Статья 7 152 фз о персональных данных: 152-ФЗ — Статья 7 — Конфиденциальность персональных данных

Статья 7. Закон о персональных данных N 152-ФЗ от 27.07.2006

Статья 7. Закон о персональных данных N 152-ФЗ от 27.07.2006

Актуально на:

01 марта 2021 г.

Федеральный закон РФ «О персональных данных», N 152-ФЗ | ст. 7

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Постоянная ссылка на документ

• URL
• HTML
• BB-код
• Текст

URL документа [скопировать]

<a href=»»></a>

HTML-код ссылки для вставки на страницу сайта [скопировать]

[url=][/url]

BB-код ссылки для форумов и блогов [скопировать]

—

в виде обычного текста для соцсетей и пр. [скопировать]

Скачать документ в формате

Изменения документа

Постоянная ссылка на документ

• URL
• HTML
• BB-код
• Текст

URL документа [скопировать]

<a href=»»></a>

HTML-код ссылки для вставки на страницу сайта [скопировать]

[url=][/url]

BB-код ссылки для форумов и блогов [скопировать]

—

в виде обычного текста для соцсетей и пр. [скопировать]

Скачать документ в формате

Составить подборку

Анализ текста

Идет загрузка…

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Статья 7. Конфиденциальность персональных данных

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Статья 14. Право субъекта персональных данных на доступ к его персональным данным

1.

 Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.

6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Источник официального опубликования: pravo.gov.ru

Ссылка на действующую редакцию

Скачать текст нормативно-правового акта

Текст Федерального закона опубликован в «Российской газете» от 29 июля 2006 г. N 165, в «Парламентской газете» от 3 августа 2006 г. N 126-127, в Собрании законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3451

Статья 7 Федеральный закон «О персональных данных» 152-ФЗ

Статья 7.

Конфиденциальность персональных данных (Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) «О персональных данных») 

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

 

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Комментарий к статье 7

1. Обеспечение конфиденциальности персональных данных в процессе их обработки наряду с установленными принципами работы с ними и получением согласия на обработку является обязательным условием, определяющим дальнейшую деятельность оператора. По смыслу действующего законодательства требование конфиденциальности связано исключительно с ограничением на распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания.

В целях обеспечения конфиденциальности персональных данных операторами и третьими лицами, получающими доступ к персональным данным, должна быть разработана действенная система мер по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее. Реализация последних зависит от используемых оператором средств организационной, технической, программной, криптографической, правовой и иной защиты.

Меры по охране конфиденциальности персональных данных, принимаемые оператором, должны включать в себя:

1) определение перечня персональных данных, переданных оператору для обработки и включенных в число сведений конфиденциального характера. Сделанная оговорка неслучайна. В литературе неоднократно подчеркивается, что установленная Указом Президента РФ от 6 марта 1997г. N 188 «Об утверждении Перечня сведений конфиденциального характера» структура конфиденциальной информации носит обобщенный характер и не отвечает требованиям, предъявляемым действительностью. Подчеркивается, что фактически далеко не все персональные данные являются конфиденциальными, в частности, многочисленные энциклопедии персоналий, профессиональные персональные справочники, адресные книги и т.п.обнародуются по согласию субъекта. Кроме того, персональные данные могут охраняться и охраняются в настоящее время различными режимами ограниченного доступа (см. Закон РФ «О государственной тайне», ФЗ «О коммерческой тайне» и др.). Например, в режиме государственной тайны охраняются персональные данные ряда лиц, имеющих доступ к государственным секретам. В режиме коммерческой тайны могут охраняться персональные данные авторов ноу-хау, используемых в производстве. В режиме профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг (врачебная тайна, нотариальная, адвокатская, банковская, тайна усыновления и т. п.). В режиме личной тайны -сведения об особенностях личности, ее пристрастиях, привычках, интересах. В режиме семейной тайны — сведения о взаимоотношениях членов семьи, в том числе родственных^[15];

2) ограничение доступа к персональным данным путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

3) учет лиц, получивших доступ к обрабатываемым персональным данным, и (или) лиц, которым такая информация была предоставлена или передана;

4) регулирование отношений по использованию персональных данных работниками оператора на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров.

Наряду с указанными мерами оператор персональных данных вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству РФ меры. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль осуществляется в порядке, определяемом Правительством РФ^[16].

Меры по охране конфиденциальности информации признаются разумно достаточными,

если:

1) исключается доступ к обрабатываемым персональным данным любых лиц без согласия их обладателя;

2) обеспечивается возможность использования обрабатываемых персональных данных работниками оператора и передачи ее контрагентам без нарушения установленного режима защиты.

Установление пределов объема усилий оператора, требующихся для сохранения конфиденциальности персональных данных, с одной стороны, призвано мотивировать оператора персональных данных предпринимать меры к их охране, не полагаясь на то, что его интересы в случае незаконного приобретения сведений, входящих в состав персональных данных, третьим лицом будут автоматически считаться нарушенными, а с другой — служить гарантией того, что субъект персональных данных не будет принужден к принятию всего спектра мер к охране собственных интересов^[17].

Режим конфиденциальности персональных данных не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

2. Законодатель предусматривает возможность установления режима, открытости персональных данных, делая исключения из условия о конфиденциальности для общедоступных массивов сведений и обезличенных персональных данных.

Неразрывная связь персональных данных с личностью их субъекта и возможность идентификации последнего требует повышенной защищенности в процессе их обработки. В случаях если из них могут быть исключены сведения-идентификаторы, режим конфиденциальности, устанавливаемый для персональных данных, снимается. Законодатель допускает использование обезличенных персональных данных без согласия их субъекта в целях проведения статистических, социологических, исторических, медицинских и других научных и практических исследований. При этом остается нераскрытой процедура обезличивания персональных данных, соответствие ее определенному этапу их обработки, степень обезличивания. Предположительно процедура обезличивания предполагает полное исключение из состава персональных данных, позволяющих определить биографические сведения их обладателя и тем самым его идентифицировать. К такого рода информации могут быть отнесены: фамилия, имя, отчество, дата и место рождения, адрес места жительства, иные идентифицирующие лицо сведения. В целях обезличивания персональных данных допускается процедура замены сведений, при условии что тем самым не нарушаются права иных лиц и не создается угроза их безопасности.

Настоящим Законом предусмотрено исключение из режима конфиденциальности для общедоступных массивов персональных данных (справочники, телефонные книги, адресные книги, массивы персональных данных руководителей фирм и т.п.), которые создаются в целях информационного обеспечения общества. При этом регулируется содержание и порядок формирования таких массивов, права субъектов персональных данных, сведения о которых включены в подобный массив. Эти положения закона призваны препятствовать созданию и неконтролируемому распространению справочников типа упомянутых выше баз данных на Ой (йУй) и многочисленных справочников «Кто есть кто…», содержащих подчас информацию, не санкционированную и не проверенную субъектом персональных данных.

Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Согласие на обработку персональных данных и получение рассылки (рекламы)

Вы можете посещать данный сайт, не давая о себе никакой личной информации. Тем не менее, могут возникнуть ситуации, когда мы можем запросить Ваши личные данные. Администрация сайта оставляет за собой право вносить изменения в тексты. Мы делаем все возможное, чтобы информация на этом сайте была как можно более полной и точной. Администрация сайта не несет никакой ответственности за любой ущерб, который может быть причинен в любой форме за счет использования, неполноты или неправильности информации, размещенной на этом сайте. Информация и рекомендации на этом сайте могут быть изменены без предварительного уведомления. При использовании сайта http://www.jbi-group.ru вы соглашаетесь с приведенными ниже условиями.

1. Настоящим я, во исполнение требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (с изменениями и дополнениями), Федерального закона от 13.03.2006 N 38-ФЗ «О рекламе» с изменениями и дополнениями) свободно, своей волей и в своем интересе даю свое согласие: «JBI Group» (далее – Организация) на обработку своих персональных данных, указанных при регистрации для получения подписки на правовую аналитику «JBI Group» путем заполнения веб-формы на сайте Организации (www.jbi-group.ru) (далее – Сайт).

   Настоящее согласие применяется в отношении обработки следующих персональных данных

   • фамилия, имя, отчество,

   • адрес электронной почты(e-mail).

2. Я согласен с тем, что в рамках обработки персональных данных Организация вправе осуществлять сбор, запись, систематизацию, накопление, анализ, использование, извлечение, распространение, обезличивание, блокирование, удаление, уничтожение моих персональных данных путем ведения баз данных автоматизированным, механическим, ручным способами в целях:

   • ведения и актуализации клиентской базы;

   • получения и исследования статистических данных;

   • информирования меня о предлагаемых Организацией мероприятиях, семинарах и т. д.;

   • технической поддержки при обработке информации, документации и персональных данных с использованием средств автоматизации и без такого использования.

3. Я выражаю согласие на получение рассылок на мой электронный адрес, а также иные виды рассылок и уведомлений, в том числе рекламного характера, с использованием любых средств связи (смс-рассылки).

4. Я выражаю согласие и разрешаю Организации объединять персональные данные в информационную систему персональных данных и обрабатывать мои персональные данные, с помощью средств автоматизации либо без использования средств автоматизации.

5. Я ознакомлен(а), что:

   • настоящее Согласие на обработку моих персональных данных и получение рассылок является бессрочным и может быть отозвано посредством ссылки на отписку от получения материалов правовой аналитики Организации.

   • имею право на доступ к своим персональным данным, требовать уточнения (обновление, изменение) моих персональных данных, а также удаления и уничтожения моих персональных данных в случае их обработки Организацией способами, нарушающими мои законные права и интересы, законодательство Российской Федерации.

   • имею право обратиться за тем, чтобы персональные данные были удалены, заблокированы, или задать вопрос по персональным данным на email — [email protected]

6. Настоящим Согласием я подтверждаю, что являюсь субъектом предоставляемых персональных данных, а также подтверждаю достоверность предоставляемых данных.

7. Я осознаю, что подписываясь на получение рассылки материалов правовой аналитики Организации на Сайте, означает мое письменное согласие с условиями, описанными в настоящем Согласии.

ПОЛОЖЕНИЕ

Об обработке и защите персональных данных

клиентов (физических и юридических лиц)

Консалтинговой группы JBI Group

Статья 1. ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящее положение «Об обработке и защите персональных данных Клиентов» (далее – Положение) устанавливает порядок обработки персональных данных Клиентов, для которых  JBI Group оказывает услуги по рассылке рекламы и иной информации на электронную почту Клиентов.

2. Цель данного Положения – обеспечение требований защиты прав Клиентов при обработке их персональных данных.

3. Персональные данные не могут быть использованы JBI Group или её сотрудниками в целях причинения имущественного и морального вреда Клиентам, затруднения реализации их прав и свобод.

4. Обработка персональных данных Клиентов ограничивается достижением законных, конкретных и определенных в «Согласии на обработку персональных данных и получение рассылки» размещенном  на сайте JBI Group.

5. Обрабатываемые персональные данные Клиентов подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

6. Настоящее Положение является обязательным для исполнения всеми сотрудниками JBI Group, имеющими доступ к персональным данным Клиентов. Все сотрудники, занимающиеся обработкой персональных данных, ознакомлены под  роспись с данным положением.

