Обязательно ли иметь к договору Соглашение о защите персональных данных? — Дайджесты новостей
Организация заключает с физ.лицами договора на техническое обслуживание газового оборудования сроком на 3 года. Обязательно ли иметь к договору Соглашение о защите персональных данных?
Сообщаю Вам следующее:
Организация не обязана иметь к договору Соглашение о защите персональных данных.
На основании п. п. 1 и 5 ч. 1 ст. 6 Федерального закона N 152-ФЗ обработка персональных данных допускается в следующих случаях:
— обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Учитывая данные нормы, согласие субъекта персональных данных на обработку персональных данных не требуется, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Подборка документов из Систем КонсультантПлюс:
Документ 1
Статья 6. Условия обработки персональных данных
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
…5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;…
ст. 6, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) «О персональных данных» {КонсультантПлюс}
Документ 2
В соответствии с п. п. 1 и 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Учитывая данные нормы, согласие субъекта персональных данных на обработку персональных данных не требуется, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
{Вопрос: Индивидуальный предприниматель заключает договор аренды с организацией (арендодателем). Правомерно ли требование организации о предоставлении со стороны индивидуального предпринимателя согласия на обработку и хранение его персональных данных? (Консультация эксперта, 2016) {КонсультантПлюс}}
Услуга оказывается в соответствии с регламентом услуги Линия Консультаций и Горячая линия. Рекомендуем заранее с ним ознакомиться.
Услуга «Линия Консультаций» включает в себя подбор, анализ и предоставление информации, а также нормативных и консультационных материалов Справочно-правовых Систем КонсультантПлюс по вопросу
Ответ подготовил эксперт Систем КонсультантПлюс
Гадисламова Ирина Мидхатовна
в рамках услуги Консультации Линии консультаций
Ответ актуален на 12.02.2019 г.
Согласие на обработку персональных данных
1. Термины, применяемые в настоящем Соглашении:
1. 1. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
1.2. Оператор – юридическое лицо, осуществляющее обработку персональных данных.
1.3. Сайт – это совокупность текстов, графических элементов, дизайна, изображений, программного кода, фото- и видеоматериалов и иных результатов интеллектуальной деятельности, содержащихся в сети Интернет под доменным именем inetika.ru
1.4. Пользователь – это любое лицо, осуществившее вход на Сайт и принявшее условия настоящего Соглашения, независимо от факта прохождения процедур регистрации и авторизации.
2. Использование персональных данных:
2.1. Принимая условия настоящего соглашения, Пользователь предоставляет Компании согласие на обработку своих персональных данных.
2.2. Обработке подлежат следующие персональные данные:
2.2.1. ФИО Пользователя;
2.2.2. Адресные данные Пользователя, в том числе адрес электронной почты;
2.2.3. Номера телефонов Пользователя;
2.2.4 Персонализированная информация Пользователя, присвоенная в информационно-расчетных системах Оператора (логины, пароли и пр.).
2.3. Под обработкой персональных данных подразумевается следующий перечень действий с персональными данными: сбор, запись, систематизация, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных в информационно-расчетных системах Оператора.
2.4. Данное соглашение на обработку персональных данных действует бессрочно, но может быть отозвано субъектом персональных данных на основании письменного заявления Абонента, поданного лично в абонентский отдел Оператора или направленного на электронную почту Оператора при условии заверения его персональной цифровой подписью Абонента.
2.5. Данное соглашение на обработку персональных данных является неотъемлемой и необходимой частью договора на оказание услуг Оператора, поэтому его письменный отзыв означает автоматическое прекращение действия Абонентского договора.
3. Конфиденциальность персональных данных:
Оператор (Инетика — зарегистрированный оператор по обработке персональных данных: регистрационный номер 54-17-002604 в реестре Роскомнадзора) обязуется использовать персональные данные Пользователя исключительно в соответствии с требованиями законодательства о защите персональных данных, в том числе федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» и иных законодательных актов в редакциях, действующих на момент обработки таких персональных данных.СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХСОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ на сайте солнечный-парк-отель.рф:
1.
2.Настоящее согласие разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных», другими законодательными и иными нормативными правовыми актами Российской Федерации в области персональных данных и регулирует правоотношение в области обработки персональных данных между ООО «Центр Гостиничных Решений»
3.Целью обработки персональных данных является предоставление Клиенту услуг бронирования туристических услуг при оказании которых ООО «Центр Гостиничных Решений» собирает и использует персональные данные для обработки запроса Клиента на сайте солнечный-парк-отель. рф, при оформлении бронирования, и передачу данных в выбранный Клиентом объёкт временного размещения, а также для быстрой и качественной консультации Клиенту по уточнению или изменению бронирования.
4. Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (гражданину). Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций) с персональными данными субъектов персональных данных, совершаемые с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) можно отнести: сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5. Обработка персональных данных осуществляется как с использованием автоматизированных средств обработки персональных данных субъекта персональных данных, так и без использования средств автоматизации.
6. Обработка персональных данных осуществляется с согласия Клиента. Являясь пользователем сайта солнечный-парк-отель.рф, Клиент предоставляет свои персональные данные ООО «Центр Гостиничных Решений» и даёт полное согласие на их обработку. Получение согласия на обработку персональных данных — необходимое условие совершение им бронирования услуг. Бронирование услуг не возможно и не будет завершено без получения согласия Клиента на обработку его персональных данных.
Я настоящим даю свое согласие Обществу с ограниченной ответственностью «Центр Гостиничных Решений» (ОГРН1157746972635 ИНН7734367277) (далее – Компания) в порядке ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») с целью исполнения определенных сторонами условий договора об оказании услуг свободно, своей волей и в своих интересах даю согласие ООО «Центр Гостиничных Решений» (Адрес места нахождения: 123181 г. Москва, Неманский презд, дом 4, корп. 2, офис 20) на автоматизированную, а также без использования средств автоматизации обработку моих персональных данных (фамилия, имя, отчество; дата рождения, паспортные данные (серия, номер, дата выдачи, наименование органа, выдавшего документ) и гражданство; адрес места жительства (по паспорту и фактический), номер домашнего и мобильного телефона; номер паспорта/заграничного паспорта и срок его действия; фамилия и имя, как они указаны в паспорте/загранпаспорте; иная информация, строго в объеме, необходимом для оказания услуг, входящих в состав договора услуг), а именно – совершение действий, предусмотренных ст. 3 ФЗ «О персональных данных», содержащихся в настоящем Согласии, в целях заключения и исполнения договоров с участием ООО «Центр Гостиничных Решений», партнерам ООО «Центр Гостиничных Решений», а также иными третьими лицами, непосредственно оказывающими услуги, использовать все перечисленные данные для: бронирования Отеля; заключения и исполнения договоров по оказанию услуг субисполнителями, совершения иных фактических действий, связанных с оказанием услуг по настоящему Договору. Настоящее согласие может быть отозвано мной в письменной форме.
Настоящее согласие действует до даты его отзыва мною путем направления в ООО «Центр Гостиничных Решений» по адресу: 123181 г. Москва, Неманский презд, дом 4, корп.2, офис 20 письменного сообщения об указанном отзыве в произвольной форме, если иное не установлено законодательством Российской Федерации.
Политика в отношении обработки персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в отношении обработки и защиты персональных данных (далее – Политика) составлена в соответствии с Конституцией РФ, Федеральным законом «О персональных данных» № 152-ФЗ от 27 июля 2006 г., а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных, которые ООО «СкайДжин» (далее – Оператор, Общество) может получить от субъекта персональных данных, являющегося Пользователем Сайта, стороной по гражданско-правовому договору, а также участником выставки, семинара, конференции и иных профессиональных мероприятий (далее — участник мероприятия) с участием Оператора.
1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
1.3. Политика устанавливает обязательные для сотрудников Оператора, задействованных в обслуживании Сайта, в сборе анкет участников мероприятий, в заключении гражданско-правового договора общие требования и правила по работе с персональными данными субъекта персональных данных независимо от вида носителя информации, содержащего такие данные.
1.4. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в Политику указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики.
2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Сайт – совокупность программных и аппаратных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ в сети Интернет. Под Сайтом в Политике понимается Сайт, расположенный в сети Интернет по адресу: http://www.skygen.com.
Пользователь – пользователь сети Интернет и, в частности, Сайта, имеющий свою личную страницу (профиль/аккаунт).
Федеральный закон – Федеральный закон от 27 июля 2006 г. № 152 ФЗ «О персональных данных».
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является Общество с ограниченной ответственностью «СкайДжин», расположенное по адресу: 115093, Москва г, улица Люсиновская, дом 36, строение 1, комната 6.4.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Неавтоматизированная обработка персональных данных – обработка персональных данный без средств автоматизации.
Распространение персональных данных – действие, направленное на раскрытие персональных данных определенному кругу лиц по предварительному согласию в случаях, предусмотренных законом.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. ЦЕЛИ ПОЛИТИКИ
3.1. Целями Политики являются:
3.1.1. Обеспечение требований защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
3.1.2. Исключение несанкционированных действий сотрудников Оператора и любых третьих лиц по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению) персональных данных, иных форм незаконного вмешательства в информационные ресурсы и локальную вычислительную сеть Оператора, обеспечение правового и нормативного режима конфиденциальности документированной и недокументированной информации субъекта персональных данных; защита конституционных прав граждан на личную тайну, конфиденциальность сведений, составляющих персональные данные, и предотвращение возникновения возможной угрозы безопасности Пользователей Сайта, участников мероприятий, стороны гражданско-правового договора.
4. ПРИНЦИПЫ, УСЛОВИЯ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Принципы обработки персональных данных:
4.1.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
4.1.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.1.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4.1.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4.1.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.1.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
4.1.7. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором и иными документами, стороной которого является субъект персональных данных.
4.1.8. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.
4.2. Условия обработки персональных данных:
4.2.1. Обработка персональных данных субъектов персональных данных осуществляется на основании Гражданского кодекса РФ, Конституции РФ, Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г., а также иных нормативно-правовых актов Российской Федерации в области защиты и обработки персональных данных.
4.2.2. Обработка персональных данных допускается только с согласия субъекта персональных данных на их обработку.
4.2.3. Обработка персональных данных допускается в следующих случаях:
4.2.3.1. Обработка персональных данных необходима для использования Сайта Пользователем;
4.2.3.2. Обработка персональных данных необходима для информирования субъекта персональных данных о товарах и услугах Общества, скидках и рекламных акциях, а также о профессиональных мероприятиях, выставках, конференциях, семинарах, маркетинговых исследованиях и прочее.
4.2.3.3. Обработка персональных данных необходима для целей заключения гражданско-правового договора;
4.2.3.4. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия невозможно.
4.2.3.5. Обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
4.2.3.6. Обработка персональных данных осуществляется в статистических или иных исследовательских целях, в том числе в целях продвижения товаров, работ, услуг Общества.
4.3. Цели обработки персональных данных:
4.3.1. Обработка персональных данных субъекта персональных данных осуществляется исключительно в целях предоставления Пользователю возможности взаимодействовать с Сайтом; заключения гражданско-правового договора; информирования о товарах, услугах Общества, продвижения товаров и услуг Общества, информирования о профессиональных мероприятиях, маркетинговых исследованиях, рекламных акциях и прочее путем направления рекламных и новостных рассылок: смс — сообщений, сообщений на адрес электронной почты, почтовой и телефонной связи.
5. ИСТОЧНИКИ ПОЛУЧЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Источником информации обо всех персональных данных субъекта персональных данных является непосредственно сам субъект персональных данных.
5. 2. Источником информации о персональных данных субъекта персональных данных являются сведения, полученные в следствие:
5.2.1. регистрации Пользователя на Сайте и предоставления Оператором Пользователю прав пользования Сайтом;
5.2.2. заполнения анкеты участника на выставках и профессиональных мероприятиях;
5.2.3. передачи персональных данных при заключении гражданско-правового договора.
5.3. Персональные данные относятся к конфиденциальной информации ограниченного доступа.
5.4. Обеспечения конфиденциальности персональных данных не требуется в случае их обезличивания, а также в отношении общедоступных персональных данных.
5.5. Оператор не имеет права собирать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, частной жизни, за исключением случаев, предусмотренных действующим законодательством.
5. 6. Оператор не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Федеральным законом.
6. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Персональные данные Пользователей Сайта обрабатываются с использованием средств автоматизации.
6.2. Персональные данные субъекта персональных данных, полученные Оператором согласно п.5.2.2. и п.5.2.3. настоящей Политики, обрабатываются как с использованием средств автоматизации, так и без таковых.
7. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Субъект персональных данных имеет право на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к конкретному субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона «О персональных данных».
7.2. Субъект персональных данных имеет право на получение от Оператора при личном обращении к нему либо при получении Оператором письменного запроса от субъекта персональных данных следующей информации, касающейся обработки его персональных данных, в том числе содержащей:
7.2.1. Подтверждение факта обработки персональных данных Оператором, а также цель такой обработки.
7.2.2. Правовые основания и цели обработки персональных данных.
7.2.3. Цели и применяемые Оператором способы обработки персональных данных.
7.2.4. Наименование и место нахождения Оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона.
7.2.5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен Федеральным законом.
7.2.6. Сроки обработки персональных данных, в том числе сроки их хранения.
7.2.7. Порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом.
7.2.8. Информацию об осуществленной или о предполагаемой трансграничной передаче данных.
7.2.9. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу.
7.2.10. Иные сведения, предусмотренные Федеральным законом или другими федеральными законами.
7.2.11. Требовать изменения, уточнения, уничтожения информации о самом себе.
7.2.12. На дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения.
7.2.13. Определять представителей для защиты своих персональных данных.
7.2.14. Требовать от Оператора уведомления обо всех произведенных в них изменениях или исключениях из них.
7.3. Субъект персональных данных имеет право обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке действия или бездействие Оператора, если считает, что последний осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы.
7.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8. ОБЯЗАННОСТИ И ПРАВА ОПЕРАТОРА
8.1. По факту личного обращения либо при получении письменного запроса субъекта персональных данных или его представителя Оператор обязан в течение 30 дней с получения запроса субъекта персональных данных или его представителя предоставить сведения в объеме, установленном Федеральным законом. Такие сведения должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
8.2. Все обращения субъектов персональных данных или их представителей по вопросам обработки персональных данных регистрируются в Журнале учета обращений граждан (субъектов персональных данных).
8.3. В случае отказа в предоставлении субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя информации о наличии персональных данных о соответствующем субъекте персональных данных Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 дней с даты получения запроса субъекта персональных данных или его представителя.
8.4. В случае получения запроса от уполномоченного органа по защите прав субъектов персональных данных о предоставлении информации, необходимой для осуществления деятельности указанного органа, Оператор обязан сообщить такую информацию в уполномоченный орган в течение 30 дней с даты получения такого запроса.
8.5. В случае выявления неправомерной обработки персональных данных при обращении или по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.
