Обработка персональных данных
Политика ООО «Автопарк-М» в отношении обработки персональных данных (выдержки)
В ООО «Автопарк-М» обеспечивается законность обработки персональных данных и обеспечение их безопасности.
1. Назначение документа
Настоящая политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные положения по обработке персональных данных, принятые в ООО «Автопарк-М» (далее — TMР) Положение о персональных данных.
2. Используемые термины и сокращения
ТМР — ООО «Автопарк-М».
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Субъект персональных данных — физическое лицо, к которому относится информация, содержащая персональные данные.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Машинный носитель информации (машинный носитель персональных данных) — материальный носитель, предназначенный для записи и воспроизведения информации средствами вычислительной техники, а также сопрягаемыми с ними устройствами.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Цели Политики
• Регламентация принципов и основных требований к обработке персональных данных в ТМР;
• Обеспечение доступа субъектов персональных данных к информации, касающейся обработки их персональных данных в ТМР.
4. Описание процесса
6.1 Общие положения
ТМР осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. ТМР организует обработку персональных данных в строгом соответствии с положениями Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Федеральный закон о персональных данных) и других нормативно-правовых актов Российской Федерации. ТМР обеспечивает неограниченный доступ к настоящей Политике
6.2 Принципы обработки персональных данных
ТМР принимает и обеспечивает выполнение следующих принципов обработки персональных данных:
• Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
• Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
• Обработке подлежат только персональные данные, которые отвечают целям их обработки.
• Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
• При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В ТМР принимаются необходимые меры по удалению или уточнению неполных или неточных данных.
• Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
• ТМР, получившее доступ к персональным данным, обязано не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
6.3 Условия и цели обработки персональных данных
6.3.1. Состав персональных данных
В ТМР определен перечень обрабатываемых персональных данных, цели и условия обработки персональных данных. Настоящие положения зафиксированы в документе «Перечень персональных данных», принятом в ТМР.
6.3.2. Основания для обработки персональных данных
Обработка персональных данных в ТМР производится в следующих случаях:
• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на ТМР функций, полномочий и обязанностей;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных необходима для осуществления прав и законных интересов ТМР или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, требующих обязательного обезличивания персональных данных в соответствии с законодательством Российской Федерации.
6.4 Общее описание обработки персональных данных
При обработке персональных данных ТМР совершает следующие действия (операции) или совокупность действий (операций), с использованием средств автоматизации или без использования таких средств с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, не осуществляется. Данные о состоянии здоровья работников обрабатываются в ТМР в соответствии с трудовым законодательством Российской Федерации.
Обработка сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), осуществляется для некоторых категорий субъектов персональных данных исключительно на основании согласия на обработку персональных данных в письменной форме.
Для отдельных категорий персональных данных, обрабатываемых в ТМР, допускается трансграничная передача в государства, обеспечивающие адекватную защиту персональных данных, либо в иные государства с согласия субъекта ПДн в письменной форме
6.5 Сроки хранения и требования к уничтожению персональных данных
Сроки хранения персональных данных в ТМР определены законодательством Российской Федерации и зависят от состава обрабатываемых данных. Перечень сроков хранения зафиксирован в документе «Перечень персональных данных», принятом в ТМР. Персональные данные, обрабатываемые в ТМР, подлежат уничтожению в следующих случаях:
• при достижении целей обработки или в случае утраты необходимости в их достижении;
• при получении соответствующего запроса от субъекта персональных данных, если это не противоречит требованиям к сроку хранения персональных данных либо документв, содержащих персональные данные, установленному федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• при получении соответствующего предписания от уполномоченного органа по защите прав субъектов персональных данных;
• по истечении определенных сроков хранения персональных данных.
6.6 Меры в области обработки и защиты персональных данных
ТМР организует выполнение следующих мер, направленных на обеспечение выполнения обязанностей в области обработки и обеспечения безопасности персональных данных:
• назначение работников, ответственных:
a. за организацию обработки персональных данных;
b. за обеспечение безопасности персональных данных в информационных системах персональных данных.
• издание и внедрение локальных актов ТМР по вопросам обработки и обеспечения безопасности персональных данных, направленных на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных с учетом уровня их защищенности, а именно:
c. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
d. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
e. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
f. учет машинных носителей персональных данных;
g. реализация средств обнаружения фактов несанкционированного доступа к персональным данным и принимаются меры по каждому инциденту;
h. реализация возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
i. установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных ТМР, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
j. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
• осуществление внутреннего контроля соответствия обработки персональных данных требованиям федерального закона о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике ТМР в отношении обработки персональных данных, локальным актам ТМР;
• проведение оценки вреда, который может быть причинен субъектам персональных данных;
• ознакомление работников ТМР, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ТМР в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
• ознакомление работников сторонних организаций, непосредственно осуществляющих обработку персональных данных на территории ТМР, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ТМР в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
6.7 Права субъекта персональных данных
ТМР гарантирует соблюдение прав субъектов персональных данных, определенных федеральным законом о персональных данных, а именно:
• право на уточнение его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
a. подтверждение факта обработки персональных данных ТМР;
b. правовые основания и цели обработки персональных данных;
c. цели и применяемые в ТМР способы обработки персональных данных;
d. место нахождения ТМР, сведения о лицах (за исключением работников ТМР), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ТМР или на основании федерального закона;
e. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
f. сроки обработки персональных данных, в том числе сроки их хранения;
g. порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;
h. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
i. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ТМР, если обработка поручена или будет поручена такому лицу;
j. иные сведения, предусмотренные Федеральным законом о персональных данных.
• права субъекта персональных данных при обработке его персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации;
• права субъекта персональных данных при принятии решений на основании исключительно автоматизированной обработки иго персональных данных; • других, предусмотренных федеральными законами.
Дополнительную информацию, касающуюся обработки и обеспечения безопасности персональных данных, субъект персональных данных может получить, направив официальный запрос ТМР в соответствии с федеральным законом о персональных данных.
1Перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных, определяется в соответствии с Федеральным законом «О персональных данных» и нормативными актами уполномоченного органа по защите прав субъектов персональных данных.
Автоматизированная обработка персональных данных | обработка персональных данных с помощью средств вычислительной техники |
Блокирование персональных данных | временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных) |
Защита персональных данных | комплекс мероприятий технического, организационного и организационно-технического характера, направленных на обеспечение безопасности персональных данных и защиту сведений, относящихся к определенному или определяемому на основании такой информации субъекту персональных данных |
Информационная система персональных данных | совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств |
Информация | сведения (сообщения, данные) независимо от формы их представления |
Конфиденциальность персональных данных | обязательное для соблюдения операторами или иными лицами, получившими доступ к персональным данным, требование о не раскрытии третьим лицам и не распространении персональных данных без согласия субъекта персональных данных |
Обезличивание персональных данных | действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных |
Обработка персональных данных | любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных |
Оператор | Общество |
Персональные данные | любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) |
Предоставление персональных данных | действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц |
Распространение персональных данных | действия, направленные на раскрытие персональных данных неопределенному кругу лиц |
Субъект персональных данных | физическое лицо, вступившее с Обществом в отношения, при которых Обществом обрабатываются персональные данные такого лица. Категории субъектов персональных данных перечислены в разделе 4.3 настоящей Политики |
Трансграничная передача персональных данных | передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу |
Уничтожение персональных данных | действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных |
Глава 3. Права субъекта персональных данных
РОССИЙСКАЯ ФЕДЕРАЦИЯ
ФЕДЕРАЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ
Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года
(в ред. Федерального закона от 23.07.2013 № 205-ФЗ)
Глава 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 14. Право субъекта персональных данных на доступ к его персональным данным
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.
6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
Статья 17. Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Положение об обработке и защите персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ1.1. Настоящее Положение об обработке и защите персональных данных (далее — Положение) устанавливает порядок обработки персональных данных субъектов персональных данных на сайте Общества с ограниченной ответственностью «КБ Стрелка» (ОГРН 1 137 746 792 974, ИНН 7 706 799 444, место нахождения Москва, Берсеневская набережная, д. 14, стр. 5а (далее — Организация) — park-spb.ru Настоящее Положение разработано в соответствии действующим законодательством Российской Федерации.
1.2. Цель разработки Положения — определение порядка обработки персональных данных субъектов персональных данных; обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных в Организации; установление режима конфиденциальности персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Целью обработки персональных данных является выполнение Организацией обязательств перед субъектами персональных данных (пользователями сайта) в отношении использования сайта и его сервисов (включая, но не ограничиваясь):
— обеспечение соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации;
— регистрация субъекта персональных данных на сайте;
— идентификация субъекта персональных данных и установление с ним обратной связи;
— предоставление субъекту персональных данных доступа к использованию функционала сайта, а также осуществление почтовых рассылок;
— проведение аналитики половозрастного состава аудитории сайта с целью понимания ее потребностей и улучшения продуктов, услуг и информационного наполнения (контента) сайта.
— в иных законных целях.
1.4. Организация обрабатывает следующие данные:
— Персональные данные субъекта (пол, электронная почта).
