Содержание

Статья 1. Сфера действия настоящего Федерального закона / КонсультантПлюс

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

(часть 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;3) утратил силу. — Федеральный закон от 25.07.2011 N 261-ФЗ;

(см. текст в предыдущей редакции)

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;5) утратил силу. — Федеральный закон от 29.07.2017 N 223-ФЗ.

(см. текст в предыдущей редакции)

3. Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».(часть 3 введена Федеральным законом от 29.07.2017 N 223-ФЗ)

Открыть полный текст документа

Федеральный закон о персональных данных — Российская газета

Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года

Глава 1.

Общие положения

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

3) обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

4) распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

5) использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

6) блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

7) уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

8) обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

9) информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

10) конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

11) трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

12) общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Статья 4. Законодательство Российской Федерации в области персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных.

Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

Глава 2. Принципы и условия обработки персональных данных

Статья 5. Принципы обработки персональных данных

1. Обработка персональных данных должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Статья 7. Конфиденциальность персональных данных

1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обеспечение конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Статья 8. Общедоступные источники персональных данных

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные являются общедоступными;

3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима в связи с осуществлением правосудия;

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

Статья 11. Биометрические персональные данные

1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Статья 12. Трансграничная передача персональных данных

1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных;

2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;

4) исполнения договора, стороной которого является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Глава 3. Права субъекта персональных данных

Статья 14. Право субъекта персональных данных на доступ к своим персональным данным

1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

2) способы обработки персональных данных, применяемые оператором;

3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:

1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) предоставление персональных данных нарушает конституционные права и свободы других лиц.

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

Статья 17. Право на обжалование действий или бездействия оператора

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Глава 4. Обязанности оператора

Статья 18. Обязанности оператора при сборе персональных данных

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.

2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных

1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.

3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных.

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.

Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:

1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

5. Уполномоченный орган по защите прав субъектов персональных данных обязан:

1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;

2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

3) вести реестр операторов;

4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;

5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;

7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.

6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.

8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.

9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Глава 6. Заключительные положения

Статья 25. Заключительные положения

1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.

2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.

3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

Президент
Российской Федерации
В. Путин

Россияне будут давать больше согласий на обработку персональных данных :: Политика :: РБК

Новый закон значительно ужесточает правила обработки и распространения персональных данных лиц для операторов и бизнеса, сообщил РБК Александр Надмитов, управляющий партнер юридической фирмы «Надмитов, Иванов и Партнеры». Так, до обработки персональных данных из открытых источников надо будет убеждаться в том, что человек дал согласие на их распространение. Кроме того, нужно будет проверять наличие условий и ограничений на обработку данных другими операторами, пояснил Надмитов. В новом законе прописаны условия обработки тех персональных данных, которые россияне разрешат распространять, рассказала в беседе с РБК партнер коллегии адвокатов Pen & Paper Екатерина Тягай.

Читайте на РБК Pro

Как будет предоставляться согласие

Россияне смогут предоставить согласие непосредственно оператору или с использованием информационной системы Роскомнадзора, сообщила Екатерина Тягай. В своем специальном согласии субъект должен будет прямо определить перечень персональных данных, которые смогут быть распространены оператором. Оператор обязан будет предоставить субъекту возможность произвести такое определение по каждой категории разрешенных для распространения персональных данных, указанной в согласии на их обработку, рассказала юрист.

Надмитов отметил, что закон не содержит требования об обязательной письменной форме согласия на распространение. По его словам, требования к содержанию согласия на распространение будут установлены Роскомнадзором. На данный момент соответствующих актов регулятора нет. В любом случае операторам придется дополнять и конкретизировать свои стандартные согласия на обработку персональных данных, сказал юрист.

Новый закон особенно затронет владельцев (операторов) онлайн-ресурсов и сервисов, которые позволяют пользователям делиться информацией с неограниченным кругом лиц. Также закон повлияет на тех, кто использует в своей работе информацию из открытых источников, в частности СМИ, компании, использующие системы мониторинга поведения в интернете, считает Надмитов.

Как по новому закону будут удалять персональные данные

Россияне смогут в любое время потребовать прекратить передачу или распространение персональных данных, напомнил о положениях закона Надмитов. Действие согласия на обработку персональных данных прекращается с момента поступления оператору требования их обладателя.

При этом запреты на использование персональных данных не распространяются на случаи обработки информации в государственных, общественных и иных публичных интересах, определенных законодательством, указал юрист.

В начале декабря Ассоциация больших данных (объединяет «Яндекс», Mail.ru Group, Сбербанк, Газпромбанк, мобильных операторов) просила Госдуму не принимать нововведения в закон о персональных данных. Компании опасались, что закон усложнит обработку общедоступных персональных данных. В частности, в заявлении говорилось, что закон может создать правовую неопределенность при использовании данных в тех случаях, когда пользователь дает двум социальным сетям согласие на обработку данных, но с разными параметрами.

Также требования могут привести к дополнительным расходам площадок на доработку интерфейсов, причем российские ресурсы окажутся в невыгодном положении, так как контролировать соблюдение требований иностранцами будет невозможно, считает бизнес. Председатель комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Александр Журавлев отмечал, что изменения могут осложнить работу компаний, которые используют искусственный интеллект и большие данные.

Госдума запретила обрабатывать персональные данные по умолчанию

Депутаты приняли в третьем чтении поправки к ФЗ «О персональных данных», которые предусматривают запрет на использование общедоступных персональных данных граждан без их согласия. Автором инициативы стал член комитета ГД по информационной политике Антон Горелкин.

В этом сюжете
  • 22 декабря, 14:33

  • 22 декабря, 13:09

Сведения могут стать общедоступными, только если гражданин предоставит оператору персональных данных согласие на их обработку. В таком документе должны быть указаны фамилия, имя и отчество заявителя, цель обработки сведений, по желанию – контактная информация. Там же нужно будет указать категории персональных данных, на обработку которых заявитель дает свое согласие, а также срок, в течение которого будет действовать документ. В согласии надо указать, через какой информационный ресурс оператор будет предоставлять доступ к сведениям неограниченному кругу лиц.

Законодательная инициатива вводит положения, не допускающие получение оператором согласия по умолчанию или бездействию субъекта персональных данных, следует из пояснительных материалов.

Кроме того, поправки разрешают гражданам требовать удалить персональные данные из общего доступа без дополнительных условий доказывания факта неправомерной обработки этих сведений. Оператор должен прекратить обработку в течение трех дней после поступления соответствующего заявления.

В случае принятия закон вступит в силу 1 марта 2021 года.

Законопроект № 1057337-7 «О внесении изменений в Федеральный закон «О персональных данных» в части установления особенностей обработки общедоступных персональных данных».

С 2021 года ФЗ-152 «О персональных данных» существенно изменен

В канун Нового года Президент РФ В.В.Путин подписал принципиальные изменения в ФЗ-152 «О персональных данных», вступающие в силу 1 марта 2021 года (Федеральный закон от 30.12.2020 N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»).

Закон в новой редакции полностью переписал нормы статьи 8 закона, приняв отдельную статью 10.1 об особенностях обработки персональных данных при их распространении.

В законе вводится понятие отдельного письменном согласия (письменного) при распространении персональных данных субъектов, и тем самым разграничиваются такие понятия, как «наличие согласия», «согласие в письменной форме».