8.6. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, последний в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных. Об устранении допущенных нарушений Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
8.7. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных.
8.8. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы без согласия субъекта персональных данных в письменной форме.
8.9. Оператор вправе поручать обработку персональных данных другому лицу в соответствии с ч.3 ст.6 Федерального закона «О персональных данных» с согласия субъекта персональных данных. Ответственность перед субъектом персональных данных за действия другого лица, осуществляющего обработку персональных данных субъекта, несет Оператор.
9. РЕЖИМ КОНФИДЕНЦИАЛЬНОСТИ
9.1. Оператор обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями законодательства РФ.
9.2. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия на это субъекта персональных данных, если иное не предусмотрено Федеральным законом.
9.3. Персональные данные субъекта персональных данных являются конфиденциальной информацией.
9.4. Лица, осуществляющие обработку персональных данных, обязаны соблюдать требования регламентирующих документов Оператора в части обеспечения конфиденциальности и безопасности персональных данных.
10. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Перечень обрабатываемых персональных данных Пользователей:
- фамилия, имя, отчество;
- должность;
- организация
- лаборатория;
- отрасль;
- телефон;
- область профессиональных интересов;
- предметный интерес;
- электронная почта;
- паспортные данные;
- банковские реквизиты;
- ИНН;
- адрес регистрации;
- и иные данные.
10.2. Лица, имеющие право доступа к персональным данным:
10.2.1. Правом доступа к персональным данным субъектов обладают лица, наделенные соответствующими полномочиями, в соответствии со своими служебными обязанностями
10.2.2. Перечень лиц, имеющих доступ к персональным данным, утверждается генеральным директором Оператора.
10.2.3. Оператор передает персональные данные третьим лицам и поручает обработку персональных данных сторонним лицам и организациям с согласия субъекта персональных данных. От имени Оператора персональные данные Пользователей Сайта обрабатывают сотрудники Оператора (администраторы баз данных и т. д.), допущенные установленным порядком к обработке персональных данных Пользователей.
10.3. Порядок и сроки хранения персональных данных.
10.3.1. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах.
10.3.2. Оператор осуществляет хранение персональных данных Пользователя на Сайте.
10.3.3. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в информационных системах.
10.3.4. Не допускается объединение баз данных, обработка которых осуществляется в целях не совместимых между собой.
10.3.5. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки с учетом применения срока хранения документов, содержащих такие персональные данные. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении с учетом срока хранения документов, содержащих такие персональные данные.
10.3.6. Сроки хранения персональных данных Пользователей на Сайте определены условиями Пользовательского соглашения.
10.3.7. По истечении вышеуказанного срока хранения персональных данных Пользователя персональные данные Пользователя уничтожаются.
10.4. Блокирование персональных данных.
10.4.1. Под блокированием персональных данных понимается временное прекращение Оператором операций по их обработке по требованию субъекта персональных данных при выявлении им недостоверности обрабатываемых сведений или неправомерных, по мнению субъекта персональных данных, действий в отношении его данных.
10.4.2. Блокирование персональных данных на Сайте осуществляется на основании письменного заявления от субъекта персональных данных.
10.5. Уничтожение персональных данных.
10.5.1. Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных на Сайте и/или в результате которых уничтожаются материальные носители персональных данных.
10.5.2. Субъект персональных данных вправе в письменной форме требовать уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
10.5.3. В случае отсутствия возможности уничтожения персональных данных Оператор осуществляет блокирование таких персональных данных.
10.5.4. Уничтожение персональных данных осуществляется путем:
- удаления Администрацией Сайта информации о персональных данных;
- уничтожения носителя персональных данных (персональные данные на бумажном носителе): шреддирование, термическая обработка.
11. СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Меры по обеспечению безопасности персональных данных при их обработке.
11.1.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
11.1.2. Обеспечение безопасности персональных данных достигается, в частности:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
11.1.3. Для целей Политики под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке.
11.2. Система защиты персональных данных должна обеспечивать:
- своевременное обнаружение и предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищенности персональных данных.
11.3. Основными мерами защиты персональных данных, используемыми Оператором, являются:
11.3.1. Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите персональным данным.
11.3.2. Определение актуальных угроз безопасности персональных данных при их обработке и разработка мер и мероприятий по защите персональных данных.
11.3.3. Разработка настоящей Политики в отношении обработки персональных данных.
11.3.4. Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе.
11.3.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
11.3.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
11.3.7. Применение сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами.
11.3.8. Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
11.3.9. Мониторинг фактов несанкционированного доступа к персональным данным и принятие мер.
11.3.10. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
11.3.11. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
11.3.12. Осуществление внутреннего контроля и аудита.
11.4. Персональные данные не могут быть использованы в целях, противоречащих требованиям Федерального закона, защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
11.5. Ответственность.
11.5.1. Все сотрудники Оператора, осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные, в соответствии с Политикой, требованиями законодательства РФ.
11.5.2. Лица, виновные в нарушении требований Политики, несут предусмотренную законодательством РФ ответственность.
12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
12.1. В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы по защите персональных данных, настоящая Политика действует в части, не противоречащей действующему законодательству до приведения ее в соответствие с ним.
12.2. Условия настоящей Политики устанавливаются, изменяются и отменяются Оператором в одностороннем порядке без предварительного уведомления субъекта персональных данных. С момента размещения на Сайте новой редакции Политики предыдущая редакция считается утратившей свою силу. В случае существенного изменения условий настоящей Политики Оператор извещает об этом субъекта персональных данных путем размещения на Сайте соответствующего сообщения.
12.3. Если субъект персональных данных не согласен с условиями настоящей Политики, то он обязан отозвать свое согласие на обработку персональных данных, подав письменное заявление в произвольной форме, направив его по адресу электронной почты: [email protected] или заказным письмом с уведомление по следующему адресу: 115093, Москва г, улица Люсиновская, дом 36, строение 1, комната 6.4. Пользователь Сайта также должен немедленно удалить свой профиль с Сайта. В противном случае профиль Пользователя, отозвавшего свое Согласие, удаляется Администрацией Сайта.
УТВЕРЖДЕНО
приказом Генерального директора
ООО «СкайДжин»
от 30 июня 2018 г. № 06/30-1
г. Москва
Использование персональных данных
Статья 1. ОБЩИЕ ПОЛОЖЕНИЯ
В процессе осуществления уставной деятельности Общество с ограниченной ответственностью «ООО Техносистема» (далее – Общество) обрабатывает персональные данные. Осуществляя обработку персональных данных (далее также – ПДн). Общество считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных. Общество несет ответственность за соблюдение конфиденциальности и безопасности обрабатываемых персональных данных.
Настоящая Политика по защите персональных данных в ООО «Техносистема» (далее – Политика) обеспечивает реализацию требований законодательства Российской Федерации в области обработки персональных данных субъектов персональных данных. В Политике раскрываются основные категории персональных данных, обрабатываемых Обществом, цели, способы и принципы обработки Обществом персональных данных, права и обязанности Общества при обработке персональных данных, права субъектов персональных данных, а также меры, применяемые Обществом в целях обеспечения безопасности персональных данных при их обработке.
Настоящая Политика распространяется на все случаи обработки персональных данных Обществом, вне зависимости от того, является обработка персональных данных автоматизированной или неавтоматизированной, производится она вручную либо автоматически.
Настоящая Политика является внутренним локальным нормативным актом Общества и является обязательной для исполнения всеми подразделениями и Работниками Общества. Каждый работник, вновь принимаемый на работу в Общество, во время первого вводного инструктажа должен быть ознакомлен с настоящей Политикой.
Настоящая Политика утверждается Генеральным осуществляет контроль соблюдения Политики в Обществе. Срок действия настоящей Политики – два года после ее утверждения. Политика подлежит пересмотру не реже одного раза в два года. Новая версия переработанной Политики утверждается Генеральным директором Общества. Ответственность за актуализацию настоящей Политики и текущий контроль над выполнением норм Политики возлагается на назначаемого приказом по Обществу уполномоченного сотрудника, ответственного за организацию обработки и защиты ПДн. Общество на основании требований настоящей Политики разрабатывает все внутренние локальные акты и иные документы Общества, связанные с обработкой ПДн.
Настоящая Политика является общедоступным документом. Для обеспечения неограниченного доступа к документу, текст настоящей Политики размещен на общедоступном неопределенному кругу лиц сайте: www. pervomaster.ru.
Статья 2. ОСНОВНЫЕ ПОНЯТИЯ
Политика – утвержденный Генеральным директором Общества внутренний локальный нормативный акт — «Политика по защите персональных данных в Обществе с ограниченной ответственностью «Техносистема».
Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу — субъекту персональных данных.
Обработка персональных данных — любое действие с персональными данными, совершаемое с использованием средств автоматизации или без использования таких средств.
Субъект персональных данных — идентифицированное или не идентифицированное физическое лицо, в отношении которого проводится обработка персональных данных.
Работник — физическое лицо (субъект персональных данных), заключившее с Обществом трудовой договор.
Соискатель — физическое лицо (субъект персональных данных), представившее в Общество свои персональные данные с предложением заключения трудового договора.
Партнер – юридическое лицо или индивидуальный предприниматель, оператор персональных данных, с которым у Общества имеются договорные отношения, во исполнение обязательств по которым Партнер поручает Обществу в качестве третьего лица обработку ПДн 1Клиентов.
Клиент — физическое лицо — заказчик непродовольственных товаров и услуг (субъект персональных данных), заключивший с Обществом или Партнером договор, сформированного Обществом; либо физическое лицо – покупатель (субъект персональных данных), от имени которого заказчик товаров и услуг заключил с Обществом или Партнером договор, который формируется Обществом.
Иное физическое лицо – физическое лицо (субъект персональных данных), заключившее с Обществом договор на оказание определенного вида услуг или работ либо сотрудник Партнера.
Посетитель – физическое лицо (субъект персональных данных), не являющееся Работником и получившее на законных основаниях допуск в помещения Общества.
Уполномоченный сотрудник – Работник, назначенный приказом Генерального директора Общества ответственным за обеспечение информационной безопасности и защиту персональных данных.
Распространение персональных данных — персональных данных неопределенному кругу лиц.
Предоставление персональных данных — действия, направленные персональных данных определенному лицу или определенному кругу лиц.
Статья 3. ОСНОВНЫЕ ПОЛОЖЕНИЯ
1. Правовые основания обработки ПДн Общество обязано осуществлять обработку персональных данных только на законной и справедливой основе. Политика Общества в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:
Конституцией Российской Федерации
Трудовым кодексом Российской Федерации
Гражданским кодексом Российской Федерации
Налоговым кодексом Российской Федерации
Федеральным законом от 19.12.2005 No 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»
Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных»
Федеральным законом от 27.07.2006 No 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Федеральным законом No 2300-1 от 07.02.1992 года «О защите прав потребителей»
Федеральным законом от 29.11.2010 No 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»
Федеральным законом от 15.12.2001 No 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»
Федеральным законом от 16.07.1999 года No 165-ФЗ «Об основах обязательного социального страхования»
Федеральным законом No 14-ФЗ от 08.02.1998 года «Об обществах с ограниченной ответственностью»
Постановлением Правительства Российской Федерации от 01 ноября 2012 года No 1119 «Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных»
Постановлением Правительства РФ от 15 сентября 2008 года No 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Обработка персональных данных не может быть использована Обществом или его Работниками в целях причинения имущественного и морального вреда субъектам персональных данных, затруднения реализации их прав и свобод. Обработка персональных данных в Обществе должна ограничиваться достижением законных, конкретных и заранее определенных целей. Обработке подлежат только те персональные данные, и только в том объеме, которые отвечают целям их обработки.
Все принимаемые в Обществе локальные нормативные акты, регламентирующие обработку в Обществе персональных данных, разрабатываются на основании настоящей Политики.
2. Цели обработки ПДн Общество проводит обработку персональных данных исключительно в целях:
а) осуществления возложенных на Общество Уставом и законодательством Российской Федерации функций в соответствии с нормативными актами, указанными в п.1. статьи 3. Политики;
б) организации учета Работников Общества в соответствии с требованиями законов и иных нормативно-правовых актов, содействия им в карьерном росте и трудоустройстве, в обучении, для осуществления медицинского страхования и для предоставления им иных льгот и компенсаций;
в) принятия решения о заключении с Соискателем трудового договора;
г) исполнения обязательств Общества и осуществление прав Общества по заключенным с Клиентами договорам в соответствии с законодательством Российской Федерации;
д) исполнения обязательств Общества и осуществление прав Общества по заключенным договорам, стороной которых либо выгодоприобретателем или поручителем, по которым является Клиент, а также для заключения договоров по инициативе Клиента или договоров, по которым Клиент будет являться выгодоприобретателем или поручителем;
ж) исполнения обязательств Общества и осуществление прав Общества по заключенным с Партнерами договорам в соответствии в соответствии с законодательством Российской Федерации;
з) исполнения обязательств Общества и осуществление прав Общества по заключенным с иными физическими лицами или юридическими лицами договорам в соответствии с нормами Гражданского кодекса Российской Федерации;
и) для исполнения обязательств Общества и осуществление прав Общества в процессе судопроизводства по искам к Обществу Работников, Клиентов или Партнеров, или исков Общества к Работникам, Клиентам или Партнерам в рамках Гражданского процессуального кодекса Российской Федерации, Арбитражного процессуального кодекса Российской Федерации, Кодекса Российской Федерации об административных правонарушениях;
к) для исполнения обязательств Общества и осуществление прав Общества при осуществлении претензионного делопроизводства по жалобам к Обществу Работников, Клиентов или Партнеров, или претензий Общества к Работникам, Клиентам и Партнерам в рамках Гражданского кодекса Российской Федерации; Гражданского процессуального кодекса Российской Федерации, Арбитражного процессуального кодекса Российской Федерации, Кодекса Российской Федерации об административных правонарушениях;
л) обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен Работником или Клиентом либо по их просьбе;
м) выполнения маркетинговых и рекламных действий в целях установления и дальнейшего развития отношений с Клиентами и Партнерами;
н) осуществления пропускного и внутриобъектового режима в помещениях Общества. Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, судимости.
В том случае если для достижения указанных выше целей обработки персональных данных, Обществу необходимо осуществить обработку биометрических персональных данных, либо касающихся состояния здоровья, то такая обработка осуществляется только на основании согласия субъекта персональных данных. Обработка специальных категорий персональных данных, должна быть незамедлительно прекращена, если устранены причины, вследствие которых она осуществлялась.
3. Допуск Работников к обработке ПДн Персональные данные в Обществе могут обрабатываться только уполномоченными в установленном порядке Работниками.
Работники допускаются в Обществе к обработке персональных данных только решением Генерального директора.
Работники, допущенные в Обществе к обработке персональных данных, имеют право приступать к работе с персональными данными только после ознакомления под личную роспись с локальными нормативными актами, регламентирующими в Обществе обработку ПДн.