— Технические данные, которые автоматически передаются устройством, с помощью которого пользователь использует сайт, в том числе информация, сохраненная в файлах «cookies».
2. ОСНОВНЫЕ ПОНЯТИЯ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Персональные данные субъектов являются конфиденциальными.
Субъекты персональных данных (субъект; субъекты) — физические лица, являющиеся пользователями сайта Организации.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом Организации в целях принятия решений или совершении иных действий, порождающих юридические последствия в отношении субъектов персональных данных или иных лиц либо иным образом затрагивающие их права и свободы или права и свободы иных лиц.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. СБОР ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Порядок получения персональных данных
3.1.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
3.2. В целях получения персональных данных Организация запрашивает согласие субъекта персональных данных на их обработку, в случаях, установленных законодательством (далее — Согласие).
4. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Хранение и использование персональных данных
4.1.1. Персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
4.1.2. Организация осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимыми в достижении этих целей, если иное не установлено действующим законодательством.
5. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
5.1. Субъекты персональных данных, персональные данные которых обрабатываются Организацией, имеют право:
на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Организацией;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые Организацией способы обработки персональных данных;
4) наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Организацией или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных»;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Организации, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные федеральными законами.
— требовать от Организации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
— осуществлять иные права, предусмотренные законодательством.
5.1.2. Субъект персональных данных обязан своевременно сообщать Организации об изменении своих персональных данных.
5.1.3. Организация обязана сообщить информацию о наличии персональных данных, а также предоставить возможность ознакомления с этими персональными данными в течение 30 (тридцати) дней с даты получения запроса, если иной срок не предусмотрен законодательством. Соответствующий запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведении о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Организация обязана предоставлять сведения о персональных данных субъекту персональных данных или его законному представителю в доступной форме, при этом в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, предусмотренных законом.
6. ЗАЩИТА И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Защита персональных данных
6.1.1. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
6.1.2. Организация при обработке персональных данных обязана принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.1.3. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
6.1.4. Организацией должна быть обеспечена защита персональных данных от неправомерного их использования или утраты.
6.1.5. Для обеспечения защиты персональных данных необходимо соблюдать ряд мер (включая, но не ограничиваясь):
— рациональное размещение рабочих мест работников, при котором исключалось бы несанкционированное использование конфиденциальной информации;
— ознакомление работников Организации с требованиями нормативно — методических документов по защите персональных данных;
— наличие необходимых условий для работы с конфиденциальными документами и базами данных;
— определение и регламентация состава работников, имеющих право доступа к персональным данным;
— определение порядка хранения информации, содержащей персональные данные;
— своевременное выявление нарушения требований законодательство о защите конфиденциальной информации работниками Организации;
— иные меры, требуемые в соответствии с законодательством по обеспечению безопасности персональных данных.
6.1.6. Меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
6.1.7. Организация вправе применять методы технической защиты и иные методы, предусмотренные для защиты персональных данных, не противоречащие законодательству Российской Федерации.
6.2. Уточнение, блокирование и уничтожение персональных данных
6.2.1. В случае выявления неправомерной обработки персональных данных или в случае выявления неточных персональных данных при обращении либо по запросу субъекта персональных данных или его представителя Организация обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование.
6.2.2. В случае подтверждения факта неточности персональных данных Организация на основании сведений, представленных субъектом персональных данных или его представителем, или иных необходимых документов обязана уточнить персональные данные либо обеспечить их уточнение.
6.2.3. В случае достижения цели обработки персональных данных Организация обязана прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные или обеспечить их уничтожение.
6.2.4. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Организация обязана прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение.
7. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
7.1. Право доступа к персональным данным субъектов персональных данных в Организации имеют:
— Директор Организации;
— Назначенные приказом Директора Организации ответственные за организацию обработки персональных данных;
— Сотрудники, осуществляющие обработку персональных данных;
— Сами субъекты персональных данных или уполномоченные представители субъекта;
7.2. Указанные лица имеют право получать доступ только к тем персональным данным, которые им необходимы для выполнения конкретных функций, при этом копировать и делать выписки разрешается только с письменного разрешения ответственного за организацию обработки персональных данных лица, либо по прямому запросу субъекта персональных данных или его уполномоченного представителя.
8. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
8.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, установленных законодательством Российской Федерации, подлежит возмещению в соответствии с законодательством Российской Федерации.
Чистая Слобода | Официальный сайт застройщика
Заказать звонок
Оставьте свои контактные данные, и наш менеджер перезвонит Вам.
Зарегистрироваться
Оставьте свои контактные данные
Записаться на экскурсию
Оставьте свои контактные данные
Заказать бесплатное такси
Оставьте свои контактные данные и желаемое время, и наш менеджер свяжется с вами.
Получить расчет
Оставьте свои контактные данные и получите индивидуальный расчет в ближайшее время.
Банки партнеры
| Банк-партнер | Процентная ставка** | Минимальный первоначальный взнос** |
| от 8,7% | от 10% | |
| от 7,9% | от 10% | |
| от 8,99% | от 20% | |
| от 7,7% | от 10% | |
| от 8,4% | от 15% | |
| от 8,4% | от 15% | |
| от 8,7% | от 15% | |
| от 9,19% | от 15% | |
| от 8,4% | от 15% | |
| от 8,6% | от 10% | |
| от 7,7% | от 10% | |
| от 9,79% | от 15% | |
| от 8,4% | от 15% | |
| от 8,1% | от 10% | |
| от 9,15% | от 15% | |
| от 8,99% | от 20% | |
| от 8,79% | от 15% |
** процентная ставка банка, минимальный первоначальный взнос и срок может меняться в зависимости от дополнительных условий банка, подробности уточняйте у специалистов
*** срок предоставления ипотечного кредита до 30 лет
Банки партнеры
| Банк-партнер | Процентная ставка** | Минимальный первоначальный взнос** |
| 9,2% | от 15% | |
| 8,8% | от 15% | |
| 8,8% | от 20% | |
| 10,25% | от 20% | |
| 8,75% | от 10% | |
| 8,6% | от 20% | |
| 10,6% | от 20% | |
| 9,1% | от 20% | |
| 9,1% | от 20% | |
| 8,5% | от 20% |
** процентная ставка банка, минимальный первоначальный взнос и срок может меняться в зависимости от дополнительных условий банка, подробности уточняйте у специалистов
*** срок предоставления ипотечного кредита до 30 лет
Получить выгодное предложение
Оставьте свои контактные данные
Узнать подробнее
Оставьте свои контактные данные
Получить индивидуальное предложение
Оставьте свои контактные данные
Получить скидку
Оставьте свои контактные данные и наш менеджер свяжется с вами.
Задать вопрос
Оставьте свои контактные данные и наш менеджер свяжется с вами.
Получить консультацию
Оставьте свои контактные данные и наш менеджер свяжется с вами.
Скачать все предложения и планировки
Оставьте свои контактные данные и наш менеджер свяжется с вами.
Запросить оценку квартиры
Оставьте свои контактные данные и информацию о квартире, и наш менеджер свяжется с вами.
Форма регистрации
Оставьте свои контактные данные, и наш менеджер перезвонит Вам.
Забронировать время
Оставьте свои контактные данные и желаемое время, и наш менеджер свяжется с вами.
Забронировать квартиру
Оставьте свои контактные данные и желаемое время, и наш менеджер свяжется с вами.
Узнать цены на квартиры
Оставьте свои контактные данные и желаемое время, и наш менеджер свяжется с вами.
Заявка на экскурсию
Оставьте свои контактные данные и наш менеджер свяжется с вами.
Узнать подробнее
Оставьте свои контактные данные и наш менеджер свяжется с вами.
Отличный выбор!
Чистая Слобода это то место, где жизнь в радость.
Вы находитесь всего в одном шаге от новой квартиры.
Оставьте свои контактные данные, и наш менеджер
перезвонит Вам в самое ближайшее время, поможет
выбрать и забронировать интересующую Вас квартиру.
Записаться на Квартирник
Оставьте свои контактные данные и желаемое время, и наш менеджер свяжется с вами.
Заказать звонок
Оставьте свои контактные данные и желаемое время, и наш менеджер свяжется с вами.
Прийти в гости
Оставьте свои контактные данные и наш менеджер свяжется с вами.
Заявка на услугу
Спасибо за заявку!
Ваша заявка зарегистрирована под номером
Спасибо за заявку. Наш менеджер свяжется с вами в ближайшее время.
Если же Вы не хотите ждать — позвоните по нашему многоканальному телефону +7 (383) 274-37-37 и назовите номер Вашей заявки.
Заявка на подбор
Закон об «общедоступных персональных данных» подписан президентом
Президент РФ подписал закон, вводящий в законодательство понятие «персональные данные, разрешённые субъектом персональных данных для распространения» и дающий гражданину возможность изъять принадлежащие ему персональные данные (ПД) из категории общедоступных.
Законопроект в первоначальном виде, напомним, оперировал термином «общедоступные персональные данные».