7. Настоящее Положение и изменения к нему утверждаются ИП Проскуриной О.В..

Статья 2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА

1. Под Клиентами в интересах настоящего Положения понимаются:

а) Физические и Юридические лица (субъекты персональных данных), регистрирующиеся на сайте JBI Group. В данных правоотношениях с Клиентами по терминологии Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» (далее по тексту — Закон «О персональных данных») JBI Group выступает в качестве оператора персональных данных.

2. Под персональными данными Клиента понимается любая информация о субъекте персональных данных, необходимая JBI Group в связи с рассылкой (рекламы, иной информации) Клиентам.

3. Состав персональных данных Клиента, обработка которых осуществляется на сайте JBI Group, включает в себя в основном следующие сведения:

— фамилия, имя, отчество,

— адрес электронной почты (е-mail).

— место работы, должность.

Статья 3. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Сведения, перечисленные в статье 2. Положения, и содержащие информацию о персональных данных Клиентов, являются конфиденциальными. JBI Group обеспечивает конфиденциальность персональных данных, и обязана не допускать их распространения без согласия Клиентов, либо наличия иного законного основания.

2. JBI Group приняты все меры по конфиденциальности при сборе, обработке и хранении персональных данных Клиента на электронные (автоматизированные) носители информации.

 

Статья 4. ПРАВА И ОБЯЗАННОСТИ КЛИЕНТА

1. Клиент обязан указать при регистрации на сайте JBI Group достаточные, достоверные персональные данные.

2. Клиент имеет право на получение сведений о JBI Group — о месте его нахождения, о наличии у JBI Group реквизитов, а также на ознакомление с такими персональными данными.

3. Клиент имеет право на доступ к своим персональным данным, требовать уточнения (обновление, изменение) персональных данных, а так же удаления и уничтожения персональных данных в случае их обработки с нарушением законных прав Клиента

4. Клиент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

5. Согласие на обработку персональных данных может быть отозвано Клиентом, посредством ссылки на отписку от получения материалов правовой аналитики JBI Group.

Статья 5. ПРАВА И ОБЯЗАННОСТИ JBI Group ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. JBI Group имеет право осуществлять сбор, запись, систематизацию, накопление, анализ, использование, извлечение, распространение, обезличивание, блокирование, удаление, уничтожение персональных данных путём ведения баз данных автоматизированным, механическим, ручным способами.

2. JBI Group имеет право осуществлять обработку персональных данных Клиентов, указанных  в п. 1. статьи 2 настоящего Положения, по ниже следующим основаниям:

1). Обработка персональных данных Клиента необходима для осуществления прав и законных интересов JBI Group.

2) обработка персональных данных Клиентов необходима для:

— ведения и актуализации клиентской базы

— получения и исследования статистических данных

— информирования Клиента о предполагаемых JBI Group мероприятиях, семинарах и т.д.

3. JBI Group обязана осуществлять обработку персональных данных в соответствии с требованиями законодательства Российской Федерации, соблюдая конфиденциальность информации.

Статья 6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ

1. Защите подлежат следующие объекты персональных данных Клиентов, если только с них на законном основании не снят режим конфиденциальности:

— информация, содержащая персональные данные Клиентов, размещенная на электронных носителях на сайте JBI Group.

2. JBI Group в интересах обеспечения выполнения обязанностей, возложенных на него Законом «О персональных данных» и другими нормативными актами, регламентирующими деятельность юридических лиц по обработке персональных данных, принимает меры, предусмотренные настоящим Положение.

3. Общую организацию защиты персональных данных Клиентов осуществляет ИП Проскурина О.В.:

— Ознакомление сотрудников под роспись с настоящим Положением.

— Истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных Клиента и соблюдении правил их обработки.

— Ознакомление сотрудников под роспись с приказами и внутренними локальными нормативными актами, регламентирующими обработку и защиту персональных данных JBI Group.

4. Защита информационных систем, в которых обрабатываются персональные данные Клиентов, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, осуществляется в соответствии с нормативными актами JBI Group, регулирующими обработку и защиту персональных данных Клиента.

5. Доступ к персональным данным Клиента имеют сотрудники JBI Group, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.

6. Процедура оформления доступа к персональным данным Клиента включает в себя:

— Ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление под роспись.

7. В том числе защита доступа к электронным носителям, содержащим персональные данные Клиентов, обеспечивается на интернет — ресурсе UniSender, через который осуществляется  рассылка:

— UniSender получил оценку эффективности принимаемых мер по обеспечению безопасности персональных данных и соответствует четвертому уровню защищенности персональных данных УЗ 4 (https://www.unisender.com/ru/about/secured).

— UniSender внесен в реестр операторов  осуществляющих обработку персональных данных (https://pd. rkn.gov.ru/operators-registry/operators-list/?id=77-17-005701).

Статья 7. ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ

1. Персональные данные Клиентов хранятся в электронном виде и уничтожаются на интернет — ресурсе Unisender.

Статья 8. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ КЛИЕНТА

1. Право доступа к персональным данным Клиента  имеют:

— ИП Проскурина О.В..

— Работники JBI Group, допущенные к обработке персональных данных Клиентов.

— Клиент, как субъект персональных данных.

Статья 9. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ КЛИЕНТА

1. JBI Group несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных Клиента.

2. ИП Проскурина О.В. несет персональную ответственность за соблюдение сотрудниками норм, регламентирующих получение, обработку и защиту персональных данных Клиента. Руководитель, разрешающий доступ сотрудника к документам, содержащим персональные данные Клиента, несет персональную ответственность за данное разрешение.

3. Каждый сотрудник JBI Group, обрабатывающий персональные данные Клиента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

 

Статья 10. СПИСОК ИСПОЛЬЗОВАННЫХ ЗАКОНОДАТЕЛЬНЫХ И НОРМАТИВНЫХ АКТОВ

Разработка настоящего Положения осуществлена в соответствии со следующими нормативными документами:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»

Федеральный закон от 13 марта 2006 года № 152-ФЗ «О рекламе»

Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Федеральный закон от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы «О защите физических лиц при автоматической обработке персональных данных»

Указ Президента Российской Федерации от 17 марта 2008 года № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»

Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении Перечня сведений конфиденциального характера»

Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Постановление Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Конфиденциальность

Настоящая Политика конфиденциальности персональных данных (далее – Политика конфиденциальности) распространяется на пользование данным веб-сайтом, управляемым компанией ООО “Декорум”.

Правовое основание обработки персональных данных.

• Конституция Российской Федерации (статьи 23,24)

• Федеральный закон от 27.07.06 г. №152-ФЗ «О персональных данных» (статьи 1, 6, 22)

• Федеральный закон от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма» (статья 7)

• Федеральный закон от 02.05.2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (статья 6)

1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

1.1 В настоящей Политике конфиденциальности используются следующие термины:

1. 1.1. «Персональные данные» — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.1.2. «Обработка персональных данных» — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В рамках Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» установлены следующие определения:

— Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

— Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

— Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

— Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных

1.1.3. «Субъект персональных данных» – физическое лицо, которое прямо или косвенно определено с помощью персональных данных.

1.1.4. «Пользователь сайта (далее Пользователь)» – лицо, имеющее доступ к сайту dekorum39.ru, посредством сети Интернет и использующее данный сайт для своих целей.

1.1.5. «Администрация сайта» – сотрудники компании ООО «Декорум», имеющие полномочия на управление сайтом. Которые действуют от имени компании, и организуют и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.1.6. Сайт — https://dekorum39.ru.

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Использование Пользователем сайта dekorum39.ru означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Пользователя.

2.2. В случае несогласия с условиями Политики конфиденциальности Пользователь должен прекратить использование сайта.

2.3.Настоящая Политика конфиденциальности применяется только к данному сайту. Администрация сайта не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на данном сайте.

2.4. Администрация сайта не проверяет достоверность персональных данных, предоставляемых Пользователем сайта.

3. ПРЕДМЕТ ПОЛИТИКИ КОНФИДЕНЦИАЛЬНОСТИ

3.1. Настоящая Политика конфиденциальности устанавливает обязательства по умышленному неразглашению персональных данных, которые Пользователь предоставляет по разнообразным запросам Администрации сайта.

3.2. Персональные данные, разрешённые к обработке в рамках настоящей Политики конфиденциальности, предоставляются Пользователем путём заполнения специальных форм на Сайте и обычно включают в себя следующую информацию:

3.2.1. фамилию, имя, отчество Пользователя;

3.2.2. контактный телефон Пользователя;

3.2.3. адрес электронной почты (e-mail) и другие необходимые данные.

3.3. Администрация сайта также принимает усилия по защите Персональных данных, которые автоматически передаются в процессе посещения страниц сайта.

3.3.2. Сайт осуществляет сбор статистики об IP-адресах своих посетителей. Данная информация используется с целью выявления и решения технических проблем, для контроля корректности проводимых операций.

3.4. Любая иная неоговоренная выше персональная информация (история покупок, используемые браузеры и операционные системы и т.д.) не подлежит умышленному разглашению, за исключением случаев, предусмотренных в п. п. 4.2. и 4.3. настоящей Политики конфиденциальности.

4. СПОСОБЫ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ

4.1. Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.

4.2. Пользователь соглашается с тем, что Администрация сайта вправе передавать персональные данные третьим лицам, в частности, курьерским службам, организациями почтовой связи, операторам электросвязи, исключительно в целях выполнения заявок Пользователя, оформленных на сайте, в рамках Договора публичной оферты.

4.3. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти только по основаниям и в порядке, установленным действующим законодательством.

5. ОБЯЗАТЕЛЬСТВА СТОРОН

5.1. Пользователь обязуется:

5. 1.1. Предоставить корректную и правдивую информацию о персональных данных, необходимую для пользования сайтом.

5.1.2. Обновить или дополнить предоставленную информацию о персональных данных в случае изменения данной информации.

5.1.3. Принимать меры для защиты доступа к своим конфиденциальным данным, хранящимся на сайте.

5.2. Администрация сайта обязуется:

5.2.1. Не разглашать персональных данных Пользователя, за исключением п.п. 4.2. и 4.3. настоящей Политики Конфиденциальности.

5.2.2. Осуществить блокирование персональных данных, относящихся к соответствующему Пользователю, с момента обращения или запроса Пользователя или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.

6. ОТВЕТСТВЕННОСТЬ СТОРОН

6. 1. Администрация сайта несёт ответственность за умышленное разглашение Персональных данных Пользователя в соответствии с действующим законодательством, за исключением случаев, предусмотренных п.п. 4.2., 4.3. и 6.2. настоящей Политики Конфиденциальности.

6.2. В случае утраты или разглашения Персональных данных Администрация сайта не несёт ответственность, если данная конфиденциальная информация:

6.2.1. Стала публичным достоянием до её утраты или разглашения.

6.2.2. Была получена от третьей стороны до момента её получения Администрацией сайта.

6.2.3. Была получена третьими лицами путем несанкционированного доступа к файлам сайта.

6.2.4. Была разглашена с согласия Пользователя.

6.3. Пользователь несет ответственность за правомерность, корректность и правдивость предоставленной Персональных данных в соответствии с действующим законодательством.

7.