Работники, осуществляющие в Обществе обработку персональных данных, должны действовать в соответствии с должностными инструкциями, регламентами и другими распорядительными документами Общества, и соблюдать требования Общества по соблюдению режима конфиденциальности.
4. Получение ПДн, их категории, сроки хранения
Общество получает персональные данные только на основании того, что субъект персональных данных принимает решение о предоставлении Обществу своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей подтвердить факт его получения. Как правило, такое согласие дается при заключении письменных договоров с Обществом или Партнерами, либо в форме совершения субъектом персональных данных конклюдентных действия на Интернет-сайте Общества или сайтах Партнеров.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных
В Обществе обрабатываются следующие категории персональных данных:
а ) Персональные данные Работников. Источники получения: от субъектов персональных данных, на основании заключенных трудовых договоров и Федерального закона No 14-ФЗ от 08.02.1998 года «Об обществах с ограниченной ответственностью».
б) Персональные данные Клиентов. Источники получения: от субъектов персональных данных или Партнеров, на основании заключенных договоров.
в) Персональные данные Партнеров и их представителей. Источники получения: от субъектов персональных данных или Партнеров, на основании заключенных договоров.
г) Персональные данные Посетителей. Источники получения: от субъектов персональных данных.
д) Персональные данные Соискателей. Источники получения: от субъектов персональных данных.
Сроки обработки и хранения персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, сроком исковой давности, сроками хранения документов, установленными Приказом Министерства культуры Российской Федерации от 25 августа 2010 года No 558 «Об утверждении перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», иными требованиями законодательства и нормативными документами, а также сроком предоставленного субъектом согласия на обработку персональных, в случаях, когда такое согласие должно быть предоставлено в соответствии с требованиями законодательства.
5. Передача ПДн третьим лицам
Передача персональных данных осуществляется Обществом исключительно для достижения целей, заявленных для обработки персональных данных в п.2. настоящей статьи Политики.
Передача персональных данных третьим лицам осуществляется либо с письменного согласия субъекта персональных данных, которое оформляется по установленной законодательством форме, либо для исполнения договора, стороной которого или 4выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем, либо в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных; либо в иных случаях, установленных федеральным законодательством.
Передача персональных данных третьим лицам осуществляется Обществом только на основании соответствующего договора с третьим лицом, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Общество в ходе своей деятельности предоставляет персональные данные ниже следующим третьим лицам.
а) Персональные данные Работников на основании трудового договора и/или письменного согласия передаются в ниже следующие организации:
— Банку – для оформления безналичного счета, на который Обществом будет перечисляться заработная плата и иные доходы Работника, при условии, что Общество заранее сообщит Работнику наименование и адрес данного банка.
— Кредитным организациям, в которые Работник обращался для оформления кредитов, ссуд либо получения иных услуг, при условии, что Работник заранее сообщит Работодателю наименования указанных кредитных организаций.
— Страховой компании – для оформления полиса добровольного медицинского страхования, при условии, что Общество заранее сообщит Работнику наименование и адрес данной страховой компании.
— Полиграфической организации или типографии — для изготовления визитных карточек Работника, при условии, что Общество заранее сообщит им наименование и адрес данного полиграфического предприятия.
— Арендодателю — для оформления Работнику пропуска на территорию и в здание, в котором размещается офис Общества, при условии, что Общество заранее сообщит им наименование и адрес данного Арендодателя.
— Частному охранному предприятию, осуществляющему охрану помещений, в которых расположен офис Общества, при условии, что Общество заранее сообщит Работнику наименование и адрес данного ЧОПа.
— Частному охранному предприятию, осуществляющему охрану помещений, в которых расположен офис Общества, при условии, что Общество заранее сообщит Работнику наименование и адрес данного ЧОПа.
— Партнерам Общества — для исполнения обязательств, возложенных на Общество договорами и иными законными сделками, исполнение которых предусмотрено должностными обязанностями Работника, при условии, что Общество заранее сообщит Работнику наименования и адреса данных организаций.
— Посольским и консульским представительствам иностранных государств, визовым центрам — для исполнения Обществом официальных запросов по вопросам предоставления Работнику въездных виз, при условии, что Работник заранее сообщит наименования указанных организаций.
— Российским и иностранным организациям, организующим и/или осуществляющим авиационную, и/или железнодорожную и/или автомобильную перевозку Работника, при условии, что Работник заранее сообщит наименования указанных организаций.
— Налоговым органам, подразделениям Пенсионного фонда Российской Федерации, подразделениям Федеральной миграционной службы России, центрам занятости населения — для исполнения обязательств, возложенных на Общество законодательными и нормативными актами, а также исполнения законных официальных запросов, касающихся Работника.
б) Персональные данные Клиентов в соответствии с заключенным с ними Обществом или Партнерами письменным договором, и/или с письменного согласия субъекта персональных Общество на основании договоров передает ниже следующим третьим лицам:
— Партнерам Общества для исполнения обязательств Общества по заключенным договорам, стороной которых либо выгодоприобретателем или поручителем, по которым является Клиент, а также для заключения договоров по инициативе Клиента или договоров, по которым Клиент будет являться выгодоприобретателем или поручителем.
— Банкам – для безналичного перечисления денежных средств в счет оплаты услуг, заказанных Клиентом.
— Кредитным организациям, в которые Клиент при посредничестве Общества обратился для оформления кредита на оплату заказанных им непродовольственных товаров и услуг.
— Налоговым и правоохранительным органам — для исполнения обязательств, возложенных на Общество законодательными и нормативными актами, а также исполнения законных официальных запросов, касающихся Клиента;
— Российским и иностранным организациям, организующим и/или имущественное страхование интересов Клиентов и их финансовых рисков.
6. Получение Обществом в качестве третьего лица персональных данных от Партнеров Получение персональных данных Клиентов от Партнеров – операторов персональных данных, — осуществляется Обществом исключительно для достижения целей, заявленных для обработки персональных данных в п.2. настоящей статьи Политики, и на основании заключенных с Партнерами письменных договоров. В тексте договоров с Партнерами обязательно определяются цели обработки ПДн, перечень операций с ними, и устанавливается обязанность Общества соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных. Общество, осуществляя обработку персональных данных по поручению Партнера, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. В этом случае ответственность перед субъектом персональных данных за действия Общества несет Партнер. Общество, осуществляя обработку персональных данных по поручению Партнера, несет ответственность перед Партнером.
7. Меры по обеспечению безопасности ПДн при их обработке До начала обработки персональных данных Обществом предприняты правовые, технические и организационные меры к защите персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами: Вводом в Обществе режима конфиденциальности персональных данных, когда все документы и сведения, содержащие информацию о персональных данных, являются в Обществе конфиденциальными. Организацией режима обеспечения безопасности помещений, в которых размещены информационные системы, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.
Утверждением полного перечня персональных данных и иных объектов, подлежащих защите в Обществе. Обеспечением нераспространения документов и сведений, содержащих информацию о персональных данных, без согласия субъекта персональных данных, либо наличия иного законного основания. Назначением уполномоченного сотрудника, ответственного за организацию обработки персональных данных. Введением персональной ответственности руководителей Общества и его подразделений за обеспечение режима безопасности персональных данных при их обработке обеспечивают. Утверждением перечня лиц, осуществляющих в Обществе обработку персональных данных либо имеющих к ним доступ.
Определением типа угроз безопасности персональных данных, актуальных для информационных систем Общества с учетом оценки возможного вреда, который может быть причинен субъектам персональных данных. Разработкой и утверждением локальных нормативных актов, регламентирующих в Обществе обязанности должностных лиц, осуществляющих обработку и защиту ПДн, их ответственность за компрометацию персональных данных.
Осуществлением внутреннего контроля и аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 No 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам. Запретом для Работников, осуществляющих обработку персональных данных, проводить несанкционированное или нерегистрируемое копирование персональных данных, в том числе с использованием сменных носителей информации, мобильных устройств копирования и переноса информации, коммуникационных портов и устройств ввода-вывода, реализующих различные интерфейсы (включая беспроводные), запоминающих устройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов), а также устройств фото и видеосъемки.
Обеспечением сохранности носителей персональных данных. Использованием средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Ознакомлением Работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и обучением указанных сотрудников. Выделением конкретных мест хранения персональных данных (материальных носителей), обработка которых осуществляется Обществом и организацией режима обеспечения безопасности помещений и мест хранения материальных носителей ПДн.
Обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется без использования средств автоматизации и в различных целях. Осуществлением учета документов по обработке персональных данных без использования автоматизированных систем отдельным делопроизводством, хранением документов с отметкой «Персональные данные» в надежно запираемых шкафах и сейфах, ключи от которых хранятся только у ответственных за данную деятельность Работников. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных. Учетом машинных носителей персональных данных.
Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных. Обеспечением доступа к содержанию электронного журнала сообщений исключительно для Работников Общества или уполномоченного сотрудника, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения трудовых обязанностей.
8. Права и обязанности субъекта ПДн
Субъект персональных данных имеет право:
— на получение сведений об Обществе, о месте его нахождения, о наличии у Общества персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными;
— требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— требовать прекращения обработки своих персональных данных;
— получать информацию, касающуюся обработки его персональных данных, в том числе содержащую: подтверждение факта обработки персональных данных Обществом, а также цель такой обработки; способы обработки персональных данных, применяемые Обществом; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в следующих случаях:
— Если обработка персональных данных, включая те, что получены в результате оперативно- розыскной, контрразведывательной и разведывательной деятельности, выполняется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка.
— При условии, что обработка персональных данных производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными.
— Если обработка персональных данных выполняется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.
— Когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Обществу. Общество рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке. Субъект персональных данных вправе обжаловать действия или бездействие Общества путем обращения в уполномоченный орган по защите прав субъектов персональных данных. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке. Субъект персональных данных обязан предоставлять только достоверные и полные персональные данные, которые при необходимости должны быть документально подтверждены.
9. Порядок предоставления информации субъекту персональных данных Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Обществом при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. 8Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Общество сообщает субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях. Вы можете использовать возможности нашего Интернет-сайта www. pervomaster.ru для составления предварительного заказа непродовольственных товаров и услуг. При этом, предоставляя ООО «Техносистема» свои персональные данные и совершая при этом конклюдентные действия — нажимая «Я согласен», Вы выражаете свое согласие и даете своей волей разрешение на обработку Ваших персональных данных в порядке, предусмотренном настоящей Политикой. Если Вы не согласны с положениями настоящей Политики, мы просим Вас воздержаться от использования настоящего Интернет-сайта и передачи ООО «Техносистема» Ваших персональных данных.
10. Ответственность за обеспечение безопасности ПДн
Общество несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных. Общество закрепляет персональную ответственность
Работников за соблюдением установленного в Обществе режима конфиденциальности. Руководитель подразделения несет персональную ответственность за соблюдение Работниками его подразделения норм, регламентирующих получение, обработку и защиту персональных данных. Руководитель, разрешающий доступ сотрудника к документам и сведениям, содержащим персональные данные, несет персональную ответственность за данное разрешение.
Каждый Работник общества, получающий для работы документ, содержащий персональные данные, несет единоличную ответственность за сохранность носителя и конфиденциальность информации. Работники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Общество не несет ответственности за убытки и иные затраты, понесенные субъектами персональных данных в результате предоставления ими недостоверных и неполных персональных данных.
Договор оферты на обработку персональных данных
Государственное бюджетное учреждение культуры Владимирской области «Владимирская областная универсальная научная библиотека им. М. Горького», расположенное по адресу: 600000, г. Владимир, ул. Дзержинского, д.3, именуемое в дальнейшем «Библиотека», в лице директора библиотеки Брагиной Татьяны Васильевны, действующего на основании Устава, с одной стороны, и любое физическое лицо, полностью и безоговорочно принимающее условия настоящего договора, выразившее акцепт настоящей оферты, предоставив свои персональные данные, путем заполнения и отправки форм или сообщений с сайтов Библиотеки, и подтвердив свое согласие с приведенными ниже условиями, именуемое в дальнейшем «Пользователь», с другой стороны, совместно именуемые «Сторонами», заключили настоящий Договор о нижеследующем:
- Предмет договора
- Настоящий Договор оферты определяет порядок предоставления физическим лицам (Пользователям), доступа к ресурсам и услугам Библиотеки и устанавливает взаимные права и обязанности Сторон.
- При предоставлении своих персональных данных Пользователь поручает Библиотеке обработку персональных данных в порядке, предусмотренном законодательством.
- Целью предоставления персональных данных является оказание информационных услуг Пользователю и продвижение ресурсов и услуг через информирование с помощью почтовой рассылки, телефонной, электронной и иных средств связи об услугах и ресурсах Библиотеки, о состоянии задолженности пользователей перед Библиотекой, а также по иным вопросам существующего либо возможного в будущем взаимодействия.
- Объем передаваемых для обработки персональных данных может включать в себя: фамилию, имя, отчество; контактный телефон; населенный пункт проживания; адрес электронной почты и другие дополнительные персональные данные.
- Библиотека обрабатывает персональные данные путем произведения действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
- Настоящий договор действует в течение 5 лет с момента осуществления последней библиотечной услуги и может быть отозван путем вручения уполномоченному представителю Библиотеки письменного уведомления, в порядке, установленном Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».
- Уничтожение персональных данных осуществляется Библиотекой после истечения сроков хранения соответствующей информации или документов, содержащих указанную выше информацию.
- Безусловным принятием (акцептом) условий настоящего Договора считается направление сообщений и/или заполнение форм на сайте.
- Права и обязанности Сторон
- В соответствии с предметом настоящего Договора, Пользователь обязуется:
- Предоставить правильные персональные данные.
- Не представляться чужим именем или от чужого имени, и не вводить в заблуждение Библиотеку относительно своей идентификации.
- Не размещать и/или передавать посредством сайта, информацию, которая может вредить другим посетителям сайта, нарушать их права и законные интересы.
- Не размещать комментарии, противоречащие законодательству РФ и общепринятым нормам морали.
- Пользователь вправе:
- Уточнять свои персональные данные, требовать их блокировку или уничтожение в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
- В соответствии с предметом настоящего Договора, Библиотека обязуется:
- Осуществлять обработку персональных данных Пользователя в соответствии с законодательством Российской Федерации.
- Библиотека предпримет все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа, изменения, раскрытия или уничтожения.
- Библиотека имеет право:
- Предоставлять доступ к персональным данным Пользователя работникам Библиотеки, которым эта информация необходима для надлежащего оказания услуг и обеспечения функционирования ресурсов.