Закон направлен на совершенствование механизмов защиты прав и свобод субъектов персональных данных в части, касающейся персональных данных, разрешенных ими для распространения. За исключением отдельных положений закон вступит в силу с 1 марта 2021 года.
Документом устанавливается правило, согласно которому согласие на обработку персональных данных, разрешенных субъектом ПД для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его ПД. При этом оператор персональных данных обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории ПД, указанной в согласии на обработку персональных данных, разрешенных субъектом ПД для распространения.
Предусматривается, что согласие субъекта персональных данных выступает в качестве исключительного правового основания для обработки его персональных данных, ставших общедоступными.
Такое согласие должно содержать перечень информационных ресурсов оператора персональных данных, на которых планируется размещать ПД, разрешённые для распространения. Устанавливается, что молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Предусматривается право субъекта ПД установить запрет на осуществление неограниченным кругом лиц обработки его ПД, разрешённых для распространения, (кроме получения доступа) или условия их обработки, а также устанавливается обязанность оператора персональных данных публиковать информацию об имеющихся условиях и запретах в отношении ПД, разрешенных для распространения.
Кроме того, предусматривается право субъекта персональных данных обратиться к любому лицу, обрабатывающему его персональные данные, с требованием удалить их из общего доступа без дополнительных условий.
Что такое личные данные GDPR и кто является субъектом данных GDPR?
Два наиболее часто задаваемых вопроса о GDPR, особенно от организаций, не входящих в ЕС:
Если вы задавали эти вопросы, но не можете найти четкого ответа, вы не одиноки. Ответ на эти вопросы может определить, применим ли GDPR к вашей организации и в какой степени.
Давайте подробнее рассмотрим персональные данные GDPR и их субъекты со всем, что вам нужно знать на высоком уровне, начиная с пары основных определений.
Что такое физическое лицо согласно GDPR?
Согласно GDPR, физическое лицо — это живой, дышащий человек. Физические лица противопоставляются юридическим лицам, которые не являются физическими лицами, но имеют некоторые из своих юридических прав. Примеры включают корпорации и партнерства. GDPR защищает личные данные субъектов данных, которые являются физическими лицами. Однако как физические, так и юридические лица могут быть операторами и обработчиками данных.
Что такое личные данные GDPR?
В статье 4 (1) GDPR прямо говорится, что «персональные данные» означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу, которое может быть прямо или косвенно идентифицировано.Сюда входят:
- Имя
- Идентификационный номер
- Данные о местоположении
- Физический адрес
- Адрес электронной почты
- IP-адрес
- Тег радиочастотной идентификации
- Фотография
- Видео
- Запись голоса
- Биометрические данные (сетчатка глаза , отпечаток пальца и т. д.)
- Сетевой идентификатор одного или нескольких факторов, специфичных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности физического лица.
Есть несколько проблем, которые не позволяют однозначно определять персональные данные в соответствии с GDPR, в том числе:
Данные с устройствВ Recital 30 говорится, что есть некоторые онлайн-идентификаторы, предоставляемые устройствами и приложениями. , инструменты и протоколы, оставляющие следы, которые в сочетании с уникальными идентификаторами и другой информацией могут использоваться для идентификации физических лиц. Это расширяет традиционный объем и определение персональных данных, чтобы устранить общую непрозрачность, когда дело доходит до использования данных с устройств и Интернета вещей.
Косвенная идентификацияОтдельный элемент может не считаться персональными данными в некоторых контекстах, но когда он используется в сочетании с другими элементами, он может идентифицировать субъект данных. Понимание того, какие персональные данные подпадают под GDPR, — это не просто знание списка элементов; он рассматривает, что вы можете сделать с этими элементами, если будете использовать их вместе.
Персональные данные, которые не всегда являются Персональными даннымиЕсли у вас есть общее имя, настолько, что 500 000 человек в одной стране носят одно и то же имя, то это имя может не быть личными данными само по себе.Опять же, когда имя используется в сочетании с именем работодателя или номером телефона, данные с большей вероятностью идентифицируют человека, и, следовательно, сочетание очень общих данных и более конкретных данных может составлять личные данные в соответствии с GDPR. .
Предполагаемые и производные данныеСтатья 29 Рабочая группа по защите данных утверждает, что «кредитный рейтинг или результат оценки состояния здоровья пользователя являются типичным примером предполагаемых данных» и являются персональными данными, которые «не подпадают под действие права на переносимость данных.«Если мы расширим концепцию, согласно которой производные данные — это персональные данные, которые не подпадают под действие всего GDPR, данные из права на переносимость данных на всю полноту GDPR, то у нас может появиться дополнительная лазейка или исключение для соблюдения GDPR.
Анонимные данныеОдно ясно о персональных данных GDPR. В статье 26 говорится, что анонимные данные не подпадают под действие требований закона.
Несмотря на проблемы, мы знаем, что определение того, какие персональные данные подпадают под GDPR, зависит от элемента, контекста и разумной вероятности идентификации, создаваемой этими данными.
Определение субъектов данных в соответствии с GDPR
Проблема вот в чем: в законе используется термин «субъект данных», но нет его определения. Некоторые могут предположить, что субъекты данных являются гражданами ЕС, но этот анализ, похоже, исключает явные формулировки закона и практические соображения. Есть туризм, путешествия, проживание, студенты за границей и многое другое.
Поскольку GDPR использует несовместимые квалификаторы при обращении к субъектам данных и неофициальные описания того, кто является субъектом данных, общественность столкнулась с различными интерпретациями и серьезными проблемами.
При рассмотрении закона вы можете увидеть несколько различных толкований:
- Статья 3 (2) гласит : «Настоящий Регламент применяется к обработке персональных данных субъектов данных , которые находятся в Союзе …»
- Изложение 2 становится немного более детальным, чем статья 3 (2): «Принципы и правила защиты физических лиц в отношении обработки их персональных данных должны, , независимо от их национальности или места жительства , уважать их основные права и свободы, в частности их право на защиту личных данных.
- В декларации 14 указано : «Защита, предоставляемая настоящим Регламентом, должна применяться к физическим лицам, независимо от их национальности или места жительства , в отношении обработки их персональных данных».
- Изложение 24 гласит : «Обработка персональных данных субъектов данных , которые находятся в Союзе , контроллером или процессором, не зарегистрированным в Союзе, также должна подпадать под действие настоящего Регламента, когда это связано с мониторингом поведение таких субъектов данных в , поскольку их поведение имеет место в рамках Союза .”
Кто является субъектом данных GDPR?
Исходя из формулировки приведенного выше закона, мы обычно видим пять определений, предлагаемых для «субъектов данных», варьирующихся от любых личных данных, физически находящихся в ЕС, до граждан ЕС.
- Резидент ЕС
- Гражданин ЕС
- Резидент / гражданин ЕС, находящийся где угодно
- Личные данные в ЕС
Субъект данных — любое лицо, физически находящееся в границах ЕС, чьи данные обрабатываются, пока это лицо физически находится в пределах Союза.Например, гражданин ЕС, который физически находится в ЕС, который предоставляет личную информацию при покупке продукта.
Резидент ЕССубъект данных — это любое лицо, формально проживающее на территории Союза, независимо от гражданства, в то время как это физическое лицо находится на территории Союза. Например, гражданин, не являющийся гражданином ЕС, который учится за границей в ЕС.
Гражданин ЕССубъект данных, который имеет формальное гражданство в ЕС, в то время как это физическое лицо находится в Союзе.
Резидент / гражданин ЕС, находящийся где угодноСубъектом данных является любой человек, имеющий резидентство / гражданство в ЕС, чьи данные обрабатываются, независимо от того, где резидент / гражданин физически находится во время обработки. Например, субъектом данных может быть гражданин ЕС, который находится в США и предоставляет личную информацию во время покупки продукта.
Персональные данные в ЕССубъект данных — это любое лицо, чьи личные данные находятся в ЕС, независимо от места жительства, гражданства или физического местонахождения субъекта данных.Например, гражданин, не являющийся гражданином ЕС, который находится в ЕС, предоставляет личную информацию при покупке продукта.
Следующие шаги для соблюдения GDPR
Вот что мы знаем: закон не ясен. Разумные, умные, образованные люди не согласны с тем, что составляет субъект данных, но очень важно, чтобы организации определили свое определение субъекта данных.
Мы считаем, что местоположение субъекта данных важно для определения объема GDPR, но мы также знаем, что практические реалии, такие как желание интерпретировать и применять закон в целом, будут влиять на интерпретацию, возможно, даже больше, чем буква закона.
Итак, теперь, когда вы знаете, кто является субъектом данных и какие личные данные подпадают под GDPR, что вы будете делать дальше?
Сделайте оправданные определения
Во-первых, мы предлагаем вам нанять компетентного юриста, который понимает роль вашей организации в личных данных и может помочь вам определить, что составляет субъект данных и личные данные в вашей организации. Вам нужно, чтобы кто-то поддерживал ваши усилия, особенно когда общественность извлекает уроки из правоприменительной деятельности. Мониторинг и изучение разработок GDPR и правоприменительных действий имеет решающее значение для соблюдения вами GDPR.