РАЗРЕШЕНИЕ СПОРОВ

7.1. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем сайта и Администрацией сайта, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).

7.2. Получатель претензии в течение 30 календарных дней со дня получения претензии, письменно уведомляет заявителя претензии о результатах рассмотрения претензии.

7.3. При не достижении соглашения спор будет передан на рассмотрение в судебный орган в соответствии с действующим законодательством.

7.4. К настоящей Политике конфиденциальности и отношениям между Пользователем и Администрацией сайта применяется действующее законодательство.

8. ДОПОЛНИТЕЛЬНЫЕ УСЛОВИЯ

8.1. Администрация сайта вправе вносить изменения в настоящую Политику конфиденциальности без согласия Пользователя.

8.2. Новая Политика конфиденциальности вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики конфиденциальности.

Политика конфиденциальности в области обработки и защиты персональных данных ООО «ДИРЕКТУМ»

2. Обработка персональных данных

2.1. Компания осуществляет обработку персональных данных на основании:

2.1.1. Конституции РФ;

2.1.2. Гражданского кодекса РФ;

2.1.3. Трудового кодекса РФ;

2.1.4. Налогового кодекса РФ;

2.1.5. Федерального закона от 27.07.2006 № 152-ФЗ в пунктах 1, 2, 5 части 1 статьи 6;

2.1.6. Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»;

2.1.7. Федерального закона от 24.07.2009 № 212-ФЗ «О страховых взносах в Пенсионный фонд РФ, Фонд социального страхования РФ, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;

2.1.8. Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в РФ»;

2.1.9. Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в РФ »;

2. 1.10. Устав ООО «ДИРЕКТУМ»;

2.2. Персональные данные обрабатываются Компанией в целях:

2.2.1. Оформления трудовых и иных договорных отношений, кадрового, бухгалтерского, налогового учета, а также в целях организации и проведения Компанией, (в т.ч. с привлечением третьих лиц) программ лояльности, маркетинговых и/или рекламных акций, исследований, опросов и иных мероприятий;

2.2.2. Исполнения Компанией обязательств в рамках договоров по поставке продуктов, проведению мероприятий и оказанию любых иных услуг субъектам персональных данных;

2.2.3. Продвижения услуг и/или товаров Компании и/или партнеров Компании на рынке путем осуществления прямых контактов с клиентами Компании с помощью различных средств связи, в т.ч., не ограничиваясь, по телефону, электронной почте, почтовой рассылке, в сети Интернет и т.д.;

2.2.4. Защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных, обеспечения пропускного и внутриобъектового режимов на территории Компании;

2. 2.5. Формирования справочных материалов для внутреннего информационного обеспечения деятельности Компании, её филиалов и представительств;

2.2.6. Исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

2.2.7. Осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Компании, или третьих лиц либо достижения общественно значимых целей, или иных целей, если действия Компании не противоречат законодательству РФ.

2.3. Компания в процессе обработки осуществляет действия в отношении персональных данных, которые необходимы или желаемы для достижения указанных выше целей, включая, без ограничения: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передачу), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий с персональными данными пользователя с учетом действующего законодательства РФ.

Пользовательское соглашение об обработке персональных данных

Положение об обработке персональных данных потенциальных потребителей - субъектов персональных данных 

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1.  Положение  об обработке персональных данных (далее - "Положение") применяется ООО «Винотерра» (далее - "Оператор") в  соответствии  с  п.  2 ч. 1 ст.  18.1  Федерального  закона  от  27.07.2006 N 152-ФЗ "О персональных данных".
Настоящее Положение определяет политику, порядок и условия Оператора в отношении обработки  персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
Под обработкой персональных в настоящем Положении  понимается: любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. 
Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
1.2. Целью обработки персональных данных является:
- обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
- содействие продвижению товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.
1.3. Действие настоящего Положения не распространяется на отношения, возникающие при:
1) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов;
2) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
3) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22. 12.2008 N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".
1.4. Обработка организована Оператором на принципах:
- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- обработки только персональных данных, которые отвечают целям их обработки;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.  Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
1.5. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и настоящим Положением.
1.6. Способы обработки персональных данных:
- с использованием средств автоматизации;
- без использования средств автоматизации (при наличии такой необходимости).
1.7. Вид персональных данных, подлежащих обработке для достижения целей, установленных п. 1.2. Положения:
- Фамилия, Имя, 
-возраст (год рождения), 
-адрес электронной почты, 
- контактный телефон, адрес. 
Перечисленные в настоящем положении данные, являются идентифицирующими потребителя- субъекта персональных данных, на основании п. 1 ст.8 Федерального Закона от 27.07.2006 N 152-ФЗ в ред. Федерального закона от 25.07.2011 N 261-ФЗ, предоставляются Оператору добровольно и в объеме, необходимом и достаточном для исполнения Оператором обязательств перед потенциальным потребителем и/или достижения Оператором целей обработки персональной информации, установленных п. 1.2. Положения. 
1.8. Настоящее Положение и изменения к нему утверждаются руководителем Оператора.
1.9. Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
1.10. Режим конфиденциальности персональных данных Оператор обеспечивает в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
1.11. Контроль за соблюдением сотрудниками Оператора требований законодательства Российской Федерации и положений локальных актов Оператора осуществляется Оператором.
 1.12.    Настоящее Положение подлежит раскрытию путем опубликования на официальном сайте Оператора в информационно-телекоммуникационной сети с обеспечением доступа к нему субъектов персональных данных, чьи данные подлежат обработке Оператором для достижения целей обработки, упомянутых в п.  1.2. настоящего Положения. 
1.13. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
1.14. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
1.15. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.
1.16. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к ним, а также принятия следующих мер по обеспечению безопасности:
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы ПД и принятие соответствующих мер;
восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
обеспечение учета всех действий, совершаемых с персональными данными в информационных системах Оператора. 
1.17. Обмен ПД при их обработке в информационных системах Оператора осуществляется по каналам связи, защита которых обеспечивается путем применения программных и технических средств.
1.18. В случае выявления нарушений порядка обработки ПД в информационных системах Оператора уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
2. ПОРЯДОК ОБЕСПЕЧЕНИЯ ОПЕРАТОРОМ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
2.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
2.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
2.4. Обработка персональных данных, их изменение и/или прекращение их обработки в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается при условии предварительного прямого согласия субъекта персональных данных на обработку Оператором его персональных данных на сайте Оператора, выраженного в письменном виде, путем проставления потенциальным потребителем –субъектом персональных данных  отметки в соответствующих графах при регистрации на сайте Оператора.  
2.5. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и настоящего Положения. 
2.6. Оператор обязан предоставить безвозмездно субъекту персональных данных возможность ознакомления с персональными данными, относящимися к этому субъекту.
2.7. При трансграничной передаче персональных данных их перевод на другие языки осуществляется в порядке, согласованном Оператором с иностранным контрагентом, при условии, если такой вид передачи персональных данных не ограничен или не запрещен действующим законодательством РФ.
3. ВЗАИМОДЕЙСТВИЕ С ДРУГИМИ ОПЕРАТОРАМИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
С ПРИМЕНЕНИЕМ СИСТЕМЫ ЭЛЕКТРОННОГО ВЗАИМОДЕЙСТВИЯ

3.1. На основании двух- и многосторонних соглашений в случаях, установленных действующим законодательством РФ о персональных данных, Оператор осуществляет обработку персональных данных в рамках электронного информационного взаимодействия с применением системы электронного взаимодействия. 
3.2. Прекращение действия соглашения с другим оператором является основанием для уничтожения Оператором обработанных в рамках такого соглашения персональных данных.

4. ОБЯЗАННОСТИ РУКОВОДИТЕЛЯ И СОТРУДНИКОВ ОПЕРАТОРА
4.1. Руководитель Оператора:
- оказывает содействие сотрудникам, осуществляющему обработку персональных данных в выполнении им своих обязанностей;
- организует устранение выявленных нарушений обработки персональных данных, внутренних документов Оператора, а также причин и условий, способствовавших совершению нарушения.
4.2. Сотрудники Оператора, осуществляющие обработку персональных данных:
- незамедлительно доводят до сведения своего непосредственного руководителя сведения о предполагаемых нарушениях обработки персональных данных, внутренних документов Оператора, законодательства Российской Федерации, в том числе нормативных правовых актов уполномоченного федерального органа исполнительной власти, другими сотрудниками Оператора и/или контрагентами Оператора. 

5. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ИЛИ НЕИСПОЛНЕНИЕ ПОЛОЖЕНИЯ
5.1. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной (ст. ст. 5.39, 13.11 - 13.14, ст. 19.7 Кодекса Российской Федерации об административных правонарушениях) или уголовной ответственности (ст. ст. 137, 140, 272 Уголовного кодекса Российской Федерации) в порядке, установленном действующим законодательством РФ.

       

Последние изменения в регулировании персональных данных в России | Международная сеть юристов

[автор: Ольга Новинская]

Защита персональных данных (ПД) становится главной темой последних дней, поэтому российское законодательство в этой сфере стремительно меняется. В статье представлен обзор обновлений регулирования персональных данных за 3 квартал 2020 года.

ПОПЫТКИ ПРОТИВ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ ПОТРЕБИТЕЛЕЙ

Российское агентство по охране здоровья и защите прав потребителей разработало поправки в Закон от 07. 02.1992 № 2300-1 «О защите прав потребителей», воспрепятствование недобросовестному поведению хозяйствующих субъектов, собирающих ПД клиентов в целях, не связанных с заключением и исполнением договоров.

Законопроект запрещает отказ от заключения, изменения, расторжения или исполнения договора с покупателем, если он (она) отказывается предоставить персональные данные для продавца. Исключение из этого правила применяется в случаях, когда предоставление персональных данных предусмотрено законом или необходимо для совершения сделки.

Кроме того, проект предоставляет потребителям право требовать объяснения, если продавец отказывается завершить сделку из-за своего отказа в предоставлении персональных данных.

Принятие закона может повлиять на практику использования ПДн хозяйствующими субъектами, взаимодействующими с российскими клиентами. В частности, продавец должен точно указать данные, необходимые для заключения договора, и быть готовым дать мотивированные объяснения покупателям.

Информируем, что упомянутая ранее новая редакция Кодекса об административных правонарушениях дополняет этот законопроект штрафами для хозяйствующих субъектов, которые обрабатывают персональные данные избыточно.Вы можете найти наш обзор здесь.

Законопроект «О внесении изменений в статью 16 Закона Российской Федерации« О защите прав потребителей »(подготовлен Российским агентством по здравоохранению и правам потребителей, ID проекта 02.04.09-20.00108592)

КОЛИЧЕСТВО СОГЛАСИЙ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ МОЖЕТ БЫТЬ УМЕНЬШЕНО

Госдума рассматривает в первом чтении законопроект, который вводит возможность получения согласия на обработку персональных данных сразу для нескольких целей или несколькими лицами, обрабатывающими данные от имени оператора.

Авторы законопроекта убеждены, что предлагаемые изменения уменьшат количество письменных согласий, предоставляемых отдельными лицами, и могут оптимизировать цифровое взаимодействие в различных областях.

