одной или нескольких конкретных» целей и что субъект данных имеет выбор в отношении каждой из них. Это ясно: конкретные цели. Наряду со всеми обязанностями в отношении информации, несколько прав субъектов данных после получения согласия используются в качестве законного основания для обработки и, что гораздо важнее, не всегда идеальный выбор, мягко говоря.Однако GDPR и его несколько юридических оснований для законной обработки не похожи на меню. Правило таково и остается тем, что для целей всех операций по обработке персональных данных выбирается наиболее подходящее правовое основание для каждой цели / деятельности.

2. Договорная необходимость как законное основание для обработки

Вторым правовым основанием для законной обработки, упомянутым в статье 6 GDPR, является необходимость обработки персональных данных для контракта.

Физическое лицо или субъект данных является стороной в контракте или должно предпринять шаги для заключения контракта по его или ее запросу, и для заключения контракта или выполнения контракта необходимо и согласовано, что обработка персональных данных происходит в рамках этого договора. Это не новость по сравнению с Директивой, замененной GDPR.

GDPR Recital 40 упоминает «выполнение договора, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора» как законное основание для законной обработки и GDPR Recital 44 просто говорится, что обработка должна быть законной, если это необходимо в контексте контракта или намерения заключить контракт.

Каждый договор по определению означает обработку персональных данных. Вы не можете вступать в какие-либо договорные отношения без предоставления личных данных и идентификаторов, в зависимости от характера договора. По крайней мере, это касается контактной информации, в определенных типах договоров, таких как договор страхования, требуется гораздо больше. Лучше не растягивать определение контракта слишком далеко, например, чтобы избежать необходимости использовать согласие. В конце концов, все можно рассматривать как контракт, и будут случаи, когда контролеры будут использовать слишком широкий подход, чтобы они могли использовать контракт в качестве основы для законной обработки.

На этом же сайте мы могли бы, например, написать длинный текст условий и положений, в котором говорится, что посещение нас устанавливает договор, по которому мы имеем право обрабатывать то или это. Не пытайтесь: данные, необходимые для заключения или выполнения контракта, действительно должны быть предоставлены в рамках контракта и предлагаемых услуг.

Когда дело доходит до контрактов, обратите внимание на конкретные правила, применимые к конкретным отраслям или должностным обязанностям. Трудовой договор — это не просьба о жилищном кредите, не дополнительная медицинская страховка, ну, список можно продолжить.

3. Законная обработка на основании юридических обязательств

Третьим правовым основанием для законной обработки является соблюдение юридических обязательств.

Если у контролера есть юридическая обязанность, для которой необходимо обработать определенные персональные данные, то обработка разрешена. Это соблюдение юридического обязательства, для которого требуется обработка и которому подчиняется контролер, также не ново.

Однако и здесь действуют особые правила.Что изменилось по сравнению с предшественником Общего регламента защиты данных, так это то, что в Recital 45 говорится, что «если обработка выполняется в соответствии с юридическим обязательством, которому подчиняется контролер, или когда обработка необходима для выполнения выполняемой задачи. в общественных интересах или при исполнении официальных полномочий обработка должна быть основана на законодательстве Союза или государства-члена ». Ограничение законодательством ЕС или законов государств-членов ЕС влечет за собой последствия.

4. Жизненные интересы и законная обработка персональных данных

Защита «жизненно важных интересов» физического лица является четвертым основанием для законной обработки.

В этом случае физическое лицо не обязательно должно быть субъектом данных, им также может быть другое физическое лицо. Конечно, контролер не должен определять, в чем заключается жизненный интерес. Мы действительно говорим об опасных для жизни обстоятельствах здесь, когда нет другого законного основания для обработки, но когда отказ от обработки персональных данных по существу будет означать, что кто-то умрет, если вы не примете меры, и поэтому вам нужно знать несколько вещей о естественных условиях. человек, который находится в опасности.

Если произошел серьезный несчастный случай, вам стоит попытаться узнать кое-что из истории болезни жертвы, например, аллергию на определенные лекарства, GDPR или нет.

Кроме того, некоторые типы обработки персональных данных в таких случаях могут не только служить жизненно важным интересам субъекта данных или другой естественной цели, но также служить общественным интересам , например, в случае стихийных бедствий, эпидемий и т. Д., Как гласит GDPR Recital 46. . И это подводит нас к следующему правовому основанию для законной обработки: причинам общественного интереса как такового.

5. Общественный интерес как основание для законной обработки

Общественный интерес как основа для законной обработки описан в статье 6 GDPR следующим образом: «обработка необходима для выполнения задачи, выполняемой в общественных интересах или при исполнении официальных полномочий, возложенных на контролера».

Это почти то же самое, что и в Директиве о защите данных, и на нелегальном языке просто означает, что этот общественный интерес остается основанием для обработки с общественным интересом, означающим, среди прочего, выполнение нескольких возможных общественных задач (e.g обязательства в отношении НДС и налогов) , задачи, которые вы выполняете как государственный орган и которые требуют обработки личных данных в соответствии с юридическими обязательствами, и другие операции по обработке данных, которые рассматриваются как представляющие общественный интерес, такие как научные исследования, общественное здравоохранение и больше.

Из GDPR Recital 45: «Законодательство Союза или государства-члена также должно определять, должен ли контролер, выполняющий задачу, выполняемую в общественных интересах или при осуществлении официальных полномочий, быть государственным органом или другим физическим или юридическим лицом, управляемым публичным правом или, если это отвечает общественным интересам, в том числе в целях здравоохранения, таких как общественное здравоохранение и социальная защита и управление медицинскими услугами, частным правом, например, профессиональной ассоциацией ».

6. Законные интересы как правовое основание для обработки

Последнее из шести оснований, служащих законным основанием для обработки персональных данных в первом абзаце статьи 6 GDPR, является часто упоминаемой категорией «законных интересов».

Законные интересы уже существовали в качестве законной основы для обработки персональных данных в Директиве, но GDPR добавляет к ней в форме оговорок, когда она НЕ применяется. В статье 6 говорится, что обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной.Первое исключение, которое существовало раньше, — это когда законные интересы перекрываются интересами или основными правами и свободами субъекта данных (конечно, включая основные права субъекта данных в соответствии с GDPR) . Что касается последнего, GDPR, в отличие от Директивы, явно фокусируется на случае, когда субъектом данных является ребенок и всегда требуется разрешение родителей. Кроме того, в GDPR прямо говорится, что правовое основание законного интереса не распространяется на обработку персональных данных государственными органами при выполнении ими своих задач.

Отчеты 47 и 48 GDPR дают несколько примеров законных интересов (хотя их основная цель — подчеркнуть, какие права, свободы и т. Д. Преобладают над законными интересами) .

Одним из таких примеров законного интереса может быть ситуация, когда «между субъектом данных и контролером существуют соответствующие и подходящие отношения в таких ситуациях, как если субъект данных является клиентом или находится на службе у контролера».
Другой пример: обработка персональных данных, строго необходимая для предотвращения мошенничества, также представляет собой законный интерес.
GDPR Recital 47 также заявляет, что обработка персональных данных в целях прямого маркетинга может рассматриваться как осуществляемая в законных интересах.
В других Ситуациях упоминаются другие законные интересы, от сетевой и информационной безопасности до внутренней работы в группе предприятий.

Главное, что нужно помнить о законных интересах, — это то, что эти интересы должны быть сбалансированы и сопоставлены с правами и рисками субъектов данных.Они должны быть соразмерными, четко объясненными, более чем экономическими по своему характеру и, конечно, требовать обработки. С дополнительными положениями, касающимися детей, и множеством элементов, которые необходимо учитывать, когда контролер взвешивает законные интересы и их множество, это не самое простое из фундаментальных правовых оснований для законной обработки.

Дополнительные факты о законном оформлении

Очевидно, что, как упоминалось ранее, существует гораздо больше возможностей для обработки особых типов и категорий персональных данных.

Существуют также специальные правила в отношении данных, касающихся обвинительных приговоров и правонарушений, и государства-члены могут более точно определять требования к обработке, а также могут определять другие меры для удаленной и законной обработки, среди прочего, в рамках положений, касающихся конкретных ситуаций обработки, которые являются рассматривается в главе IX текста GDPR.

Убедитесь, что вы тщательно перечислили свою деятельность по обработке данных и нашли наиболее подходящую законную основу для обработки персональных данных, которая на практике требует большего, чем этот обзор, особенно для особых категорий персональных данных и организаций (контроллеры и процессоры) в очень конкретных отрасли, такие как здравоохранение, и даже группы, такие как религиозные организации, к которым применяются дополнительные или особые правила.

Верхнее изображение: Shutterstock — Авторские права: Billion Photos — Векторы в графическом виде: Shutterstock — Авторские права: Марина Шевченко –Все остальные изображения являются собственностью их соответствующих владельцев. Несмотря на то, что содержание этой статьи тщательно проверено, мы не несем ответственности за возможные ошибки и советуем вам обратиться за помощью в подготовке к соблюдению GDPR ЕС.

Когда уместно согласие? | ICO

Подробнее

Всегда ли нам нужно согласие?

Короче нет.Согласие является одним из законных оснований для обработки, но есть еще пять других. Согласие не всегда бывает самым уместным или самым простым.