Вашей организации также необходимо принять обоснованное бизнес-решение относительно того, что составляет субъект данных и личные данные. Организации обычно знают, когда они принимают решение, которое является оправданным или рискованным, и мы рекомендуем вам сделать это решение как можно более оправданным.
Выявление уязвимостей и рисков
Во-вторых, продумайте риски.
Где вы, скорее всего, столкнетесь с жалобой или запросом со стороны субъекта данных? Где вы, скорее всего, столкнетесь с угрозой несанкционированного доступа или раскрытия информации? Это те места, где вы должны расставить приоритеты для своего времени и ресурсов при определении субъектов данных и того, что такое личные данные.
Имейте план соответствия
Наконец, примените то, что вы узнали из этих концепций, в своей организации, особенно если вы не обрабатываете регулярно личные данные субъектов данных из ЕС, но имеете возможность обрабатывать такие данные. У вас должен быть план действий по соблюдению GDPR.
Нужна помощь в начале пути к соблюдению GDPR? Свяжитесь с нами сегодня.
Дополнительные ресурсы по соответствию GDPR
Выводы аудитора: с чего начать с соответствия GDPR
Готовность к GDPR: вы контроллер данных или обработчик данных?
Готовность к GDPR: на чьи данные распространяется GDPR?
Определение личных данных ICO
Каковы права субъектов данных в соответствии с GDPR?
GDPR (Общий регламент по защите данных) ЕС дает физическим лицам восемь прав в отношении их личных данных.Организации должны сообщать людям, как они могут реализовать эти права, и оперативно удовлетворять запросы.
Невыполнение этого требования является нарушением GDPR и может привести к дисциплинарным взысканиям. Но сначала, что такое субъект данных?
Что такое субъект данных?Термин «субъект данных» относится к любому живому человеку, чьи персональные данные собираются, хранятся или обрабатываются организацией. Персональные данные — это любые данные, которые могут быть использованы для идентификации человека, такие как имя, домашний адрес или номер кредитной карты.
Восемь прав субъектов данных GDPR- Право на получение информации
Организации должны сообщать людям, какие данные собираются, как они используются, как долго они будут храниться и будут ли они переданы третьим лицам. Эта информация должна быть изложена кратко и простым языком.
-
Право доступа
Физические лица могут подавать запросы на предметный доступ, которые обязывают организации предоставлять копии любых имеющихся у них личных данных о физическом лице.
У организаций есть один месяц на то, чтобы предоставить эту информацию, хотя есть исключения для явно необоснованных, повторяющихся или чрезмерных запросов.
- Право на исправление
Если физическое лицо обнаруживает, что информация о нем, хранящаяся в организации, является неточной или неполной, он может потребовать ее обновления. Как и в случае с правом доступа, у организаций есть один месяц на это, и применяются те же исключения.
- Право на удаление
Физические лица могут потребовать от организаций стереть их данные при определенных обстоятельствах — например, когда данные больше не нужны, данные были обработаны незаконно или больше не соответствуют законным земля, для которой он был собран.
Сюда входят случаи, когда физическое лицо отзывает согласие.
Право на стирание также известно как «право быть забытым».
- Право на ограничение обработки
Физические лица могут потребовать от организации ограничить способ использования личных данных.
Это альтернатива запросу на удаление данных и может использоваться, когда человек оспаривает точность своих личных данных.
Физическое лицо также может воспользоваться этим правом, если оно больше не использует продукт или услугу, для которых они были первоначально собраны, но организация нуждается в этом для предъявления, исполнения или защиты судебного иска.
- Право на переносимость данных
Физическим лицам разрешается получать и повторно использовать свои персональные данные в своих целях в различных службах. Это право применяется только к личным данным, которые физическое лицо предоставило операторам данных посредством контракта или согласия.
- Право на возражение
Физические лица могут возражать против обработки персональных данных, которые собираются на основании законных интересов или выполнения задачи в интересах / осуществлении официальных полномочий.
Организации должны прекратить обработку информации, если они не могут продемонстрировать убедительные законные основания для обработки, которые имеют приоритет над интересами, правами и свободами человека.
Они также могут отказать в этом праве, если обработка предназначена для установления или защиты судебных исков.
- Права, связанные с автоматическим принятием решений, включая профилирование
GDPR включает положения для решений, принимаемых без участия человека, таких как профилирование, при котором личные данные используются для расчета предположений о людях.
Существуют строгие правила в отношении такого рода обработки, и отдельные лица могут оспаривать и запрашивать пересмотр обработки, если они считают, что правила не соблюдаются.
Подробнее о GDPRЕсли вы хотите глубже понять GDPR, запишитесь на наш базовый учебный курс GDPR.
Этот однодневный курс дает вам всестороннее введение в GDPR и практическое понимание последствий и юридических требований для организаций.
Что такое личные данные? | Европейская комиссия
Ответ
Персональные данные — это любая информация, которая относится к идентифицированному или идентифицируемому живому физическому лицу . Различные фрагменты информации, которые собираются вместе, могут привести к идентификации конкретного человека, также являются личными данными.
Персональные данные, которые были деидентифицированы, зашифрованы или псевдонимизированы , но могут использоваться для повторной идентификации человека, остаются личными данными и подпадают под действие GDPR.
Персональные данные, которые были предоставлены анонимно таким образом, что физическое лицо больше не может быть идентифицировано или больше не может быть идентифицировано, больше не считаются персональными данными. Чтобы данные были действительно анонимными, анонимизация должна быть необратимой.
GDPR защищает персональные данные независимо от технологии, используемой для обработки этих данных. — он технологически нейтрален и применяется как к автоматизированной, так и к ручной обработке, при условии, что данные организованы в соответствии с заранее определенными критериями (например, в алфавитном порядке).Также не имеет значения, как данные хранятся — в ИТ-системе, при видеонаблюдении или на бумаге; во всех случаях к персональным данным применяются требования защиты, изложенные в GDPR.
Примеры личных данных
- имя и фамилия;
- домашний адрес;
- адрес электронной почты, например [email protected];
- номер удостоверения личности;
- данные о местоположении (например, функция данных о местоположении на мобильном телефоне) *;
- IP-адрес;
- идентификатор файла cookie *;
- рекламный идентификатор вашего телефона;
- данные, хранящиеся в больнице или у врача, которые могут быть символом, однозначно идентифицирующим человека.
* Обратите внимание, что в некоторых случаях существует специальное отраслевое законодательство, регулирующее, например, использование данных о местоположении или использование файлов cookie — Директива о конфиденциальности ( , Директива 2002/58 / EC Европейского парламента и Совет от 12 июля 2002 г. (OJ L 201, 31.7.2002, стр. 37) и Регламент (ЕС) № 2006/2004 ) Европейского парламента и Совета от 27 октября 2004 г. (OJ L 364, 9.12.2004, с. 1).
Примеры данных, не считающихся персональными данными
- регистрационный номер компании;
- адрес электронной почты, например [email protected];
- анонимные данные.
Список литературы
GDPR — Права субъектов данных
GDPR (Общее положение о защите данных) — это новая правовая база ЕС, которая заменит Директиву ЕС о защите данных в мае 2018 года. Хотя директива является всего лишь рекомендацией, GDPR имеет силу закона.
Цель GDPR аналогична сегодняшней Директиве о защите данных. Регламент разработан для защиты личных данных граждан ЕС путем определения того, как организации обрабатывают, хранят и уничтожают их.
Закон также дает физическим лицам контроль над тем, как компании могут использовать информацию, которая имеет прямое отношение к ним лично, и предоставляет восемь конкретных прав. Некоторые из этих прав являются новыми; некоторые являются более сильными версиями прав, которые существуют в соответствии с Директивой ЕС о защите данных.В GDPR эти права называются «Правами субъектов данных».
Субъекты данных противоположны «объектам данных»: они не являются пассивными объектами, у которых нет другого выбора, кроме как принимать все, что происходит с их личными данными. Они являются независимыми владельцами своих данных и определяют, как эти данные используются.