Для каждой цели обработки данных необходимо указать следующую информацию:

• Перечень персональных данных;
• Лицо, которое будет обрабатывать персональные данные от имени оператора;
• Описание методов обработки;
• Срок действия согласия;
• Способ отзыва согласия.

Законопроект также пытается решить проблему анонимности персональных данных. Предлагается поручить Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) определить требования к анонимности и ее способам.

Имеется приказ Роскомнадзора от 05.09.2013 № 996 об обезличивании персональных данных, который распространяется на операторов, являющихся государственными или муниципальными органами. Отметим, что, согласно комментариям официальных лиц Роскомнадзора, частные лица не вправе анонимизировать персональные данные.Практическое значение состоит в том, что оператор обязан уничтожить личные данные в случаях, когда цель обработки достигнута.

Законопроект № 992331-7 «О внесении изменений в Федеральный закон« О персональных данных »»

ШТРАФЫ ЗА РАСКРЫТИЕ ЧУВСТВИТЕЛЬНОЙ ИНФОРМАЦИИ МОГУТ БЫТЬ УВЕЛИЧЕНЫ В 10 РАЗ

Законопроект, предусматривающий усиление наказания за разглашение информации с ограниченным доступом, находится на стадии первого чтения в Государственной Думе РФ.Информация с ограниченным доступом включает личные данные.

Действующая редакция статьи 13.14 Кодекса Российской Федерации об административных правонарушениях предусматривает штрафы до 1000 рублей (около 13 долларов США) для физических лиц и до 5000 рублей (около 65 долларов США) для должностных лиц, если они получили доступ к информации ограниченного доступа. в связи с исполнением служебных или профессиональных обязанностей. Как отметили разработчики закона, такие штрафы незначительны и не достигают цели предотвращения нарушений безопасности данных.

В связи с этим предложенные резервы значительно увеличили размер штрафов:

• До 10 000 руб. (Ок.129 USD) для физических лиц,
• До 50 000 рублей (примерно 646 долларов США) для должностных лиц.

Следует отметить, что работа над новой редакцией Кодекса об административных правонарушениях все еще продолжается. В законопроекте устанавливаются новые виды нарушений безопасности данных, в том числе нарушение конфиденциальности ПД, нарушение правил анонимности ПД и т. Д. Об этом проекте мы уже писали ранее.

Законопроект № 1023005-7 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях »

ВЕРХОВНЫЙ СУД РАЗЪЯСИЛ ЮРИСДИКЦИОННЫЕ ПРАВИЛА В ОТНОШЕНИИ ПРЕТЕНЗИЙ НА ЗАЩИТУ ПД

14 июля 2020 года Верховный Суд Российской Федерации рассмотрел дело, возбужденное Роскомнадзором в интересах гражданина России.Компания Whois Privacy Corp. (Багамские острова) разместила на своем сайте персональные данные гражданина России без его согласия.

Суд первой и апелляционной инстанций пришел к выводу, что заявленные иски связаны с регулированием Интернет-ресурса как средства массовой информации и подлежат рассмотрению в административном порядке.

Верховный суд не согласился с таким решением и заявил, что иски о защите персональных данных должны решаться в порядке гражданского судопроизводства с учетом ссылки в Гражданском процессуальном кодексе Российской Федерации.Кроме того, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (Закон о персональных данных) позволяет Роскомнадзору предъявлять иски и представлять интересы физических лиц в суде.

Несмотря на то, что Закон о персональных данных не содержит четких положений относительно его территориального охвата, толкование Верховного суда демонстрирует экстерриториальный принцип в отношении сферы действия Закона о персональных данных. Иностранным компаниям следует учитывать вопросы юрисдикции при обработке персональных данных граждан России.

Определение Судебной коллегии по гражданским делам Верховного Суда Российской Федерации от 14 июля 2020 г. № 58-KG20-2

Российские законы о защите данных: Основное руководство по требованиям соответствия в России

Российский ландшафт защиты данных

Защита личных данных — это чувствительная область, требующая пристального внимания для компаний, выходящих на российский рынок. Это особенно актуально для банков и финансового сектора, медицинских фондов, индустрии туризма и всех видов электронной коммерции.

Несмотря на то, что российский рынок обладает значительным потенциалом для иностранных компаний, глобальные бизнес-игроки рассматривают российские законы о локализации данных как серьезное препятствие для расширения своего бизнеса в этом регионе.

Иностранные компании, работающие в стране, сталкиваются с различными законами и законами о конфиденциальности данных, которые регулируют обработку личных данных граждан. Несоблюдение этих законов может повлечь за собой штрафы, а также другие административные ограничения.

На этой странице содержится краткое руководство по соблюдению положений российского законодательства о конфиденциальности данных , которое будет полезно как для иностранных компаний, работающих в России, так и для планирующих свою деятельность.

Законы о локализации данных в России

Какие национальные законы регулируют сбор, использование и раскрытие персональных данных?

Основными законами, регулирующими защиту и конфиденциальность персональных данных в России, являются:

Основной закон в этой области, и основное внимание в этой статье уделяется Закону о персональных данных FZ 152 .

Как соблюдать законодательство о персональных данных в Российской Федерации

ФЗ 152 может повлиять на ваш бизнес как в том случае, если он находится в России, так и за пределами России, но вашими клиентами являются граждане России.Давайте рассмотрим некоторые часто задаваемые вопросы о Законе 152 ФЗ.

В каких случаях требование об использовании сервера в России распространяется на иностранные компании?


В соответствии с законодательством при сборе персональных данных оператор обязан обеспечить учет, систематизацию, накопление, хранение, обновление, извлечение персональных данных граждан Российской Федерации с использованием баз данных, расположенных на территории Российской Федерации. Федерация .

Таким образом, даже если компания работает онлайн, не имеет физического присутствия в России и ее деятельность ориентирована на граждан России, компания должна соблюдать требования закона.

Если ваш сайт находится на зарубежном хостинге, но вы собираете и обрабатываете данные о гражданах Российской Федерации, ваш домен может быть внесен в Реестр нарушителей прав субъектов данных. Реестр ведет Роскомнадзор.

В результате, сбор, обработка и хранение базы персональных данных о гражданах России возможны только на серверах, расположенных в России .


Можно ли передать личные данные партнеру по хранению и защите данных?


Согласно закону ФЗ 152 компаниям разрешено доверять хранение и обработку данных с ограниченным доступом третьей стороне при условии, что центр обработки данных поставщика облачных услуг находится в России.

Персональные данные также могут быть переданы за границу — например, для обработки. Но сначала нужно записать копию на сервере, который физически находится на территории России.



Как ваш партнер по защите данных в России, InCountry соблюдает Федеральный закон № 152 . Мы придерживаемся самых высоких стандартов в отрасли. Вот почему мы постоянно совершенствуем наши решения, опережая последние тенденции, встраивая безопасность в каждый уровень предложений и адаптируясь к последним стандартам соответствия.

Вы должны обеспечить наличие надежной защищенной инфраструктуры личных данных (например, Cloud FZ-152), а также правильность управления данными и организацией доступа к информации внутри организации.


При выборе облака выбирайте поставщиков, сертифицированных для хранения и защиты персональных данных граждан России в соответствии с российским законодательством о защите персональных данных (152-ФЗ), например InCountry. Пожалуйста, проверьте наши сертификаты и лицензии здесь.

Какие основные шаги необходимо предпринять иностранной компании для управления рисками данных и обеспечения соблюдения нормативных требований?

Чтобы управлять рисками, связанными с данными, и обеспечивать соблюдение нормативных требований и регулярное соблюдение конфиденциальности при ведении бизнеса в России, необходимо выполнить следующие действия.

• определение общих бизнес-процессов, потоков данных и соответствующих категорий данных
• назначение местного сотрудника по защите данных (DPO), который будет отвечать за процессы соответствия
• принятие местных политик защиты данных и других необходимых документов о конфиденциальности
• внедрение соответствующих меры безопасности в масштабах компании.
• , обеспечивающие основные соглашения со всеми третьими сторонами и обработчиками данных.
• «Локализация» соответствующей базы данных или ИТ-системы на территории России является обязательной, если персональные данные российских физических лиц собираются в режиме онлайн.

Наконец, мы настоятельно рекомендуем проводить регулярные аудиты защиты данных, чтобы обеспечить постоянное соответствие конфиденциальности данных национальным требованиям и правилам защиты данных. Это поможет соответствовать требованиям при внесении поправок или обновлений в законы.

Каждый этап проекта защиты данных должен быть детально определен с самого начала. Он станет основой для эффективного обслуживания и развития данных в будущем.

Важно помнить, что согласованность обработки персональных данных должна быть четко определена для каждой компании — в рамках ее бизнес-процессов.

Любые изменения в таких процессах — например, в протоколах безопасности, системах доступа персонал ИТ-структуры должен отражать обновления соответствующих политик, ИТ-архитектуры и моделей рисков.

Штрафы за несоблюдение российского законодательства о конфиденциальности данных

Российская Федерация ввела строгие штрафы за несоблюдение требований защиты данных. Штраф за первое нарушение составляет от 33 000 до 100 000 долларов США, за повторное нарушение — от 100 000 до 300 000 долларов США.

С 2019 года Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) проводит регулярные проверки, чтобы убедиться, что компании соблюдают правила.

Следующие правила проведения расследований:

• Операторы персональных данных получают уведомление за 3 дня о плановых проверках и за 24 часа о неожиданных проверках.
• Плановая проверка не может длиться более 20 дней, а неожиданная — не более 10 дней.
• Юридические лица и индивидуальные предприниматели не подлежат проверке в течение первых трех лет после юридической регистрации. Это дает вновь созданным компаниям время для создания процессов комплаенса и подготовки к расследованиям.
• Частота проверок зависит от типов обрабатываемых данных и процедур обработки. Для большинства компаний проверки будут проводиться только раз в 3 года.
• Компании, которые работают с особыми категориями данных (например, биометрия), и операторы, передающие данные в зарубежные страны, могут ожидать расследования каждые 2 года.

Локализация и защита персональных данных в России — почему InCountry — ваш идеальный партнер

Узнайте, почему InCountry — ваш идеальный партнер для управления защитой и соблюдением требований данных в России.

InCountry:

• Соответствие FZ-152
• Соответствие HIPAA
• Сертификат PCI DSS
• Управление вашими данными осуществляется в соответствии с высочайшими стандартами безопасности и конфиденциальности. Мы используем отраслевые стандарты шифрования, чтобы обеспечить безопасность и конфиденциальность ваших данных на каждом этапе нашей деятельности.
• Инфраструктура InCountry надежно управляет вашими регулируемыми данными в Российской Федерации с круглосуточной поддержкой клиентов.
• Партнерство с InCountry — это самый быстрый способ соблюдать правила размещения данных и открывать новые территории, такие как Российская Федерация
• Наши решения могут быть реализованы быстро и экономично, в зависимости от объема настройки и контроля, который вам нужен

По всем дополнительным вопросам обращайтесь к нам по адресу sales @ incountry.com

Защита данных в РФ: обзор

6 августа 2018

Это руководство по вопросам и ответам дает общий обзор правил и принципов защиты данных, в том числе обязательств контроллера данных и согласия субъектов данных; права на доступ к персональным данным или возражение против их сбора; и требования безопасности. Он также распространяется на файлы cookie и спам; обработка данных третьими лицами; и международная передача данных. В этой статье также подробно описывается национальный регулирующий орган; его правоприменительные полномочия; и санкции и средства правовой защиты.