- Использовать предоставленную Пользователем информацию, в том числе персональные данные, в целях обеспечения соблюдения требований действующего законодательства Российской Федерации (в том числе в целях предупреждения и/или пресечения незаконных и/или противоправных действий Пользователей). Раскрытие предоставленной Пользователем информации может быть произведено лишь в соответствии с действующим законодательством Российской Федерации по требованию суда, правоохранительных органов, и в иных предусмотренных законодательством Российской Федерации случаях.
- Использовать для оказания технической помощи пользователю его персональные данные.
- Использовать для консультации об условиях Библиотечного обслуживания.
- В соответствии с предметом настоящего Договора, Пользователь обязуется:
- Заключительные положения
- Настоящий Договор вступает в силу с момента принятия его условий Пользователем и является заключенным на 5 лет, в соответствии с чем, персональные данные Пользователя, обрабатываются в течение 5 лет, либо до момента получения отзыва согласия Пользователя на обработку его персональных данных.
- Отзыв Согласия на обработку персональных данных должен быть оформлен в письменном виде и направлен по адресу: 6000000, г. Владимир, ул. Дзержинского, д. 3 или электронной почте [email protected].
- Получение отзыва согласия влечет удаление из информационных систем Библиотеки всех ранее представленных Пользователем персональных данных.
- Условия настоящего Договора могут быть изменены Библиотекой в одностороннем порядке при изменении условий предоставления ресурсов и услуг. В случае принятия Библиотекой решения об изменении условий настоящего Договора, Библиотека разместит на сайте сообщение о таком изменении и предоставит возможность Пользователю ознакомиться с новыми условиями оферты. В случае несогласия Пользователя с новыми условиями, он обязан направить в Библиотеку отзыв согласия на обработку его персональных данных. Неполучение Библиотекой такого отказа в течении 5 дней является выражением полного и безоговорочного согласия Пользователя с новыми условиями настоящего Договора.
- Отношения сторон, не урегулированные настоящим Договором, регулируются действующим законодательством Российской Федерации.
- При возникновении спорных вопросов, Стороны принимают необходимые меры для урегулирования их путем переговоров. Если стороны не достигли согласия Сторон путем переговоров в течение 10 (десяти) календарных дней, споры, возникшие между Сторонами в процессе исполнения Договора, передаются на рассмотрение в судебные органы в установленном действующим законодательством Российской Федерации по месту нахождения Библиотеки.
Услуги частным лицам от компании «Зетта Страхование»
Действуя свободно, своей волей и в своем интересе, выражаю конкретное, информированное и сознательное согласие Обществу с ограниченной ответственностью «Зетта Страхование» (адрес: 121087, г. Москва, Багратионовский пр-д, д. 7, к. 11) страхователь дает согласие Страховщику на обработку (в том числе сбор, запись, систематизацию, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, распространение, предоставление, доступ, передачу (в том числе трансграничную), обезличивание, блокирование и уничтожение) всех предоставленных Страховщику при заключении договора страхования (дополнительного соглашения к нему) персональных данных в целях заключения и исполнения договора страхования, а также в целях реализации своих прав по договору страхования, в частности в целях получения неоплаченной в установленные сроки страховой премии (взносов). Страхователь также дает свое согласие на обработку и использование любых контактных данных, предоставленных при заключении и/или исполнении договора страхования, с целью оповещения / информирования об услугах и страховых продуктах Страховщика, проведения опросов, а также для поздравления с официальными праздниками. Страхователь соглашается с тем, что Страховщиком будут использованы следующие способы обработки персональных данных: [автоматизированная / неавтоматизированная / смешанная].
Данное согласие дается Страхователем бессрочно и может быть отозвано в любой момент времени путем передачи Страховщику подписанного письменного уведомления. Страхователь также подтверждает, что на момент заключения договора страхования (дополнительного соглашения к нему) все застрахованные лица, выгодоприобретатели, а также иные лица, указанные в договоре страхования (при их наличии) проинформированы и дали согласие на передачу их персональных данных Страховщику с целью заключения и исполнения договора страхования, включая информацию о наименовании и адресе Страховщика, цели и правовом основании обработки персональных данных, информацию о предполагаемых пользователях персональных данных, а также Страхователь проинформировал указанных в договоре лиц обо всех правах и обязанностях субъекта персональных данных, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Страхователь обязуется довести до сведения указанных в договоре лиц информацию, указанную в памятке об обработке персональных данных. Информация о наименовании и/или ФИО и адресах уполномоченных лиц, осуществляющих обработку персональных данных по поручению Страховщика (помимо информации о страховом агенте или брокере, указанном в договоре страхования и/или который принимал участие при заключении договора страхования), размещена на официальном сайте страховщика: www.zettains.ru. Указанная информация может время от времени обновляться.
6 правовых основ обработки персональных данных: основы GDPR
6 Правовые основы обработки персональных данных
Одним из семи основных принципов обработки данных GDPR является обеспечение законности, справедливости и прозрачности обработки персональных данных.
Для соблюдения этого принципа глава 6 GDPR требует, чтобы любая организация, обрабатывающая персональные данные, имела действующую правовую основу для этой деятельности по обработке персональных данных. Думайте об этом как о сценариях, в которых обработка данных была бы законной.GDPR предоставляет шесть юридических оснований для обработки:
- Согласие
- Исполнение договора
- Законный интерес
- Жизненный интерес
- Требования законодательства
- Общественные интересы
Согласие
Субъект данных дал разрешение организации на обработку его персональных данных для одного или нескольких действий по обработке. Согласие должно даваться свободно, ясно и легко отозваться, поэтому организациям следует проявлять осторожность при использовании согласия в качестве правовой основы.Например, эпоха автоматически проверяемых полей согласия подходит к концу благодаря GDPR.
Исполнение договораНе требует пояснений, правда? Действия по обработке данных необходимы для заключения или выполнения договора с субъектом данных. Если деятельность по обработке не связана с условиями контракта, тогда эта деятельность по обработке данных должна регулироваться другой правовой базой.
Законный интересЭто процесс обработки, который субъект данных обычно ожидает от организации, которой он предоставляет свои персональные данные, например, маркетинговая деятельность и предотвращение мошенничества.Если законный интерес используется в качестве правовой основы для обработки, организация должна выполнить балансирующий тест: необходима ли эта процессинговая деятельность для функционирования организации? Перевешивает ли процесс обработки любые риски для прав и свобод субъекта данных? Если ответ на любой из этих вопросов — «нет», то организация не может использовать законный интерес в качестве правовой основы для обработки.
Жизненный интересРедкая обработка, которая может потребоваться для спасения чьей-либо жизни.Чаще всего это наблюдается при оказании неотложной медицинской помощи.
Требования законодательстваОбработка необходима для выполнения юридических обязательств, таких как законодательство о информационной безопасности, занятости или потребительских сделках.
Общественные интересыОперация по обработке, которая будет осуществляться государственным учреждением или организацией, действующей от имени государственного учреждения.
Проблемы при выборе правовой основы
Выбор соответствующей правовой основы для обработки чрезвычайно важен по нескольким причинам, в том числе:
- Для обработки одновременно должно быть только одно правовое основание, и это правовое основание должно быть установлено до начала обработки.Согласно GDPR, организации не могут устанавливать правовую основу после обработки персональных данных или менять правовую основу.
- Какое бы правовое основание ни было выбрано, оно должно быть очевидным в любое время. Организация должна иметь возможность показать внутри, субъектам данных и регулирующим органам, какую правовую основу она использует для каждого субъекта данных. Например, организации должны иметь возможность продемонстрировать, когда и как субъект данных предоставил согласие или выполнил договор.
- Правовая основа для обработки оказывает значительное влияние на то, как организация отвечает на запросы прав субъектов данных, поскольку существуют условия, исключения и ограничения для запросов в зависимости от правовой основы для обработки.
- Если организация использует несколько баз для обработки различных действий по обработке данных, организация должна иметь возможность различать, какие правовые базы используются для того или иного набора данных, и правильно отвечать на запросы прав субъектов данных.
- Специальные категории данных (такие как раса, этническое происхождение, религия, членство в профсоюзах, биометрия и данные о здоровье) имеют уникальную правовую основу для обработки, которая включает профилактическую или профессиональную медицину, общественное здравоохранение, коллективные договоры и законную деятельность некоммерческие организации.
Важно отметить, что одно правовое основание для обработки не во всех случаях превосходит другое правовое основание для обработки. Наиболее эффективная правовая основа для обработки зависит от цели обработки, типа обрабатываемых персональных данных и отношений с субъектом данных. Выбор того, какая правовая основа подходит для обработки, невероятно важен; Если выбрано неправильное правовое основание, это может привести к незаконной обработке, несоответствующему ответу на права субъекта данных и неадекватному организационному и техническому контролю обработки данных.
Дополнительные ресурсы по GDPR
Стенограмма видео
GDPR требует, чтобы любая организация, обрабатывающая персональные данные, имела действующую правовую основу для такой обработки. Закон предусматривает шесть юридических оснований для обработки: согласие, выполнение контракта, законный интерес, жизненный интерес, юридическое требование и общественный интерес. Во-первых, большинство организаций спрашивают, нужно ли им согласие на обработку данных. Ответ: не обязательно.Как я уже упоминал, согласие — это лишь одно из шести юридических оснований для обработки данных. Если вы действительно используете согласие, вы должны знать, что согласие должно быть дано свободно, ясно, и отозвать согласие должно быть так же легко, как и дать согласие.
Законный интерес, например, — это что-то вроде маркетинговой деятельности. Это обработка, которую субъект данных обычно ожидает от организации, для выполнения которой он предоставляет свои персональные данные. Однако, если организация использует законный интерес в качестве действительной правовой основы для обработки, она должна выполнить проверку баланса.Необходима ли обработка данных для функционирования организации? Перевешивают ли действия по обработке любые возражения или риски для прав и свобод субъекта данных? Контракт довольно понятен. Общественный интерес — это процесс обработки, который может осуществляться государственным учреждением или организацией, действующей от имени государственного учреждения. Жизненный интерес — это редкий случай, когда обработка данных может потребоваться для спасения чьей-либо жизни.
Причина, по которой правовая основа для обработки так важна, заключается в том, что правовая основа должна быть очевидна в любое время.Организация должна иметь возможность показывать внутри себя, субъектам данных и регулирующим органам, какую правовую основу она использует для каждого человека, чьи данные она обрабатывает. Если субъект данных дает согласие на организацию, организация должна иметь возможность продемонстрировать, когда и как этот субъект данных дал согласие.
Поскольку согласие должно даваться свободно, организации больше не могут использовать автоматические флажки, чтобы продемонстрировать, что субъекты данных дали согласие на использование их данных организацией.Процесс согласия должен быть четким, а иногда и отдельным. Например, если организация собирается использовать электронную почту для отправки маркетинговых сообщений субъекту данных, тогда организация может выбрать отдельный ящик для электронной почты, чем для других форм связи, текстовых сообщений или телефонных звонков.
Правовая основа для обработки также важна, потому что она оказывает значительное влияние на то, как организация отвечает на запросы прав субъектов данных. Есть некоторые права, которые могут быть предоставлены, если согласие является законным основанием для обработки или если выполнение контракта является правовой основой для обработки.Есть и другие последствия для правовой основы обработки. Например, обработка особых видов данных, включая расу, этническую принадлежность, данные о состоянии здоровья, биометрические данные и прочую конфиденциальную информацию, требует определенных основ для обработки.
Еще одна проблема для юридических оснований для обработки заключается в том, что организация использует несколько баз для обработки различных наборов данных. Например, организация может обрабатывать персональные данные субъектов данных из ЕС, которые являются ее сотрудниками, а также клиентов, которым ее услуги продают и которым они продают.Правовая основа для обработки данных о сотрудниках может отличаться от правовой основы для обработки данных о клиентах. Организация должна убедиться, что они могут различать, какие правовые основы используются для обработки, чтобы гарантировать, что они правильно реагируют на права субъектов данных, и гарантировать, что они выполняют любые тесты на балансировку, связанные с законными интересами. Наконец, следует отметить, что организации не могут выбрать, какое правовое основание они используют для обработки данных, а затем изменить правовое основание, если они используют и согласие, и договор.Одновременно должна быть только одна основа для обработки персональных данных.
Вот еще несколько примечаний о правовых основах обработки персональных данных. Во-первых, до начала обработки должна быть установлена правовая основа для обработки персональных данных. Организации не могут начать обработку персональных данных, а затем вернуться и попытаться выполнить договор, получить согласие или заявить законный интерес. Во-вторых, одно правовое основание для обработки не обязательно превосходит другие правовые основания для обработки.Наиболее эффективная правовая основа для обработки зависит от цели обработки и отношений с субъектом данных.
Контракт | ICO
Кратко
- Вы можете положиться на это законное основание, если вам нужно обработать чьи-то личные данные:
- для оказания им контрактных услуг; или
- , потому что они попросили вас что-то сделать перед заключением контракта (например, предоставить расценки).
- Обработка должна быть обязательной. Если бы вы могли разумно делать то, что они хотят, обрабатывая меньше данных или используя их данные менее навязчивым образом, эта основа не будет применяться.
- Вы должны задокументировать свое решение полагаться на это законное основание и убедиться, что вы можете обосновать свои доводы.
Вкратце
Когда может применяться законная основа для заключения контрактов?
У вас есть законное основание для обработки, если:
- у вас есть договор с физическим лицом, и вам необходимо обрабатывать его личные данные для выполнения своих обязательств по договору.
- у вас есть договор с физическим лицом, и вам необходимо обработать его личные данные, чтобы они могли выполнять определенные встречные обязательства по договору (например, вы обрабатываете платежные реквизиты).
- у вас еще нет контракта с этим человеком, но они попросили вас сделать что-то в качестве первого шага (например, предоставить расценки), и вам необходимо обработать его личные данные, чтобы выполнить то, что они просят. Это применимо, даже если они фактически не заключают с вами договор, при условии, что обработка была в контексте потенциального контракта с этим лицом.
Пример
Индивидуальный поиск автострахования запрашивает расценки. Страховщику необходимо обработать определенные данные, чтобы подготовить предложение, например, марку и возраст автомобиля.
Это не применяется, если вам нужно обработать данные одного человека, но контракт заключен с кем-то другим.
Это не применяется, если вы собираете и повторно используете данные своих клиентов в собственных деловых целях, даже если это разрешено в соответствии с вашими стандартными договорными условиями и является частью вашей модели финансирования.
Это не применяется, если вы предпринимаете преддоговорные шаги по собственной инициативе, для выполнения других обязательств или по запросу третьей стороны.
Обратите внимание, что в этом контексте контракт не должен быть официально подписанным документом или даже записанным, если есть соглашение, которое соответствует требованиям договорного права. В широком смысле это означает, что условия были предложены и приняты, вы оба предполагаете, что они будут иметь обязательную юридическую силу, и есть элемент обмена (обычно это обмен товаров или услуг на деньги, но это может быть что угодно, имеющее ценность).Однако это не полное объяснение договорного права, и в случае сомнений вам следует обратиться за собственной юридической консультацией.