Вы всегда должны выбирать законную основу, которая наиболее точно отражает истинный характер ваших отношений с человеком и цель обработки. Если согласие затруднено, это часто связано с тем, что другое законное основание является более подходящим, поэтому вам следует рассмотреть альтернативы. См. Раздел «Каковы альтернативы согласию?».

Точно так же явное согласие — это один из способов узаконить обработку персональных данных особой категории, но не единственный.В статье 9 (2) перечислены девять других условий (дополненных приложением 1 Закона о защите данных 2018 г.). Альтернативные условия обработки данных специальной категории, как правило, более строгие и адаптированы к конкретным ситуациям, но вы все равно должны сначала проверить, применимы ли какие-либо из них.

Когда мы должны получить согласие?

Вам, вероятно, потребуется рассмотреть вопрос о согласии, когда явно не применимо иное законное основание. Например, это может произойти, если вы хотите использовать или поделиться чьими-либо данными особенно неожиданным или потенциально навязчивым способом или способом, несовместимым с вашей первоначальной целью.

Если вы используете данные особой категории, вам может потребоваться получить явное согласие для узаконивания обработки, если не применяется одно из других особых условий в статье 9 (2). Обратите внимание, что некоторые другие условия по-прежнему требуют, чтобы вы сначала рассмотрели согласие или получили согласие на некоторые элементы вашей обработки. Например, если вы некоммерческая организация и решите полагаться на Статью 9 (2) (d), вам все равно потребуется явное согласие на раскрытие данных любым сторонним контролерам.

Вам также может потребоваться согласие в соответствии с законами об электронной конфиденциальности для многих типов маркетинговых звонков и маркетинговых сообщений, файлов cookie веб-сайтов или других методов онлайн-отслеживания, а также для установки приложений или другого программного обеспечения на устройства людей. Эти правила в настоящее время содержатся в Положениях о конфиденциальности и электронных коммуникациях 2003 года (PECR), они применяют определение согласия GDPR. Обратите внимание: если ePR будет принят, мы подготовим дальнейшие инструкции.

Если вам необходимо согласие в соответствии с законами об электронной конфиденциальности для отправки маркетингового сообщения, то на практике согласие также является надлежащим законным основанием в соответствии с GDPR Великобритании. Если законы об электронной конфиденциальности не требуют согласия на маркетинг, вы можете вместо этого учитывать законные интересы.

Если вам нужно согласие на размещение файлов cookie, это должно соответствовать стандарту GDPR Великобритании. Тем не менее, вы все равно можете рассмотреть альтернативное законное основание, такое как законные интересы, для любой связанной обработки персональных данных.

При каких еще обстоятельствах согласие может быть уместным?

Согласие, вероятно, будет наиболее подходящим законным основанием для обработки (или подходящим шлюзом с помощью других соответствующих положений), если вы хотите предоставить отдельным лицам реальный выбор и контроль над тем, как вы используете их данные.В частности, вы можете рассмотреть возможность использования согласия, чтобы повысить уровень их взаимодействия с вашей организацией и побудить их доверять вам более полезные данные.

Однако то, является ли согласие уместным и действительным, всегда будет зависеть от конкретных обстоятельств.

См. Также «Каковы преимущества правильного получения согласия?»

Когда уместно использовать согласие для данных специальной категории?

Если вы хотите обрабатывать данные особой категории, вы должны указать как законное основание в соответствии со статьей 6, так и отдельное условие для обработки данных особой категории в соответствии со статьей 9, дополненное Приложением 1 Закона о защите данных 2018.

Первым условием, перечисленным в статье 9, является «явное согласие». Однако это не означает, что это всегда лучшее или наиболее подходящее состояние. Вы всегда должны учитывать, подходят ли какие-либо другие условия для конкретной ситуации.

Ваш выбор законного основания в соответствии со статьей 6 не обязательно определяет, какое условие статьи 9 вы должны применить. Даже если вы не полагались на согласие в качестве законного основания для обработки, вы все равно можете рассматривать «явное согласие» как условие статьи 9 для любых данных специальной категории. Однако вы должны помнить, что явное согласие должно соответствовать стандарту GDPR Великобритании для получения действительного согласия и может быть отозвано в любое время.

Подробнее о том, что считается «явным» согласием, см. В разделе «Что такое действительное согласие?».

Если вам необходимо обработать данные особой категории, чтобы предоставить услугу, запрошенную физическим лицом, наиболее подходящее законное основание, вероятно, будет «необходимо для заключения контракта». Но явное согласие может быть доступно в качестве вашего условия для обработки необходимых данных специальной категории.Однако вы должны быть уверены, что можете продемонстрировать, что согласие по-прежнему дается свободно, в частности, что обработка действительно необходима для службы.

Пример

Человек записывается на занятия йогой для беременных. Инструктор будет обрабатывать данные, касающиеся их здоровья (то есть факт их беременности вместе с любой информацией о сроках родов), и поэтому ему необходимы как законное основание, так и условие для обработки данных специальной категории.

Поскольку инструктор должен обработать эти данные для проведения занятия йогой, подходящим законным основанием, вероятно, будет «выполнение контракта».

Хотя человек не может записаться на занятия без раскрытия информации о своей беременности, явное согласие, вероятно, будет подходящим условием для обработки данных о состоянии здоровья. Обработка объективно необходима для предоставления запрошенного класса, и у человека есть свободный выбор, подписываться или нет на этот класс.

Дополнительная литература — Руководство по ICO

Последние рекомендации по условиям обработки данных особых категорий см. На странице «Данные особых категорий» нашего Руководства по GDPR в Великобритании.

Дополнительная литература — Европейский совет по защите данных

Европейский совет по защите данных (EDPB) состоит из представителей органов по защите данных каждого государства-члена ЕС. Он принимает рекомендации по соблюдению требований GDPR. Руководящие принципы EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании. Однако они могут по-прежнему давать полезные советы по определенным вопросам.

EDPB выпустила Руководство по согласию.

Когда согласие неприемлемо?

Отсюда следует, что если по какой-либо причине вы не можете предложить людям реальный выбор в отношении того, как вы используете их данные, согласие не будет подходящим основанием для обработки. Это может иметь место, например, если:

вы все равно будете обрабатывать данные на другом законном основании, если в согласии будет отказано или отозвано;
вы запрашиваете «согласие» на обработку в качестве предварительного условия для доступа к вашим услугам; или
у вас есть власть над отдельным лицом — например, если вы являетесь государственным органом или работодателем, обрабатывающим данные о сотрудниках.

Вы все равно будете обрабатывать данные без согласия

Если вы все равно будете обрабатывать персональные данные на другом законном основании, даже если в согласии было отказано или отозвано, то получение согласия от лица вводит в заблуждение и по своей сути несправедливо. Он представляет человеку ложный выбор и только иллюзию контроля. Вы должны с самого начала определить наиболее подходящую законную основу.

Пример

Компания, предоставляющая кредитные карты, просит своих клиентов дать согласие на отправку их личных данных в кредитные справочные агентства для оценки кредитоспособности.

Однако, если клиент откажется или отзовет свое согласие, компания-эмитент кредитной карты все равно отправит данные в справочные агентства на основе «законных интересов». Поэтому просьба о согласии вводит в заблуждение и неуместно — реального выбора нет. Компании с самого начала следовало полагаться на «законные интересы». Чтобы обеспечить справедливость и прозрачность, компания все равно должна сообщать клиентам, что это произойдет, но это сильно отличается от предоставления им выбора с точки зрения защиты данных.

Перед обработкой персональных данных вам необходимо хорошо подумать, потребуется ли вам сохранить какие-либо данные для каких-либо других целей, если физическое лицо отзовет свое согласие. Например, вам может потребоваться сохранить его в соответствии с юридическим обязательством или для целей аудита. Если это так, вы должны с самого начала четко и заранее заявить, какова ваша цель и законное основание для сохранения этих данных после отзыва согласия.

«Согласие» является условием оказания услуги

Если вы требуете, чтобы кто-то дал согласие на обработку в качестве условия обслуживания, согласие вряд ли будет наиболее подходящим законным основанием для обработки.В некоторых случаях это даже не считается действительным согласием.

Вместо этого, если вы считаете, что обработка необходима для услуги, более подходящее правовое основание, вероятно, будет «необходимым для выполнения контракта» в соответствии со статьей 6 (1) (b). Скорее всего, вам нужно будет полагаться на согласие только в том случае, если это требуется в соответствии с другим положением, например, для некоторого электронного маркетинга в соответствии с PECR.

Если обработка данных особой категории действительно необходима для предоставления услуги физическому лицу, вы все равно можете рассчитывать на явное согласие в качестве вашего условия для обработки данных особой категории, если не применяются другие условия статьи 9. См. Раздел Когда уместно использовать согласие для данных специальной категории?

Может оказаться, что обработка является условием обслуживания, но на самом деле не является необходимой для этой услуги. В таком случае согласие не просто неприемлемо в качестве законного основания, но и считается недействительным, поскольку оно не дается добровольно. В этих обстоятельствах вы можете рассмотреть вопрос о том, подходят ли «законные интересы» в соответствии со статьей 6 (1) (f) в качестве вашего законного основания для обработки. В этом случае вы не можете полагаться на явное согласие на данные какой-либо специальной категории, и вам нужно искать другое условие статьи 9.