Чтобы сравнить ответы в разных юрисдикциях, посетите инструмент вопросов и ответов о защите данных о странах.

Эта статья является частью глобального руководства по защите данных. Полный список материалов можно найти на сайте global.practicallaw.com/dataprotection-guide.

Постановление

Законодательство

1. Какие национальные законы регулируют сбор и использование личных данных?

Общие законы

Основные положения закона о защите данных и конфиденциальности можно найти в:

— Страсбургская конвенция о защите частных лиц в отношении автоматической обработки персональных данных 2005 г. (Страсбургская конвенция).

— Конституция РФ 1993 г. (статьи 23 и 24).

— Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и защите данных» 2006 г. (Закон о защите данных).

— Федеральный закон № 152-ФЗ «О персональных данных» 2006 г. (Закон о защите персональных данных).

Основным законом в этой области является Закон о защите личных данных.

Отраслевые законы

Положения, касающиеся защиты данных, также можно найти в различных отраслевых законах, например:

— Трудовой кодекс РФ (глава 14).

— Воздушный кодекс России (статья 85.1).

— Федеральный закон № 323 «Об основах охраны здоровья граждан в Российской Федерации».

Существуют также определенные местные административные правила и официальные требования, регулирующие сбор, хранение и использование персональных данных, изданные:

— Президент России.

— Правительство РФ.

— Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

— Федеральная служба по техническому и экспортному контролю (ФСТЭК).

— Федеральная служба безопасности (ФСС).

Сфера действия законодательства

2. На кого распространяется действие закона?

Законы о защите данных применяются ко всем операторам данных и третьим сторонам, действующим с разрешения операторов данных.

Российское законодательство о защите данных не содержит понятий «контролер данных» и «обработчик данных».Однако в Законе о защите личных данных действительно упоминаются понятия «оператор данных» и «лицо, действующее в соответствии с инструкциями» оператора данных.

Оператором данных может быть государственный или муниципальный орган, юридическое или физическое лицо, которое:

— Организует и / или осуществляет (самостоятельно или совместно с другими лицами) обработку персональных данных.

— Определяет цели обработки персональных данных, содержание персональных данных и действия (операции), связанные с персональными данными.

Обработка данных может быть делегирована третьей стороне с согласия субъекта данных, который будет действовать с разрешения оператора данных на основании соответствующего соглашения или на основании специального государственного или муниципального закона.

3. Какие данные регулируются?

Законы о защите данных регулируют все персональные данные, обрабатываемые операторами данных или третьими сторонами. Персональные данные — это любая информация, прямо или косвенно связанная с идентифицированным или идентифицируемым физическим лицом (субъектом данных).

Российское законодательство о защите данных не делает различия между прямыми персональными данными и косвенными персональными данными. Таким образом, личные данные будут рассматриваться как «прямые» или «косвенные» в зависимости от обстоятельств каждого дела.

4. Какие законы регулируются?

Законы о защите данных применяются ко всем актам обработки данных, включая сбор, запись, систематизацию, накопление, хранение, изменение (обновление, модификация), извлечение, использование, передачу (распространение, предоставление, доступ), анонимизацию, блокирование, удаление или уничтожение данных.Электронный (автоматизированный) и ручной (неавтоматический) учет персональных данных и смешанная обработка данных регулируются законодательством о защите данных.

5. Какова юрисдикция правил?

Законы о защите данных не содержат каких-либо явных положений, касающихся их юрисдикции или территориального действия. Следовательно, обычно предполагается, что национальные правила защиты данных применяются к:

— Обработка данных, которая происходит в России или предназначена для России.

— Сбор, хранение и использование персональных данных граждан России (субъектов данных).

Это не зависит от того, где установлены и расположены операторы данных.

В контексте трансграничного потока данных национальное законодательство о защите данных также может применяться в определенной степени, если российское физическое лицо является стороной соглашения о передаче данных или пользовательского соглашения либо дает согласие на обработку своих личных данных. данные от стороннего оператора данных.

Какие основные исключения (если таковые имеются)?

Законы о защите данных не распространяются на следующие действия:

— Обработка персональных данных физическими лицами исключительно для личных и семейных нужд (при условии, что права субъектов данных не нарушаются).

— Организация хранения, сбора, учета и использования архивных документов, содержащих персональные данные, в соответствии с национальным законодательством об архивных фондах и вопросах.

— Обработка персональных данных, которые могут быть отнесены к сведениям, составляющим государственную тайну.

— Предоставление компетентными органами сведений о деятельности судов в России в соответствии с законодательством о судах.

Уведомление

7.Требуется ли уведомление или регистрация перед обработкой данных?

Оператор данных, обрабатывающий персональные данные, должен уведомить Роскомнадзор до начала обработки персональных данных. Уведомление может быть подано оператором данных на бумаге или в электронном виде.

Уведомление должно содержать следующую информацию:

— Имя и адрес оператора данных.

— Цели обработки персональных данных.

— Категории персональных данных.

— категории субъектов данных, данные которых обрабатываются.

— Список разрешенных действий в отношении персональных данных и общее описание методов обработки данных, используемых оператором данных.

— Описание ИТ-систем и мер безопасности (включая шифрование).

— Имя и контактные данные уполномоченного по защите данных.

— Дата начала обработки персональных данных.

— Продолжительность обработки или условия прекращения обработки персональных данных.

— Информация о трансграничной передаче данных.

— расположение базы данных, которая будет содержать персональные данные российских физических лиц (см. Вопрос 21).

Роскомнадзор зарегистрирует оператора данных в течение 30 дней с даты получения соответствующего уведомления (при отсутствии дополнительных вопросов или запросов). Перечисленная выше информация (за исключением описания ИТ-систем оператора данных и соответствующих мер безопасности) становится общедоступной после включения в реестр.Роскомнадзор ведет реестр операторов данных на основе информации, содержащейся в получаемых им уведомлениях. Реестр операторов данных является общедоступным и доступен на русском языке по адресу http://rkn.gov.ru/personal-data/register.

Требование об уведомлении / регистрации применяется к любому оператору данных, который участвует в обработке различных категорий персональных данных на территории России или за ее пределами (или обрабатывает персональные данные граждан России) и использует свою внутреннюю ИТ-систему или базу данных в соответствии с законодательство о защите данных.Однако оператор данных может быть освобожден от этого законодательного требования и иметь возможность обрабатывать персональные данные без уведомления / регистрации при определенных обстоятельствах. Например, где личные данные:

— обрабатывается только в соответствии с трудовым законодательством.

— Получено оператором данных в связи с договором с субъектом данных (физическим лицом) при условии, что персональные данные:

— не передается третьим лицам без согласия физического лица;

— используется только для выполнения контракта или заключения дальнейших контрактов с физическим лицом.

— относится к определенному типу обработки, осуществляемой общественным объединением или религиозной организацией, действующей в соответствии с применимым законодательством, при условии, что личные данные не передаются или не раскрываются третьим лицам без согласия субъекта данных.

— Субъект данных сделал общедоступным.

— Состоит только из фамилии, имени и отчества субъекта данных.

— необходим для предоставления субъекту данных единовременного доступа в помещение, где находится оператор данных.

— Включен в ИТ-системы, которые приобрели статус государственных компьютерных ИТ-систем в соответствии с действующим законодательством, или в государственные ИТ-системы, созданные в целях государственной безопасности и общественного порядка.

— обрабатывается без использования автоматизированных систем в соответствии с действующим законодательством при соблюдении прав субъекта данных.

— обрабатывается в соответствии с законами и постановлениями, касающимися транспортной безопасности.

Уведомление и регистрация не требуют оплаты официальных сборов.

Основные правила и принципы защиты данных

Основные обязательства и потребности в обработке

8. Какие основные обязанности возлагаются на контроллеры данных для обеспечения правильной обработки данных?

Основные обязательства, возлагаемые на операторов данных по обеспечению надлежащей обработки персональных данных, заключаются в следующем:

— Определение категорий персональных данных, целей обработки данных и продолжительности обработки.

— Получение согласия субъекта данных (если иное не предусмотрено законом).

— Назначение сотрудника по защите данных, принятие политики защиты данных (и других необходимых документов) и принятие других соответствующих мер безопасности (особенно юридических, технических и организационных) для предотвращения несанкционированной / незаконной обработки данных и нарушения законодательства о защите данных.

— Размещение центра обработки данных или сервера данных на территории России, если данные российских физических лиц должны обрабатываться оператором данных (см. Вопрос 21).

— Уведомление Роскомнадзора с целью регистрации (если иное не предусмотрено законом) (см. Вопрос 7).

9. Требуется ли согласие субъектов данных перед обработкой персональных данных?

В большинстве случаев перед обработкой персональных данных требуется согласие субъекта данных. Согласие субъекта данных должно быть конкретным, информированным и преднамеренным.

Если иное не предусмотрено законом, согласие субъекта данных может быть получено в любой форме, в том числе в Интернете.Если закон требует, чтобы согласие субъекта данных было дано в письменной форме (например, для обработки биометрических данных), подразумеваемое или предполагаемое согласие не будет считаться действительным.

Электронные подписи разрешены и могут использоваться в соответствии с положениями применимого законодательства о цифровых подписях, если согласие субъекта данных представляет собой электронную форму документа о согласии.

Оператор данных несет бремя доказательства того, что согласие субъекта данных получено.

Нет предписанной или утвержденной формы согласия. Однако Закон о защите личных данных определяет информацию, которая должна быть указана в письменном согласии субъекта данных:

— Имя, отчество, фамилия и адрес субъекта данных, идентификационный номер (например, номер паспорта), дата выдачи идентификатора и орган, выдавший его.

— Имя, отчество, фамилия и адрес представителя субъекта данных, номер удостоверения личности (например, паспорт), дата выдачи удостоверения личности и выданный орган, реквизиты доверенности или другие применимый документ (если согласие было дано представителем субъекта данных).

— Имя, отчество, фамилия и адрес оператора данных.

— Цель обработки данных.

— Список предоставленных персональных данных.

— Имя, отчество, фамилия и адрес любой третьей стороны, которая обрабатывает персональные данные с разрешения оператора данных.

— Список согласованных действий в отношении персональных данных и общее описание методов обработки данных, используемых оператором данных.

— Срок действия согласия субъекта данных и способ его отзыва.

— Подпись субъекта данных.

Обработка персональных данных несовершеннолетних возможна с согласия законного представителя.

10. Если согласие не дано, какими еще основаниями (если таковые имеются) может быть оправдана обработка?

Обработка персональных данных без согласия субъекта данных может быть оправдана при определенных обстоятельствах. Например, если обработка данных требуется для:

— Цели, определенные международным договором или законодательством Российской Федерации.

— Для определенных судебных целей.

— Осуществление определенных полномочий федеральными органами власти, оказывающими государственные и муниципальные услуги.

— соглашение с субъектом данных или соглашение, в котором субъект данных является бенефициаром или поручителем.

— Защита жизни, здоровья или других жизненно важных интересов субъекта данных.