Форму данного отдельного согласия должен в ближайшее время утвердить Роскомнадзор, а это означает, что каждая организация, размещающая, например, персональные данные своих работников, клиентов, граждан на сайте, иных Интернет ресурсах, обязана после 1 марта получить отдельное согласие и тем самым отказаться от укоренившейся практики так называемых «общих» согласий. Каждая компания, которая использовала персональные данные граждан, взяв их из открытых источников, должна также получить отдельное согласие гражданина (субъекта персональных данных). При этом, если в прошлой редакции статьи 6 ФЗ-152 «О персональных данных» существовала норма, позволяющая любой организации свободно использовать персональные данные граждан, которые они самостоятельно разместили, например, в Интернете, то с 1 марта 2021 года это запрещено. Операторам ПДн теперь придется доказывать, что у них есть законное основание на последующее распространение таких персональных данных.

Законом определены 2 случая предоставления согласия:

  • непосредственно от субъекта (работника/гражданина/клиента)
  • с использованием информационной системы Роскомнадзора.

Надеемся, что в ближайшие недели мы получим разъяснения от уполномоченного органа в области персональных данных по реализации такого решения, как использование ИС Роскомнадзора.

Закон запрещает используемый сегодня операторами персональных данных подход : «что не запрещено, то разрешено». Отныне организация (оператор персональных данных) не имеет права распространять ПДн по умолчанию или бездействию человека.

Субъект персональных данных вправе установить запреты на передачу своих данных неопределенному кругу лиц, как это часто делают многие операторы в своих согласиях. Сегодня у гражданина часто не остается выбора и он вынужден подписывать такие согласия.

Для оператора законом определен 3-х дневный срок прекращения обработки персональных данных при обращении субъекта персональных данных. Организация в 3-х дневный срок с момента получения согласия обязана опубликовать информацию об условиях обработки о запретах, разрешениях субъектов на распространение их персональных данных.

Федеральный закон от 30.12.2020 N 515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности» вводит требования по внедрению дополнительных мер защиты информационных систем: мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.

Обработка персональных данных

Политика ООО «Автопарк-М» в отношении обработки персональных данных (выдержки)

В ООО «Автопарк-М» обеспечивается законность обработки персональных данных и обеспечение их безопасности.

1. Назначение документа

Настоящая политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные положения по обработке персональных данных, принятые в ООО «Автопарк-М» (далее — TMР) Положение о персональных данных.

2. Используемые термины и сокращения

ТМР — ООО «Автопарк-М». 

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). 

Субъект персональных данных — физическое лицо, к которому относится информация, содержащая персональные данные. 

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. 

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники. 

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц. 

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. 

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). 

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. 

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. 

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 

Машинный носитель информации (машинный носитель персональных данных) — материальный носитель, предназначенный для записи и воспроизведения информации средствами вычислительной техники, а также сопрягаемыми с ними устройствами. 

Средства вычислительной техники — совокупность математических и технических средств, методов и приемов, которые используются для облегчения и ускорения решения трудоемких задач, связанных с обработкой информации. Средства вычислительной техники полностью или частично автоматизируют вычислительный процесс. 

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Цели Политики

• Регламентация принципов и основных требований к обработке персональных данных в ТМР; 
• Приведение процессов обработки персональных данных в ТМР в соответствие требованиям законодательства Российской Федерации; 
• Обеспечение доступа субъектов персональных данных к информации, касающейся обработки их персональных данных в ТМР.

4. Описание процесса

6.1 Общие положения 

ТМР осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. ТМР организует обработку персональных данных в строгом соответствии с положениями Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Федеральный закон о персональных данных) и других нормативно-правовых актов Российской Федерации. ТМР обеспечивает неограниченный доступ к настоящей Политике 

6.2 Принципы обработки персональных данных 

ТМР принимает и обеспечивает выполнение следующих принципов обработки персональных данных: 

• Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. 

• Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. 

• Обработке подлежат только персональные данные, которые отвечают целям их обработки. 

• Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. 

• При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В ТМР принимаются необходимые меры по удалению или уточнению неполных или неточных данных. 

• Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 

• ТМР, получившее доступ к персональным данным, обязано не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. 

6.3 Условия и цели обработки персональных данных 

6.3.1. Состав персональных данных 

В ТМР определен перечень обрабатываемых персональных данных, цели и условия обработки персональных данных. Настоящие положения зафиксированы в документе «Перечень персональных данных», принятом в ТМР. 

6.3.2. Основания для обработки персональных данных 

Обработка персональных данных в ТМР производится в следующих случаях: 

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 

• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на ТМР функций, полномочий и обязанностей; 

• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; 

• обработка персональных данных необходима для осуществления прав и законных интересов ТМР или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных; 

• обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, требующих обязательного обезличивания персональных данных в соответствии с законодательством Российской Федерации. 

6.4 Общее описание обработки персональных данных 

При обработке персональных данных ТМР совершает следующие действия (операции) или совокупность действий (операций), с использованием средств автоматизации или без использования таких средств с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, не осуществляется. Данные о состоянии здоровья работников обрабатываются в ТМР в соответствии с трудовым законодательством Российской Федерации. 

Обработка сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), осуществляется для некоторых категорий субъектов персональных данных исключительно на основании согласия на обработку персональных данных в письменной форме. 

Для отдельных категорий персональных данных, обрабатываемых в ТМР, допускается трансграничная передача в государства, обеспечивающие адекватную защиту персональных данных, либо в иные государства с согласия субъекта ПДн в письменной форме1. При этом ТМР выполняет требования к такой передаче, определенные законодательством Российской Федерации. В ТМР не осуществляется принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. 

6.5 Сроки хранения и требования к уничтожению персональных данных 

Сроки хранения персональных данных в ТМР определены законодательством Российской Федерации и зависят от состава обрабатываемых данных. Перечень сроков хранения зафиксирован в документе «Перечень персональных данных», принятом в ТМР. Персональные данные, обрабатываемые в ТМР, подлежат уничтожению в следующих случаях: 

• при достижении целей обработки или в случае утраты необходимости в их достижении; 

• при получении соответствующего запроса от субъекта персональных данных, если это не противоречит требованиям к сроку хранения персональных данных либо документв, содержащих персональные данные, установленному федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; 

• при получении соответствующего предписания от уполномоченного органа по защите прав субъектов персональных данных; 

• по истечении определенных сроков хранения персональных данных. 

6.6 Меры в области обработки и защиты персональных данных 

ТМР организует выполнение следующих мер, направленных на обеспечение выполнения обязанностей в области обработки и обеспечения безопасности персональных данных: 

• назначение работников, ответственных: 

   a. за организацию обработки персональных данных; 

   b. за обеспечение безопасности персональных данных в информационных системах персональных данных. 

• издание и внедрение локальных актов ТМР по вопросам обработки и обеспечения безопасности персональных данных, направленных на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; 

• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных с учетом уровня их защищенности, а именно: 

   c. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 

   d. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; 

   e. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных; 

   f. учет машинных носителей персональных данных; 

   g. реализация средств обнаружения фактов несанкционированного доступа к персональным данным и принимаются меры по каждому инциденту; 

   h. реализация возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 

   i. установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных ТМР, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных; 

   j. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. 