Пример

Кафе решает предоставить своим клиентам бесплатный Wi-Fi. Чтобы получить доступ к Wi-Fi, клиент должен указать свое имя, адрес электронной почты и номер мобильного телефона, а затем согласиться с условиями использования кафе.

В условиях указано, что, предоставляя свои контактные данные, покупатель дает согласие на получение маркетинговых сообщений от кафе. Таким образом, кафе дает согласие на отправку прямого маркетинга в качестве условия доступа к услуге.

Однако сбор данных об их клиентах для целей прямого маркетинга не является необходимым для предоставления Wi-Fi. Следовательно, это недействительное согласие.

Подробнее о том, когда согласие дается свободно, см. В разделе «Что такое действительное согласие?».

Вы находитесь у власти

Согласие обычно неуместно, если существует явный дисбаланс сил между вами и человеком. Это связано с тем, что те, кто зависит от ваших услуг или опасается неблагоприятных последствий, могут подумать, что у них нет другого выбора, кроме как согласиться, поэтому согласие не считается предоставленным добровольно.Это будет особая проблема для государственных органов и работодателей.

Пример

Компания просит своих сотрудников дать согласие на мониторинг на работе. Однако, поскольку средства к существованию сотрудников зависят от компании, они могут чувствовать себя вынужденными согласиться, поскольку не хотят рисковать своей работой или не хотят, чтобы их считали трудными или им есть что скрывать.

Пример

Жилищной ассоциации необходимо собирать информацию о предыдущих судимостях арендаторов и потенциальных арендаторов в целях оценки рисков при распределении собственности и организации посещений на дому.Однако неуместно запрашивать согласие на это в качестве условия аренды. Арендатор, подающий заявку на социальное жилье, может находиться в уязвимом положении и может не иметь многих других вариантов жилья. Таким образом, у них может не быть реального выбора, кроме как подписаться на условиях жилищной ассоциации. Даже если обработка необходима для обеспечения размещения, их согласие не считается предоставленным свободно из-за несбалансированности полномочий.

Если вы являетесь государственным органом или обрабатываете данные сотрудников, или занимаетесь каким-либо другим положением, контролирующим физическое лицо, вам следует искать другую основу для обработки, такую как «общественная задача» или «законные интересы».

Однако государственным органам и работодателям не запрещается использовать согласие в качестве законного основания. Даже если вы находитесь у власти, могут возникнуть ситуации, когда вы все равно сможете показать, что согласие дано свободно.

Пример

Местный совет управляет несколькими фитнес-центрами. Он хочет узнать, что люди думают об объектах, чтобы решить, на чем сосредоточить улучшения. Он решает разослать анкету по электронной почте лицам, имеющим членство в фитнесе, чтобы спросить их об удобствах.

Решение о том, принимать ли участие в опросе, является полностью необязательным, и, учитывая характер взаимоотношений и опроса, нет реального риска неблагоприятных последствий в случае отсутствия ответа. Совет может полагаться на согласие на обработку ответов.

Пример

Работодатель решает сделать видеоролик о найме на своем веб-сайте. Он проинструктировал некоторых профессиональных актеров, но дает персоналу возможность добровольно принять участие в ролике.Работодатель дает понять, что никаких требований к участию сотрудников не требуется, и участие не будет приниматься во внимание при оценке результатов работы.

Поскольку участие не является обязательным и нет никаких неблагоприятных последствий для тех, кто не хочет принимать участие, работодатель может рассмотреть вопрос о согласии.

Однако вам необходимо внимательно изучить конкретные обстоятельства и быть уверенным в том, что вы сможете продемонстрировать, что у человека действительно есть свободный выбор дать согласие или отказаться от него.Возможно, вам придется предпринять шаги, чтобы убедиться, что человек не чувствует давления, чтобы дать согласие, и развеять любые опасения по поводу последствий отказа в согласии.

Пример

Человек получает диагноз рака от своего врача. Врач объясняет, что благотворительная организация по борьбе с раком может получить помощь и поддержку, и они могут передать данные о человеке благотворительной организации, если он пожелает.

На первый взгляд, наблюдается явный дисбаланс сил, когда человек нездоров и обращается к квалифицированному специалисту с обширными медицинскими знаниями, который отвечает за его лечение. Если врач предлагает им обратиться в благотворительную организацию или что это стандартная практика, проблема дисбаланса сил вступит в игру, поскольку человек может почувствовать, что они должны согласиться. Они также могут опасаться, что им не предложат так много вариантов лечения или что на их лечение каким-то образом повлияет их несогласие.

Однако, если врач позаботится о том, чтобы предложение о помощи было нейтральным и пояснило, что это отдельная и совершенно необязательная услуга, не влияющая на план лечения, тогда контролер может продемонстрировать, что согласие дано свободно. .

Врач также должен удостовериться, что согласие является конкретным, информированным, дано четким положительным действием и должным образом задокументировано. В частности, им необходимо четко указать благотворительную организацию, объяснить, какими данными они будут делиться с благотворительной организацией, и четко указать, для чего они будут использоваться.

Подробнее о том, когда согласие дается свободно, см. В разделе «Что такое действительное согласие?».

Другое ненадлежащее использование согласия

Будьте очень осторожны при использовании других ранее существовавших концепций согласия вне контекста, поскольку они не всегда могут быть подходящими для целей защиты данных.

Даже если к вам предъявляются отдельные юридические или этические требования для получения «согласия» на какие-либо действия, это не означает, что вы автоматически имеете или должны иметь действующее согласие GDPR Великобритании на любую связанную обработку персональных данных. В некоторых случаях стандарт согласия может сильно отличаться. По-прежнему важно тщательно рассмотреть ваши законные основания.

Если вы намереваетесь полагаться на согласие в качестве законного основания, всегда проверяйте, что согласие также соответствует стандарту GDPR Великобритании, а не просто предполагать, что оно применимо.В частности, подразумеваемое согласие часто не подходит в качестве законного основания для обработки в соответствии с GDPR Великобритании.

Пример

В секторе здравоохранения данные о пациентах хранятся в секрете. Поставщики медицинских услуг обычно действуют на основе подразумеваемого согласия на передачу данных о пациентах в целях оказания непосредственной помощи без нарушения конфиденциальности.

Подразумеваемое согласие на оказание прямой помощи в данном контексте является отраслевой практикой. Но это «подразумеваемое согласие» на передачу конфиденциальных историй болезни — это не то же самое, что согласие на обработку персональных данных в контексте законной основы в соответствии с GDPR Великобритании.

В контексте здравоохранения согласие часто не является надлежащим законным основанием в соответствии с GPDR. Этот тип предполагаемого подразумеваемого согласия не будет соответствовать стандарту четкого позитивного действия или квалифицироваться как явное согласие для данных специальной категории, которые включают данные о здоровье. Вместо этого поставщики медицинских услуг должны указать другое законное основание (например, жизненно важные интересы, общественную задачу или законные интересы). Что касается более строгих правил в отношении данных специальной категории, статья 9 (2) (h) конкретно узаконивает обработку данных в медицинских или социальных целях.

Даже если от вас требуется получить согласие пациента на лечение, это полностью отделено от ваших обязательств по защите данных. Это не означает, что вы должны полагаться на согласие на обработку персональных данных пациента.

Как правило, всякий раз, когда у вас возникают трудности с соблюдением стандарта согласия, это предупреждающий знак о том, что согласие может быть не самым подходящим основанием для вашей обработки. Поэтому рекомендуем поискать другую основу.

Дополнительная литература — Европейский совет по защите данных

EDPB выпустила Руководство по согласию.

Какие есть альтернативы согласию?

Если вы ищете другое законное основание, оно изложено в статье 6 (1). Таким образом, вы можете обрабатывать личные данные без согласия, если это необходимо для:

Договор с физическим лицом : например, на поставку товаров или услуг, которые они запросили, или для выполнения ваших обязательств по трудовому договору. Это также включает шаги, предпринятые по их запросу до заключения контракта.

Соответствие юридическим обязательствам : вы можете это сделать, если в соответствии с законодательством Великобритании или ЕС вы должны обрабатывать данные для определенной цели.

Жизненно важные интересы : вы можете обрабатывать личные данные, если это необходимо для защиты чьей-либо жизни. Это может быть жизнь субъекта данных или кого-то еще.

Общедоступная задача : если вам нужно обрабатывать личные данные для выполнения ваших официальных функций или задачи в общественных интересах — и у вас есть правовая основа для обработки в соответствии с законодательством Великобритании — вы можете.Если вы являетесь государственным органом Великобритании, мы считаем, что это может дать вам законное основание для многих, если не всех ваших действий.

Законные интересы : вы можете обрабатывать личные данные без согласия, если вам нужно сделать это по подлинной и законной причине (включая коммерческую выгоду), если только это не перевешивается правами и интересами человека. Обратите внимание, однако, что государственные органы ограничены в своих возможностях использовать эту основу.

Организации частного или третьего сектора часто смогут рассмотреть основание «законных интересов» в статье 6 (1) (f), если им сложно выполнить стандарт согласия и не применимо другое конкретное основание.Это означает признание того, что у вас может быть веская причина для обработки чьих-либо личных данных без их согласия, но вы должны избегать того, чего они не ожидают, убедитесь, что нет неоправданного воздействия на них, и что вы по-прежнему честны, прозрачны и подотчетны.