— Защита прав и интересов оператора данных или третьих лиц или в общественных целях, при условии отсутствия нарушений прав и свобод субъекта данных.

— Профессиональная журналистская, медийная, научная, литературная или другая творческая деятельность при условии отсутствия нарушений прав и свобод субъекта данных.

— Статистические или другие научные цели (при условии, что соответствующие персональные данные были анонимны).

— Обработка данных, которые стали общедоступными субъектом данных по его / ее запросу.

— Обязательная публикация или раскрытие в соответствии с действующим законодательством.

Особые правила

11. Применяются ли особые правила к определенным типам персональных данных, например к конфиденциальным данным?

В соответствии с Законом о защите личных данных конфиденциальные данные относятся к любой информации, которая относится к национальности, расовому или этническому происхождению, политическим взглядам, религиозным или философским убеждениям и состоянию здоровья или половой жизни человека. Конфиденциальные данные могут быть обработаны, только если:

— Субъект данных предоставил письменное согласие на обработку данных.

— Субъект данных сделал общедоступными персональные данные.

— Обработка требуется в соответствии с международным договором России о повторном въезде (например, возвращении иммигрантов в страну).

— Обработка ведется по Всероссийской переписи населения.

— Обработка осуществляется согласно соответствующим законам о социальной поддержке, занятости или пенсиях.

— Обработка необходима для защиты жизни, здоровья или жизненно важных интересов субъекта данных или других лиц, при условии, что получить согласие субъекта данных невозможно.

— Обработка выполняется лицом, которое занимается различной медицинской деятельностью в определенных медицинских целях, при условии, что обработка выполняется профессионалом с соблюдением медицинской конфиденциальности.

— Обработка выполняется общественными обществами или религиозными организациями в отношении персональных данных их членов для целей, определенных их учредительными документами, при условии, что персональные данные не передаются третьим лицам без письменного согласия субъекта данных.

— Обработка требуется для установления или обеспечения соблюдения прав субъекта данных или третьих лиц, а также для отправления правосудия.

— Обработка осуществляется в соответствии с законодательством Российской Федерации о государственной обороне, безопасности, борьбе с терроризмом, транспортной безопасности, борьбе с коррупцией, правоприменении, исполнении, уголовном расследовании и судебном преследовании.

— Обработка производится прокуратурой в рамках особого уголовного преследования.

— Обработка производится в соответствии с законодательством о страховании.

— Обработка производится государственными органами, муниципальными учреждениями или организациями для целей усыновления ребенка.

— Обработка производится в соответствии с действующим законодательством о гражданстве.

Обработка конфиденциальных персональных данных (если это разрешено законом) будет немедленно прекращена, если причины для обработки больше не существуют.

Права физических лиц

12.Какая информация должна быть предоставлена ​​субъектам данных в момент сбора персональных данных?

В момент сбора персональных данных субъекту данных должна быть предоставлена ​​следующая информация:

— Цель сбора / обработки данных.

— Объем сбора / обработки данных.

— Срок сбора / обработки данных.

— Подробная информация об операторе данных (или любой третьей стороне, действующей с разрешения оператора данных).

— Иная информация, предусмотренная законом.

13. Какие еще особые права предоставляются субъектам данных?

Субъект данных имеет право на доступ к данным, обрабатываемым оператором данных, и право на получение информации, связанной с обработкой данных, включая:

— Подтверждение обработки данных оператором данных.

— Правовые основания и цели обработки данных.

— Методы и цели обработки данных, используемые оператором данных.

— Имя и местонахождение оператора данных, а также информация о лицах (кроме сотрудников), которые имеют доступ к персональным данным или которым персональные данные могут быть раскрыты в соответствии с соглашением с оператором данных или в соответствии с законом.

— Продолжительность обработки данных, включая продолжительность хранения личных данных.

— Информация о любой завершенной или предполагаемой трансграничной передаче данных.

— Другая информация, предоставленная Законом о защите личных данных и другими законами.

Кроме того, субъект данных имеет право:

— Исправление и блокировка данных.

— Возражение против обработки данных.

— Возражение против прямого маркетинга.

— Возражать против решений, принимаемых исключительно на основе автоматизированной обработки данных.

— пожаловаться на действия или бездействие оператора данных и потребовать возмещения убытков, включая моральный ущерб.

14. Имеют ли субъекты данных право требовать удаления своих данных?

Субъекты данных могут запросить удаление своих персональных данных, если они:

— Незавершенное.

— Устарело.

— Неточно.

— Получено незаконно.

— Не требуется для заявленных целей обработки данных.

Требования безопасности

15. Какие требования безопасности предъявляются к личным данным?

Оператор данных должен принимать необходимые и достаточные меры защиты в соответствии с законодательством о защите данных, включая следующие:

— Назначение сотрудника по защите данных.

— Принятие политики защиты данных и других документов, включая местные / корпоративные правила, предназначенных для предотвращения и обнаружения нарушений законодательства о защите данных.

— Осуществление соответствующих правовых, организационных и технических мер безопасности.

— Осуществление внутреннего контроля и / или аудита для обеспечения соответствия обработки данных законодательству о защите данных и политике, документам и / или местным правилам оператора данных.

— Оценка ущерба, который может быть причинен субъектам данных в случае нарушения законодательства о защите данных.

— Раскрытие соответствующих положений законодательства о защите данных и требований к защите данных, которые определяют его политику, документы и / или местные правила для своих сотрудников.

В любом случае оператор данных должен принять необходимые правовые, организационные и технические меры для защиты персональных данных от любого несанкционированного / незаконного или случайного доступа, уничтожения, модификации, блокирования, копирования, предоставления или распространения, а также от любых других несанкционированных действий в отношении персональных данных.Дополнительные меры безопасности могут быть установлены:

— Обнаружение угроз безопасности при обработке персональных данных в соответствующих ИТ-системах.

— Обеспечение надлежащего уровня защиты обработки персональных данных в соответствующих ИТ-системах.

— Применение различных сертифицированных методов защиты персональных данных (включая шифрование).

— Оценка эффективности мер безопасности (до реализации каких-либо мер безопасности).

— Запись на любой компьютерный носитель, содержащий личные данные.

— Выявление несанкционированного доступа к персональным данным.

— Получение личных данных, которые были изменены или уничтожены из-за несанкционированного доступа.

— Принятие правил, регулирующих доступ к персональным данным, обрабатываемым в соответствующих ИТ-системах, регистрацию и запись всех действий, связанных с персональными данными, в соответствующих ИТ-системах, контроль мер безопасности в отношении персональных данных и уровень защиты соответствующие ИТ-системы.

16. Существует ли требование об уведомлении субъектов данных или национального регулирующего органа о нарушениях безопасности личных данных?

Как правило, закон не требует сообщать об утечке данных субъектам данных или Роскомнадзору.

При обнаружении или обнаружении несанкционированной обработки личных данных оператор данных (или соответствующее уполномоченное лицо) должен прекратить обработку в течение трех рабочих дней.

Если невозможно преобразовать несанкционированную обработку персональных данных в законную обработку, оператор данных должен уничтожить персональные данные в течение десяти рабочих дней.

После прекращения обработки персональных данных или уничтожения персональных данных оператор данных должен уведомить субъекта данных (или его представителя).

Если запрос о прекращении или уничтожении был сделан Роскомнадзором, уведомление должно быть отправлено в Роскомнадзор.

Обработка третьими сторонами

17. Какие дополнительные требования (если есть) применяются, когда третья сторона обрабатывает данные от имени контроллера данных?

Субъект данных должен дать согласие на передачу персональных данных третьим лицам.Третьи стороны подчиняются тем же юридическим требованиям и обязательствам, что и операторы данных, и должны соблюдать правила обработки данных, определенные законом. Оператор данных будет нести ответственность за все действия или бездействие третьих лиц, действующих с его разрешения, в то время как соответствующие третьи стороны будут нести ответственность перед оператором данных за любое нарушение данных.

Электронная связь

18. При каких условиях контроллеры данных могут хранить файлы cookie или аналогичные устройства на оконечном оборудовании субъекта данных?

Закон не определяет «куки».Также отсутствуют официальные инструкции Роскомнадзора (или другого государственного органа) по использованию, применению или распространению файлов cookie.

В соответствии с Законом о защите данных лицо, распространяющее информацию, должно предоставить адресату явную возможность отклонить информацию (при использовании метода, позволяющего идентифицировать адресата), в том числе при отправке обычных почтовых и электронных сообщений. Поэтому обычно предполагается, что для всех типов файлов cookie требуется согласие субъекта данных (в отсутствие более конкретного законодательства по этому вопросу).

19. Какие требования предъявляются к рассылке нежелательных электронных коммерческих сообщений (спама)?

Незапрашиваемые электронные коммерческие сообщения (спам) в России запрещены. Такие сообщения могут быть отправлены только с предварительного согласия адресата и должны быть немедленно остановлены по его / ее запросу. Несоблюдение этих требований может повлечь за собой различные виды ответственности, в том числе административную.

Международная передача данных

Передача данных за пределы юрисдикции

20.Какие правила регулируют передачу данных за пределы вашей юрисдикции?

Статья 12 Закона о защите личных данных регулирует трансграничные потоки данных. В случае международной передачи персональных данных все операторы данных должны обеспечить (до того, как передача будет произведена), что права и интересы соответствующего субъекта данных полностью защищены надлежащим образом в соответствующей зарубежной стране. Все страны, подписавшие Страсбургскую конвенцию, считаются юрисдикциями, обеспечивающими «адекватную защиту» прав и интересов субъектов данных.Кроме того, Роскомнадзор принял официальный список стран (включая Австралию, Аргентину, Канаду, Израиль, Мексику и Новую Зеландию), которые обеспечивают адекватный уровень защиты для целей трансграничной передачи персональных данных.

Международная передача данных в любую юрисдикцию с адекватным уровнем защиты не подлежит никаким ограничениям при условии получения согласия соответствующего субъекта данных.

Трансграничная передача персональных данных в страны, которые не обеспечивают должного уровня защиты, разрешена только в том случае, если:

— Получено письменное согласие соответствующего субъекта данных.

— Трансграничная передача данных разрешена международным договором, участником которого является Россия.

— Трансграничная передача данных разрешена в соответствии с действующим законодательством, если это необходимо для целей:

— защита конституционного строя России;

— защита обороны государства и безопасности государства;

— обеспечение технического обслуживания транспортной системы России и защита интересов граждан, общества и государства в транспортном секторе от незаконного вторжения.

— Трансграничная передача данных осуществляется для выполнения контракта, стороной которого является субъект данных.

— Трансграничная передача данных необходима для защиты жизни, здоровья или других жизненно важных интересов субъекта данных, и получить его / ее предварительное согласие в письменной форме невозможно.

Обычно компании, действующие в качестве операторов данных, проверяют адекватный уровень защиты данных перед передачей любых личных данных за границу.Кроме того, компании получат письменное согласие от соответствующих субъектов данных или заключат международные соглашения о передаче данных с соответствующими субъектами данных. Следуя этим шагам, компании будут осуществлять трансграничную передачу данных в соответствии со своими внутренними корпоративными правилами или политиками (если применимо).

21. Есть ли требование хранить (определенные типы) персональных данных внутри юрисдикции?