• осуществление внутреннего контроля соответствия обработки персональных данных требованиям федерального закона о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике ТМР в отношении обработки персональных данных, локальным актам ТМР; 

• проведение оценки вреда, который может быть причинен субъектам персональных данных; 

• ознакомление работников ТМР, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ТМР в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных; 

• ознакомление работников сторонних организаций, непосредственно осуществляющих обработку персональных данных на территории ТМР, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ТМР в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. 

6.7 Права субъекта персональных данных 

ТМР гарантирует соблюдение прав субъектов персональных данных, определенных федеральным законом о персональных данных, а именно: 

• право на уточнение его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; 

• право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 

   a. подтверждение факта обработки персональных данных ТМР; 

   b. правовые основания и цели обработки персональных данных; 

   c. цели и применяемые в ТМР способы обработки персональных данных; 

   d. место нахождения ТМР, сведения о лицах (за исключением работников ТМР), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ТМР или на основании федерального закона; 

   e. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 

   f. сроки обработки персональных данных, в том числе сроки их хранения; 

   g. порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом; 

   h. информацию об осуществленной или о предполагаемой трансграничной передаче данных; 

   i. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ТМР, если обработка поручена или будет поручена такому лицу; 

   j. иные сведения, предусмотренные Федеральным законом о персональных данных. 

• права субъекта персональных данных при обработке его персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации; 

• права субъекта персональных данных при принятии решений на основании исключительно автоматизированной обработки иго персональных данных; • других, предусмотренных федеральными законами. 

Дополнительную информацию, касающуюся обработки и обеспечения безопасности персональных данных, субъект персональных данных может получить, направив официальный запрос ТМР в соответствии с федеральным законом о персональных данных. 

1Перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных, определяется в соответствии с Федеральным законом «О персональных данных» и нормативными актами уполномоченного органа по защите прав субъектов персональных данных.

 

Новые правила распространения персональных данных — Аналитика

21 января 2021

Новые правила распространения персональных данных

30 декабря 2020 года принят закон¹, устанавливающий новые правила распространения (раскрытия неопределенному кругу лиц) персональных данных и обработки персональных данных из открытых источников. Изменения вступают в силу 1 марта 2021 года.

Новые правила касаются всех операторов персональных данных и любого распространения персональных данных с согласия гражданина (не только онлайн, но и офлайн).

Особенно важно обратить внимание на новые правила владельцам (операторам) онлайн-ресурсов и сервисов, которые позволяют пользователям делиться информацией с неограниченным кругом лиц, а также операторам, использующим в своей деятельности информацию из открытых источников (в частности, СМИ, компаниям, использующим системы мониторинга поведения в сети Интернет).

ОСНОВНЫЕ НОВОВВЕДЕНИЯ      

1. Изменена терминология

Понятие «персональные данные, сделанные общедоступными субъектом персональных данных» исключено и введено понятие «персональные данные, разрешенные субъектом персональных данных для распространения». При этом сохранилось отдельное понятие «общедоступные источники персональных данных» (например, справочники, адресные книги), которые могут создаваться в информационных целях и в которые (с письменного согласия гражданина) могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные данные. Пока не ясно, будут ли положения об особенностях распространения персональных данных и получения соответствующего согласия, установленные новым законом, применяться на практике при формировании и использовании общедоступных источников персональных данных.

Также новым законом не разъяснены статус персональных данных, содержащихся в публичных реестрах, и основания их обработки. Исходя из положений Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», есть основания полагать, что персональные данные, содержащиеся в публично доступных разделах реестров, могут рассматриваться как общедоступная информация, которая может использоваться любыми лицами при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

2. Необходимость получения отдельных и более конкретных согласий на раскрытие

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения (далее – «согласие на распространение»), должно быть оформлено отдельно от иных согласий субъекта персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение. Молчание или бездействие гражданина ни при каких обстоятельствах не может считаться согласием.

Согласие на распространение может быть предоставлено оператору непосредственно или с использованием специальной информационной системы Роскомнадзора (она еще не функционирует).

Особое внимание на новые требования необходимо обратить владельцам (операторам) онлайн-ресурсов и сервисов, которые позволяют пользователям делиться информацией с неограниченным кругом лиц. Например, социальные сети, сайты объявлений и пр. могут быть вынуждены либо сделать профили своих клиентов полностью закрытыми, либо получать дополнительное расширенное согласие. При этом не ясно, будет ли требоваться такое отдельное согласие на распространение персональных данных пользователей, чьи профили были зарегистрированы до 1 марта 2021 г.

Ранее операторы зачастую оформляли право распространять персональные данные, просто включив в текст общего согласия на обработку персональных данных слово «распространение» при указании перечня действий с персональными данными, на которые дается согласие, или сделав отсылку к п. 3 ст. 3 Федерального закона «О персональных данных», который содержит определение «обработки персональных данных», или указав, что согласие дается на любые не запрещенные законом действия с персональными данными. Теперь формулировки согласия должны прямо и недвусмысленно разрешать распространение персональных данных, при этом должен быть указан четкий перечень персональных данных, в отношении которых разрешено распространение. Неоднозначные и неясные формулировки будут трактоваться в пользу субъекта персональных данных.

Важно: Закон не содержит требования об обязательной письменной форме согласия на распространение. При этом закон предполагает, что требования к содержанию (но не к форме) согласия на распространение будут установлены Роскомнадзором. На данный момент соответствующих актов регулятора нет, и пока не ясно, насколько жесткими могут оказаться требования к таким согласиям. Неопределенность в этом вопросе создаст дополнительные риски для операторов, если не будет устранена своевременно.

3. Право субъекта персональных данных установить запреты на обработку / условия обработки раскрытых данных

В согласии на распространение могут быть установлены запреты на передачу (кроме предоставления доступа) персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) персональных данных неограниченным кругом лиц. Это означает, в частности, что пользователи социальных сетей и иных Интернет-ресурсов, позволяющих пользователям делиться информацией с неограниченным кругом лиц, смогут установить запрет на обработку опубликованных ими персональных данных неограниченным кругом лиц или в определенных целях.

Оператор не может отказать в установлении субъектом персональных данных таких запретов и условий.

Установленные субъектом персональных данных запреты / условия обработки не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации. Данное исключение, на наш взгляд, станет одним из краеугольных камней при толковании и применении новых правил.

Важно:

  • В согласии на распространение следует четко указать, в отношении каких персональных данных установлены запреты и условия последующей обработки раскрытых данных, а факт отсутствия каких-либо запретов или условий обработки должен недвусмысленно следовать из формулировок согласия. Если из согласия не следует отсутствие запретов / условий обработки раскрытых данных или не определено, в отношении каких персональных данных они установлены, то такие персональные данные обрабатываются оператором, которому они предоставлены, без передачи и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.
  • Операторы обязаны в срок не позднее 3 рабочих дней с момента получения согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

4. Обязанность каждого оператора доказать законность обработки персональных данных из открытых источников

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, а также в случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку. На практике данное требование может создать дополнительные сложности при использовании компаниями различных систем мониторинга активности в сети Интернет, например, при подборе кадров HR-службами.

До обработки персональных данных из открытых источников будет необходимо убедиться в наличии согласия субъекта персональных данных на распространение его персональных данных оператором, раскрывшим персональные данные, и проверить наличие условий / ограничений на обработку данных другими операторами. При отсутствии информации о согласии субъекта персональных данных на распространение его персональных данных или в случае раскрытия персональных данных неограниченному кругу лиц самим субъектом персональных данных (например, при публикации на своем сайте) будет необходимо проверить наличие иных законных оснований для обработки из числа указанных в ч. 1 ст. 6 Федерального закона «О персональных данных».