Когда обработка «необходима» для контракта?
«Необходимый» не означает, что обработка должна быть абсолютно необходимой или «единственным способом» для выполнения контракта или принятия соответствующих преддоговорных шагов. Однако это должно быть больше, чем просто полезное, и больше, чем просто часть ваших стандартных условий. Это должен быть целенаправленный и соразмерный шаг, который является неотъемлемой частью предоставления контрактных услуг или выполнения запрошенных действий.Это законное основание не применяется, если есть другие разумные и менее навязчивые способы предоставления контрактных услуг или принятия запрошенных мер.
Обработка должна быть необходима для выполнения контракта с этим конкретным лицом. Если вместо этого обработка необходима для поддержания вашей бизнес-модели в целом или включена в ваши условия для других деловых целей, помимо предоставления контрактных услуг, это законное основание не будет применяться, и вам следует рассмотреть другое законное основание, такое как законные интересы.
Пример
Когда субъект данных совершает онлайн-покупку, контролер обрабатывает адрес физического лица, чтобы доставить товар. Это необходимо для выполнения контракта.
Однако профилирование интересов и предпочтений человека на основе приобретенных товаров не является необходимым для выполнения контракта, и контролер не может ссылаться на Статью 6 (1) (b) в качестве законного основания для такой обработки. Даже если этот тип целевой рекламы является полезной частью ваших отношений с клиентами и необходимой частью вашей бизнес-модели, нет необходимости выполнять сам договор.
Это не означает, что обработка, которая не является необходимой для контракта, автоматически является незаконной, а скорее, что вам нужно искать другое законное основание (и другие гарантии, такие как право на возражение, могут вступить в игру).
Что еще нужно учесть?
Если обработка необходима для заключения договора с физическим лицом, обработка является законной на этом основании, и вам не нужно получать отдельное согласие.
Если для контракта необходима обработка данных специальной категории, вам также необходимо указать отдельное условие для обработки этих данных.Прочтите наше руководство по данным специальных категорий для получения дополнительной информации.
Если договор заключен с ребенком младше 18 лет, вам необходимо определить, обладает ли он необходимой компетенцией для заключения договора. Если вы сомневаетесь в их компетентности, вы можете рассмотреть альтернативную основу, такую как законные интересы, которые могут помочь вам продемонстрировать, что права и интересы ребенка должным образом учитываются и защищаются. Прочтите наше руководство по детям и GDPR для получения дополнительной информации.
Если обработка не требуется для контракта, вам необходимо рассмотреть другое законное основание, такое как законные интересы или согласие. Обратите внимание, что если вы хотите полагаться на согласие, вы, как правило, не сможете сделать обработку условием контракта. Прочтите наше руководство по согласию для получения дополнительной информации.
Если вы обрабатываете на основании контракта, право физического лица на возражение и право не подвергаться решению, основанному исключительно на автоматизированной обработке, не применяются.Однако у человека будет право на переносимость данных. Прочтите наше руководство по правам человека для получения дополнительной информации.
Не забудьте задокументировать свое решение о том, что обработка необходима для контракта, и включить информацию о ваших целях и законных основаниях в свое уведомление о конфиденциальности.
Подробнее — Европейский совет по защите данных
Европейский совет по защите данных (EDPB), который заменил Рабочую группу по статье 29 (WP29), включает представителей органов по защите данных каждого государства-члена ЕС.Он принимает рекомендации по соблюдению требований GDPR.
EDPB утвердил окончательные руководящие принципы обработки в соответствии со статьей 6 (1) (b) в контексте онлайн-услуг. Руководящие принципы EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании. Однако они могут по-прежнему давать полезные советы по определенным вопросам.
Законные интересы | ICO
Кратко
- Законные интересы — это наиболее гибкая законная основа для обработки, но вы не можете предполагать, что она всегда будет наиболее подходящей.
- Вероятно, это будет наиболее подходящим вариантом, если вы используете данные людей так, как они разумно ожидали, и которые имеют минимальное влияние на конфиденциальность, или когда есть веские основания для обработки.
- Если вы решите полагаться на законные интересы, вы берете на себя дополнительную ответственность за учет и защиту прав и интересов людей.
- Государственные органы могут полагаться только на законные интересы, если они обрабатывают данные по законной причине, отличной от выполнения своих задач в качестве государственного органа.
- Основание законных интересов включает три элемента. Это помогает думать об этом как о трехчастном тесте. Вам нужно:
- выявить законный интерес;
- показывают, что для его достижения необходима обработка; и
- уравновешивает его интересы, права и свободы человека.
- Законные интересы могут быть вашими собственными интересами или интересами третьих лиц. Они могут включать коммерческие интересы, индивидуальные интересы или более широкие общественные выгоды.
- Обработка должна быть обязательной. Если вы можете разумно достичь того же результата другим, менее навязчивым способом, законные интересы не будут применяться.
- Вы должны найти баланс между вашими интересами и личными интересами. Если они не будут разумно ожидать обработки или если это может причинить неоправданный вред, их интересы могут иметь приоритет над вашими законными интересами.
- Ведите запись оценки ваших законных интересов (LIA), чтобы при необходимости продемонстрировать соответствие.
- Вы должны указать подробности своих законных интересов в своей информации о конфиденциальности.
Контрольные списки
☐ Мы проверили, что законные интересы являются наиболее подходящей основой.
☐ Мы осознаем свою ответственность по защите интересов человека.
☐ Мы провели оценку законных интересов (LIA) и записали ее, чтобы убедиться, что мы можем обосновать свое решение.
☐ Мы определили соответствующие законные интересы.
☐ Мы проверили, что обработка необходима и нет менее навязчивого способа добиться того же результата.
☐ Мы провели тест на равновесие и уверены, что интересы человека не перевешивают законные интересы.
☐ Мы используем данные отдельных лиц только так, как они могли бы ожидать, если у нас нет очень веской причины.
☐ Мы не используем данные людей так, как они сочтут навязчивыми или которые могут причинить им вред, если у нас нет очень веской причины.
☐ Если мы обрабатываем данные детей, мы уделяем особое внимание защите их интересов.
☐ Мы рассмотрели меры предосторожности для уменьшения воздействия, где это возможно.
☐ Мы рассмотрели возможность отказа от участия.
☐ Если наше LIA обнаруживает значительное влияние на конфиденциальность, мы решили, нужно ли нам также проводить DPIA.
☐ Мы постоянно пересматриваем наше LIA и повторяем его, если обстоятельства изменятся.
☐ Мы включаем информацию о наших законных интересах в нашу информацию о конфиденциальности.
Вкратце
Что является основанием для «законных интересов»?
Статья 6 (1) (f) дает вам законное основание для обработки, если:
«обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной, за исключением случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта данных, которые требуют защиты персональных данных, в частности, когда Субъект данных — ребенок.”
Это можно разбить на три части:
- Цель проверки: преследуете ли вы законный интерес?
- Проверка на необходимость: Нужна ли для этого обработка?
- Тест на равновесие: перевешивают ли интересы человека законные?
Законными интересами могут быть самые разные интересы. Это могут быть ваши собственные интересы или интересы третьих лиц, а также коммерческие интересы, а также более широкие общественные выгоды.Они могут быть убедительными или тривиальными, но тривиальные интересы легче преодолеть в тесте на равновесие.
GDPR Великобритании конкретно упоминает использование данных клиентов или сотрудников, маркетинг, предотвращение мошенничества, внутригрупповые переводы или ИТ-безопасность как потенциальные законные интересы, но это не исчерпывающий список. В нем также говорится, что у вас есть законный интерес в раскрытии властям информации о возможных преступных действиях или угрозах безопасности.
«Необходимый» означает, что обработка должна быть целевым и соразмерным способом достижения вашей цели.Вы не можете полагаться на законные интересы, если есть другой разумный и менее навязчивый способ добиться того же результата.
Вы должны сбалансировать свои интересы с интересами человека. В частности, если они не будут разумно ожидать, что вы будете использовать данные таким образом, или это может причинить им неоправданный вред, их интересы, скорее всего, будут преобладать над вашими. Однако ваши интересы не всегда должны совпадать с интересами человека. В случае конфликта ваши интересы могут преобладать до тех пор, пока существует четкое оправдание воздействия на человека.
Когда мы можем полагаться на законные интересы?
Законные интересы — это наиболее гибкая законная основа, но вы не можете предполагать, что она всегда будет подходящей для всей вашей обработки.
Если вы решите полагаться на законные интересы, вы берете на себя дополнительную ответственность за обеспечение полного учета и защиты прав и интересов людей.
Законные интересы, скорее всего, будут подходящей основой для использования данных способами, которые люди разумно ожидают и которые оказывают минимальное влияние на конфиденциальность.Если есть влияние на людей, оно все равно может применяться, если вы можете показать, что обработка дает еще более убедительную выгоду и влияние оправдано.
Вы можете полагаться на законные интересы в маркетинговой деятельности, если можете показать, что то, как вы используете данные людей, соразмерно, оказывает минимальное влияние на конфиденциальность, и люди не будут удивлены или, вероятно, будут возражать — но только если вам не нужно согласие в PECR. См. Наше Руководство по PECR, чтобы узнать больше о том, когда вам нужно согласие на электронный маркетинг.
Вы можете рассматривать законные интересы в отношении обработки данных детей, но вы должны проявлять особую осторожность, чтобы обеспечить защиту их интересов. Ознакомьтесь с нашим подробным руководством по детям и GDPR Великобритании.
Вы можете полагаться на законные интересы, чтобы на законных основаниях раскрыть личные данные третьей стороне. Вы должны подумать, зачем им нужна информация, нужна ли она на самом деле и что они будут с ней делать. Вам необходимо продемонстрировать обоснованность раскрытия информации, но в их обязанности входит определение законных оснований для собственной обработки.
Вам следует избегать использования законных интересов, если вы используете личные данные способами, которых люди не понимают и не ожидают разумно, или если вы думаете, что некоторые люди будут возражать, если вы им это объясните. Вам также следует избегать этой основы для обработки, которая может причинить вред, если вы не уверены, что, тем не менее, есть веская причина для продолжения, которая оправдывает воздействие.
Если вы являетесь государственным органом, вы не можете полагаться на законные интересы при обработке, которую вы выполняете для выполнения своих задач в качестве государственного органа.Однако, если у вас есть другие законные цели, выходящие за рамки ваших задач в качестве государственного органа, вы можете учитывать законные интересы, где это уместно. Это будет особенно актуально для государственных органов с коммерческими интересами.
См. Нашу страницу с инструкциями по законному основанию для получения дополнительной информации об альтернативах законным интересам и о том, как решить, какое основание выбрать.
Как мы можем применить законные интересы на практике?
Если вы хотите полагаться на законные интересы, вы можете использовать трехэтапный тест, чтобы оценить, применимо ли оно.Мы называем это оценкой законных интересов (LIA), и вы должны сделать это до начала обработки.
LIA — это тип легкой оценки риска, основанный на конкретном контексте и обстоятельствах. Это поможет вам убедиться в законности вашей обработки. Регистрация вашего LIA также поможет вам продемонстрировать соблюдение в соответствии с вашими обязательствами по подотчетности согласно статьям 5 (2) и 24. В некоторых случаях LIA будет довольно коротким, но в других необходимо будет рассмотреть больше.
Во-первых, определите законные интересы. Считайте:
- Почему вы хотите обрабатывать данные — чего вы пытаетесь достичь?
- Кому выгодна переработка? Каким образом?
- Есть ли какие-либо общественные выгоды от обработки?
- Насколько важны эти преимущества?
- Каковы были бы последствия, если бы вы не смогли продолжить?
- Будет ли использование вами данных неэтичным или незаконным?
Во-вторых, примените проверку необходимости.Считайте:
- Действительно ли эта обработка способствует развитию этого интереса?
- Это разумный способ сделать это?
- Есть ли другой менее навязчивый способ добиться того же результата?
В-третьих, проведите тест на балансировку. Подумайте о влиянии вашей обработки и о том, перевешивает ли она выявленный вами интерес. Возможно, вам будет полезно подумать о следующем:
- Каковы ваши отношения с человеком?
- Являются ли какие-либо данные конфиденциальными или конфиденциальными?
- Ожидали ли люди, что вы будете использовать их данные таким образом?
- Вы счастливы им это объяснить?
- Некоторые люди могут возразить или сочтут это навязчивым?
- Какое возможное влияние на человека?
- Насколько сильно это может на них повлиять?
- Вы обрабатываете данные детей?
- Уязвимы ли какие-либо люди по-другому?
- Можете ли вы принять какие-либо меры предосторожности для минимизации воздействия?
- Можете ли вы предложить отказ?
Затем вам необходимо принять решение о том, считаете ли вы, что законные интересы по-прежнему являются подходящей основой.Не существует надежной формулы для результата теста на равновесие, но вы должны быть уверены, что ваши законные интересы не перевешиваются выявленными вами рисками.
Ведите учет своего LIA и результатов. Для этого не существует стандартного формата, но важно записывать свои мысли, чтобы показать, что у вас есть надлежащие процессы принятия решений, и оправдать результат.
Следите за своим LIA и обновляйте его, если есть существенные изменения в целях, характере или контексте обработки.
Если вы не уверены в результате проверки балансировки, может быть безопаснее поискать другое законное основание. Законные интересы не всегда являются наиболее подходящей основой для обработки, которая является неожиданной или высокорисковой.
Если ваше LIA выявляет значительные риски, подумайте, нужно ли вам проводить DPIA для более подробной оценки риска и потенциального смягчения. См. Наше руководство по DPIA для получения дополнительной информации.
Что еще нужно учесть?
Вы должны сообщить людям в своей информации о конфиденциальности, что вы полагаетесь на законные интересы, и объяснить, каковы эти интересы.
Если вы хотите обрабатывать персональные данные для новой цели, вы можете продолжить обработку в соответствии с законными интересами, пока ваша новая цель совместима с вашей первоначальной целью. Мы по-прежнему рекомендуем вам провести новую LIA, так как это поможет вам продемонстрировать совместимость.
Если вы полагаетесь на законные интересы, право на переносимость данных не применяется.
Если вы полагаетесь на законные интересы в прямом маркетинге, право на возражение является абсолютным, и вы должны прекратить обработку, когда кто-то возражает.Для других целей вы должны прекратить, если вы не можете доказать, что ваши законные интересы достаточно убедительны, чтобы переопределить права человека. Подробнее об этом см. В нашем руководстве по правам человека.