21 июля 2014 г.242-ФЗ о внесении изменений в некоторые законодательные акты Российской Федерации по разъяснению порядка обработки персональных данных в информационных и телекоммуникационных сетях (Новый Закон о защите данных), вступивший в силу 1 сентября 2015 года.

Новый закон о защите данных вносит поправки в Закон о защите личных данных, главным образом, путем введения:

— Определенные новые обязанности операторов данных в отношении сбора, хранения и обработки персональных данных граждан (физических лиц) России.

— Новый механизм для Роскомнадзора по блокировке веб-сайтов и онлайн-ресурсов, незаконно обрабатывающих персональные данные граждан (физических лиц) России.

В частности, Новый Закон о защите данных вводит обязанность всех операторов данных обеспечивать запись, систематизацию, накопление, хранение, изменение и извлечение персональных данных граждан России с использованием центров обработки данных, расположенных на территории Российской Федерации. в процессе сбора соответствующих персональных данных физических лиц, в том числе через Интернет.Это означает, что любые персональные данные граждан России, собираемые операторами данных, должны храниться на серверах, ИТ-системах, базах данных или центрах обработки данных, расположенных в России.

В Новом Законе о защите данных это прямо не оговаривается, но требование интерпретируется как запрещающее хранение персональных данных граждан России за пределами России (без предварительного размещения персональных данных граждан России в России). Таким образом, при буквальном толковании Нового Закона о защите данных местные и иностранные компании (операторы данных) должны обрабатывать или организовывать обработку персональных данных российских граждан в первую очередь в России при соблюдении всех других общих требований законодательство о защите данных.

В целом Новый закон о защите данных не предусматривает:

— Запретить доступ к серверам, ИТ-системам или дата-центрам, находящимся на территории России, из-за границы.

— установить какие-либо особые ограничения на последующую передачу, в том числе за границу, персональных данных, относящихся к гражданам России.

— Запретить копирование персональных данных граждан России на зарубежные базы данных или серверы.

Договоры передачи данных

22.Предусматриваются или используются ли соглашения о передаче данных? Были ли утверждены какие-либо стандартные формы или прецеденты национальными властями?

Соглашения о передаче данных специально не регулируются законом, но они широко используются на практике, особенно когда в них участвуют иностранные стороны. Роскомнадзор не принял стандартную форму договора о передаче данных. Таким образом, любое соглашение о передаче данных будет составлено в соответствии с конкретными обстоятельствами и подписано сторонами в соответствии с основным принципом свободы контактов.

23. Достаточно ли соглашения о передаче данных для легитимации передачи или должны быть выполнены дополнительные требования (например, необходимость получения согласия)?

Соглашения о передаче данных обычно достаточно для узаконивания международной передачи личных данных при условии, что согласие субъекта данных прямо указано в таком соглашении или приложено к нему. В некоторых случаях соглашения о передаче данных будут заключаться в виде трехсторонних договоров.

Кроме того, оператор данных должен уведомить Роскомнадзор о своем праве на трансграничную передачу данных во время отправки уведомления для целей регистрации.

24. Должен ли соответствующий национальный регулирующий орган утверждать соглашение о передаче данных?

Роскомнадзору не нужно утверждать или регистрировать договор о передаче данных. Соглашение о передаче данных должно быть подписано соответствующим оператором данных, третьим лицом и субъектом данных в письменной форме, чтобы оно было эффективным и имеющим исковую силу.

Правоприменение и санкции

25. Каковы правоприменительные полномочия национального регулирующего органа?

Роскомнадзор наделен определенными правоприменительными полномочиями и несет ответственность за следующее:

— Отправка запросов физическим / юридическим лицам и получение необходимой информации по обработке данных.

— Проведение проверок и проверка информации, содержащейся в уведомлениях об обработке персональных данных, представленных операторами данных, или взаимодействие с другими государственными органами для этой конкретной цели.

— Исправление, блокирование или уничтожение ложных или незаконно полученных личных данных.

— Ограничение доступа к данным, которые обрабатываются с нарушением законодательства о защите данных (см. Вопрос 21).

— Приостановка или прекращение обработки личных данных, инициированной нарушением законодательства о защите данных.

— Подача гражданских исков в компетентные суды для защиты прав субъектов данных и представления интересов субъектов данных в суде.

— Подача ходатайств в ФСТЭК, ФСС и другие государственные органы с целью приостановления действия или аннулирования соответствующих лицензий.

— Подача материалов в прокуратуру и другие правоохранительные органы для возбуждения уголовных дел о нарушениях данных.

— Выдача обязательных постановлений и привлечение виновных к административной ответственности.

26. Каковы санкции и средства правовой защиты за несоблюдение законов о защите данных?

В России несоблюдение законов о защите данных обычно карается:

— Гражданские санкции (например, возмещение морального вреда).

— Административные санкции (например, административные штрафы).

— Уголовные санкции (например, лишение свободы).

Российское законодательство о защите данных в последние годы было достаточно жестким, и субъекты данных направили много жалоб в Роскомнадзор. Также растет число жалоб со стороны операторов данных на приказы и решения Роскомнадзора о наложении различных санкций на операторов данных и блокировке их интернет-ресурсов. В результате национальная судебная практика и судебная практика в отношении санкций за несоблюдение российского законодательства о защите данных продолжает постоянно развиваться.

Поправки к соответствующим законам о защите данных и Кодексу Российской Федерации об административных правонарушениях вступили в силу 1 июля 2017 года, существенно усилив административные санкции за утечку данных. Нарушения защиты данных подразделяются на следующие типы нарушений конфиденциальности, которые подлежат следующим административным штрафам (если нарушение не является преступлением):

— Обработка персональных данных в случаях, не предусмотренных действующим законодательством, и обработка персональных данных, несовместимая с целями обработки (вместо штрафа может быть вынесено предупреждение):

— физические лица: от 1 000 до 3 000 рублей;

— индивидуальные предприниматели: от 5 000 до 10 000 рублей;

— должностные лица компании и государственные служащие: от 5 000 до 10 000 рублей;

— компании: от 30 000 до 50 000 рублей.

— Обработка персональных данных осуществляется без письменного согласия субъекта данных в случаях, когда такое согласие необходимо, или с письменного согласия, не соответствующего обязательным требованиям:

— физические лица: от 3000 до 5000 рублей;

— индивидуальные предприниматели: от 10 000 до 20 000 рублей;

— должностные лица компании и государственные служащие: от 10 000 до 20 000 рублей;

— компании: от 15 000 до 75 000 рублей.

— Отсутствие публикации или предоставления доступа к политике конфиденциальности или информации о требованиях к защите персональных данных (вместо штрафа может быть вынесено предупреждение):

— физические лица: от 700 до 1 500 рублей;

— индивидуальные предприниматели: от 5 000 до 10 000 рублей;

— должностные лица компании и государственные служащие: от 3 000 до 6 000 рублей;

— компании: от 15 000 до 30 000 рублей.

— Непредоставление индивидуальной информации об обработке своих персональных данных (вместо штрафа может быть вынесено предупреждение):

— физические лица: от 1000 до 2000 рублей;

— индивидуальные предприниматели: от 10 000 до 15 000 рублей;

— должностные лица компании и государственные служащие: от 4 000 до 6 000 рублей;

— компании: от 20 000 до 40 000 рублей.

— Невыполнение (в установленный срок) запроса на уточнение, блокирование или уничтожение персональных данных (в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или ненужными для заявленной цели обработки данных) (a вместо штрафа может быть вынесено предупреждение):

— физические лица: от 1000 до 2000 рублей;

— индивидуальные предприниматели: от 10 000 до 20 000 рублей;

— должностные лица компании и государственные служащие: от 4 000 до 10 000 рублей;

— компании: от 25 000 до 45 000 рублей.

— Несоблюдение требований безопасности при хранении материальных носителей, содержащих личные данные, и несанкционированный доступ, который приводит к незаконному или случайному доступу к личным данным или их уничтожению, изменению, блокированию, копированию, отправке или распространению:

— физические лица: от 700 до 2000 рублей;

— индивидуальные предприниматели: от 10 000 до 20 000 рублей;

— должностные лица компании и государственные служащие: от 4 000 до 10 000 рублей;

— компании: от 25 000 до 50 000 рублей.

— Несоблюдение государственным или муниципальным органом обязательства по обезличиванию персональных данных или соблюдение методов или требований анонимности (вместо штрафа может быть вынесено предупреждение): от 3000 до 6000 рублей.

Если Роскомнадзор расследует и выявляет какие-либо нарушения данных, он имеет право:

— Возбуждение дела об административном правонарушении.

— Составить протокол об административном правонарушении в отношении нарушителя.

— Довести дело об административном правонарушении до суда.

— Детали регулятора

Детали регулятора

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)

http://eng.rkn.gov.ru

Основные сферы ответственности. Надзор за законной обработкой данных, прием уведомлений, выполнение регистрации и ведение реестра операторов данных, проведение проверок и правоприменения, принятие официальных положений и руководств.Сайт доступен на английском и русском языках.

Интернет-ресурсы

Роскомнадзор

http://rkn.gov.ru

Описание. Русская версия официального сайта Роскомнадзора. На веб-сайте содержится официальная и актуальная информация о нормах защиты данных, правоприменении и законодательстве в России. На сайте также есть доступ к специальному порталу защиты данных, онлайн-реестру операторов данных и годовым отчетам о деятельности Роскомнадзора.

http://eng.rkn.gov.ru

Описание. Англоязычная версия официального сайта Роскомнадзора. Сайт содержит официальный перевод некоторых страниц русской версии официального сайта Роскомнадзора, а также некоторые юридические аспекты и новости, связанные с защитой данных в России.

http://eng.pd.rkn.gov.ru

Описание. Официальный англоязычный портал защиты данных, поддерживаемый Роскомнадзором. Портал содержит годовые отчеты о деятельности Роскомнадзора, определенную информацию о международной деятельности Роскомнадзора (и его представителей), а также перечень национального и международного законодательства о защите данных.