Важно: с 1 марта 2021 г. утрачивает силу п. 10 ч. 1 ст. 6 Федерального закона «О персональных данных», допускающий обработку персональных данных, сделанных общедоступными субъектом персональных данных, любым лицом без согласия субъекта персональных данных.  

5. Право субъекта персональных данных в любой момент потребовать прекращения передачи персональных данных

Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена оператором в любое время по требованию субъекта персональных данных. Субъект персональных данных вправе обратиться с аналогичным требованием к любому лицу, обрабатывающему его персональные данные в нарушение новых правил, или в суд.

РЕКОМЕНДАЦИИ

  • Оцените текущие процессы и решения, используемые при обработке персональных данных, на предмет их соответствия новым требованиям и при необходимости скорректируйте их.
  • Отслеживайте рекомендации регулирующих органов и правоприменительную практику.

Авторы: советник Елена Агаева, юрист Елена Квартникова, паралигал Марина Петрова


¹Федеральный закон от 30.12.2020 N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных».

Законы о конфиденциальности данных: что нужно знать в 2021 году

Практически в каждой стране приняты какие-то законы о конфиденциальности данных, регулирующие порядок сбора информации, информирование субъектов данных и контроль субъекта данных над своей информацией после ее передачи. Несоблюдение применимых правил конфиденциальности данных может привести к штрафам, судебным искам и даже запрету использования сайта в определенных юрисдикциях.Навигация по этим законам и постановлениям может быть сложной, но все операторы веб-сайтов должны быть знакомы с законами о конфиденциальности данных, которые влияют на их пользователей.

Вот законы и постановления, о которых вы должны знать на 2021 год. Мы будем обновлять этот список по мере принятия новых законов.

Законы США о конфиденциальности данных В США нет единого всеобъемлющего федерального закона, регулирующего конфиденциальность данных. Существует сложная мозаика из законов, относящихся к конкретным секторам и средам, включая законы и постановления, касающиеся телекоммуникаций, медицинской информации, кредитной информации, финансовых учреждений и маркетинга.

Закон о Федеральной торговой комиссии (Закон FTC) имеет широкую юрисдикцию над коммерческими организациями, находящимися в его ведении, с целью предотвращения несправедливой или «вводящей в заблуждение торговой практики». Хотя FTC явно не регулирует, какая информация должна быть включена в политику конфиденциальности веб-сайтов, она использует свои полномочия для принятия нормативных актов, обеспечения соблюдения законов о конфиденциальности и принятия принудительных мер для защиты потребителей. Например, FTC может принять меры против организаций, которые:

  • Несоблюдение и поддержание разумных мер безопасности данных.
  • Несоблюдение каких-либо применимых принципов саморегулирования в отрасли организации.
  • Несоблюдение опубликованной политики конфиденциальности.
  • Передавать личную информацию способом, не раскрытым в политике конфиденциальности.
  • Делать неточные заявления о конфиденциальности и безопасности (ложь) перед потребителями и в политике конфиденциальности.
  • Не обеспечивает достаточную безопасность личных данных.
  • Нарушать права на конфиденциальность данных потребителей путем сбора, обработки или передачи информации о потребителях.
  • Заниматься вводящей в заблуждение рекламной практикой.

Другие федеральные законы, регулирующие сбор информации в Интернете, включают:

Законы штата о конфиденциальности данных В США действуют сотни отраслевых законов о конфиденциальности и безопасности данных. Генеральные прокуроры штата США контролируют законы о конфиденциальности данных, регулирующие сбор, хранение, защиту, удаление и использование личных данных, собранных у их жителей, особенно в отношении уведомлений об утечке данных и безопасности номеров социального страхования.Некоторые применяются только к государственным организациям, некоторые — только к частным организациям, а некоторые — к обоим.

В дополнение к отраслевым законам о конфиденциальности, США испытывают массированный толчок к продвижению законодательства о конфиденциальности на уровне штатов. Это потому, что федеральное правительство не смогло прийти к консенсусу относительно того, как принимать законы в целом. Вместо того чтобы ждать, законодатели штата почувствовали давление со стороны потребителей, защитников прав потребителей и даже компаний установить свои собственные правила.Конечно, компании предпочли бы соблюдать единый федеральный стандарт, чем нанимать поверенного, который изучал бы каждый закон штата, который они должны соблюдать. Но государственные толчки — временный барьер. И если это то, что должны делать государства, то это то, что они должны делать.

В Калифорнии начался эффект домино. Хотя правда, что только одно государство смогло принять всеобъемлющий закон на сегодняшний день, многие штаты пытаются. Даже если их ранние законопроекты провалились на предыдущих сессиях законодательного собрания, они служат ориентиром для того, где республиканцы и демократы соглашаются и что необходимо исправить, прежде чем любая сделка достигнет своего конечного пункта назначения — стола губернатора.

Вот как обстоят дела.

Закон штата Калифорния о конфиденциальности потребителей (CCPA)

На сегодняшний день наиболее полным законодательством штата о конфиденциальности данных является Закон штата Калифорния о конфиденциальности потребителей (CCPA). Подписанный закон 28 июня 2018 года, он вступил в силу 1 января 2020 года. CCPA — это межотраслевой закон, который вводит важные определения и широкие индивидуальные права потребителей и налагает существенные обязанности на организации или лиц, которые собирают личную информацию о или от житель Калифорнии.Эти обязанности включают информирование субъектов данных о том, когда и как собираются данные, и предоставление им возможности доступа, исправления и удаления такой информации. Это уведомление должно быть раскрыто в политике конфиденциальности, отображаемой на веб-сайте организации, собирающей данные.

Закон Калифорнии о правах на неприкосновенность частной жизни (CPRA)

Вот какой бейсбол — не то, что изнутри: компании не обрадовались, когда агент по недвижимости в Калифорнии получил в бюллетень вопрос в форме Закона о конфиденциальности потребителей Калифорнии.Но, тем не менее, Аластер Мактаггарт собрал достаточно подписей, чтобы выдвинуть гражданскую инициативу, а это значит, что ей не нужно было проходить через обычный законодательный процесс, требующий голосов Ассамблеи и Сената Калифорнии. И как только это прошло, стало ясно, что люди говорили. Тогда компании были вынуждены принять жесткую пилюлю: пришло время изменить процессы, чтобы они соответствовали первому в стране всеобъемлющему закону о конфиденциальности.

Затем, всего два очень коротких года спустя, Мактаггарт вернулся с тем, что было названо CCPA 2.0. Закон Калифорнии о правах на неприкосновенность частной жизни прошел голосование в ноябре 2020 года и основывается на CCPA, внося поправки в положения, которые Мактаггарт и его команда хотели включить в CCPA, но в то время не смогли преодолеть финишную черту.

CPRA добавила в CCPA следующее:

  • Право на исправление: это обновляет и расширяет право потребителя на исправление неточной личной информации.
  • Право на ограничение: это дает потребителям право ограничивать использование и раскрытие их конфиденциальной личной информации.
  • Конфиденциальная информация, позволяющая установить личность: это обновляет определение личной информации. Определенные типы информации, такие как номер социального страхования потребителей, должны обрабатываться с особыми мерами защиты.