Ниже мы выделяем индивидуальные права, предоставляемые GDPR, объясняем, что они означают на практике, и описываем, как ваша организация может адаптироваться.
| ПРАВА 8 GDPR | СТАТЬИ GDPR | ЧТО ЭТО ЗНАЧИТ ДЛЯ ЛИЦ? | КАК ОБРАТИТЬСЯ К ЭТОМУ В МОЕЙ ОРГАНИЗАЦИИ? |
| Право на информацию | 12, 13, 14 | Перед сбором данных субъект данных имеет право знать, как они будут собираться, обрабатываться и храниться и для каких целей. | Создайте удобные для чтения политики, которые предоставляют подробные сведения о том, какая информация хранится о человеке и как она будет использоваться. Убедитесь, что все процессы сбора данных ставят информирование пользователя перед сбором данных. |
| Право доступа | 12, 15 | После сбора данных субъект данных имеет право знать, как они были собраны, обработаны и сохранены, какие данные существуют и для каких целей. | Внедрить процесс и технические возможности для: a) отслеживать все данные, относящиеся к запрашивающей стороне, в ваших системах, Эти процессы могут потребовать значительных ручных усилий, что отвлечет ваших сотрудников от других важных проектов. Вы можете упростить работу, автоматизируя эти процессы и внедрив ведение журнала доступа. При передаче информации субъектам данных или третьим лицам убедитесь в ее безопасности, используя безопасную управляемую передачу файлов. |
| Право на исправление («Исправление») | 12, 16 | Субъект данных имеет право на исправление неверных или неполных данных. | Внедрить процесс и технические возможности для: a) проверяет право на запрос доступа, Поскольку это также относится к данным, которые ваша организация передала третьим сторонам, вам необходим процесс, чтобы надежно информировать их об исправлении.Поддержите вашу реализацию, автоматизируя процессы и используя безопасную управляемую передачу файлов. |
| Право на удаление (право быть забытым) | 12, 17 | Субъект данных имеет право на окончательное удаление личных данных. | Внедрить процесс и технические возможности для: a) отслеживать все данные, относящиеся к отправителю запроса, в ваших системах, Кроме того, внедрить процессы и технические возможности по:
Определите высокоавтоматизированный и безопасный процесс проверки входящих запросов о праве на стирание, проинформируйте обработчиков о запросах о праве на стирание, удалите данные в ответ на запросы о праве на стирание и автоматически удалите данные, которые больше не требуются, например, после юридических Срок хранения истекает. |
| Право на ограничение обработки | 12, 18 | Субъект данных имеет право заблокировать или запретить обработку или использование личных данных. | Внедрить процесс и технические возможности для: a) отслеживать все данные, относящиеся к отправителю запроса, в наших системах, Определите автоматизированный и безопасный процесс проверки входящих запросов о праве на ограничение обработки, информирования обработчиков запросов и ограничения (приостановки) обработки данных. |
| Право на переносимость данных | 12, 20 | Субъект данных имеет право перемещать, копировать или передавать личные данные от одного контроллера данных к другому безопасным и надежным способом в обычно используемом и машиночитаемом формате. Там, где это технически возможно, это также включает право на передачу данных напрямую от одного контроллера к другому без необходимости обработки данных субъектом данных. | Внедрить процесс и технические возможности для: a) отслеживать все данные, относящиеся к запрашивающей стороне в ваших системах, Автоматизируйте и защищайте процесс проверки входящих запросов о праве на переносимость данных и предоставляя запрашивающей стороне доступ к соответствующему пакету данных. |
| Право на возражение против обработки | 12, 21 | Субъект данных имеет право возражать против того, чтобы его данные обрабатывались государственными органами или компаниями без явного согласия. Субъект данных также имеет право запретить включение личных данных в базы данных прямого маркетинга. | Фактически, комбинации процессов и технических возможностей для ограничения, ограничения и стирания, описанных выше, будет достаточно. Используя автоматизацию и безопасную передачу файлов, определите процесс проверки входящего права на возражение против обработки запросов и информирования обработчиков запроса. |
| Право не подвергаться автоматизированному принятию решений | 12, 22 | Субъект данных имеет право требовать вмешательства человека, а не принимать важные решения исключительно с помощью алгоритма. | Сообщите людям, что они будут принимать алгоритмические решения и что они могут отказаться от этого. Внедрить процесс и технические возможности для: a) отслеживать все данные, относящиеся к отправителю запроса, в наших системах, Помогите вашей реализации, определив процесс проверки входящего права не подвергаться автоматическим запросам принятия решений, информировать обработчиков запроса и собрать информационный пакет, который будет использоваться человеком, принимающим решения. |
Права субъектов данных, такие как право на доступ, обычно осуществляются отдельными лицами — самими субъектами данных.
В некоторых юридических контекстах, таких как правоохранительные органы или ситуации безопасности, право субъекта данных заменяется требованием надзорного органа контролировать или регулярно проверять обработку данных для осуществления надзора.
Основное базовое требование одинаково в обоих случаях: вы должны иметь возможность проверять входящий запрос и удовлетворять запрос на информацию, стирание и т. Д.
Решения HelpSystems могут помочь вам в обязательной реализации процессов Права Субъектов данных. Наши решения помогут вам в реализации, предоставляя надежные возможности для автоматизации процессов, регистрации доступа и безопасной передачи файлов.
1) Автоматизация процессов
Права субъектов данных требуют от вас определения и документирования соответствующего бизнес-процесса. Автоматизация позволяет оптимизировать эти процессы, обеспечивая высокую эффективность и согласованный ответ на эти запросы на обслуживание.
Большинство этих процессов будет состоять из ручных элементов и автоматизированных или автоматических элементов. Например, проверка входящего запроса о праве на доступ может включать ручную проверку документов, удостоверяющих личность. HelpSystems предлагает решения, которые могут помочь вам создать такие гибридные ручно-автоматические процессы, включая Automate, Webforms и Sign Here.
2) Регистрация доступа
Право на доступ означает, что вы должны предоставить по запросу информацию о том, какие личные данные были собраны и как они были изменены и прочитаны после первоначального сбора данных.Для сбора этой информации ручных операций недостаточно. Помимо четкого документирования ваших потоков данных, вам необходимо автоматически регистрировать доступ к личным данным и иметь возможность запрашивать эту информацию.
HelpSystems предлагает решения для сбора и регистрации доступа к различным данным. Для мира IBM i мы предлагаем возможности ведения журналов и отчетов в наших решениях для защиты данных Powertech Exit Point Manager для IBM i, Powertech Command Security для IBM i, Powertech Authority Broker для IBM i, Powertech Compliance Monitor для IBM i и Powertech Database Monitor. для IBM i.Возможности ведения журнала также встроены в наше решение для управляемой передачи файлов GoAnywhere MFT.
3) Безопасная передача файлов
Процессы «Реализация прав субъектов данных»требуют, чтобы вы безопасно перемещали данные из точки A в точку B. Например, процесс «Право на доступ» требует, чтобы вы предоставили запрашивающей стороне пакет всех личных данных, которые вы о ней собрали, а также о том, как эти данные были впоследствии обработаны и доступны.
Поскольку эта коллекция представляет собой персональные данные, применяются те же меры защиты, что и к изначально собранным данным, включая необходимость защиты этой информации при хранении и передаче.
Предоставление такого пакета может также потребовать, чтобы данные сначала были собраны вместе из разных отделов внутри вашей организации или даже из разных компаний внутри предприятия, прежде чем они будут собраны в единый пакет, который будет предоставлен клиенту.
Наше решение GoAnywhere Managed File Transfer предоставляет вам возможность безопасно передавать или делать доступными такие пакеты конфиденциальной информации. Кроме того, благодаря возможностям автоматизации GoAnywhere MFT вы также можете интегрировать предоставление данных в более полный рабочий процесс права на доступ, основанный на упомянутых выше решениях автоматизации HelpSystems.
Чтобы узнать больше о GDPR и правах субъектов данных, см. Следующие полезные ресурсы:
Глоссарий по защите данных — University of Reading
Глоссарий по защите данных
Многие определения в этом глоссарии основаны на ключевых определениях Управления Комиссара по информации и выделены жирным шрифтом. Полные определения вместе с дополнительной информацией и полезными примерами можно найти на веб-странице ключевых определений на веб-сайте Офиса Комиссара по информации.Дополнительная информация и сведения, относящиеся к Университету Рединга, выделены жирным шрифтом.
Согласие
Страница в разработке
Контроллер данных
Контроллер данных означает лицо, которое (самостоятельно, совместно или совместно с другими лицами) определяет цели и способ обработки любых персональных данных.
В случае Университета Рединга, Университет является контролером данных, поскольку он определяет цели и способ обработки любых личных данных.Это включает в себя ответственность за уничтожение данных, когда они больше не актуальны. Отдельные сотрудники или студенты, которые обрабатывают данные от имени Университета, являются пользователями данных. Персональные данные всегда должны обрабатываться в соответствии с Принципами защиты данных.
Обработчик данных
Обработчик данных в отношении персональных данных означает любое лицо (кроме сотрудника контроллера данных), которое обрабатывает данные от имени контроллера данных.
В случае Университета Рединга обработчиком данных является любое лицо или организация, которые обрабатывают данные или утилизируют конфиденциальные отходы от имени Университета.
Это очень часто распространяется на поставщиков программного обеспечения и услуг, которые использует Университет (Контроллер данных).
По закону мы обязаны иметь определенные обязательные условия в наших контрактах или соглашениях с этими поставщиками, регулирующие ответственность за безопасность данных.
Мы также обязаны проводить необходимую комплексную проверку этих поставщиков, чтобы гарантировать, что они могут защитить данные, которые они обрабатывают для нас.
Принципы защиты данных (DP)
Общий регламент по защите данных (GDPR) 2016 устанавливает принципы защиты данных. Таким образом, в них указано, что личные данные должны быть:
- обрабатывается законно, справедливо и прозрачно,
- собраны для определенных, явных и законных целей,
- адекватно, актуально и ограничено тем, что необходимо,
- точные и при необходимости обновленные,
- хранятся в форме, позволяющей идентифицировать субъектов данных не дольше, чем это необходимо для целей, для которых эти данные обрабатываются, и
- обрабатываются способом, обеспечивающим надлежащую безопасность личных данных.