Вопросы и ответы о странах в области практического права от Thomson Reuters

Сергей Медведев




Политика обработки персональных данных — Sterngoff Audit

Политика обработки персональных данных Sterngoff Audit

1. Общие положения.
   1. Настоящая Политика обработки персональных данных (далее — Политика) разработана в соответствии со статьей 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и распространяется на все персональные данные, которые администрация сайта sterngoff.com ООО «Стернгофф Аудит» (далее — Администрация) может получать от владельцев персональных данных.
   2. Политика применяется к персональным данным, полученным до или после подписания настоящей Политики.
2. Состав подлежащих обработке персональных данных.
   1. Информация, составляющая персональные данные, определяется Администрацией как любая информация, которая относится к прямо или косвенно идентифицированному или идентифицируемому физическому лицу (владельцу персональных данных).
   2. Персональные данные — следующие данные, полученные от владельцев персональных данных:
      • Имя, отчество и фамилия владельца персональных данных.
      • Адрес владельца персональных данных.
      • Телефон (а) владельца персональных данных.
      • Прочие личные данные.
3. Требования законодательства к обработке персональных данных.
   1. Администрация обрабатывает персональные данные владельцев персональных данных в соответствии с: Конституцией Российской Федерации; статьи 86–90 Трудового кодекса Российской Федерации; статья 6 (абзац второй части первой) Федерального закона от 28.07.2012 г.От 27 июля 2006 г. № 152-ФЗ «О персональных данных».
4. Цели обработки персональных данных.
   1. Администрация обрабатывает персональные данные владельцев персональных данных в следующих целях:
      • Выполнение обязательств, возложенных на Администрацию и связанных с выполнением любых запросов, поступающих от владельцев персональных данных через онлайн-формы сайта sterngoff.com.
      • Обеспечение уведомления владельца персональных данных о любых мероприятиях, проводимых Администрацией.
5. Права и обязанности.
   1. Права и обязанности администрации.
      1. Администрация как оператор персональных данных имеет право:
         • Защита интересов в суде.
         • Предоставить персональные данные владельцев персональных данных, если это требуется действующим законодательством (в налоговые, правоохранительные и другие органы).
         • Отказать в предоставлении персональных данных в случаях, предусмотренных законодательством.
         • Использовать персональные данные владельца персональных данных без его согласия, если это требуется законодательством
           .
      2. Администрация как оператор персональных данных обязана:
         • Принять меры, необходимые и достаточные для выполнения обязательств, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и другими нормативными актами, введенными в соответствии с последним. .
   2. Права владельца персональных данных.
      1. Владелец персональных данных имеет право:
         • Требовать обновления, блокировки или уничтожения своих персональных данных, если такие персональные данные являются неполными, устаревшими, ненадежными, незаконно полученными или не требующимися для запрошенной цели обработки, а также обеспечивать выполнение любых юридических действий для защиты своих прав.
         • Запросить список своих персональных данных, обрабатываемых Администрацией, и их источник.
         • Получение информации о сроках обработки своих персональных данных, включая срок их хранения.
         • Запросить уведомление всех лиц, которые ранее получили свои неверные или неполные персональные данные, об удалении, изменении или дополнении их персональных данных.
         • Обжаловать любые незаконные действия или бездействие, совершенные при обработке их персональных данных, в орган, ответственный за защиту прав владельцев персональных данных, или в суд.
         • Защищать свои права и законные интересы, в том числе требовать возмещения и (или) компенсации нематериального ущерба в суд.
6. Принципы и условия обработки персональных данных.
   1. Администрация обрабатывает персональные данные на следующих принципах:
      • Законность и справедливость целей и способов обработки персональных данных, соответствие обработки персональных данных целям, определенным и объявленным в процессе сбора персональных данных, а также полномочиям Администрации .
      • Соответствие объема и характера обрабатываемых персональных данных и способов обработки персональных данных целям обработки персональных данных.
      • Надежность персональных данных, их достаточность для целей обработки, недопустимость сбора персональных данных в объеме, превышающем цели, заявленные в ходе сбора персональных данных.
      • Недопустимость агрегирования баз данных, содержащих персональные данные и разработанных для несовместимых целей.
      • Хранение персональных данных в форме, позволяющей определить владельца персональных данных не дольше периода, необходимого для цели обработки
      • Уничтожение при достижении целей сбора персональных данных и в случае утраты возможности их достижения.
   2. Обработка персональных данных осуществляется в соответствии с условиями, предусмотренными законодательством Российской Федерации.
7. Защита персональных данных.
   1. В процессе обработки персональных данных Администрация принимает все необходимые правовые, организационные и технические меры и обеспечивает их выполнение с целью защиты персональных данных от несанкционированного или случайного доступа, уничтожения, изменения, блокировки, копирования, отправки, распространение персональных данных, а также любые другие противоправные действия, связанные с персональными данными.
8. Заключительные положения.
   1. Настоящая Политика является внутренним документом Администрации, общедоступным и подлежит публикации на официальном сайте Администрации.
   2. В настоящую Политику могут вноситься изменения, корректировки в случае введения каких-либо новых правовых актов и специальных нормативных актов, связанных с обработкой и защитой персональных данных.
   3. Администрация осуществляет контроль за соблюдением требований настоящей Политики.
   4. Ответственность сотрудников Администрации, ответственных за обработку персональных данных и имеющих к ним доступ, за невыполнение требований любых норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации. Российская Федерация и внутренние документы Администрации.

Российская Федерация — Закон № 99-ФЗ от 7 мая 2013 г. о внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц в отношении автоматических Обработка персональных данных »и Федерального закона« О персональных данных ».

Закон

Имя:	Закон №99-ФЗ от 7 мая 2013 г. о внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц в отношении автоматической обработки персональных данных» и Федерального закона. «О персональных данных».
Страна:	Российская Федерация
Тема (и):	Права человека; Трудовой договор
Тип законодательства:	, Закон
Дата принятия:	2013-05-07
Вступление в силу:
ISN:	RUS-2013-L-96084
Ссылка:	https: // www.ilo.org/dyn/natlex/natlex4.detail?p_isn=96084&p_lang=en
Библиография:	Законодательство Он-лайн Совет Федерации Российской Федерации, Российская Федерация PDF на русском языке (дата консультации 26 мая 2014 г.)
Аннотация / Цитирование:	вносит поправки, в частности, в Трудовой кодекс, в частности отменяет статью 85; перефразирует абзац. 4 статьи 86, в которой указано, что работодатель не имеет права получать и обрабатывать информацию о работниках в отношении определенных категорий персональных данных.Вносит незначительные изменения формулировок в статью 90 (Ответственность за нарушение правил, касающихся обработки и защиты личной информации сотрудника).
Измененный текст :
Связанный текст :

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

% PDF-1.7 % 2 0 obj > / Метаданные 4 0 R / Страницы 5 0 R / StructTreeRoot 6 0 R / Тип / Каталог / ViewerPreferences 7 0 R >> эндобдж 4 0 obj > транслировать Microsoft® Word для Office 365

1. Екатерина В Морозова
2. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Microsoft® Word для Office 3652020-04-03T19: 11: 53 + 03: 002020-04-03T19: 12: 24 + 03: 00uuid: A77F3728-86A5-4736-96E6-F935B27605F6uuid: A77F3728-86A5-4736-96E6-F935B27605F6 конечный поток эндобдж 12 0 объект > транслировать xko6 {} ꭊ * «% # AKrwF + z>» m & @ j = QUOxuQW ~ (b`uU] ׊. lf / 7C9oge +? } _E / _JxHVM! I ޽ G

GDPR в сравнении с Федеральным законом РФ «О персональных данных»

Правительства разных стран все больше внимания уделяют Интернету: они занимаются борьбой с пиратством в СМИ, пропагандой и распространением запрещенных товаров. Использование Интернета во всех сферах жизни и объем содержащихся в нем личных данных породили очень важную тенденцию — защиту личных данных (ПД) физических лиц. Желание государства регулировать эту сферу вполне естественно.В этой статье мы сравниваем российский и европейский подходы к защите права личности на неприкосновенность частной жизни.

Законы и правила России и ЕС

Основными документами, регулирующими работу с персональными данными, являются принятый в 2006 году Федеральный закон № 152 РФ и Европейский общий регламент о защите персональных данных (GDPR), вступивший в силу 25 мая 2018 года.

Российское законодательство определяет персональные данные как любую информацию, относящуюся прямо или косвенно к определенному или идентифицируемому лицу (субъекту ПДн). Также есть понятие оператора ПД. Это относится к лицам и организациям, участвующим в обработке ПД. Обработка — это любое действие, выполняемое с персональными данными.

Термины, введенные в GDPR, очень похожи, но есть и серьезные различия. Например, определение персональных данных и их характеристик в GDPR гораздо шире. Это сделано для исключения недоразумений, если неясно, относится ли информация к ПД или нет. В отличие от 152-ФЗ, где есть концепция оператора ПД, GDPR имеет «контроллер» и «процессор».Согласно GDPR, контроллеры определяют цели и средства обработки, в то время как обработчики от их имени непосредственно занимаются обработкой.

Основные отличия 152-ФЗ от GDPR

Имея дело с личными данными, вы должны убедиться, что они правильно обрабатываются и защищены. Организация обязана назначить лицо, ответственное за обработку персональных данных — этот пункт распространен в российских и европейских правилах.В GDPR есть понятие Data Protection Officer — он подчиняется напрямую высшему руководству компании, но, в отличие от 152-ФЗ, эту задачу можно поручить стороннему подрядчику (юридическому лицу).

В России организации обязаны наладить процессы обработки персональных данных в соответствии с законодательством Российской Федерации: создавать и внедрять системы защиты, уведомлять Роскомнадзор. Необходимо получить согласие субъектов ПД (в том числе при передаче их ПД третьим лицам), подготовить и опубликовать соответствующие положения на сайте.Кроме того, согласно закону о локализации 242-ФЗ, базы персональных данных находятся на территории России.

GDPR не требует обязательного хранения личных данных в странах ЕС. Хотя европейские правила во многом перекликаются с российским законодательством, существуют серьезные различия в отношении трансграничной передачи ПД — это возможно только в тех странах, которые, по мнению Европейского Союза, должным образом защищают личные данные.

Согласно 152-ФЗ, трансграничная передача разрешена всем странам, присоединившимся к Конвенции Совета Европы о защите физических лиц в отношении автоматической обработки персональных данных, а также ряду неприсоединившихся государств. обеспечивающие защиту частичных разрядов.

Российское законодательство разрешает сбор персональных данных в объеме, соответствующем целям обработки, и их хранение в течение периода, необходимого для целей обработки.Согласно GDPR, правовой основой для обработки PD является договор, согласие, общественный, жизненно важный или законный интерес.

Требования по защите

Одним из ключевых отличий GDPR от 152-FZ является защита персональных данных с учетом рисков потенциального ущерба. Если ущерб (психологический, финансовый или материальный) велик и возможен — обработка невозможна.

В российском законодательстве есть только понятие уровня защиты персональных данных.Это зависит от их типа, количества и наличия незаявленных возможностей в системном и прикладном программном обеспечении. В этом случае даются конкретные инструкции по использованию сертифицированных средств защиты (приказ ФСТЭК № 21), а GDPR не имеет таких подзаконных актов.

Статья 25 GDPR требует, чтобы компании создавали системы со встроенной защитой личных данных и системы конфиденциальности по умолчанию — концепция «Конфиденциальность по дизайну и конфиденциальность по умолчанию».

Контроллер данных обязан интегрировать систему защиты данных во все бизнес-процессы (включая процессы разработки продуктов или услуг) на ранней стадии их проектирования, а затем постоянно поддерживать такую ​​систему.Например, при разработке мобильного приложения необходимо проанализировать и предотвратить возможные риски, связанные с конфиденциальностью, и установить механизмы управления такими рисками перед кодированием.

Согласно концепции, лучший способ снизить риски конфиденциальности — не создавать их.

Штрафы за нарушения

Роскомнадзор может приехать в любую организацию с проверкой по результатам систематического мониторинга или по обращению физического лица.Также существуют плановые проверки, список которых размещен на сайте агентства. Если организация не уведомила Роскомнадзор о том, что она является оператором ПД, это не спасет ее от проверок, равно как и формальное оформление готовых документов, загруженных из Интернета, не поможет — Роскомнадзор обязательно проверит информационные системы и выяснит реальную ситуацию.

No related posts.