CPRA также:

  • Увеличивает штрафы за нарушение данных о детях в 3 раза.
  • Расширяет ответственность за нарушение, помимо нарушения незашифрованных данных, до раскрытия учетных данных (например, адреса электронной почты или пароля), которые могут привести к доступу к учетной записи потребителя.
  • Ограничивает продолжительность времени, в течение которого компания может хранить информацию о потребителях, только тем, что необходимо и «соразмерно» причине, по которой она была собрана в первую очередь.
  • Требует, чтобы компании, пользующиеся услугами сторонних поставщиков, по договору обязывали эти третьи стороны обеспечивать такой же уровень защиты конфиденциальности данных, которыми они делятся с первой стороной.

Одно из наиболее прогрессивных изменений в CPRA — это то, как он будет применяться. В то время как генеральные прокуроры штата обычно рассматривают дела о конфиденциальности — если только Федеральная торговая комиссия не участвует, и даже в этом случае это часто партнерство, — CPRA устанавливает новый регулятор конфиденциальности.

Калифорнийское агентство по защите конфиденциальности получит право штрафовать нарушителей, проводить слушания о нарушениях конфиденциальности и разъяснять правила конфиденциальности. Правление состоит из пяти человек, и его исполнение вступает в силу через шесть месяцев после вступления в силу CPRA 1 июля 2023 года.

Закон Вирджинии о защите данных потребителей (CDPA) 2 марта 2021 года был принят Закон Вирджинии о защите данных потребителей (CDPA).Он предоставляет потребителям Вирджинии права на их данные и требует, чтобы компании, подпадающие под действие закона, соблюдали правила в отношении собираемых ими данных, их обработки и защиты, а также тех, кому они передаются.

В законе есть некоторые сходства с положениями Общего регламента ЕС по защите данных и Закона Калифорнии о конфиденциальности потребителей. Он применяется к организациям, которые ведут бизнес в Вирджинии или продают товары и услуги, ориентированные на жителей Вирджинии, а также выполняют одно из следующих действий:

  • Управлять или обрабатывать персональные данные 100 000 и более.
  • Управлять или обрабатывать персональные данные не менее 25 000 потребителей и зарабатывают 50% своего дохода от продажи личной информации.

CDPA требует, чтобы компании, подпадающие под действие закона, помогали потребителям в реализации своих прав на данные, получая согласие на участие перед обработкой их конфиденциальных данных, сообщая, когда их данные будут проданы, и позволяя им отказаться от этого. Он также требует, чтобы компании предоставили пользователям четкое уведомление о конфиденциальности, которое включает в себя возможность отказаться от целевой рекламы.

CDPA вступает в силу в тот же день, что и последний закон Калифорнии о конфиденциальности, CPRA, который заменяет его прежнюю версию, CCPA, 1 января 2023 г. Вполне вероятно, что законодатели внесут поправки в закон до этого, поэтому рекомендуется сохранить пристально следят за этим законом по мере его развития.

Закон о конфиденциальности штата Колорадо (CPA)

В июне 2020 года Колорадо стал третьим штатом США, принявшим закон о конфиденциальности. Закон Колорадо о конфиденциальности предоставляет жителям Колорадо права на свои данные и возлагает обязанности на контролеров и обработчиков данных.Он имеет некоторое сходство с двумя законами Калифорнии о конфиденциальности, Законом Калифорнии о конфиденциальности потребителей (CCPA) и Законом Калифорнии о правах на конфиденциальность (CPRA), а также с недавно принятым Законом Вирджинии о защите данных потребителей (CDPA). Он даже заимствует некоторые термины и идеи из Общего регламента ЕС по защите данных.

Хотя есть общие черты, такие как некоторая форма права на отказ, особые меры защиты конфиденциальных данных и принятие некоторых принципов конфиденциальности по дизайну, существенные различия заключаются в деталях.

CPA применяется к компаниям, которые собирают личные данные от 100 000 жителей Колорадо или собирают данные от 25 000 жителей Колорадо. и получают часть дохода от продажи этих данных.

В законе перечислено пять прав, предоставленных жителям Колорадо после вступления закона в силу. Их:

  • Право отказаться от целевой рекламы, продажи своих личных данных или профилирования.
  • Право на доступ к данным, которые компания собрала о них.
  • Право на исправление собранных о них данных.
  • Право запрашивать собранные данные о них удалено.
  • Право на переносимость данных (то есть право забрать ваши данные и передать их другой компании).

Закон предусматривает 17 общих исключений. К ним относятся:
  • Если данные были собраны для целей закона о медицинском страховании штата Колорадо.
  • Если организация, собирающая данные или собранные данные, уже подпадает под действие определенных отраслевых законов, в том числе Закона о защите конфиденциальности детей в Интернете или Закона о правах семьи на образование и неприкосновенность частной жизни.
  • Если данные были обезличены или псевдонимизированы.
  • Если данные хранятся и используются агентством по информированию потребителей.
  • Если данные используются для целей трудовой книжки.

Закон о защите Нью-Йорка

В июле 2019 года в Нью-Йорке был принят Закон о предотвращении взломов и повышении безопасности электронных данных (SHIELD).Этот закон вносит поправки в существующий закон Нью-Йорка об уведомлении об утечке данных и устанавливает дополнительные требования к безопасности данных для компаний, которые собирают информацию о жителях Нью-Йорка. По состоянию на март 2020 года закон полностью подлежит исполнению. Этот закон расширяет сферу конфиденциальности потребителей и обеспечивает лучшую защиту жителей Нью-Йорка от утечки их личной информации.

Другие законы о конфиденциальности данных на уровне штата

Калифорния и Нью-Йорк являются первыми штатами, которые приняли широкое законодательство, оказывающее влияние на всю страну, но многие другие штаты США также рассматривают законы о конфиденциальности данных.Они не будут выглядеть точно так же, как CCPA или SHIELD Act, но, скорее всего, они будут содержать аналогичные требования для конкретных нужд государства.

Как вы понимаете, улей государственных и федеральных законов о конфиденциальности в США слишком сложен, чтобы их можно было полностью описать. Вряд ли мы скоро увидим всеобъемлющий федеральный закон (хотя его поддержка растет).

Международное право: Общий регламент по защите данных (GDPR) Наиболее важным законодательством о защите данных, принятым на сегодняшний день, является Общий регламент по защите данных (GDPR).Он регулирует сбор, использование, передачу и безопасность данных, полученных от жителей любой из 28 стран-членов Европейского Союза. Закон применяется ко всем резидентам ЕС, независимо от местонахождения организации, собирающей персональные данные. На организации, не соблюдающие GDPR, могут быть наложены штрафы в размере до 20 миллионов евро или 4% от общего мирового оборота. Некоторые важные требования GDPR включают:
Согласие
Субъектам данных должно быть разрешено дать явное, недвусмысленное согласие перед сбором персональных данных.Персональные данные включают информацию, собранную с помощью файлов cookie. Некоторая информация, которая обычно не считается «личной информацией» в США, например IP-адрес компьютера пользователя, считается «личными данными» в соответствии с GDPR.
Уведомление об утечке данных
Организации должны уведомлять надзорные органы и субъектов данных в течение 72 часов в случае утечки данных, затрагивающей личную информацию пользователей в большинстве случаев.
Права субъектов данных
Субъекты данных (люди, данные которых собираются и обрабатываются) имеют определенные права в отношении своей личной информации. Эти права должны быть сообщены субъектам данных в четкой и удобной для доступа политике конфиденциальности на веб-сайте организации.
  1. Право на получение информации. Субъекты данных должны быть проинформированы о сборе и использовании их личных данных при их получении.
  2. Право на доступ к своим данным. Субъект данных может запросить копию своих личных данных через запрос субъекта данных. Контроллеры данных должны объяснять средства сбора, что обрабатывается и кому они передаются.
  3. Право исправления. Если данные субъекта данных неточны или неполны, они имеют право попросить вас исправить их.
  4. Право стирания. Субъекты данных имеют право потребовать удаления связанных с ними персональных данных по определенным основаниям в течение 30 дней.
  5. Право на ограничение обработки. Субъекты данных имеют право требовать ограничения или подавления их личных данных (хотя вы все равно можете их хранить).
  6. Право на переносимость данных. Субъекты данных могут безопасно и надежно передавать свои данные из одной электронной системы в другую в любое время, не нарушая ее удобство использования.
  7. Право на возражение. Субъекты данных могут возражать против использования их информации в маркетинговых, коммерческих или не связанных с услугами целях.Право на возражение не применяется, если выполняются юридические или официальные полномочия, задача выполняется в общественных интересах или когда организации необходимо обработать данные, чтобы предоставить вам услугу, на которую вы подписались.