Если вы являетесь государственным органом и можете продемонстрировать, что обработка предназначена для выполнения ваших официальных функций в соответствии с законодательством Великобритании, то, скорее всего, будет более подходящим принцип «общественной задачи». В противном случае вы все равно можете учитывать законные интересы или одну из других оснований.Как всегда, вы должны быть честными, прозрачными и подотчетными.

Если вы ищете другие условия для обработки данных специальной категории, они изложены в статье 9 (2) (дополненной Законом о защите данных 2018 г.). Они более ограничены и конкретны и, например, включают положения, касающиеся трудового законодательства, здравоохранения и социального обеспечения, а также исследований. См. Наше руководство по данным специальных категорий для получения дополнительной информации.

Руководство по GDPR Великобритании также содержит дополнительные инструкции по правилам ограниченной обработки, автоматического принятия решений (включая профилирование) и переводов за границу.

Помните, что даже если вы не запрашиваете согласия, вам все равно необходимо предоставить четкую и полную информацию о том, как вы используете личные данные для соблюдения права на получение информации.

Согласие на обработку персональных данных

Настоящим я предоставляю LIGS University LLC, номер файла: 89080 C5, зарегистрированный офис по адресу: 810 Richards Street, Suite 836, Honolulu, Hawaii 96813, USA (далее именуется только как « LIGS University ») мое согласие на обработку персональных данных в соответствии с условиями, указанными ниже.Персональные данные обрабатываются в том объеме, в котором они были предоставлены мной LIGS University , то есть в рамках регистрационных форм на веб-сайтах: www.ligsuniversity.cz , www.ligsuniversity.com , www. ligsuniversity.sk, www.onlinembastudies.com, www.onlinebastudies.com и www.onlinephdstudies.com (все они в дальнейшем будут именоваться только « веб-сайт »), а также в объеме данных и информации, полученных в рамках рамки моего использования веб-сайта . Если я участвую в мероприятиях, проводимых LIGS University , я также даю свое согласие на обработку дополнительных личных данных, которые были раскрыты в регистрационной форме для этого мероприятия, даже после его завершения. В частности, это касается моего имени, фамилии, пола, даты рождения, контактных данных или электронных данных о моем IP-адресе и файлах cookie (далее именуемые только « Персональные данные »).

Правовые основания для обработки Персональных данных изложены в этой форме согласия.На основании этого согласия LIGS University имеет право обрабатывать Персональные данные с целью обеспечения надлежащего выполнения: маркетинговой деятельности, создания опросов и коммерческой статистики, касающихся поведения, отправки коммерческих сообщений (включая отправку коммерческих сообщений в электронном виде) , рассылка приглашений на мероприятия, организованные LIGS University , предоставление специальной и маркетинговой информации, включая любые средства связи, в частности, через веб-сайт, по электронной почте, по телефону или по почте.

Я также разрешаю LIGS University выполнять профилирование на основе Персональных данных и обрабатывать Персональные данные с использованием автоматизированных процедур. Это означает, что во время использования процедур, упомянутых выше, Персональные данные могут обрабатываться автоматически таким образом, чтобы предоставлять пользователям преимущества и предложения, соответствующие их предпочтениям и интересам в соответствии с их установленным поведением. В результате автоматизированного принятия решений отдельные пользователи могут получать различные преимущества и предложения, или же предоставленные конкретные предложения и преимущества могут быть доступны только избранным пользователям.

Третьи лица не имеют доступа к Персональным данным без моего дополнительного согласия или с учетом юридических обязательств.

Я даю это согласие на 5 лет или до момента отзыва этого согласия и на период, который является существенным после его отзыва, действие, которое я имею право выполнить в любое время. Отзыв согласия не влияет на законность обработки, проистекающей из этого согласия, которое было бы дано до его отзыва. Отзыв согласия также не влияет на обработку Персональных данных, которые LIGS University обрабатывает на других юридических основаниях, кроме случаев, когда согласие требуется (т.e., в частности, обработка, которая необходима для выполнения контракта, выполнения юридических обязательств или по другим основаниям, указанным в действующем законодательстве).

Принципы защиты персональных данных

LIGS University LLC

Последнее обновление: май 2018 г.

Эти принципы защиты персональных данных содержат информацию о том, какие элементы ваших персональных данных мы собираем, как мы используем ваши данные , как он публикуется и как мы его защищаем.

КТО ОБРАБАТЫВАЕТ ВАШИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ:

Администратором ваших личных данных является LIGS University LLC , номер файла: 89080 C5, зарегистрированный офис по адресу: 810 Richards Street, Suite 836, Гонолулу, Гавайи 96813, США, в лице президента д-ра Павла Маковского (« Администратор »)

КОНТАКТНЫЕ ДАННЫЕ:

Пожалуйста, обращайтесь к нам со своими предложениями или жалобами по следующему адресу электронной почты: dataprotection @ ligsuniversity.com

КАКИЕ ЭЛЕМЕНТЫ ВАШИХ ПЕРСОНАЛЬНЫХ ДАННЫХ МЫ МОЖЕМ ОБРАБОТАТЬ:

Мы обрабатываем только те личные данные, которые вы предоставляете нам в связи с использованием наших услуг, отправкой коммерческих сообщений и заключенных нами договоров.

Это чаще всего касается:

Имя и фамилия
Дата рождения
Номер телефона
Электронная почта
IP-адрес
MAC-адрес

Если вы заключили с нами договор, мы обычно обрабатываем следующие личные данные:

Адрес постоянного проживания
Семейное положение
Номер счета
Идентификационный номер компании (в случае самозанятых)
Персональный идентификационный номер *
Место рождения
Государственная фотография ID (номер личного удостоверения личности / копия удостоверения личности / карта инвалидности) *
Гражданство
Образование
Занятость, должность

ПЕРИОД, В КОТОРОЙ МЫ ОБРАБАТЫВАЕМ ВАШИ ЛИЧНЫЕ ДАННЫЕ

обрабатывать ваши данные в течение всего срока договорных отношений между нами, а затем на основании o f согласие, которое вы дали на неопределенный срок или до тех пор, пока вы не отзовете свое согласие.

Вы можете найти запрос на удаление ваших Персональных данных здесь .

Вы можете отозвать свое согласие на обработку персональных данных в любое время. Отзыв согласия, однако, не влияет на законность обработки ваших личных данных на основании вашего предварительного согласия, данного до его отзыва. Вы можете отозвать свое согласие в любое время в письменной форме, отправив электронное письмо или письмо на вышеупомянутый контактный адрес нашего представителя, без каких-либо дополнительных затрат и последствий для существующих или будущих договорных отношений между Администратором и нами.В этом случае мы прекратим все действия по обработке.

Мы обрабатываем некоторые персональные данные, которые необходимы для надлежащего выполнения контрактов, независимо от вашего согласия, в течение необходимого периода времени (например, включая любой период подачи претензий, который мог быть предоставлен). Это также относится к выполнению обязательств, вытекающих для нас из общеобязательного законодательства, когда мы должны обрабатывать некоторые из ваших личных данных в течение периода, определенного таким законодательством или в соответствии с ним, даже после того, как вы, возможно, отозвали свое согласие. .

ДРУГИЕ ВАШИ ПРАВА

В отношении ваших личных данных вы, в частности:

имеете право отозвать свое согласие в любое время;
вправе исправлять или дополнять личные данные;
имеет право запросить ограничение обработки;
имеет право возражать или подавать жалобу на обработку в некоторых случаях;
имеет право запрашивать переносимость данных;
имеет право на доступ к личным данным;
имеет право получать информацию о нарушениях безопасности персональных данных в определенных случаях;
право на удаление ваших личных данных (право на «забвение») в определенных случаях; и
право на другое.

ПРОЦЕССОРЫ И ПОЛУЧАТЕЛИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Ваши личные данные обрабатываются непосредственно Администратором или Обработчиком, который также должен предоставить достаточные и надежные гарантии в отношении технических и организационных мер, используемых для защиты ваших личных данных. Обработка ваших персональных данных осуществляется в технически и физически защищенных электронных информационных системах.

ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ СТРАНАМ

Мы не намерены передавать ваши личные данные третьим странам или международным организациям.

Однако при определенных условиях ваши личные данные могут быть предоставлены государственным органам (судам, полиции, нотариусам, налоговым службам и т. Д., В рамках осуществления их юридических полномочий), или мы можем их предоставить. напрямую другим лицам в объеме, определенном конкретным законодательством.

АВТОМАТИЧЕСКОЕ ПРИНЯТИЕ РЕШЕНИЙ

Мы не используем ваши персональные данные для принятия решений исключительно на основе автоматизированной обработки или профилирования.

КОНТАКТНЫЕ ЛИЦА АДМИНИСТРАТОРА

В случае каких-либо предложений, запросов или если что-то неясно в отношении обработки ваших личных данных, включая жалобы, вы можете связаться с Администратором, в частности с представителем для обработки предложений и жалобы субъектов данных, как указано выше.