Выпуск | Директива | GDPR | Удар |
правовая основа Согласно закону ЕС о защите данных, должна существовать правовая основа для любой обработки персональных данных (если не применяется исключение или отступление). | Рек.30; Статья 7 (1) Персональные данные могут быть обработаны только при наличии хотя бы одного правового основания. | Рек.39, 40, 41; Статья 6 (1) Персональные данные могут обрабатываться только в том случае и в той степени, в которой применяется хотя бы одно правовое основание. | Обязательство организаций иметь правовую основу в отношении каждого процесса обработки практически не изменилось. |
Согласие Персональные данные могут обрабатываться на том основании, что субъект данных дал согласие на такую обработку. | Рек.30, 33; Статья 7 (1) (а) Обработка разрешена, если субъект данных дал согласие на обработку. | Рек.32, 42, 43; Статья 6 (1) (а) Обработка разрешена, если субъект данных дал согласие на обработку. | «Согласие» остается правовой основой для обработки персональных данных. Однако согласно GDPR получить действительное согласие значительно сложнее (см. Главу 8). |
Необходимость по договору Персональные данные могут обрабатываться на том основании, что такая обработка необходима для заключения или выполнения договора с субъектом данных. | Рек.30; Статья 7 (1) (b) Обработка была разрешена, если это было необходимо для заключения или выполнения контракта с субъектом данных или для принятия мер по его или ее запросу до заключения контракта. | Рек.44; Статья 6 (1) (b) Обработка разрешена, если это необходимо для заключения или выполнения контракта с субъектом данных или для принятия мер по его или ее запросу до заключения контракта. | «Договорная необходимость» остается правовой основой для обработки персональных данных. |
Соблюдение юридических обязательств Персональные данные могут обрабатываться на том основании, что контролер имеет юридическое обязательство выполнить такую обработку. | Рек.30; Статья 7 (1) (c) Обработка разрешена, если это необходимо для выполнения юридического обязательства. | Рек.45; Статья 6 (1) (c), 6 (3) Обработка разрешена, если это необходимо для соблюдения юридического обязательства в соответствии с законодательством ЕС или законодательством государства-члена . | «Соблюдение юридических обязательств» остается правовой основой для обработки персональных данных. Тот факт, что эта правовая основа явно ограничена правовыми обязательствами, возникающими в ЕС, может поставить организации, на которые распространяются судебные постановления за пределами ЕС о раскрытии данных, в затруднительное положение. |
Жизненные интересы Персональные данные могут обрабатываться на том основании, что это необходимо для защиты «жизненно важных интересов» субъекта данных (это в основном применяется в сценариях «жизни или смерти»). | Рек.31; Статья 7 (1) (d) Обработка была разрешена, если это было необходимо для защиты жизненно важных интересов субъекта данных. | Рек.46; Статья 6 (1) (d) Обработка разрешена, если это необходимо для защиты жизненно важных интересов субъекта данных или другого физического лица . | Согласно GDPR, условие обработки «жизненно важных интересов» может распространяться на других лиц (например, детей субъекта данных).Это полезное уточнение. |
Государственный интерес Персональные данные могут обрабатываться на том основании, что такая обработка необходима для выполнения задач, выполняемых государственным органом или частной организацией, действующей в общественных интересах. | Рек.32; Статья 7 (1) (e) Обработка была разрешена, если это было необходимо для выполнения задачи, выполняемой в общественных интересах или для осуществления официальных полномочий, возложенных на контролера. | Рек.45; Статья 6 (1) (e) Обработка разрешена, если это необходимо для выполнения задачи, выполняемой в общественных интересах или для осуществления официальных полномочий, возложенных на контролера. | «Общественный интерес» остается правовой основой для обработки персональных данных. Также обратите внимание, что обработка, выполняемая на этой основе, может вызывать возражения со стороны субъектов данных (см. Главу 9). |
Законные интересы Персональные данные могут обрабатываться на том основании, что контролер имеет законный интерес в обработке этих данных, при условии, что такой законный интерес не отменяется правами или свободами затронутых субъектов данных. | Рек.30; Статья 7 (1) (f) Обработка была разрешена, если это было необходимо для целей законных интересов, преследуемых контролером (или третьей стороной, которой раскрываются данные), за исключением случаев, когда интересы контролера были перекрыты интересами, правами или свободами затронутых субъектов данных . | Рек.47, 48; Статья 6 (1) (f) Обработка разрешена, если это необходимо для целей законных интересов, преследуемых контролером (или третьей стороной), за исключением случаев, когда интересы контролера перекрываются интересами, основными правами или свободами затронутых субъектов данных, которые требуют защиты, , в частности, если субъект данных — ребенок . Это не относится к обработке, выполняемой государственными органами при исполнении своих обязанностей . | «Законные интересы» остается правовой основой для обработки персональных данных. Также обратите внимание, что обработка, выполняемая на этой основе, может вызывать возражения со стороны субъектов данных (см. Главу 9). Для обработки личных данных детей требуется разрешение родителей (и обратите внимание, что ребенок — это любой человек младше 16 лет). В некоторых случаях (особенно в Интернете) может быть сложно доказать, что разрешение родителей было получено. |
Дополнительные полномочия для государств-членов Государствам-членам разрешено вводить дополнительные правовые основы для ограниченных целей, связанных с национальным законодательством или выполнением задач в общественных интересах. | НЕТ Директива не решает эту проблему явным образом. | Рек.40; Статья 6 (2) Государства-члены могут ввести дополнительные правовые основы в отношении обработки, выполняемой в целях соблюдения юридических обязательств (см. Ст.6 (1) (c) выше) или выполнение задач в общественных интересах (см. Статью 6 (1) (e) выше). | Это положение в значительной степени предназначено для того, чтобы позволить государствам-членам сохранить определенные правовые основы, существующие в соответствии с национальными законами соответствующих государств-членов. Пока не ясно, как государства-члены будут использовать это право. |
Данные об уголовных преступлениях и гражданском правоприменении Персональные данные, относящиеся к уголовным преступлениям, подлежат дополнительным ограничениям (и обычно рассматриваются как аналог чувствительных персональных данных) из-за потенциально значительного воздействия, которое обработка таких данных может оказать на субъекта данных. Следует отметить, что национальные уголовные законы государств-членов выходят за рамки законодательной компетенции ЕС и не регулируются GDPR. | Статья 8 (5) Персональные данные, относящиеся к правонарушениям, уголовным обвинениям или мерам безопасности, могут быть обработаны только:
Любой полный реестр судимостей по уголовным делам может вестись только под контролем официальных властей. Государства-члены могут предоставить, что данные, относящиеся к административным санкциям или судебным решениям по гражданским делам, должны обрабатываться под контролем официального органа. | Статья 10, 23 (1) (j) Персональные данные, относящиеся к уголовным обвинениям и правонарушениям или связанным с ними мерам безопасности, могут обрабатываться только:
Любой исчерпывающий реестр судимостей по уголовным делам может вестись только под контролем официальных властей. Государства-члены могут налагать ограничения на обработку персональных данных в целях обеспечения исполнения гражданских исков. | Ограничения, касающиеся обработки персональных данных, касающихся уголовных преступлений или обвинительных приговоров, а также вопросов гражданского правопорядка, существенно не изменились. |
Обработка конфиденциальных персональных данных Обработка конфиденциальных персональных данных разрешена только при определенных условиях: | Рек.34; Арт.8 Обработка конфиденциальных персональных данных запрещена, кроме случаев: | Рек.51-56; Арт.9 Обработка конфиденциальных персональных данных запрещена, кроме случаев: | Изменения, внесенные GDPR, являются положительными для большинства организаций, поскольку они предоставляют дополнительные основания для законной обработки конфиденциальных персональных данных. |
|
| ||
|
| ||
|
| ||
|
|
| |
|
|
| |
|
| ||
|
| ||
|
|
| |
| |||
|
| ||
|
|
| |
Переработка для новых целей Несмотря на «принцип минимизации данных» (см. Главу 6), существуют некоторые обстоятельства, при которых личные данные могут обрабатываться для новых целей, выходящих за рамки первоначальной цели, для которой эти данные были собраны. | Статья 6 (1) (b), 13 (1) Персональные данные могут обрабатываться для новых целей при условии, что эти новые цели « не несовместимы, » с первоначальной целью. Закон государства-члена может разрешить обработку для новых целей (помимо первоначальной), если это была необходимая мера для защиты особых общественных интересов (например, национальной безопасности, обороны, общественной безопасности и т. Д.). | Рек.50; Статья 6 (4) Если персональные данные должны обрабатываться для новой цели, контролер должен рассмотреть, является ли новая цель «совместимой» с первоначальной целью, принимая во внимание следующие факторы :
| Директива разрешила обработку персональных данных для новых целей при условии, что эти новые цели «не несовместимы» с первоначальной целью. Это была достаточно низкая планка. Однако GDPR усложняет организациям обработку персональных данных для новых целей, поскольку задача определения того, какие новые цели обработки являются «совместимыми», а какие нет, является обременительной. Тот факт, что GDPR признает, что псевдонимизация снижает уровень риска, связанного с обработкой персональных данных, является положительным моментом для организаций, которые регулярно обрабатывают псевдонимизированные данные (например,г., компании, проводящие клинические испытания). |
Обработка, не требующая идентификации В некоторых случаях контролеры обязаны хранить определенные данные в целях соблюдения применимого законодательства. | НЕТ Директива не решает эту проблему явным образом. | Рек.57; Статья 11 (1) Если для целей, для которых контролер обрабатывает персональные данные, не требуется идентификация субъекта данных, контроллеру не требуется хранить информацию, идентифицирующую субъект данных, в соответствии с GDPR . | GDPR помогает разъяснить тот факт, что контроллеры не обязаны хранить информацию, идентифицирующую субъектов данных, исключительно в целях соблюдения GDPR. |
Когда «необходимо» обрабатывать личные данные для выполнения контракта?
Европейский совет по защите данных принял окончательные Руководящие принципы обработки персональных данных, используя законную основу « необходимо выполнить договор » в соответствии со статьей 6 (1) (b) GDPR в контексте предоставления онлайн Сервисы.
Статья 6 (1) (b) GDPR обеспечивает законную основу для обработки персональных данных в той степени, в которой обработка составляет:
- Необходимо для выполнения договора , стороной которого является субъект данных; или
- Для того, чтобы предпринять действия по запросу субъекта данных до заключения договора.
Руководящие принципы определяют элементы законной обработки в соответствии со статьей 6 (1) (b) и уделяют особое внимание концепции «необходимости».Они начинают с изучения взаимосвязи между этим правовым основанием и другими обязательствами в соответствии с GDPR.
Законная, справедливая и прозрачная обработка
В Руководстве поясняется, что для того, чтобы обработка персональных данных на этом основании была «законной» [1], договор на предоставление онлайн-услуг должен быть действительным. Например, когда речь идет о детях, обеспечение соблюдения национальных законов, касающихся правоспособности детей заключать контракты.
Требование справедливости и законности обработки также требует от контролера выполнения других связанных юридических обязательств, например, связанных с несправедливыми условиями в потребительских договорах. [2]
В целях соблюдения обязательств по прозрачности в соответствии с GDPR, контролеры должны гарантировать, что они избегают путаницы в отношении того, что является правовым основанием, в частности, убедитесь, что субъекты данных не находятся под ошибочным представлением, что они дают свое согласие на обработку их личные данные в соответствии со статьей 6 (1) (a) GDPR, когда они подписывают договор или принимают условия обслуживания.Руководящие принципы напоминают нам, что это две совершенно разные концепции с разными требованиями и последствиями.
Как удовлетворить требования статьи 6 (1) (b) и необходимость
Тест для оценки того, удовлетворяется ли статья 6 (1) (b) как законное основание, заключается в том, является ли обработка « объективно необходимой » для (i) выполнения контракта с субъектом данных; или (ii) для принятия преддоговорных шагов по запросу субъекта данных.
В Руководстве используется узкая интерпретация «необходимости», которая включает «комбинированную, основанную на фактах оценку обработки» для преследуемой цели и рассмотрение того, существует ли какой-либо менее интрузивный способ достижения той же цели.Если да, то обработка не является «необходимой» для выполнения контракта или выполнения преддоговорных действий.
Встраивание ссылок на обработку персональных данных в условия контракта является недостаточным для включения обработки в сферу действия статьи 6 (1) (b), и, наоборот, обработка может быть объективно необходимой для выполнения контракта, даже если это не упоминается в контракте. Контракт не может искусственно расширять категории персональных данных или типы обработки, которые необходимы для выполнения контракта в соответствии со статьей 6 (1) (b), например, путем включения условий, налагающих дополнительные условия, касающиеся рекламы или файлов cookie.Ключевой вопрос заключается в том, является ли обработка объективно необходимой для цели, которая является неотъемлемой частью предоставления контрактных услуг субъекту данных.
Контроллер должен иметь возможность продемонстрировать, что основной предмет конкретного договора с субъектом данных не может, по сути, выполняться без конкретной обработки соответствующих персональных данных. Следует учитывать разумные ожидания субъекта данных — будет ли обычный пользователь службы разумно ожидать, что обработка будет иметь место для предоставления услуги?
Если несколько отдельных услуг или элементов услуги связаны вместе в одном контракте, но они могут разумно выполняться независимо, то при оценке того, удовлетворяется ли статья 6 (1) (b) в качестве правовой основы, каждая услуга или элемент должны быть оцениваться отдельно, чтобы определить, какая обработка объективно необходима для выполнения этой услуги или элемента.
Практические примеры
Руководящие принципы содержат некоторые более конкретные указания по применению статьи 6 (1) (b) к определенной обработке, например:
- Поведенческая онлайн-реклама и связанное с ней отслеживание и профилирование субъектов данных, как правило, не являются необходимыми для выполнения контракта на онлайн-услуги, поскольку обычно трудно утверждать, что контракт не может быть выполнен без показа поведенческой рекламы. На статью 6 (1) (b) нельзя полагаться на том основании, что онлайн-реклама косвенно финансирует услугу.Хотя это может способствовать предоставлению услуги, этого недостаточно для подтверждения необходимости выполнения контракта.
- Персонализация — Персонализация содержимого может потребоваться для выполнения контракта, если она является неотъемлемым и ожидаемым элементом онлайн-службы, а не просто предназначена для увеличения взаимодействия с услугой. Это зависит от характера услуги и ожиданий среднего субъекта данных в свете условий обслуживания, от того, как она продвигается среди пользователей и может ли услуга быть предоставлена без персонализации.
- Контрактные гарантии — Для выполнения контракта может потребоваться хранение определенных данных в течение определенного времени после обмена товарами или услугами для целей договорных гарантий;
- Улучшение услуг — Обработка личных данных с целью улучшения услуг, как правило, не является необходимой для выполнения контракта, поскольку услуга может быть предоставлена без сбора этой информации. Однако контролер может полагаться на альтернативное правовое основание, такое как законные интересы или согласие.
- Предотвращение мошенничества — Обработка личных данных в целях предотвращения мошенничества может выйти за рамки того, что объективно необходимо для выполнения контракта. Однако такая обработка может соответствовать законным интересам контролера или может быть необходима им для выполнения юридического обязательства.