Общий закон Бразилии о защите личных данных (LGPD)

Закон о защите данных Бразилии (Lei Geral de Proteção de Dados Pessoais на португальском языке или LGPD) вступил в силу в 2020 году. Он содержит положения, аналогичные GDPR, и направлен на регулирование обработки персональных данных всех физических и физических лиц в Бразилии.Это означает, что, как и GDPR, даже если ваша компания не находится в Бразилии, если вы обрабатываете данные жителей Бразилии, они применяются к вам.

Компании и группы, не соблюдающие условия и директивы закона, могут получить штраф в размере 2% от их выручки от продаж или даже до 50 миллионов бразильских реалов (примерно 12 миллионов долларов США).

Согласие
Согласно LGPD, персональные данные могут обрабатываться либо с согласия субъекта данных, либо когда:
  • Он должен быть обработан в соответствии с юридическим обязательством.
  • Государственная администрация должна выполнять государственную политику.
  • Для исследовательских целей.
  • Для защиты жизни или физической безопасности субъекта данных.

Уведомление о нарушении данных

В случае утечки данных контроллеры данных должны уведомить Национальный орган по защите данных в течение «разумного периода времени» с момента нарушения, если существует вероятность риска или ущерба для вовлеченных субъектов данных.
Права субъектов данных
Права, предоставленные бразильским подданным, позволяют им:
  • Подтвердите наличие лечения.
  • Доступ к их данным.
  • Исправьте неполные, неточные или устаревшие данные.
  • Передать свои данные другому поставщику услуг или продукту (переносимость данных).
  • Удалить их данные.
  • Иметь сведения о любых государственных и частных лицах, с которыми контролер поделился своими данными.
  • Получить информацию о том, что произойдет, если они не дадут согласие на обработку своих данных.
  • Отозвать согласие на обработку своих данных.

Эти права аналогичны правам, предоставленным в соответствии с GDPR.

Важность политики конфиденциальности Любой веб-сайт должен иметь политику конфиденциальности, объясняющую пользователям, какая информация собирается, как она используется, как она может быть передана и как она защищена. Чтобы полностью соответствовать законам США и ЕС о защите данных, все субъекты данных должны иметь возможность дать согласие на сбор личной информации.Хотя большая часть информации о пользователях предоставляется добровольно, когда они подписываются на информационные бюллетени, заполняют формы или отправляют запросы по электронной почте, информация, полученная от третьих лиц и с помощью файлов cookie, также должна быть раскрыта, и пользователям должна быть предоставлена ​​возможность дать свое согласие на: заблокировать или отключить файлы cookie.

правовых оснований для правомерной обработки персональных данных

Общий регламент по защите данных (GDPR) упоминает несколько юридических оснований для законности обработки персональных данных субъектов данных.Законное основание для обработки персональных данных состоит как минимум из одного из этих юридических оснований и может варьироваться в зависимости от деятельности и цели обработки персональных данных.

Необходимость в законном основании для обработки персональных данных в соответствии с GDPR (с необходимыми исключениями) не нова. В своих декларациях и статьях GDPR говорит примерно то же, что и его предшественник, Директива о защите данных (Директива 95/46 / EC) делала по нескольким направлениям. Но есть и важные изменения.

Основные декларации и статьи о законной обработке и законных основаниях обработки, прежде всего, относятся к числу тех, в которых не так много изменилось.

Изложение 39 GDPR говорит об этом о законности, справедливости, прозрачности и цели обработки персональных данных: любая обработка персональных данных должна быть законной и справедливой, она должна быть прозрачной для субъектов данных, которые обрабатывают персональные данные, касающиеся их, и принцип прозрачности требует, чтобы ЛЮБАЯ информация и сообщения, касающиеся обработки персональных данных, были легкодоступными и понятными.Наряду с необходимостью использовать ясный и простой язык, последний прямо упоминается в рамках целей обработки. Помните цель, она возвращается.

Изложение 40 GDPR гласит, что для того, чтобы обработка была законной, личные данные должны обрабатываться на основании согласия соответствующего субъекта данных или на каком-либо другом законном основании.

Эта законная основа должна быть заложена в законе, при этом закон должен быть самим Общим регламентом защиты данных или другими законами ЕС или его государств-членов.

В жизни и юридических основаниях для законной обработки больше, чем согласие

Хотя согласие (что не совсем то же самое, что явное согласие, даже если де-факто граница может быть очень тонкой) является наиболее известным из юридических оснований, поскольку они резюмированы в статье 6 GDPR текста GDPR на законность обработки, это не всегда лучший путь.

Для каждого действия по обработке персональных данных важно определить наилучшее правовое основание, что также рекомендуется в руководящих принципах Рабочей группы по статье 29 (Европейский совет по защите данных) о согласии с конца ноября 2017 года.Проверка наилучшего правового основания для законности каждого процесса обработки начинается до фактической обработки. И, очевидно, в рамках соблюдения GDPR это означает, что у вас уже есть список и обязательная запись ваших действий по обработке персональных данных.

В упомянутых руководящих принципах подчеркивается, что согласие является одной из шести законных оснований для обработки персональных данных, как указано в статье 6. Тем не менее, в то же время, когда контролер инициирует действия, связанные с обработкой персональных данных, следует рассмотреть вопрос о том, является ли согласие является наиболее подходящим правовым основанием для законной обработки или может быть лучше другое.Помните, что когда согласие выбирается для какой-либо конкретной обработки, вам также необходимо соблюдать все правила и права в отношении согласия.

Шесть основных правовых оснований законности обработки персональных данных

Конечно, не всегда можно выбрать другой, и надо быть уверенным. Это начинается со знания и понимания всех шести юридических оснований для обработки персональных данных. Так что бегло взгляните на них в качестве напоминания.

Не забывайте также, что законность обработки означает, что применимо, ПО МЕНЯ, одно из шести правовых оснований, другими словами: достаточно одного.

1. Согласие как правовое основание для законной обработки

В статьях GDPR согласие упоминается в первую очередь как правовое основание законности обработки персональных данных как в статье 6, так и в статье 40.

В то время как общие правила, касающиеся законного основания для согласия, не сильно изменились, новые правила о согласии как законном основании имеют большое влияние на организации (как контроллеры данных, так и обработчики данных) .