* Собранные персональные данные будут использоваться для целей, указанных в формах / документах заявлений, и послужат основой для критериев приема и отбора, присуждения вступительных допусков и стипендий, а также общения по вопросам, связанным с приемом; Персональные данные будут использоваться в качестве доказательства для проверки личности студента, его квалификации и академической успеваемости, а также другой информации, содержащейся в формах / документах заявлений; и для выявления возможных множественных приложений и записей о предыдущих и существующих исследованиях в университете и других учреждениях, а также для идентификации студентов.
Если студент зачислен в Университет, личные данные, предоставленные в процессе подачи заявления, будут переданы в систему учета студентов Университета вместе с личными данными (включая удостоверение личности с фотографией), предоставленными во время регистрации, чтобы стать частью официальных учетных записей студентов. .
Персональные данные будут храниться в тайне и обрабатываться только уполномоченными сотрудниками Университета. Университет может передавать личные данные внешнему агенту для вышеуказанных функций и целей, таких как обработка студенческой визы, организация деятельности (включая, помимо прочего, обмены, стажировки, стажировки и производственные поездки), а также предоставление стипендий и финансовая помощь, и когда это требуется по закону.
Персональные данные в LIGS University предоставляются для заполнения заявки на зачисление и, если допущены, через процедуры регистрации и во время обучения в университете. Персональные данные будут использоваться Университетом для выполнения своих административных, образовательных, академических и исследовательских функций, а также для непосредственно связанных целей.
Предоставление персональных данных является добровольным. Однако непредоставление соответствующих персональных данных сделает Университет неспособным выполнять соответствующие функции, e.грамм. неспособность рассматривать заявление студента о приеме, регистрации и зачислении на программы.
Персональные данные будут надежно храниться у Регистратора для всех нынешних студентов и в течение пяти лет после выпуска. Кроме того, личные данные студента будут заархивированы. В обоих случаях контроль будет осуществляться Регистратором в соответствии с Политикой конфиденциальности Университета.

LIGS University LLC

Согласие и несовершеннолетние

Каково положение несовершеннолетних в соответствии с GDPR и как регулируется вопрос согласия? Об этом говорит Евгений Моякин в своей статье.

Теперь мы должны сосредоточиться на двух важных аспектах, касающихся вопроса согласия и положения несовершеннолетних с точки зрения GDPR. Согласно статье 6 (1) (a) GDPR, обработка персональных данных считается законной, если субъекты данных предоставляют свое согласие на эту обработку для одной или нескольких конкретных целей. Таким образом, если получено согласие субъектов данных, контролеры и обработчики могут обрабатывать персональные данные физических лиц. Хотя могут существовать разные взгляды на понятие согласия, его определение можно найти в статье 4 (11) GDPR.Это указание на пожелания субъектов данных, которое дается свободно, является конкретным, информированным и недвусмысленным. Это способ, с помощью которого субъекты данных могут выразить согласие на обработку связанных с ними персональных данных, и это может быть сделано посредством заявления или четкого позитивного действия. Статья 7 GDPR определяет условия для согласия. Если субъекты данных дали свое согласие на обработку персональных данных, контролер должен иметь возможность продемонстрировать это. Для дачи согласия можно использовать письменное заявление.В этом случае, если согласие запрашивается также по другим вопросам, запрос о согласии на обработку следует отличать от этих других вопросов. Он должен быть представлен в понятной и легко доступной форме, а используемый язык должен быть ясным и легким для понимания. Например, если людей просят дать согласие на использование их собственности и дополнительно запрашивается согласие на обработку их личных данных, запрос согласия в отношении обработки должен отличаться от другого типа запроса согласия.Если требования в отношении согласия не соблюдены и часть письменного заявления о согласии нарушает GDPR, эта часть не считается обязательной. Если вы даете согласие на обработку персональных данных, это не означает, что ваши персональные данные могут бессрочно обрабатываться. Субъекты данных могут отозвать свое согласие в любое время, но обработка, происходящая до отзыва, по-прежнему считается законной. Прежде чем человек даст свое согласие, он или она должны быть проинформированы о возможности его отзыва, и отозвать согласие должно быть так же легко, как и дать его.Как определить, было ли дано согласие свободно? Среди прочего, следует обратить внимание на то, требуется ли давать согласие на выполнение контракта, например, в случае предоставления определенных услуг. Если согласие запрошено, но оно не является необходимым для этого исполнения, оно не может считаться предоставленным свободно. Кроме того, когда субъекты данных не имеют свободного выбора или не могут отказаться или отозвать свое согласие без каких-либо негативных последствий, оно не предоставляется свободно. © «Дети» от lenkafortelna через Pixabay

Согласие и несовершеннолетние

GDPR направлен на защиту всех субъектов данных в ЕС.В современную эпоху цифровых технологий и повсеместного использования социальных сетей не следует забывать о детях, их правах и интересах, поскольку они также входят в группу лиц, чьи личные данные могут обрабатываться. Дети нуждаются в особой защите своих личных данных, как указано в разделе 38 Регламента. Они не так хорошо осведомлены о своих правах и о взрослых, поэтому их права требуют достаточной защиты. В GDPR есть положения, конкретно касающиеся несовершеннолетних .Статья 8 GDPR конкретно касается вопроса предоставления согласия и детей. Когда услуги информационного общества предоставляются непосредственно ребенку, которому необходимо дать согласие, обработка личных данных ребенка может быть законной, если ребенку исполнилось 16 лет. Если ребенок младше 16 лет, обработка может считаться законной только при условии согласия и разрешения родителя или законного опекуна ребенка. Эти требования не влияют на общее договорное право государств-членов ЕС, например, на правила действительности, заключения или действия договора в отношении детей.Государства-члены ЕС могут принимать законы, устанавливающие более низкий возрастной порог для этих целей: возраст ребенка, однако, не может быть ниже 13 лет. Задача контролера — использовать все доступные технологии для проверки того, что согласие действительно дано или санкционировано родителем или законным опекуном.

Согласие — окончательная законная основа для обработки личных данных мобильными приложениями? Подумай еще раз. | Дамьян Тодоров | Golden Data

Источник: pexels.com

В условиях продолжающегося применения Регламента 2016/679 («GDPR») и увеличения количества мобильных приложений на наших мобильных устройствах, количество мобильных приложений, обрабатывающих различные личные данные, становится все более актуальной темой. По этой причине многие профессионалы в области конфиденциальности в ЕС сосредотачиваются на различных аспектах функциональности этого программного обеспечения и исследуют, в какой степени наши личные данные обрабатываются в соответствии с GDPR. Безусловно, одним из важнейших факторов, которые необходимо учитывать при внедрении GDPR и обработке персональных данных, является наличие для этого законной основы.Действующая правовая основа является основой для законной обработки персональных данных в соответствии с GDPR, и поэтому действующий критерий обработки всегда является обязательным. Кроме того, использование правильных законных оснований играет огромную роль в достижении максимальной степени соответствия GDPR. Однако в контексте мобильных приложений этот элемент реализации и соблюдения GDPR становится сложным и размытым.

Источник: Google

Согласно заявлениям специалистов по конфиденциальности, мобильные приложения обрабатывают персональные данные, прежде всего, на основании согласия.Начиная с Директивы о защите данных, согласие является первым из перечисленных критериев легитимности обработки данных. [1] Фактически, основа режима согласия восходит к Директиве о защите данных и с тех пор воспринимается как наиболее применимое условие для обработки персональных данных в соответствии с правилами защиты данных ЕС. Например, в Заключении 02/2013 о приложениях на смарт-устройствах согласие выделено как «основное применимое правовое основание» . [2] Хотя Мнение 02/2013 о приложениях на смарт-устройствах относится к Директиве о защите данных, а не к GDPR, все выводы по этому вопросу остаются полностью применимыми и адекватными, поскольку согласие подтверждается в качестве юридического основания для обработки персональных данных в соответствии с GDPR. Далее, согласно исследованию, проведенному ENISA в 2017 году под названием «Конфиденциальность и защита данных в мобильных приложениях» , согласие снова определяется как самый популярный законный критерий для обработки персональных данных.[3] Позже, в Руководстве по защите персональных данных, обрабатываемых мобильными приложениями, предоставленных учреждениями Европейского Союза Европейским надзором по защите данных с 2016 года, указывается и пересматривается только одно условие обработки — опять же согласие. [4 ] Более того, в Заключении 13/2011 об услугах геолокации на интеллектуальных мобильных устройствах четко указано, что «Учитывая чувствительность обработки (шаблонов) данных о местоположении, предварительное информированное согласие также является основным применимым основанием для создания данных. обработка является законной, когда речь идет об обработке местоположений интеллектуального мобильного устройства в контексте услуг информационного общества.” [5] Все упомянутые правовые документы отражают позицию / мнение официальных органов ЕС относительно преобладания согласия как окончательного законного основания для обработки персональных данных с точки зрения мобильных приложений. Чтобы увидеть полную картину, очень важно изучить, как разработчики мобильных приложений в действительности управляют законной обработкой персональных данных.