- Подотчетность занимает центральное место в GDPR. Контроллеры данных несут ответственность за соблюдение принципов и должны иметь возможность продемонстрировать это субъектам данных и регулирующему органу.
Более подробная информация представлена на веб-сайте Управления Комиссара по информации.
Субъект данных
Субъект данных — физическое лицо, являющееся субъектом персональных данных.
Другими словами, субъект данных — это лицо, о котором относятся определенные персональные данные.Закон не считает субъектом данных умершее лицо, которого нельзя идентифицировать или отличить от других.
Запрос на доступ к субъекту данных
См. Запрос на доступ к теме.
Уведомление о справедливой обработке (FPN)
Уведомления о добросовестной обработке — это «мелкий шрифт», который появляется в формах, которые иногда называют заявлениями о конфиденциальности или текстами коллекций. Они используются, чтобы информировать лицо, от которого собираются личные данные, субъект данных , как их данные будут обрабатываться.
Руководство Управления Комиссара по информации по написанию уведомлений о добросовестной обработке данных приводится здесь.
Формы разрешений
См. Формы согласия.
Персональные данные
Персональные данные означают любую информацию, относящуюся к идентифицируемому лицу («субъекту данных»), которое может быть прямо или косвенно идентифицировано, в частности, посредством ссылки на идентификатор.
Это определение предусматривает широкий спектр личных идентификаторов, составляющих личные данные, включая имя, идентификационный номер, данные о местоположении или онлайн-идентификаторы.Персональные данные могут включать любые из следующих:
Имя
Дата рождения
Почтовый адрес (а) (включая почтовые индексы)
Контактный телефон (а)
Адрес электронной почты (es
Уникальные идентификаторы (включая: идентификационные номера студентов, идентификационные номера персонала, номера паспортов, номера NHS, номера национального страхования, ORCID, уникальные идентификационные номера участников исследования, уникальные идентификационные номера заявителей, регистрацию транспортного средства, номера водительских прав)
Изображения лиц, включая камеры видеонаблюдения, фото
Данные о местоположении (для включения любых данных GPS-слежения)
Онлайн-идентификаторы (для включения данных IP-адреса)
Экономические / финансовые данные (в отношении идентифицируемого физического лица)
Записи об образовании включая, но не ограничиваясь, записи, хранящиеся в университете и других образовательных учреждениях
Консультации
Пастырские записи, включая формы смягчающих обстоятельств
Дисциплинарный протокол
Записи об обучении
Записи о трудоустройстве с резюме, ссылки
Гражданство / место жительства
Этническая принадлежность
Психическое здоровье (статус, условия медицинской документации, включая инвалидность)
Физическое здоровье (статус, состояние медицинской документации, включая инвалидность)
Диетические потребности
Сексуальная ориентация / Сексуальная жизнь
Генетические данные (включая данные ДНК)
Биометрические данные (например, изображение лица или данные отпечатка пальца)
Политические взгляды
Членство в профсоюзе
Религиозные или философские убеждения
Уголовные приговоры и преступления (включая предполагаемые преступления и обвинительные приговоры)
GDPR применяется как к автоматизированным персональным данным, так и к системам ручной регистрации, в которых персональные данные доступны в соответствии с определенными критериями.Это может включать в себя хронологически упорядоченные наборы ручных записей, содержащие личные данные.
Псевдонимизированные персональные данные — например, с ключом — также могут подпадать под определение персональных данных.
Заявления о конфиденциальности
См. Уведомление о справедливой обработке.
Обработка
«Обработка» означает любую операцию или набор операций, которые выполняются с персональными данными или с наборами персональных данных, независимо от того, используются ли автоматизированные средства, такие как сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, консультации, использование, раскрытие путем передачи, распространения или иного предоставления, согласования или комбинации, ограничения, стирания или уничтожения;
Получатель
Получатель в отношении персональных данных означает любое лицо, которому раскрываются данные, включая любое лицо (такое как сотрудник или агент контроллера данных, обработчик данных или сотрудник или агент обработчика данных), которому они раскрываются в процессе обработки данных для контроллера данных, но не включают в себя какое-либо лицо, раскрытие которого осуществляется или может быть сделано в результате или с целью конкретного запроса, проведенного этим лицом или от его имени. сделано при осуществлении любых полномочий, предоставленных законом.
Исключения по предупреждению преступности
Это исключения в Законе о защите данных (2018 г.), который позволяет организации раскрывать личные данные, раскрытие которых предназначено для одной из «целей преступления и налогообложения», а именно:
- Предупреждение или раскрытие преступлений
- Задержание или преследование правонарушителей или
- Начисление или взимание любого налога или пошлины или любого
наложения аналогичного характера
и соблюдение обычных положений Закона о защите данных может нанести ущерб одной из этих целей.
Конфиденциальные личные данные
Конфиденциальные персональные данные (или данные особой категории в соответствии с GDPR) означают персональные данные, состоящие из информации о —
Субъекта данных(а) расовое или этническое происхождение,
(б) политические взгляды,
(c) религиозные или философские верования,
(d) член профсоюза (в значении Закона 1992 года о профсоюзах и трудовых отношениях (объединение)),
(д) генетические данные,
(е) биометрические данные,
(г) данные о здоровье,
(h) половая жизнь или сексуальная ориентация,
Конфиденциальные личные данные могут включать любые из следующих:
* Этническая принадлежность
* Психическое здоровье (статус, условия медицинской документации, включая инвалидность)
* Физическое здоровье (статус, условия медицинской документации, включая инвалидность)
* Диетические потребности
* Сексуальная ориентация / Сексуальная жизнь
* Генетические данные (включая данные ДНК)
* Биометрические данные (например, изображение лица или данные отпечатков пальцев)
* Политические взгляды
* Членство в профсоюзе
* Религиозные или философские убеждения
Запрос на доступ к субъекту (SAR)
«Субъектный доступ» — это право физического лица на доступ к относящимся к нему личным данным, которые хранятся в Университете.
Ваш запрос будет обрабатываться очень ограниченным числом сотрудников в группе IMPS под наблюдением сотрудника IMPS (защиты данных) университета, который будет обязан просматривать все запрашиваемые вами данные, включая данные о персонале, финансовом и профессиональном здоровье. записи. Отправляя запрос на доступ к теме, вы соглашаетесь с тем, что группе IMPS необходимо будет запросить и просмотреть данные о вас, чтобы оценить, что может быть раскрыто. Информация о третьих лицах, включая персонал, в некоторых случаях может быть скрыта.Все данные будут обрабатываться надежно и со строжайшей конфиденциальностью.
Офис IMPS обязан установить личность запрашивающего. Для удостоверения личности обычно требуется один документ, который включает удостоверение личности с фотографией и подпись, например, водительские права с фотографией или паспорт, а также текущий счет за коммунальные услуги или выписку из банка с указанием вашего имени и адреса. Запросы от внутренних сотрудников могут не требовать этого, и вы будете проинформированы о том, как сделать запрос, если это так.
Офис IMPS будет координировать сбор соответствующей информации. Университет будет соблюдать SAR как можно быстрее, но будет гарантировать, что ответ будет предоставлен в течение 1 календарного месяца с момента получения удостоверения личности, если нет веской причины для задержки. Законы о защите данных допускают продление до 2 месяцев для ответа на очень сложные запросы. Если вы можете четко описать искомые данные, это маловероятно. Мы также можем отклонить запросы, которые считаются явно необоснованными или чрезмерными, и оставляем за собой право взимать плату.В таких случаях причина отказа, задержки или любых подлежащих уплате сборов будет объяснена в письменной форме.
В случае университета запрос на предметный доступ (SAR) должен быть направлен сотруднику по защите данных через офис IMPS. SAR должен быть составлен в письменной форме с использованием соответствующей формы; вы можете загрузить форму запроса на доступ к теме в виде документа Word (1 МБ) или получить бумажные копии в офисе IMPS.
Если вам нужна информация о результатах экзаменов, обратитесь в экзаменационный офис.Сценарии экзамена освобождены от предметного доступа.
Третья сторона
Третья сторона в отношении персональных данных означает любое лицо, кроме —
(а) субъект данных,
(б) контроллер данных, или
(c) любой обработчик данных или другое лицо, уполномоченное обрабатывать данные для контроллера данных или процессора.
Выражение «третья сторона» не включает сотрудников или агентов контроллера данных или обработчика данных, которые рассматриваются как часть контроллера или обработчика данных.Обратите внимание, что «третья сторона» отличается от «получателя», который эффективно отделяет сотрудников / агентов контроллера / процессора данных от самого контроллера / процессора данных.
Права субъектов данных в соответствии с законом ЕС о защите данных | Лидия Ф де ла Торре | Golden Data
ноябрь 1908 — Rhodes Mfg. Co., Линкольнтон, Северная Каролина / Spinner — Моментальный взгляд на внешний мир. Сказал, что ей было 10 лет. Работаю больше года. / Библиотека Конгресса / Хайн, Льюис Уикс, 1874–1940, фотографСогласно закону Европейского Союза (ЕС) о защите данных, защита данных является фундаментальным правом, отдельным и независимым от права на неприкосновенность частной жизни.Право ЕС на защиту данных сформулировано в статье 8 Хартии основных прав ЕС, которая гласит:
(1) Каждый имеет право на защиту личных данных, касающихся его или ее.