Согласие означает, что субъект данных дал согласие на обработку персональных данных для одной или нескольких конкретных целей. Как уже упоминалось, понятие цели здесь является ключевым. Если субъект данных, то есть физическое лицо, дает согласие на обработку, не зная (нескольких) целей (целей) в полном объеме и в понятной форме, то согласие не является законным основанием для обработки, поскольку оно по определению не предоставляется свободно, конкретно , информированный и недвусмысленный. Более того, согласие не может быть объединено.Таким образом, для каждого действия по обработке данных в рамках одной более широкой операции общее правило заключается в том, что согласие недействительно, если оно предназначено для всех действий одновременно. В качестве примера: давать согласие на ряд маркетинговых целей недействительно.

Статья 6 GDPR гласит, что согласие субъекта данных должно быть дано в отношении «одной или нескольких конкретных» целей и что субъект данных имеет выбор в отношении каждой из них. Это ясно: конкретные цели. Наряду со всеми обязанностями по предоставлению информации, несколько прав субъектов данных после получения согласия используются в качестве законного основания для обработки и, что гораздо важнее, это не всегда идеальный выбор, мягко говоря.Однако GDPR и его несколько юридических оснований для законной обработки не похожи на меню. Правило таково и остается тем, что для целей всех операций по обработке персональных данных выбирается наиболее подходящее правовое основание для каждой цели / деятельности.

2. Договорная необходимость как законное основание для обработки

Вторым правовым основанием для законной обработки, упомянутым в статье 6 GDPR, является необходимость обработки персональных данных для контракта.

Физическое лицо или субъект данных является стороной в контракте или должно предпринять шаги для заключения контракта по его или ее запросу, и для заключения контракта или выполнения контракта необходимо и согласовано, что обработка персональных данных происходит в рамках этого договора. Это не новость по сравнению с Директивой, замененной GDPR.

GDPR Recital 40 упоминает «выполнение договора, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора» как законное основание для законной обработки и GDPR Recital 44 просто говорится, что обработка должна быть законной, если это необходимо в контексте контракта или намерения заключить контракт.

Каждый договор по определению означает обработку персональных данных. Вы не можете вступать в какие-либо договорные отношения без предоставления личных данных и идентификаторов, в зависимости от характера договора. По крайней мере, это касается контактной информации, в определенных типах договоров, таких как договор страхования, требуется гораздо больше. Лучше не растягивать определение контракта слишком далеко, например, чтобы избежать необходимости использовать согласие. В конце концов, все можно рассматривать как контракт, и будут случаи, когда контроллеры используют слишком широкий подход, чтобы они могли использовать контракт в качестве основы для законной обработки.

На этом же сайте мы могли бы, например, написать длинный текст условий и положений, в котором говорится, что посещение нас устанавливает договор, по которому мы имеем право обрабатывать то или это. Не пытайтесь: данные, необходимые для заключения или выполнения контракта, действительно должны быть предоставлены в рамках контракта и предлагаемых услуг.

Когда дело доходит до контрактов, обратите внимание на конкретные правила, применимые к конкретным отраслям или должностным обязанностям. Трудовой договор — это не просьба о жилищном кредите, не дополнительная медицинская страховка, ну этот список можно продолжить.

3. Законная обработка на основании юридических обязательств

Третьим правовым основанием для законной обработки является соблюдение юридических обязательств.

Если у контролера есть юридическая обязанность, для которой необходимо обработать определенные персональные данные, то обработка разрешена. Это соблюдение юридического обязательства, для которого требуется обработка и которому подчиняется контролер, также не ново.

Однако и здесь действуют особые правила.Что изменилось по сравнению с предшественником Общего регламента защиты данных, так это то, что в Recital 45 говорится, что «если обработка выполняется в соответствии с юридическим обязательством, которому подчиняется контролер, или когда обработка необходима для выполнения выполняемой задачи». в общественных интересах или при исполнении официальных полномочий обработка должна основываться на законодательстве Союза или государства-члена ». Ограничение законодательством ЕС или законов государств-членов ЕС влечет за собой последствия.

4. Жизненные интересы и законная обработка персональных данных

Защита «жизненно важных интересов» физического лица является четвертым основанием для законной обработки.

В этом случае физическое лицо не обязательно должно быть субъектом данных, им также может быть другое физическое лицо. Конечно, контролер не должен определять, в чем состоит жизненный интерес. Мы действительно говорим об опасных для жизни обстоятельствах здесь, когда нет другого законного основания для обработки, но когда отказ от обработки персональных данных по сути означает, что кто-то умрет, если вы не примете меры, и поэтому вам нужно знать несколько вещей о естественных условиях. человек, который находится в опасности.

Если произошел серьезный несчастный случай, вы действительно хотите узнать кое-что из истории болезни жертвы, например, аллергию на определенные лекарства, GDPR или нет.

Кроме того, некоторые типы обработки персональных данных в таких случаях могут не только служить жизненно важным интересам субъекта данных или другой естественной цели, но также служить общественным интересам , например, в случае стихийных бедствий, эпидемий и т. Д., Как гласит GDPR Recital 46. . И это подводит нас к следующему правовому основанию для законной обработки: причинам общественного интереса как такового.

5. Общественный интерес как основание для законной обработки

Общественный интерес как основа для законной обработки описан в статье 6 GDPR следующим образом: «Обработка необходима для выполнения задачи, выполняемой в общественных интересах или при исполнении официальных полномочий, возложенных на контролера».

Это почти то же самое, что и в Директиве о защите данных, и на нелегальном языке просто означает, что этот общественный интерес остается основанием для обработки с общественным интересом, означающим, среди прочего, выполнение нескольких возможных общественных задач (e.g обязательства в отношении НДС и налогов) , задачи, которые вы выполняете как государственный орган и которые требуют обработки личных данных в соответствии с юридическими обязательствами, и другие операции по обработке данных, которые рассматриваются как представляющие общественный интерес, такие как научные исследования, общественное здравоохранение и больше.

Из GDPR Recital 45: «Законодательство Союза или государства-члена также должно определять, должен ли контролер, выполняющий задачу, выполняемую в общественных интересах или при осуществлении официальных полномочий, быть государственным органом или другим физическим или юридическим лицом, управляемым в соответствии с публичным правом или, если это в общественных интересах, в том числе в целях здравоохранения, таких как общественное здравоохранение и социальная защита и управление медицинскими услугами, в соответствии с частным правом, например, в профессиональной ассоциации ».

6. Законные интересы как правовая основа обработки

Последнее из шести оснований, служащих законным основанием для обработки персональных данных в первом абзаце статьи 6 GDPR, является часто упоминаемой категорией «законных интересов».

Законные интересы уже существовали в качестве законной основы для обработки персональных данных в Директиве, но GDPR добавляет к ней в виде положений, когда это НЕ применяется. В статье 6 говорится, что обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной.Первое исключение, которое существовало раньше, — это когда законные интересы перекрываются интересами или основными правами и свободами субъекта данных (конечно, включая основные права субъекта данных в соответствии с GDPR) . Что касается последнего, GDPR, в отличие от Директивы, явно фокусируется на случае, когда субъектом данных является ребенок и всегда требуется разрешение родителей. Кроме того, в GDPR прямо говорится, что правовое основание законного интереса не распространяется на обработку персональных данных государственными органами при выполнении ими своих задач.