Источник: pexels.com

Изучение документов о политике конфиденциальности наиболее загружаемых приложений на рынке опровергает наблюдение, что согласие на самом деле является наиболее распространенной правовой основой для обработки личных данных.Например, в соответствии с Политикой конфиденциальности Instagram они обрабатывают персональные данные на всех юридических основаниях, перечисленных в статье 6 GDPR. Фактически, поскольку Facebook владеет Instagram, оба приложения используют одну и ту же Политику конфиденциальности. [6] Как указано, при обработке данных субъекта данных согласие используется « в определенных случаях ». [7] Однако Facebook действительно признает и сообщает, что основным правовым основанием для обработки персональных данных является договор между Facebook и пользователями. Еще одно известное мобильное приложение в наши дни — приложение для знакомств Tinder.Изучая Политику конфиденциальности Tinder , мы видим, что основным законным основанием для обработки персональных данных является выполнение договорных обязательств. [8] Согласие указано как вариант в случаях, когда «время от времени мы можем запрашивать ваше согласие на использование вашей информации по определенным причинам». . [9] Еще одним популярным мобильным приложением в наши дни является музыкальное приложение Spotify. Политика конфиденциальности Spotify разъясняет правовые основы, на которые опирается Spotify, чтобы законно разрешить им обрабатывать ваши личные данные.[10] Согласие применяется только в 2 из 6 целей обработки. Другими словами, Spotify считает основным критерием обработки персональных данных пользователей выполнение контракта. [11] Еще один пример — приложение для обмена сообщениями WhatsApp и его политика конфиденциальности. В нем четко указано, что WhatsApp «обрабатывает данные по мере необходимости для выполнения наших контрактов с вами». означает, что WhatsApp также использует выполнение контракта в качестве основного законного основания. [12]

Поскольку процитированные официальные документы подразумевают, что согласие является основным законным критерием для обработки личных данных мобильными приложениями, на самом деле, некоторые из основных мобильных приложений на рынке, по сути, рассчитывают на множество оснований, включая производительность договор.Кроме того, если вы найдете в Google статьи о внедрении GDPR и разработке мобильных приложений, вы увидите, что множество авторов (включая профессионалов в области конфиденциальности и разработчиков программного обеспечения) также предлагают в основном согласие в качестве панацеи. Создается впечатление, что несоответствие наблюдается, когда дело доходит до определения основного законного основания для обработки личной информации мобильными приложениями, и по умолчанию не выделяется только одно общее законное основание. Исследования показывают, что огромное количество разработчиков мобильных приложений по умолчанию делают ставку на согласие в качестве общей законной основы с точки зрения обработки персональных данных.[13] Однако, исходя из функциональности мобильного приложения и его функций, трудно определить согласие как единственное законное основание для начала действий с персональной информацией. Глобальное обоснование состоит в том, что такой общий подход подрывает основные принципы конфиденциальности и защиты данных, а также любые соответствующие усилия по соблюдению GDPR. Следовательно, приветствуется индивидуальный подход, который необходим для определения подходящего законного основания для каждой цели обработки. Каждый из критериев, перечисленных в статье 6 GDPR, имеет определенные ограничения и область применения, поэтому неразумно охватывать «по умолчанию» весь спектр целей «в целом», особенно в отношении сложных программных продуктов.Использование по умолчанию согласия в качестве общего условия обработки может поставить под угрозу основное понимание конфиденциальности и защиты данных в отношении GDPR.

Почему? В следующих параграфах будут рассмотрены многочисленные соображения, которые определяют согласие как менее благоприятное, чем общее законное основание, на которое можно полагаться в связи с мобильными приложениями.

Источник: pexels.com

Во-первых, согласно GDPR согласие должно соответствовать нескольким условиям, а именно: свободно данное, конкретное, информированное и недвусмысленное указание желаний.[14] Согласие должно быть предоставлено свободно , что означает, что требуется реальный выбор субъекта данных, а также возможность отозвать или отозвать согласие. Одна из причин, по которой на согласие не следует рассчитывать, заключается в том, что «, где существует явный дисбаланс между субъектом данных и контролером ». [15] Что ж, с точки зрения мобильных приложений такой дисбаланс вполне возможен, когда контроллеры данных являются заинтересованными сторонами, такими как Instagram, Facebook, Tinder, Google, Spotify и т. Д. Более того, поскольку мобильные приложения имеют характер службы, они попадают в сферу действия другая описанная ситуация в Recital 43, где «, если выполнение контракта, включая предоставление услуги, зависит от согласия, несмотря на то, что такое согласие не является необходимым для такого исполнения. »Таким образом, разработчики мобильных приложений должны учитывать, в какой степени согласие является наиболее подходящим условием для долгосрочных договоренностей об обработке, как общее правило, и полагаться на него по умолчанию, не исследуя весь спектр целей обработки по отдельности.

Более того, согласие должно быть конкретным , чтобы быть действительным. GDPR предписывает, что «Согласие должно охватывать все действия по обработке, выполняемые для той же цели или целей. ”[16] Другими словами, для одной операции обработки требуется отдельное разрешение, а множественность целей означает согласие, предоставленное для всех на гранулярной основе.В контексте мобильных приложений требование согласия на получение информации может не быть такой проблемой, поскольку легко объяснить основные цели обработки персональных данных. Однако технический аспект удовлетворения требования о конкретном согласии может быть обременительным из-за возможного дисбаланса между уровнем UX и степенью соответствия. Это означает, что пользователи должны активно соглашаться для каждой цели. Что касается мобильных приложений, совместимое, но выполнимое решение представляет собой детализированную форму вариантов, которые должны быть предоставлены пользователям для согласования различных целей и различных типов обработки.Позже, требование для обозначения « однозначно » налагает обязательство по внедрению надлежащего технического решения, чтобы получение согласия было четко указано субъектом данных. Что ж, довольно сложно иметь дело с явным согласием и записывать его. Далее, очень важно найти баланс между правильным представлением формы запроса согласия и тем, чтобы « не мешал использованию услуги, для которой она предоставляется. »[17] Что важно, согласие должно быть получено до начала обработки персональных данных. В начале обработки персональных данных контролеры «» должны иметь возможность продемонстрировать, что субъект данных дал согласие на обработку своих персональных данных. »[18] Таким образом, первое, что должно быть представлено пользователю мобильного приложения, — это меню конфиденциальности или форма с пустыми полями по умолчанию для каждой цели для проверки. Они не только включают согласование целей для обработки, но и дают разрешение на доступ и вмешательство в функции устройства, такие как контакты, микрофон, камера, фотографии, Wi-Fi, сотовые данные и т. д.В связи с этим ENISA объяснила управление разрешениями в контексте управления согласием в отношении законности операций по обработке данных. [19] То, что ENISA определяет как «архитектуру разрешений», является примером решения проблемы конфиденциальности и безопасности в процессе разработки и соответствующих проблем с точки зрения получения согласия пользователя [20]. Как признает ENISA, существует «разрыв в между законодательными требованиями и преобразованием этих требований в практические решения, которые разработчики приложений могут реализовать », главной целью является достижение баланса между соответствием и технической реализацией.[21] По этой причине, если юридические требования к согласию устанавливают разрушительный опыт и препятствия для использования услуги, для которой оно предоставляется, пересмотр для общей применимости этой правовой основы по умолчанию является благоразумным.

Затем субъекты данных смогут отозвать свое согласие в любое время так же просто, как и первоначально. Как указано: « Отзыв согласия не влияет на законность обработки, основанной на согласии до его отзыва.Перед тем, как дать согласие, субъект данных должен быть проинформирован об этом. »[22]. Например, если мы отзовем согласие на использование камеры, а также информацию, которая будет предоставлена рекламодателям, весьма вероятно, что соответствующее мобильное приложение перестанет работать должным образом. Кроме того, отзыв согласия является частью темы о возможности вмешательства мобильных приложений в отношении принципов, касающихся прав людей. [23] Что касается контроллеров данных, вмешательство имеет решающее значение для того, чтобы « эффективно контролировал процессор данных и используемые ИТ-системы, чтобы повлиять или остановить обработку данных в любое время » [24], и по этой причине либеральный режим простого отзыва согласия может установить состояние непредсказуемости на протяжении жизненного цикла приложения.

Источник: pexels.com

Еще один аспект — это требование, чтобы контроллеры данных регистрировали и могли в любое время продемонстрировать подтверждение полученного согласия. Это весьма сомнительно для контроллеров, имеющих дело с множеством субъектов данных и развивающуюся деятельность по обработке. [25] Такая дискуссия актуальна в связи с тесной связью между детьми и мобильными приложениями в наши дни. Поскольку мобильные приложения быстро распространяются на детские смартфоны и планшеты, и, зная, насколько технически одержимы современные дети, является общественным секретом то, что миллионы детей являются пользователями мобильных приложений.Это означает, что контроллеры данных обрабатывают персональные данные детей все время, подпадающие под территориальную сферу действия GDPR. Если согласие является правовым основанием для обработки персональных данных, и детям предлагаются услуги информационного общества, обработка персональных данных детей является законной только в том случае, если ребенок старше 16 лет, а если он моложе, дополнительное лицо должно предоставить согласие на обработку. Мы можем представить миллионы детей, использующих Facebook, Instagram, Snapchat и Musical.ежедневно, но как их полученное согласие подавать жалобу на это условие? Реально ли гарантировать, что родители разрешили мобильному приложению обрабатывать персональные данные их детей?