(2) Такие данные должны обрабатываться справедливо для указанных целей и на основе согласия заинтересованного лица или на каком-либо другом законном основании, установленном законом. Каждый имеет право доступа к собранным в отношении него данным и право на их исправление.
(3) Соблюдение настоящих правил подлежит контролю со стороны независимого органа.
Это означает, что каждый человек имеет право на справедливую и законную обработку своих личных данных. Европейцы имеют фундаментальное право на доступ к данным о них и на исправление этих данных при определенных обстоятельствах. Контроллеры, обрабатывающие персональные данные в соответствии с законодательством ЕС о защите данных, должны определить цель обработки и убедиться, что указанная цель является законной в соответствии с законодательством ЕС.Существует шесть категорий законных целей (также называемых законными основаниями) для обработки персональных данных. Требования по определению законной основы для обработки и прекращению любой незаконной обработки (то есть, чтобы не обрабатывать, если не может быть установлена законная основа), соответствуют принципу ограничения цели.
Чтобы обеспечить защиту людей в контексте автоматизированной обработки данных, Общий регламент по защите данных (GDPR) предоставляет восемь конкретных прав: право на получение информации, право на доступ, право на удаление данных, право на запрос исправления, право на возражение, право ограничивать обработку, право на переносимость данных и определенные права в связи с автоматическим принятием решений (включая профилирование).
(1) Право на получение информации Возьмите под свой контроль свою ВИРТУАЛЬНУЮ ИДЕНТИФИКАЦИЮ — Комиссия ЕСПоскольку любая обработка личных данных должна быть законной, справедливой и прозрачной, люди должны быть проинформированы о том, что личные данные, касающиеся их, собираются, используются , консультировались или обрабатывались иным образом, а также степень обработки. Право на получение информации — ключевое проявление принципа прозрачности.
Любая информация, адресованная общественности или субъекту данных, должна быть краткой, легко доступной и понятной.Следовательно, он должен быть доведен до сведения общественности или субъекта данных ясным и понятным языком и, при необходимости, должен использоваться иллюстрации.
Учитывая, что дети заслуживают особой защиты, любая информация и сообщения, обработка которых адресована ребенку, должны быть легко понятны детям. .
Физические лица должны быть осведомлены о рисках, правилах, гарантиях и правах в отношении обработки персональных данных, а также о том, как осуществлять свои права в отношении такой обработки.В частности, конкретные цели, для которых обрабатываются персональные данные, должны быть явно раскрыты, законны и определены во время сбора.
Подробный анализ этого вы можете прочитать здесь.
(2) Право доступа Возьмите под свой контроль свою ВИРТУАЛЬНУЮ ИДЕНТИФИКАЦИЮ — Комиссия ЕССубъекты данных имеют право запросить у контроллера данных следующее:
1. Подтверждение того, обрабатываются ли персональные данные о них .
2. Копия обрабатываемых персональных данных.
Если обрабатываются персональные данные, следующая дополнительная информация:
- Цель (цели) обработки.
- Категории персональных данных.
- Личность любых физических или юридических лиц, которым персональные данные были или будут раскрыты, в частности получателей в третьих странах или международных организациях, включая информацию о соответствующих гарантиях передачи.
- Срок хранения или, если это невозможно, критерии, используемые для определения срока хранения.
- Если личные данные не собираются от субъекта данных, любая доступная информация об их источнике.
- Использование автоматизированного принятия решений, включая профилирование, значимую информацию о том, как принимаются решения, а также о значении и последствиях этих решений
Кроме того, субъекты данных должны быть проинформированы о своих правах и их способности сообщить о проблеме в надзорный орган.
Право на получение копии ваших личных данных не должно отрицательно сказываться на правах и свободах других лиц. Это означает, что право не может быть использовано для доступа к личным данным третьих лиц. Есть дополнительные ограничения на право доступа.
Подробный анализ этого вы можете прочитать здесь.
(3) Право на исправлениеЕсли личные данные неточны, субъекты данных имеют право потребовать от контролера исправить данные без неоправданной задержки. Кроме того, если личные данные неполные, субъекты данных могут заставить контролера заполнить данные, в том числе путем включения дополнительной информации.
Вы можете прочитать подробный анализ здесь.
(4) Право на удаление (также известное как право на отмену и право на забвение (RTBF)) Возьмите под свой контроль свою ВИРТУАЛЬНУЮ ИДЕНТИФИКАЦИЮ — Комиссия ЕССубъекты данных имеют право заставить контролеров стереть их личные данные без неоправданная задержка. Однако это право применяется только в следующих сценариях:
- Когда личные данные больше не нужны в связи с целью, для которой они были собраны или обработаны.Это следствие принципа минимизации данных.
- Когда законным основанием является согласие, и субъект данных отзывает свое согласие, при условии, что нет других законных оснований для обработки данных.
- Когда законным основанием для обработки являются законные интересы и субъект данных возражает против обработки, при условии, что нет преобладающих законных оснований для продолжения обработки и / или нет другой законной основы для обработки данных.
- Когда субъект данных возражает против обработки и персональные данные обрабатываются в целях прямого маркетинга.
- При отсутствии законных оснований для обработки данных.
- Когда необходимо удалить личные данные в соответствии с юридическим обязательством.
- Когда персональные данные были собраны в связи с предложением услуг информационного общества (например, социальных сетей) ребенку на основании согласия, и ребенок (или родители, где это уместно) возражают против обработки.
Право на стирание не является абсолютным; он не применяется при определенных обстоятельствах, предусмотренных законом ЕС о защите данных.Государства-члены могут принимать законы, которые еще больше ограничивают право на удаление.
Подробный анализ этого вы можете прочитать здесь.
(5) Право на возражение Возьмите под свой контроль свою ВИРТУАЛЬНУЮ ИДЕНТИЧНОСТЬ — Комиссия ЕССубъекты данных имеют право возражать против определенных типов обработки, выполняемой в связи с задачами:
Субъекты данных имеют абсолютное право на возражать против обработки, связанной с прямым маркетингом. Контроллеры данных должны приостановить обработку и провести проверку, как только будет получено возражение.
Подробный анализ этого вы можете прочитать здесь.
(6) Право на ограничение обработкиСубъекты данных имеют ограниченное право ограничивать обработку при определенных обстоятельствах. Это право применяется четырьмя способами. Первые два типа ограничений применяются, если субъект данных возражает против обработки в соответствии со статьей 21 GDPR или когда он / она оспаривает точность данных. В этих случаях ограничение применяется до тех пор, пока контроллер данных не определит точность данных или результат вашего возражения.Третья ситуация, когда субъект данных запрашивает ограничение обработки, которая является незаконной (то есть, когда нет законной основы для обработки, но субъект данных не хочет, чтобы информация была удалена, и предпочитает вместо этого запросить ограничение обработки личных данных. ). Четвертый тип ограничения применяется, когда субъект данных требует, чтобы данные были сохранены для целей юридического иска (то есть субъект данных хочет, чтобы контролер сохранил данные, даже если контроллеру они больше не нужны, потому что субъекту данных нужны данные в связи с судебным иском).
Контроллер должен хранить данные там, где субъект данных ограничивает обработку, но для большинства других действий по обработке, таких как удаление, требуется разрешение субъекта данных.
Подробный анализ этого вы можете прочитать здесь.
(7) Право на переносимость данных
В некоторых случаях субъекты данных имеют право получать свои персональные данные от контроллера данных в формате, который упрощает повторное использование информации в другом контексте и передачу этих данных в другой контроллер данных по их выбору без помех.Это называется правом на переносимость данных.
Это право применяется только в том случае, если обработка персональных данных (предоставленных субъектом данных) осуществляется с помощью автоматизированных средств и когда законным основанием для обработки является согласие или договорная необходимость. Это право применяется только в той степени, в которой оно не затрагивает права и свободы других лиц.
Подробный анализ этого вы можете прочитать здесь.
(8) Определенные права, связанные с автоматическим принятием решений, включая профилирование.
Субъекты данных имеют права в отношении автоматического принятия решений, включая профилирование.
Как правило, субъекты данных имеют право не подвергаться решению, основанному исключительно на автоматизированной обработке. Обработка является «автоматизированной», если она осуществляется без вмешательства человека и имеет юридические последствия или существенно влияет на субъект данных. Автоматическая обработка включает профилирование.
Вы можете прочитать подробный анализ этих прав здесь.
Права физических лиц в соответствии с законом о защите данных не являются абсолютными, и законное основание для обработки влияет на права, которые фактически доступны .Например, люди всегда имеют право потребовать уничтожения своих данных, если обработка была незаконной. Кроме того, люди всегда имеют право возражать против обработки в целях прямого маркетинга, независимо от наличия законных оснований. Законная основа может повлиять на то, как применяются положения, касающиеся автоматизированных решений и профилирования, и, если полагаться на какие-либо законные интересы, в уведомлениях о конфиденциальности должны быть указаны дополнительные сведения.