[1] В соответствии с требованиями статьи 5 (1) (a) GDPR
[2] Например, Директива 93/13 / EEC — Директива о недобросовестных условиях контрактов
Условия использования, обработка персональных данных и куки | Skanska
Добро пожаловать на сайт Skanska.К веб-сайту применяются следующие условия использования, и мы просим вас внимательно их прочитать.
Обработка персональных данных | Информация о файлах cookie
Условия использования содержат информацию о том, как вы можете использовать контент на веб-сайте, как мы обрабатываем ваши личные данные и какие файлы cookie используются на веб-сайте. Ссылки ниже на «Skanska», «нас» или «мы» относятся к Skanska AB (поставщику этого веб-сайта) и / или другим компаниям, входящим в Skanska Group.Веб-сайт Skanska и настоящие условия использования соответствуют законодательству Швеции.
Авторские права и другие права интеллектуальной собственности
Информация об авторских правах и товарных знаках
Все права на содержимое веб-сайта, такое как текст, графика, логотипы, изображения, видеоклипы, аудиофайлы и программы, принадлежат Skanska или третьим лицам и защищены шведским и международным законодательством об интеллектуальной собственности. Все права защищены.
Содержимое веб-сайта предоставляется вам в качестве услуги и может использоваться только в соответствии с условиями, изложенными ниже.Загружая материалы с веб-сайта, вы принимаете условия.
Несанкционированное использование или распространение содержания веб-сайта может нарушать авторские права и / или другие шведские или международные законы и может быть предметом судебного иска.
Использование товарных знаков Skanska
Товарные знаки и брендыSkanska могут использоваться только в соответствии с настоящими условиями или после получения вами письменного разрешения Skanska. Использование товарных знаков Skanska в рекламе и маркетинге продуктов и услуг Skanska требует предварительного письменного разрешения.
Использование содержания на сайте
Веб-сайт и его содержимое не могут быть изменены, переданы, воспроизведены, опубликованы, лицензированы, переданы, проданы или использованы для любых других коммерческих целей без предварительного письменного разрешения Skanska.
По мере того, как вы знакомитесь с содержанием веб-сайта, Skanska позволяет вам при необходимости делать временные копии содержимого этого веб-сайта. Вы также можете распечатать столько контента с веб-сайта, сколько разумно для личного использования, и ссылки на наш веб-сайт.Любое другое использование информации на сайте запрещено.
При копировании информации на веб-сайте вы не можете изменять или удалять информацию об авторских правах или имени Skanska.
Заявление об ограничении ответственности
Информация на сайте носит общий характер и не должна использоваться как единственная причина для решения важных вопросов. Мы постоянно работаем над тем, чтобы сайт был точным, полным и актуальным, но всегда существует риск, например, что опечатки, внешние воздействия и технические ошибки приведут к искажению информации.Это означает, что Skanska не может гарантировать и не принимает на себя ответственность за правильность, полноту и актуальность информации.
Если Skanska предоставляет ссылку на сторонний веб-сайт, эта ссылка предназначена только для помощи пользователю, и Skanska не несет ответственности за содержание или точность информации на таком веб-сайте.
Материалы пользователей
Все материалы и сообщения, переданные или размещенные на этом веб-сайте в связи с использованием вами функций на веб-сайте, не будут считаться конфиденциальными.Skanska имеет право использовать такие материалы в коммерческих или некоммерческих целях.
При использовании веб-сайта вы не можете предоставлять какие-либо материалы или информацию, которые являются незаконными, могут быть восприняты как оскорбительные, представляют собой маркетинг или иным образом могут быть восприняты как несоответствующие. Такой контент будет удален с веб-сайта, и мы также оставляем за собой право прекратить предоставление услуг на веб-сайте, к которому вы, возможно, присоединились.
В случае, если материалы и сообщения, отправленные нам через веб-сайт, содержат личные данные, применяются сведения, указанные в разделе Обработка личных данных ниже.
Разное
Skanska может изменить эти условия использования в любое время, выбрать отображение или удаление сообщений и контента на веб-сайте и / или закрыть веб-сайт. Если условия использования изменятся, вы будете проинформированы об этом в новой версии, размещенной на веб-сайте. Поэтому мы просим вас быть в курсе любых новых версий условий.
Обработка персональных данных
Введение
Ваша конфиденциальность важна для нас, и мы стремимся обеспечить высокий уровень защиты при любой обработке персональных данных.В ЕС / ЕЭЗ с мая 2018 года применяется Общий регламент по защите данных (GDPR) (см. Ниже).
В соответствии с применимым законодательством о защите данных Skanska AB или компания, иным образом указанная в качестве контроллера данных, несут ответственность за обработку ваших личных данных, как указано ниже. Если у вас есть какие-либо вопросы по поводу этой информации, или если вы хотите воспользоваться каким-либо из ваших прав, изложенных ниже, пожалуйста, свяжитесь со Skanska, используя контактную информацию, указанную ниже в разделе «Контактная информация».
Сбор и обработка персональных данных
Термин «личные данные» относится к такой информации, которая прямо или косвенно может относиться к вам как к физическому лицу. Примеры таких данных: имя, изображение, личный идентификационный номер, контактные данные, заявки на участие в конкурсе, сделанный выбор, поведение или IP-адрес. Под обработкой персональных данных понимаются любые действия, которые мы или третье лицо, которое мы задействовали, предпринимаем с персональными данными, такие как сбор, регистрация и хранение.
Персональные данные могут обрабатываться только для определенных и явно указанных целей и не могут впоследствии обрабатываться для каких-либо целей, выходящих за рамки этих целей.
В Skanska мы обрабатываем личные данные, которые вы нам предоставили, с единственной целью администрирования запросов и соглашений от вас / с вами, а также для предоставления информации и услуг в связи с такими запросами и соглашениями. Например, это может касаться регистрации интереса к нашему аренде жилья, конкурсов, рекламируемых на нашем веб-сайте и в которых вы решите участвовать, или подписок на наши информационные бюллетени, которые вы заказали.
Ваши личные данные могут также использоваться для маркетинга и последующей деятельности, а также для наших продаж и разработки продуктов с целью улучшения наших продуктов и услуг.Если вы не хотите получать маркетинговые материалы и / или какие-либо предложения, свяжитесь с нами, используя контактную информацию, указанную ниже в разделе «Контактная информация».
Наконец, персональные данные также обрабатываются в статистических целях, чтобы увидеть, как пользователи используют веб-сайт и проанализировать поисковое поведение, а также для отображения контента, настроенного для вас. Однако такие данные обрабатываются только в агрегированной форме или в форме, которая не позволяет идентифицировать вас как личность. Данные также обрабатываются косвенно в связи с разработкой, тестированием и администрированием ИТ-систем, лежащих в основе нашего веб-сайта.
При использовании функций на нашем веб-сайте, которые позволяют размещать на нем информацию или другие материалы, обратите внимание, что такая информация также может содержать личные данные. Если ваша информация содержит данные о других лицах, вы можете публиковать только те данные, на предоставление которых вы получили согласие.
Правовая основа для обработки и срока хранения
Skanska обрабатывает ваши персональные данные, когда это необходимо для выполнения соглашения с вами, и когда у нас есть другой законный и оправданный интерес в обработке ваших персональных данных, например, заинтересованность в маркетинге самих себя для посетителей нашего веб-сайта или заинтересованность в развитии нашего веб-сайта. или наши продукты и / или услуги.Если мы будем обрабатывать ваши персональные данные для какой-либо цели, которая, согласно действующему законодательству, требует вашего согласия, мы получим ваше согласие до начала такой обработки.
Данные, которые мы собираем в соответствии с вышеизложенным, удаляются после завершения обработки.
Безопасность для защиты личных данных
Skanska обеспечивает высокий уровень безопасности ваших личных данных и с этой целью принимает соответствующие технические и организационные меры безопасности для защиты ваших личных данных от несанкционированного доступа, изменения, распространения или уничтожения.
Ограничения на раскрытие персональных данных
Мы можем назначать внешних партнеров для выполнения задач от нашего имени, таких как предоставление ИТ-услуг или помощь в маркетинге, администрирование пресс-релизов, анализ данных или статистика. Эффективность этих услуг может означать, что наши партнеры, как в ЕС / ЕЭЗ, так и за его пределами, могут получить доступ к вашим личным данным. Компании, которые обрабатывают персональные данные от нашего имени, должны всегда подписывать с нами соглашение, чтобы мы могли обеспечить высокий уровень защиты ваших персональных данных даже с нашими партнерами.
В отношении партнеров за пределами ЕС / ЕЭЗ принимаются особые меры предосторожности, такие как подписание соглашений, включающих стандартные типовые положения о передаче данных, принятые Комиссией ЕС и доступные на веб-сайте Комиссии ЕС.
Skanska также может раскрывать ваши личные данные третьим лицам, например, полиции или другим государственным органам, если это касается уголовных расследований или если мы иным образом обязаны раскрывать такие данные по закону или решению государственного органа.Skanska не будет раскрывать ваши личные данные в какой-либо степени, кроме описанной в этом разделе.
Внешние ссылки
Эта информация об обработке личных данных относится к данным о вас, которые Skanska обрабатывает в рамках нашего веб-сайта. Наш веб-сайт может иногда содержать ссылки на внешние веб-сайты или службы, которые мы не контролируем. Если вы перейдете по ссылке на внешний веб-сайт, вам будет предложено ознакомиться с принципами обработки личных данных и информации о файлах cookie, которые применяются к рассматриваемому веб-сайту.
Ваши права и право на подачу жалобы
В соответствии с действующим законодательством о защите данных вы имеете право в любое время запросить доступ к обрабатываемым персональным данным, исправить ошибочные персональные данные, потребовать от Skanska прекратить обработку и удалить ваши персональные данные, запросить что обработка ваших личных данных ограничена, для реализации вашего права на переносимость данных, для отзыва согласия на конкретную обработку (если такое согласие было получено) и для возражения против обработки личных данных.В таком случае, пожалуйста, свяжитесь со Skanska по контактным данным, указанным ниже. Вы также имеете право в любое время подать жалобу в соответствующий надзорный орган, если считаете, что ваши личные данные были обработаны с нарушением применимого законодательства о защите данных.
Форма для запросов относительно ваших личных данных в Skanska
Контактная информация
Skanska AB является оператором обработки ваших данных. Если у вас есть какие-либо вопросы о том, как мы обрабатываем ваши персональные данные, или вам нужна информация и контактные данные назначенного сотрудника по защите данных / должности, ответственной за вопросы персональных данных в других компаниях Skanska Group, свяжитесь с нами по электронной или обычной почте.
Skanska AB
Warfvinges väg 25
SE-112 74 Stockholm
Data Protection Manager,
Информация о файлах cookie и способах их предотвращения
Использование файлов cookie Skanska
Мы используем файлы cookie на нашем веб-сайте. Файлы cookie — это небольшие текстовые файлы, которые сохраняются на вашем устройстве, когда вы просматриваете и используете веб-сайты или другие онлайн-сервисы, чтобы, например, облегчить определенные функции, такие как навигация по веб-сайту.
Мы используем файлы cookie, чтобы улучшить ваш пользовательский опыт, выбрать язык, собрать статистику о количестве посетителей веб-сайта и получить данные о том, как веб-сайт используется.Эти данные позволяют нам развивать и оптимизировать веб-сайт.
Файлы cookieиногда используются для сбора данных, которые считаются личными данными, таких как IP-адреса и данные, связанные с IP-адресом, но не личные данные, напрямую относящиеся к вам как физическому лицу. Цель состоит в том, чтобы создать персонализированный и релевантный контент для вас как посетителя.
Файлы cookieмогут быть либо автоматически удалены, когда пользователь закрывает свой веб-браузер (так называемые «сеансовые файлы cookie»), либо сохраняться на компьютере пользователя для облегчения будущих посещений веб-сайта (так называемые «постоянные файлы cookie»).Постоянные файлы cookie также будут автоматически удалены по истечении определенного периода времени.
В следующей таблице перечислены типы файлов cookie, которые Skanska разместила на веб-сайте, их функции, цели, для которых собираются данные, и как долго хранятся данные, собранные с помощью файлов cookie.
Файлы cookie от третьих лиц
Некоторые файлы cookie третьих сторон также используются на этом веб-сайте. Такие сторонние файлы cookie в основном используются для улучшения вашего пользовательского опыта, выбора языка, агрегированной статистики о количестве посетителей веб-сайта и получения данных о том, как веб-сайт используется, хотя в некоторых случаях они могут использоваться третьей стороной для свои собственные цели.Для получения информации о сторонних файлах cookie, обнаруженных на этом сайте, и о том, как долго они хранятся, перейдите по следующим ссылкам.
Как избежать файлов cookie
Если вы не принимаете использование файлов cookie, ваш веб-браузер может быть настроен таким образом, чтобы он автоматически отклонял сохранение файлов cookie или сообщал вам каждый раз, когда веб-сайт запрашивает сохранение файлов cookie. Ранее сохраненные файлы cookie также можно удалить через веб-браузер.
Если ваш веб-браузер отклоняет файлы cookie, это может снизить функциональность веб-сайта.
Социальные сети
Веб-сайт иногда встраивает контент и инструменты обмена из социальных сетей. Таким образом, эти поставщики могут использовать файлы cookie на веб-сайте Skanska. Skanska не имеет доступа к этим файлам cookie или собираемым ими данным и не контролирует их. Вам следует проверить соответствующие сторонние веб-сайты, чтобы получить дополнительную информацию об этих файлах cookie и о том, как отказаться от их получения.
1 Регламент (ЕС) 2016/679 Совета Европейского парламента от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и об отмене Директивы 95 / 46 / EC (Общие правила защиты данных).
Последнее обновление: 30.11.2020Соглашение об обработке данных
Ниже вы можете найти договор DPA между вами и SuperSaaS, который может потребоваться для соблюдения GDPR, если вы храните данные от клиентов из ЕС. Если вы вошли на сайт как администратор, приведенный ниже договор будет автоматически заполнен данными из вашей учетной записи.
Договор о порученной обработке персональных данных: договор между обработчиком и обработчикомВерсия: 1.1
[Имя]
[Адрес]
SuperSaaS B.V.
Vijzelstraat 68
1077 KR Амстердам
Нидерланды
В дальнейшем именуется Контроллер .
В дальнейшем именуется Процессор .
1. Введение, область применения, определения
- В этом контракте оговариваются права и обязанности контролера и обработчика (далее именуемые «Стороны») в контексте обработки персональных данных от имени контролера.
- Настоящий договор применяется ко всем видам деятельности, в отношении которых сотрудники обработчика или любые субподрядчики, которым он / она поручили обрабатывать персональные данные контролера.
- Термины, используемые в этом контракте, следует понимать в соответствии с их соответствующими определениями в Общем регламенте ЕС по защите данных (GDPR). Кроме того, декларации могут быть сделаны в другой форме при условии, что будет обеспечена соответствующая проверка.