Дополнительный спорный аспект связан с международной передачей персональных данных, собранных мобильными приложениями. В наши дни информация распространяется через Интернет между серверами по всему миру благодаря технологии облачных вычислений. Это означает, что персональные данные пользователей не только передаются в разные страны за пределами ЕЭЗ, но и обрабатываются в этих странах.Поскольку нет никаких решений об адекватности и адекватных мер безопасности, контроллеры (будут) зависеть от отступлений для международной передачи данных в соответствии с GDPR. Чтобы переформулировать, выбор по умолчанию согласия в качестве основного критерия для обработки в целом означает, что контроллеры данных (будут) в первую очередь полагаться на согласие на международную передачу данных. Согласно GDPR для международной передачи данных в третьи страны, в случае приема на работу по согласию, явное соглашение является обязательным для передачи персональных данных в третью страну на законных основаниях.[26] Поскольку «обычное» согласие определяется как «заявление или четкое позитивное действие», необходимо уточнить, какие дополнительные усилия следует предпринять, чтобы получить явное согласие субъектов данных, относящихся к мобильным приложениям, в соответствии с GDPR. . В связи с этим возможным решением является предоставление пользователям специального поля для отметки и / или обозначенной информационной формы, чтобы дать свое явное согласие на обработку их личных данных в третьей стране. Кроме того, пользователи должны иметь возможность давать явное согласие в информативной, справедливой и прозрачной форме.Здесь возникает вопрос об отзыве согласия пользователей на международную передачу данных в любое время. Насколько это возможно и оправдано в наши дни, во времена массовых трансграничных потоков данных?

Для мобильных приложений, которые обрабатывают особые категории персональных данных , получение обязательного явного согласия является сложной задачей. [27] Например, приложения для знакомств, обрабатывающие информацию о сексуальной ориентации, или приложения для здоровья, работающие с данными, касающимися здоровья, требуют явного согласия для одной или нескольких указанных целей, указанных субъектом данных.Опять же, технический аспект получения явного согласия может быть проблематичным и разрушительным с точки зрения UX. Однако, если явное согласие для одной или нескольких указанных целей не предоставляется законным образом, обработка конфиденциальных персональных данных может быть незаконной и недействительной, если не применяется другое исключение. [28]

Переформулируя, согласие заканчивается сложностью в управлении, хотя на первый взгляд является многообещающим законным основанием для обработки персональных данных мобильными приложениями. По этой причине и на основании вышеприведенного исследования кажется нецелесообразным полагаться на согласие по умолчанию в качестве общего законного критерия обработки для мобильных приложений.

Вкратце , подход точного определения согласия как универсального законного условия обработки на практике может быть довольно проблематичным для разработчиков мобильного программного обеспечения и профессионалов в области конфиденциальности. Фактически, согласие можно определить как «хрупкую» правовую основу из-за режима «легко получить — легко отозвать». Образно говоря, устанавливает обманчивую стабильность, напоминающую зыбучие пески по законности обработки. Такая правовая нестабильность неизбежно сбивает с толку и раздражает пользователей из-за мешающих пользовательскому опыту технических требований и конструктивных препятствий.Следовательно, ожидается, что это вызовет техническую и финансовую неопределенность в процессе разработки программного обеспечения и монетизации мобильных приложений. Поэтому рекомендуется признать и проанализировать весь спектр критериев легитимации для обработки персональных данных, прежде чем сосредоточиться на согласии как на панацеи по умолчанию.

6 правовых основ обработки персональных данных: основы GDPR

6 правовых основ обработки персональных данных

Одним из семи основных принципов обработки данных GDPR является обеспечение законности, справедливости и прозрачности обработки персональных данных.

Для соблюдения этого принципа глава 6 GDPR требует, чтобы любая организация, обрабатывающая персональные данные, имела действующую правовую основу для этой деятельности по обработке персональных данных. Думайте об этом как о сценариях, в которых обработка данных была бы законной. GDPR предоставляет шесть юридических оснований для обработки:

Согласие
Исполнение договора
Законный интерес
Жизненный интерес
Юридическое требование
Общественные интересы

Согласие

Субъект данных дал разрешение организации на обработку его персональных данных для одного или нескольких действий по обработке.Согласие должно даваться свободно, ясно и легко отозваться, поэтому организациям следует проявлять осторожность при использовании согласия в качестве правовой основы. Например, возраст автоматически проверяемых полей согласия подходит к концу благодаря GDPR.

Исполнение договора

Не требует пояснений, правда? Действия по обработке данных необходимы для заключения или выполнения договора с субъектом данных. Если деятельность по обработке не связана с условиями контракта, тогда эта деятельность по обработке данных должна регулироваться другой правовой базой.

Законный интерес

Это процесс обработки, который субъект данных обычно ожидает от организации, которой он предоставляет свои персональные данные, например, маркетинговая деятельность и предотвращение мошенничества. Если законный интерес используется в качестве правовой основы для обработки, организация должна выполнить балансирующий тест: необходима ли эта процессинговая деятельность для функционирования организации? Перевешивает ли процесс обработки любые риски для прав и свобод субъекта данных? Если ответ на любой из этих вопросов — «нет», то организация не может использовать законный интерес в качестве правовой основы для обработки.

Жизненный интерес

Редкая обработка, которая может потребоваться для спасения чьей-либо жизни. Чаще всего это наблюдается при оказании неотложной медицинской помощи.

Требования законодательства

Обработка необходима для выполнения юридических обязательств, таких как законодательство о информационной безопасности, занятости или потребительских сделках.

Общественные интересы

Операция по обработке, которая будет осуществляться государственным учреждением или организацией, действующей от имени государственного учреждения.

Проблемы при выборе правовой основы

Выбор соответствующей правовой основы для обработки чрезвычайно важен по нескольким причинам, в том числе:

Должно быть только одно правовое основание для обработки одновременно, и это правовое основание должно быть установлено до начала обработки. Согласно GDPR, организации не могут устанавливать правовую основу после обработки персональных данных или менять правовую основу.
Какое бы правовое основание ни было выбрано, оно должно быть очевидным в любое время.Организация должна иметь возможность показывать внутри, субъектам данных и регулирующим органам, какую правовую основу она использует для каждого субъекта данных. Например, организации должны иметь возможность продемонстрировать, когда и как субъект данных предоставил согласие или выполнил договор.
Правовая основа для обработки оказывает значительное влияние на то, как организация отвечает на запросы прав субъектов данных, поскольку существуют условия, исключения и ограничения для запросов в зависимости от правовой основы для обработки.
Если организация использует несколько баз для обработки различных действий по обработке данных, организация должна иметь возможность различать, какие правовые базы используются для того или иного набора данных, и правильно отвечать на запросы прав субъектов данных.
Специальные категории данных (такие как раса, этническое происхождение, религия, членство в профсоюзах, биометрия и данные о здоровье) имеют уникальную правовую основу для обработки, которая включает профилактическую или профессиональную медицину, здравоохранение, коллективные договоры и законную деятельность некоммерческие организации.

Важно отметить, что одно правовое основание для обработки не во всех случаях превосходит другое правовое основание для обработки. Наиболее эффективная правовая основа для обработки зависит от цели обработки, типа обрабатываемых персональных данных и отношений с субъектом данных. Выбор того, какая правовая основа подходит для обработки, невероятно важен; если выбрано неправильное правовое основание, это может привести к незаконной обработке, несоответствующему ответу на права субъекта данных и неадекватному организационному и техническому контролю обработки данных.