Резюме соотношения между законным основанием и правами личности
Время соблюдать
(статья 12 GDPR.3)
Запрос на реализацию прав должен быть заполнен без неоправданной задержки и не позднее одного месяца с момента получения действительного запроса. Обратный отсчет начинается со дня получения действительного запроса (будь то рабочий день или нет) до соответствующей календарной даты в следующем месяце. Если это невозможно из-за того, что следующий месяц короче (и нет соответствующей календарной даты), датой ответа является последний день следующего месяца.
Пример
Организация получила действительный запрос 3 сентября.Срок отсчета начинается с этого дня (3 сентября). Это дает организации до 3 октября выполнить запрос . Это означает, что точное количество дней для выполнения запроса варьируется в зависимости от месяца, в котором запрос был сделан. Если соответствующая дата выпадает на выходные или праздничные дни, у вас есть время для ответа до следующего рабочего дня.
Согласие субъекта данных
Согласие является одним из возможных правовых оснований для обработки персональных данных.Согласие дает субъектам данных возможность контролировать обработку своих персональных данных и влиять на нее, отозвав свое согласие.
Требования к согласию
Чтобы согласие было действительным, оно должно быть
- проинформирована,
- бесплатно и
- недвусмысленное указание на пожелания субъекта данных.
Субъекты данных могут давать свое согласие для заранее определенных, конкретных и законных целей.Если цель обработки персональных данных изменится, вам необходимо запросить новое согласие перед началом обработки.
Указание согласия
Когда вы запрашиваете согласие, вам необходимо указать цель, для которой собираются данные. Если вы обрабатываете персональные данные для нескольких целей, субъекты данных должны иметь возможность выбирать цели, для которых они хотят дать свое согласие. Вы должны запрашивать согласие отдельно для каждой цели. Как правило, вы всегда должны запрашивать согласие, когда начинаете обрабатывать личные данные для новой цели.
Свободно данное согласие
Согласие не дается действительно свободно, если субъект данных находится в уязвимом положении по отношению к контролеру. Субъекты данных могут оказаться в уязвимом положении, когда, например, контролер является их работодателем или органом власти.
Субъекты данных должны иметь возможность отказаться от согласия и отозвать его без каких-либо негативных последствий. Отозвать согласие должно быть так же легко, как и дать его.
Подотчетность и учет принципов защиты данных
Вы должны иметь возможность продемонстрировать, что субъекты данных дали свое согласие на обработку персональных данных и что полученное согласие соответствует требованиям закона.
Согласие никогда не отменяет принципы защиты данных. Например, вы не можете собирать данные в большем объеме, чем это необходимо для заявленной цели, или отклоняться от обязательств по защите личных данных.
Запрос согласия
Согласие — это недвусмысленное и ясное выражение пожеланий субъекта данных, которым он соглашается на обработку своих персональных данных. Субъекты данных не могут дать свое согласие молчанием, предварительно отмеченными флажками или бездействием.
Если вы запрашиваете согласие в электронном виде, запрос должен быть четким и кратким и не должен без необходимости нарушать использование службы. Например, установка галочки на сайте — это достаточно однозначное и ясное выражение желания.
Опишите согласие четко и отдельно от другой информации. Не связывайте и не вставляйте согласие в условия использования или соглашения, чтобы у субъекта данных не было реальной возможности дать согласие или отказаться от него.
Если, например, вы запрашиваете согласие в связи с условиями использования службы, запрос должен быть представлен
- отдельно от прочей информации
- понятным и понятным языком и
- в вразумительном виде.
Что нужно сообщить субъектам данных при запросе согласия?
При запросе согласия субъектов данных на обработку персональных данных вы должны сообщить им, как минимум,
- Контроллер или контроллеры (совместные контроллеры) и любые другие стороны, которым будут раскрыты данные
- все конкретные цели, для которых запрашивается согласие
- какие данные будут собраны от субъекта данных
- право субъекта данных отозвать согласие
- использование данных для автоматизированного принятия индивидуальных решений и профилирования и
- риски передачи данных в страны за пределами ЕС, если не было принято решение об адекватном уровне защиты данных в стране и не были реализованы соответствующие меры безопасности.
Нет необходимости указывать обработчиков, которые будут обрабатывать персональные данные от имени контролера при запросе согласия. Однако в связи с запросом согласия вам также необходимо взять на себя более общее обязательство по предоставлению информации и информации, которую вы должны будете предоставить при сборе личных данных от субъектов данных. Общее обязательство по предоставлению информации требует указания получателей данных, включая процессоров, работающих от имени контролера.
Когда мне потребуется конкретное согласие субъекта данных на обработку персональных данных?
Конкретное согласие может быть использовано в качестве законного основания, если
- вы обрабатываете особые категории персональных данных (например, медицинскую информацию или этническое происхождение)
- вы передаете личные данные в третьи страны или международные организации
- ваша обработка включает автоматизированное индивидуальное принятие решений или профилирование.
Требование конкретности относится к тому, как субъекты данных выражают свое согласие. Примеры конкретного согласия включают подписание письменного заявления, предоставление электронной подписи или двухфакторную аутентификацию. Например, субъект данных может сначала ответить на ваше электронное письмо, после чего ему или ей будет отправлена ссылка для подтверждения или код по SMS.
Ваши обязанности как контролера возрастают с учетом рисков, связанных с обработкой персональных данных.
Отзыв согласия
Прежде чем субъект данных даст свое согласие, контролер должен сообщить субъекту данных
- право отозвать согласие; и
- , как согласие может быть отозвано на практике.
Отозвать согласие должно быть так же просто, как и дать его. Согласие можно отозвать в любое время бесплатно.
Если субъект данных отзывает свое согласие, вы должны будете прекратить обработку его или ее личных данных, поскольку обработка была основана на согласии.Сообщите субъектам данных обо всех основаниях для обработки, чтобы они знали, как отзыв согласия повлияет на обработку их персональных данных.
Если нет другой правовой основы для продолжения хранения данных, обработанных на основании согласия, удалите их после отзыва согласия. По окончании обработки персональных данных храните подтверждение согласия только до тех пор, пока это необходимо для предъявления, исполнения или защиты судебных исков.
Обработка персональных данных детей на основании согласия
Согласно законодательству о защите данных, детям обычно требуется согласие или разрешение их опекуна или другого лица, несущего родительскую ответственность, для того, чтобы пользоваться услугами информационного общества, такими как социальные сети и различные приложения.В Финляндии возрастное ограничение составляет 13 лет. Однако дети могут пользоваться услугами консультирования и поддержки, а также профилактическими услугами без согласия их опекунов.
Постарайтесь определить возраст ребенка и убедитесь, что согласие было дано ребенком старше установленного возраста или опекуном ребенка. Оцените меры аутентификации, связанные с предоставлением согласия, с точки зрения характера и рисков обработки. Если вы просите детей дать свое согласие, обращайте особое внимание на ясный и простой язык.
Согласие, данное опекуном ребенка, не прекращается автоматически, когда ребенок становится достаточно взрослым, чтобы дать свое согласие на использование услуг информационного общества. Однако ребенок может отозвать свое согласие по достижении возраста, указанного в законе, и вы, как контролер, обязаны проинформировать ребенка об этой возможности.
Соответствует ли полученное вами согласие требованиям нового законодательства о защите данных?
Если вы являетесь контролером и обрабатываете персональные данные на основе согласия, оцените, соответствует ли согласие, которое вы запрашивали в прошлом, требованиям Общего регламента защиты данных.
Обратите внимание, что согласие должно быть
- задокументировано для отчетности
- однозначно, поэтому предварительно поставленная галочка или отсутствие выбора не соответствуют требованиям согласия
- для заранее определенной, конкретной и юридической цели
- снять так же легко, как и отдать, а
- в соответствии с GDPR в отношении его администрирования.
Изменения в обязанности предоставлять информацию, внесенные GDPR, не делают автоматически ранее полученные выражения согласия недействительными.GDPR также требует, чтобы вы информировали субъектов данных об основах обработки.
Если согласие не соответствует требованиям GDPR, оцените
- , сможете ли вы запросить новое согласие, соответствующее требованиям GDPR и
- , может ли обработка быть основана на другой основе, предусмотренной GDPR.
Убедитесь, что принципы законности, справедливости и прозрачности соблюдаются, если вы продолжаете обработку на другой основе.Субъект данных должен быть проинформирован об изменениях в основе обработки. После вступления GDPR в силу больше нельзя будет изменить базу обработки.
Если вы не можете основывать обработку на другом правовом основании или запросить новое согласие в соответствии с требованиями GDPR, вам придется прекратить обработку персональных данных.
Подробнее:
Права субъекта данных, когда обработка основана на контракте
Статьи 4 (11), 6 (1.a), 7 и 9 (2. a), декларации 3233 и 42‒43 (EUR-Lex)
Руководство по согласию согласно Регламенту 2016/679 (pdf)