2. Объем и продолжительность обработки данных
2.1 прицел
Процессор должен выполнять следующие процессы:
Предоставьте веб-службу, позволяющую конечным пользователям контроллера назначать встречи в режиме онлайн. Предоставьте веб-службу, которая позволит контроллеру управлять этими встречами и собранными данными конечных пользователей.
2,2 Продолжительность
Обработка должна начаться [дата создания учетной записи] и выполняться в течение неопределенного периода до тех пор, пока учетная запись SuperSaaS не будет удалена Контроллером.
3. Характер и цель сбора, обработки или использования данных
3.1 Характер и цель обработки данных
Обработка данных состоит из следующего: сбор, сортировка, сохранение, передача, ограничение и удаление данных
Данные обрабатываются для следующих целей: Чтобы позволить конечным пользователям Контроллера назначать встречи в режиме онлайн.
3.2 Тип данных
Обрабатываются следующие данные:
- Данные, введенные конечными пользователями Контроллера в процессе использования услуги
3.3 Категории пострадавших
Обрабатываемые данные влияют на следующих субъектов данных:
- Конечные пользователи приложения онлайн-планирования Контроллера
4. Обязанности процессора
- Обработчик должен обрабатывать персональные данные только в соответствии с договорным соглашением или в соответствии с инструкциями Контроллера, за исключением случаев, когда Обработчик юридически обязан выполнять определенный тип обработки данных. Если Обработчик связан такими обязательствами, он должен проинформировать об этом Контроллера до обработки данных, если это не является незаконным.Кроме того, Обработчик не должен использовать данные, предоставленные для обработки, для каких-либо других целей, в частности, для своих собственных.
- Обработчик данных подтверждает, что он / она осведомлены о применимых правовых положениях о защите данных. Он должен соблюдать принципы правильной обработки данных.
- Обработчик данных обязан сохранять строгую конфиденциальность при обработке данных.
- Любые лица, которые могут иметь доступ к данным, обрабатываемым от имени Контролера, должны быть обязаны в письменной форме сохранять конфиденциальность, если они уже не обязаны делать это по закону в соответствии с другим письменным соглашением.
- Обработчик данных должен гарантировать, что лица, которых он / она нанимает для обработки данных, были осведомлены о соответствующих положениях о защите данных, а также о настоящем контракте, прежде чем приступить к обработке данных. Соответствующие меры по обучению и повышению осведомленности должны проводиться на регулярной основе. Обработчик данных должен гарантировать, что лица, которым поручено обрабатывать данные, получают надлежащие инструкции и на постоянной основе контролируются с точки зрения выполнения требований защиты данных.
- В связи с заказанной обработкой данных Обработчик должен поддерживать Контроллера при разработке и обновлении списка действий по обработке и проведении оценки защиты данных. Все необходимые данные и документация должны быть предоставлены и немедленно доступны Контролеру по запросу.
- Если Контроллер подлежит проверке со стороны надзорных органов или любых других органов или если затронутые лица осуществляют какие-либо права в отношении Контролера, то Оператор должен поддерживать Контролера в требуемом объеме, если данные обрабатываются от имени Контроллер затронут.
- Информация может быть предоставлена третьим лицам Обработчиком только с предварительного согласия Контроллера. Запросы, отправленные непосредственно процессору, будут немедленно переадресованы контроллеру.
- Если он / она юридически обязан сделать это, Обработчик должен назначить профессионального и надежного человека в качестве уполномоченного сотрудника по защите данных. Необходимо убедиться, что у сотрудника нет конфликта интересов. В случае каких-либо сомнений Контролер может напрямую связаться с уполномоченным по защите данных.Затем обработчик должен немедленно уведомить контролера о контактных данных сотрудника по защите данных или указать причину, по которой сотрудник по защите данных не был назначен. Оператор должен немедленно информировать Контролера о любых изменениях в статусе ответственного за защиту данных или о любых изменениях в его внутренних задачах.
- Любая обработка данных может производиться только в ЕС или ЕЭС. Любое изменение в отношении третьей стороны может происходить с согласия Контролера и в соответствии с условиями, изложенными в главе V GDPR и в настоящем контракте.
5. Технические и организационные мероприятия
- Меры по защите данных могут быть скорректированы в соответствии с постоянным техническим и организационным прогрессом при условии, что минимальные требования законодательства соблюдены в достаточной степени. Обработчик данных должен немедленно внести изменения, необходимые для обеспечения информационной безопасности. О любых изменениях следует немедленно сообщать контроллеру. Любые существенные изменения согласовываются Сторонами.
- Если меры безопасности, реализованные Процессором, недостаточны или становятся недостаточными, Процессор должен немедленно проинформировать Контроллера.
- Запрещается создавать копии или дубликаты без ведома Контролера. Любое технически необходимое временное дублирование исключается при условии, что любое неблагоприятное воздействие на согласованный уровень защиты данных может быть исключено.
- Если данные обрабатываются в частном доме, Обработчик должен обеспечить поддержание достаточного уровня защиты данных и безопасности данных, а также возможность осуществления надзорных прав Контролера, определенных в этом контракте, без ограничений в частном доме.
- Выделенные носители данных, которые исходят от Контроллера или используются Контроллером, должны иметь особую маркировку и подлежат постоянному администрированию. Они должны всегда храниться надлежащим образом и быть недоступными для посторонних лиц. Любые изъятия и возвраты должны быть задокументированы.
6. Условия исправления, удаления и блокировки данных
- В объеме данных, обрабатываемых от имени Контроллера, Оператор может исправлять, удалять или блокировать данные только в соответствии с договорным соглашением или инструкциями Контроллера.
- Обработчик должен всегда соблюдать соответствующие инструкции, предоставленные Контролером, а также после прекращения действия настоящего контракта.
7. Субподряд
- Субподрядчик — это любое лицо или организация, назначенные Обработчиком или от его имени для обработки Персональных данных от имени Контролера.
- Субподряд возможен только в том случае, если субподрядчик подчиняется минимальным договорным обязательствам по защите данных, которые сопоставимы с обязательствами, предусмотренными в этом договоре.Контроллер должен по запросу проверить соответствующие контракты между Обработчиком и субподрядчиком.
- Права контролера также должны быть эффективно реализованы в отношении субподрядчика. В частности, Контролер должен иметь право проводить проверки или поручить их третьим лицам в объеме, указанном здесь.
- Обязанности обработчика и субподрядчика должны быть четко разграничены.
- Любой дополнительный субподряд, выполняемый субподрядчиком, не допускается.
- Обработчик должен выбрать субподрядчика, особо учитывая пригодность технических и организационных мер, принятых субподрядчиком.
- Любая передача данных, обработанных от имени Контроллера, субподрядчику разрешена только после того, как Обработчик предоставит убедительную документацию о том, что субподрядчик полностью выполнил свои обязательства.
- Назначение любых субподрядчиков, которые должны обрабатывать данные от имени Контроллера, которые не находятся и не работают исключительно в ЕС или ЕЭС, возможно только в соответствии с условиями, изложенными в главе 4 (10) настоящего контракта.В частности, это разрешается только в том случае, если субподрядчик обеспечивает соответствующие меры защиты данных. Обработчик должен информировать Контролера о конкретных гарантиях защиты данных, предоставляемых субподрядчиком, и о том, как можно получить их доказательства.
- Обработчик должен проверять соблюдение субподрядчиком обязательств на регулярной основе, не реже одного раза в 12 месяцев. Проверка и ее результаты должны быть задокументированы таким образом, чтобы они были понятны квалифицированной третьей стороне.Документация должна быть предоставлена Контролеру без запроса.
- Если субподрядчик не выполняет свои обязательства по защите данных, Ответственность за это несет Оператор.
- Субподряд в рамках этого контракта относится только к тем услугам, которые напрямую связаны с оказанием первичной услуги. Дополнительные услуги, такие как транспортировка, техническое обслуживание и уборка, а также использование телекоммуникационных или пользовательских услуг, не применяются.Обязательства Обработчика данных по обеспечению надлежащей защиты и безопасности данных в этих случаях остаются неизменными.
8. Права и обязанности Контролера
- Контроллер несет исключительную ответственность за оценку допустимости запрашиваемой обработки и за права затронутых сторон.
- Контролер должен документировать все заказы, частичные заказы или инструкции. В экстренных случаях инструкции могут быть даны устно.Эти инструкции будут немедленно подтверждены и задокументированы Контролером.
- Контроллер должен немедленно уведомить Обработчика, если он обнаружит какие-либо ошибки или нарушения при просмотре результатов обработки.
- Контроллер имеет право назначить стороннего независимого аудитора, обладающего необходимой профессиональной квалификацией и обязанного соблюдать конфиденциальность, который должен быть разумно приемлемым для Обработчика, для проверки соблюдения Оператором настоящего Соглашения об обработке данных и применимых законодательство о защите данных, необходимое для определения правдивости и полноты заявлений, представленных Обработчиком в соответствии с настоящим Соглашением об обработке данных.Право Контролера на аудит предоставляется при условии направления Оператору письменного уведомления о любом таком аудите не менее чем за 4 недели. Контролер несет все расходы по аудиту.
- Инспекции на территории Обработчика должны проводиться без каких-либо помех для работы его / ее бизнеса. Если иное не указано по срочным причинам, которые должны быть задокументированы Контролером, проверки должны проводиться после соответствующего предварительного уведомления и в рабочее время Оператора, но не чаще, чем каждые 12 месяцев.Если Обработчик предоставит доказательства правильного выполнения согласованных обязательств по защите данных, любые проверки ограничиваются выборками.
9. Обязательства по уведомлению
- Оператор должен немедленно уведомить Контролера о любых нарушениях личных данных. Также необходимо сообщать о любых обоснованно подозреваемых случаях. Уведомление должно быть отправлено на один из известных адресов Контролера в течение 24 часов с момента, когда Оператор узнает, что произошел соответствующий инцидент.Это уведомление должно содержать как минимум следующую информацию:
- Описание типа нарушения защиты персональных данных, включая, если возможно, категории и приблизительное количество затронутых лиц, а также соответствующие категории и приблизительное количество наборов персональных данных;
- Имя и контактные данные сотрудника по защите данных или другого контактного лица для получения дополнительной информации;
- Описание возможных последствий нарушения защиты персональных данных;
- Описание мер, предпринятых или предложенных Обработчиком данных для устранения нарушения защиты персональных данных, и, если применимо, мер по смягчению их возможных неблагоприятных последствий.
- Контроллер также должен быть немедленно уведомлен о любых существенных сбоях при выполнении задачи, а также о нарушениях правовых положений о защите данных или положений настоящего контракта, выполняемых Оператором или любыми лицами, которых он / она нанимает.
- Оператор должен немедленно информировать Контролера о любых проверках или мерах, проводимых надзорными органами или другими третьими сторонами, если они связаны с заказной обработкой данных.
- Обработчик данных должен обеспечить поддержку Контролера в выполнении этих обязательств в соответствии со ст. 33 и ст. 34 GDPR в необходимом объеме.
10. Инструкция
- Контроллер оставляет за собой полное право давать инструкции относительно обработки данных от своего имени.
- Оператор должен немедленно проинформировать Контроллера, если инструкция, изданная Контроллером, нарушает, по его мнению, требования закона.Оператор вправе отказаться от выполнения соответствующих инструкций до тех пор, пока они не будут подтверждены или изменены стороной, ответственной от имени Контроллера.
- Процессор должен документировать выданные инструкции и их выполнение.
11. Завершение ввода в эксплуатацию
- При расторжении договорных отношений или в любое время по запросу Контроллера Обработчик должен либо уничтожить данные, обработанные в рамках комиссии, либо передать данные Контролеру по усмотрению Контроллера.Все копии имеющихся данных также должны быть уничтожены. Данные должны быть уничтожены таким образом, чтобы восстановление или воссоздание оставшейся информации было невозможно даже при значительных усилиях.
- Обработчик обязан немедленно обеспечить возврат или удаление данных от субподрядчиков.
- Любая документация, которая служит доказательству надлежащей обработки данных, должна храниться Обработчиком в соответствии с соответствующими сроками хранения, включая установленный законом период после истечения срока действия контракта.Обработчик может предоставить соответствующую документацию Контролеру по окончании его / ее договорных обязательств.
12. Вознаграждение
Вознаграждение Обработчика окончательно оговорено в Условиях использования. В этом контракте не предусмотрено отдельного вознаграждения или возмещения.
13. Ответственность
- Контролер несет ответственность за компенсацию кому-либо за ущерб, причиненный какой-либо неуполномоченной стороной или за неправильную обработку данных в рамках контракта.
- Контроллер несет бремя доказывания того, что любой ущерб является результатом обстоятельств, за которые Обработчик несет ответственность, поскольку соответствующие данные были обработаны в соответствии с настоящим соглашением. Если это доказательство не было предоставлено, Контроллер при первоначальном запросе об этом должен освободить Обработчика от всех претензий, которые предъявляются к нему в связи с обработкой данных.
- Обработчик несет ответственность перед Контролером за любой ущерб, виновно причиненный Оператором, его / ее служащими или назначенными субподрядчиками или агентством, исполняющим договор, в связи с предоставлением запрошенных договорных услуг.
- Ответственность Обработчика ограничена суммой, уплаченной Оператору Контролером в течение двух лет, предшествующих инциденту, повлекшему ответственность
- Разделы 13 (2) и 13 (3) не применяются, если повреждение произошло в результате правильного выполнения запрошенной услуги или инструкции, предоставленной Контролером.
14. Право на расторжение в чрезвычайной ситуации
- Контроллер может в любое время расторгнуть настоящий контракт без уведомления («чрезвычайное расторжение»), если со стороны Обработчика существует серьезное нарушение правил защиты данных или положений настоящего договора, если Обработчик не может или не будет выполнять юридические инструкции клиента или если Оператор отказывается принять надзорные права Контролера в нарушение настоящего контракта.
- Серьезное нарушение, в частности, считается произошедшим, если Обработчик существенно не выполнил или не выполнил обязательства, изложенные в этом соглашении, в частности, технические и организационные меры.
- Для незначительных нарушений Контроллер должен предоставить Обработчику разумный период времени для исправления ситуации. Если ситуация не будет исправлена своевременно, Контролер имеет право на экстренное прекращение, как указано здесь.
15. Разное
- Обе стороны обязаны хранить все сведения о коммерческой тайне и мерах безопасности данных, которые были получены другой стороной в рамках договорных отношений, конфиденциально даже после истечения срока действия договора. Если есть какие-либо сомнения относительно того, подлежит ли информация конфиденциальности, с ней следует обращаться как с конфиденциальной информацией, пока не будет получено письменное согласие другой стороны.
- Если собственность Контроллера подвергнется угрозе со стороны Обработчика со стороны третьих лиц (например,г. путем ареста или конфискации), путем процедуры банкротства или урегулирования спора или других событий, Оператор должен немедленно уведомить Контролера.