Дополнительные ресурсы GDPR

Стенограмма видео

GDPR требует, чтобы любая организация, обрабатывающая персональные данные, имела действующую правовую основу для такой обработки. Закон предусматривает шесть юридических оснований для обработки: согласие, выполнение контракта, законный интерес, жизненный интерес, юридическое требование и общественный интерес. Во-первых, большинство организаций спрашивают, нужно ли им согласие на обработку данных. Ответ: не обязательно.Как я уже упоминал, согласие — это лишь одно из шести юридических оснований для обработки данных. Если вы действительно используете согласие, вы должны знать, что согласие должно быть дано свободно, ясно, и отозвать согласие должно быть так же легко, как и дать согласие.
Законный интерес, например, — это что-то вроде маркетинговой деятельности. Это процесс обработки, который субъект данных обычно ожидает от организации, для выполнения которой он предоставляет свои персональные данные. Однако, если организация использует законный интерес в качестве действительной правовой основы для обработки, она должна выполнить проверку баланса.Необходима ли обработка данных для функционирования организации? Перевешивают ли действия по обработке любые возражения или риски для прав и свобод субъекта данных? Контракт довольно понятен. Общественный интерес — это процесс обработки, который может осуществляться государственным учреждением или организацией, действующей от имени государственного учреждения. Жизненный интерес — это редкий случай, когда обработка данных может потребоваться для спасения чьей-либо жизни.
Причина, по которой правовая основа для обработки так важна, заключается в том, что правовая основа должна быть очевидна в любое время.Организация должна иметь возможность показывать внутри себя, субъектам данных и регулирующим органам, какую правовую основу она использует для каждого человека, чьи данные она обрабатывает. Если субъект данных дает согласие на организацию, организация должна иметь возможность продемонстрировать, когда и как этот субъект данных дал согласие.
Поскольку согласие должно даваться свободно, организации больше не могут использовать автоматические флажки, чтобы продемонстрировать, что субъекты данных дали согласие на использование их данных организацией.Процесс получения согласия должен быть четким, а иногда и отдельным. Например, если организация собирается использовать электронную почту для отправки маркетинговых сообщений субъекту данных, тогда организация может выбрать отдельный ящик для электронной почты, чем для других форм связи, текстовых сообщений или телефонных звонков.
Правовая основа для обработки также важна, потому что она оказывает значительное влияние на то, как организация отвечает на запросы прав субъектов данных. Есть некоторые права, которые могут быть предоставлены, если согласие является правовым основанием для обработки или если выполнение контракта является правовой основой для обработки.Есть и другие последствия для правовой основы обработки. Например, обработка особых видов данных, включая расу, этническую принадлежность, данные о состоянии здоровья, биометрические данные и прочую конфиденциальную информацию, требует определенных основ для обработки.
Еще одна проблема для юридических оснований для обработки заключается в том, что организация использует несколько баз для обработки разных наборов данных. Например, организация может обрабатывать персональные данные субъектов данных из ЕС, которые являются ее сотрудниками, а также клиентов, которым ее услуги продают и которым они продают.Правовая основа для обработки данных о сотрудниках может отличаться от правовой основы для обработки данных о клиентах. Организация должна убедиться, что они могут различать, какие правовые основы используются для обработки, чтобы гарантировать, что они правильно реагируют на права субъектов данных, и гарантировать, что они выполняют любые тесты на балансировку, связанные с законными интересами. Наконец, следует отметить, что организации не могут выбрать, какое правовое основание они используют для обработки данных, а затем изменить правовое основание, если они используют и согласие, и договор.Одновременно должна быть только одна основа для обработки персональных данных.
Вот еще несколько примечаний о правовых основах обработки персональных данных. Во-первых, до начала обработки должна быть установлена правовая основа для обработки персональных данных. Организации не могут начать обработку персональных данных, а затем вернуться и попытаться выполнить договор, получить согласие или заявить законный интерес. Во-вторых, одно правовое основание для обработки не обязательно превосходит другие правовые основания для обработки.Наиболее эффективная правовая основа для обработки зависит от цели обработки и взаимоотношений с субъектом данных.

ФОРМА СОГЛАСИЯ НА ИСПОЛЬЗОВАНИЕ И ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Организация Merit Medical использует и обрабатывает личные данные различными способами по разным причинам. Это:

[ВАРИАНТЫ В ЗАВИСИМОСТИ ОТ СОБЫТИЯ / СИТУАЦИИ]

Конгрессы и съезды

Персональные данные, собранные от участников: полное имя, сведения о больнице (включая адрес больницы и название отделения), должность, адрес электронной почты, номер мобильного телефона, служебный адрес, личный адрес, область интересов / опыт, продукты Merit.Кроме того, во время посещения конгрессов и съездов можно собирать фото-, кино- и видеоматериалы.

Отделы маркетинга и обучения собирают данные и передают их региональному вице-президенту. Региональный вице-президент передает данные различным торговым представителям, которые могут быть сотрудниками, дистрибьюторами или агентами Merit, в зависимости от региона. Торговый представитель может связаться с участником.

Отделы маркетинга и обучения хранят вышеописанные данные в файле для будущих списков рассылки для электронных рассылок, электронных писем и других рассылок, относящихся к интересующим участникам темам, связанным с выбором продуктов и относящимся к теме конгресса, или с целью приглашения участника на мероприятия и (обучающие) курсы.

Отделы маркетинга и обучения могут передавать личные данные участника гостиницам и / или компаниям такси, если и когда требуются такие сторонние услуги.

Отделы маркетинга и обучения могут использовать и / или передавать, и / или обрабатывать любые фото-, кино- и видеоматериалы участника, собранные во время конгресса или съезда, для рекламы на различных носителях.

[OR]

Учебные курсы

Персональные данные, собранные от участников и / или лекторов: полное имя, сведения о больнице (включая адрес больницы и название отделения), должность, адрес электронной почты, номер мобильного телефона, служебный адрес, личный адрес, паспортные данные, область знаний, заслуги продукты.Кроме того, во время курсов обучения можно собирать фото-, кино- и видеоматериалы.

Отделы маркетинга и обучения собирают данные и передают их региональному вице-президенту. Региональный вице-президент передает данные различным торговым представителям, которые могут быть сотрудниками, дистрибьюторами или агентами Merit, в зависимости от региона. Торговый представитель может связаться с участником.

Номера мобильных телефонов будут переданы региональному вице-президенту. Региональный вице-президент предоставит такие номера телефонов правильному и актуальному торговому представителю, которым может быть сотрудник, дистрибьютор или агент Merit, в зависимости от региона.Торговый представитель может связаться с участником.

Отделы маркетинга и обучения хранят вышеописанные данные в файле для будущих списков рассылки для электронных рассылок, электронных писем и других рассылок, относящихся к интересующим участникам темам, связанным с выбором продуктов и относящимся к теме конгресса, или с целью приглашения участника на (другие) мероприятия и (обучающие) курсы.

Отделы маркетинга и обучения могут передавать личные данные посетителя отелям и / или компаниям такси, если и когда требуются такие сторонние услуги.

Отделы маркетинга и обучения могут использовать и / или передавать, и / или обрабатывать любые фото-, кино- и видеоматериалы участников, собранные во время учебного курса, для рекламы на различных носителях.

[OR]

Merit Medical и партнерские сайты

Merit Medical получает информацию и личные данные от лиц, которые использовали его систему веб-регистрации. Такая информация и личные данные передаются в соответствующий отдел для последующей работы.Такие данные также могут храниться / сохраняться отделами маркетинга и обучения Merit Medical для использования в будущем (электронные письма, рассылки, электронные рассылки, мероприятия и приглашения на учебные курсы).

[ИЛИ]

Личный контакт

Merit Medical может передавать лично полученные электронные письма в отделы маркетинга, обучения и / или обслуживания клиентов или даже в другие связанные отделы. Любые персональные данные, содержащиеся в таком электронном письме или следующие из него, могут использоваться для последующих действий, и данные могут храниться в указанных отделах для будущих коммуникаций (электронные письма, рассылки, электронные сообщения, мероприятия и приглашения на учебные курсы)

Персональные данные

Персональные данные, которые запрашивает Merit:

Имя:
Дата рождения:
Номер паспорта:
Домашний адрес:
Рабочий адрес:
Отдел (при наличии):
Должность:
Номер мобильного телефона:
Адрес электронной почты:
Сфера интересов:
Сфера интересов:
Заинтересованы в продукции Merit (список):

Согласие

[Участник / слушатель / лектор / консультант / заявитель] подтверждает, что его или ее личные данные, включая, помимо прочего, их имя, (рабочий) адрес, дату рождения, номер телефона паспорта и адрес электронной почты, представленные [ Участник / посетитель / лектор / консультант / заявитель] обрабатывается Merit Medical описанным выше способом.

[участник / посетитель / лектор / консультант / кандидат] настоящим дает свое явное согласие на то, что Merit может использовать и обрабатывать выше перечисленные данные для вышеописанных целей.

[участник / посетитель / лектор / консультант / заявитель] признает, что некоторые из описанных выше личных данных могут быть предоставлены лицам, компаниям и / или учреждениям, расположенным в странах за пределами Европейского Союза, что может предусматривать более низкий уровень защиты данных и дает свое явное согласие на передачу вышеуказанных данных таким лицам, компаниям и / или учреждениям, расположенным за пределами Европейского Союза.

[участник / посетитель / лектор / консультант / заявитель] соглашается, что Merit может связаться с ним или с ней по электронной почте с целью предоставления [участнику / посетителю / лектору / консультанту / заявителю] маркетинговых и информационных материалов.

[Участник / посетитель / лектор / консультант / кандидат] дает свое явное согласие на то, что Merit может использовать его или ее личные данные в своих маркетинговых целях, а также в маркетинговых целях третьих лиц, и что Merit может связаться с ними для этих целей по электронной почте.

Согласие на обработку персональных данных: зачем оно нужно

Обработка персональных данных, ГБОУ Школа № 2073, Москва

Как не нужно составлять согласие на обработку персональных данных

Что такое «Согласие на обработку персональных данных»

Для чего брокеру ваше согласие на обработку персональных данных?

Россияне будут давать больше согласий на обработку персональных данных :: Политика :: РБК

Согласие на обработку персональных данных

правовых оснований для правомерной обработки персональных данных

Когда уместно согласие? | ICO

Подробнее

Всегда ли нам нужно согласие?

Когда мы должны получить согласие?

При каких еще обстоятельствах согласие может быть уместным?

Когда уместно использовать согласие для данных специальной категории?

Когда согласие неприемлемо?

Какие есть альтернативы согласию?

Согласие на обработку персональных данных

Согласие на обработку персональных данных

Принципы защиты персональных данных

Согласие и несовершеннолетние

Согласие и несовершеннолетние

Согласие — окончательная законная основа для обработки личных данных мобильными приложениями? Подумай еще раз. | Дамьян Тодоров | Golden Data

6 правовых основ обработки персональных данных: основы GDPR

6 правовых основ обработки персональных данных

Согласие

Проблемы при выборе правовой основы

Дополнительные ресурсы GDPR

ФОРМА СОГЛАСИЯ НА ИСПОЛЬЗОВАНИЕ И ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Добавить комментарий Отменить ответ