Разделы 47 и 48 Общего регламента по защите данных (GDPR) содержат несколько примеров законного интереса (хотя их основная цель — подчеркнуть, какие права, свободы и т. Д. Преобладают над законными интересами) .

  • Одним из таких примеров законного интереса может быть ситуация, когда «существуют соответствующие и подходящие отношения между субъектом данных и контролером в таких ситуациях, как если субъект данных является клиентом или находится на службе у контролера».
  • Другой пример: обработка персональных данных, строго необходимая для предотвращения мошенничества, также представляет собой законный интерес.
  • GDPR Recital 47 также заявляет, что обработка персональных данных в целях прямого маркетинга может рассматриваться как осуществляемая в законных интересах.
  • В других Ситуациях упоминаются другие законные интересы, начиная от сетевой и информационной безопасности до внутренней работы в группе предприятий.

Главное, что нужно помнить о законных интересах, — это то, что эти интересы должны быть сбалансированы и сопоставлены с правами и рисками субъектов данных.Они должны быть пропорциональными, четко объясненными, более чем экономическими по своему характеру и, конечно, требовать обработки. С дополнительными положениями, касающимися детей, и множеством элементов, которые необходимо учитывать, когда контролер взвешивает законные интересы и их множество, это не самое простое из фундаментальных правовых оснований для законной обработки.

Дополнительные факты о законном оформлении

Очевидно, что, как упоминалось ранее, существует гораздо больше возможностей для обработки особых типов и категорий персональных данных.

Существуют также специальные правила в отношении данных, касающихся обвинительных приговоров и правонарушений, и государства-члены могут более точно определять требования к обработке, а также могут определять другие меры для удаленной и законной обработки, среди прочего, в рамках положений, касающихся конкретных ситуаций обработки, которые являются рассматривается в главе IX текста GDPR.

Убедитесь, что вы тщательно перечислили свою деятельность по обработке данных и нашли наиболее подходящую законную основу для обработки персональных данных, которая на практике требует большего, чем этот обзор, конечно, для особых категорий персональных данных и организаций (контроллеры и процессоры) в очень конкретных отрасли, такие как здравоохранение, и даже группы, такие как религиозные организации, к которым применяются дополнительные или особые правила.

Верхнее изображение: Shutterstock — Авторское право: Billion Photos — Векторы в графическом виде: Shutterstock — Авторские права: Марина Шевченко –Все остальные изображения являются собственностью их соответствующих владельцев. Несмотря на то, что содержание этой статьи тщательно проверено, мы не несем ответственности за возможные ошибки и советуем вам обратиться за помощью в подготовке к соблюдению GDPR ЕС.

Принципы обработки персональных данных: 9 принципов обработки GDPR

Обзор принципов обработки персональных данных в соответствии с Общим регламентом о защите данных (GDPR) и где и как принципы обработки персональных данных имеют значение для обеспечения соответствия GDPR, начиная со статьи 5 GDPR и выходя за ее рамки .

Чтобы обеспечить соответствие GDPR, важно понимать суть GDPR в оценке личных данных и возвращении контроля над личными данными гражданам в гораздо большей степени, чем это делали его предшественники, Директива о защите данных или Директива 95/46 / EC.

Эти цели и соответствующие права, свободы и принципы GDPR выражены не только в новых или усиленных принципах и обязанностях для контроллеров и процессоров, но и в экстерриториальном применении GDPR (согласно которому все организации, приобретающие и обрабатывающие затрагиваются личные данные граждан ЕС, независимо от того, где происходит обработка) .

Хотя многие права субъектов данных и правила, касающиеся правовых основ для законной обработки личных данных граждан ЕС, не изменились слишком сильно, важно понимать, как новые правила вписываются в объем упомянутых целей и общих принципов. что подчеркивается GDPR.

Это также касается принципов обработки персональных данных, о которых идет речь в этой статье.

Определение принципов обработки персональных данных

Очевидно, что существует также некоторая степень «обновления», чтобы соответствовать современным средствам обработки данных и действиям с GDPR, и ЕС хочет гораздо более последовательный подход, применение и обеспечение соблюдения для организаций в рыночной реальности, где данные и личные данные имеют важное значение во времена цифровой трансформации, инноваций на основе данных, использования новых технологий и четвертой промышленной революции, известной как Индустрия 4.0.

Тем не менее, принципы, права и свободы вездесущи и упоминаются практически во всех аспектах GDPR, независимо от того, касается ли это роли DPO (сотрудника по защите данных) , правил согласия (информированный, свободно предоставляемый, действующий, и т. д.) или способы продемонстрировать соответствие одобренным практикам безопасности и обработки данных, таким как шифрование и псевдонимизация, важность DPIA, кодексов поведения и т. д.

Соответствие GDPR начинается с осведомленности о GDPR, понимания прав субъектов данных, выбора надлежащих оснований для законной обработки всех действий по обработке данных и понимания принципов, закрепленных в Регламенте, включая принципы, касающиеся обработки персональных данных .

Ранее мы рассмотрели различные правовые основания для законной обработки и подробно остановились на некоторых из них. Получение согласия или наличие другого законного основания для законной обработки — это, конечно, всего лишь один шаг, когда все сводится к обработке персональных данных.

Когда существует правовая база, обработка еще должна происходить, и действительно существуют четкие принципы, касающиеся фактической обработки персональных данных. Эти принципы обработки персональных данных всегда связаны с (и часто включают) общие принципы , такие как справедливость, прозрачность, свобода выбора и многое другое.

Шесть и девять принципов обработки персональных данных

Принципы обработки персональных данных в соответствии с GDPR можно найти в статье 5. GDPR. Мы рассмотрим 9 принципов обработки персональных данных и кратко рассмотрим каждый, прежде чем углубляться в каждый из них.

Почему принципы обработки персональных данных имеют значение (большое)?

Причины, по которым эти принципы обработки персональных данных важны?

Касается ли это самого GDPR, руководящих принципов Европейского совета по защите данных или надзорных органов, юриспруденции, практических аспектов для организаций в соответствии с GDPR или толкования прав, обязанностей и многого другого: они всегда здесь, так как важные руководящие принципы, включенные в Регламент, которыми на самом деле являются принципы, касающиеся обработки персональных данных.

Как мы упоминали в нашем обзоре главы 2 GDPR, к которой относятся принципы обработки персональных данных, указанные в статье 5, на самом деле существует шесть принципов обработки персональных данных (которые иногда также называют шестью принципами обработки данных или шестью принципами конфиденциальности) и еще один (в параграфе 2) об ответственности, который применяется ко всем шести.

Некоторые из этих принципов, так сказать, связаны. Например: первый принцип обработки персональных данных, о котором говорится в статье 5, — это «законность, справедливость и прозрачность» .

В рамках этой статьи мы упоминаем некоторые отдельно, потому что, хотя они тесно взаимосвязаны с (а также переплетаются с другими принципами и правилами в GDPR) , они возвращаются в GDPR по-разному. Более того, Рабочая группа по защите данных по статье 29 и другие разработали руководящие принципы (не имеющий обязательной юридической силы ) для одного или нескольких из этих трех, которые упомянуты так, как если бы они были единым целым в статье 5 GDPR. о прозрачности.

Поскольку мы разделили некоторые из них, а также включили подотчетность, мы пришли к 9 принципам.

Место принципов обработки персональных данных в GDPR

Трудно упустить из виду важность принципов обработки персональных данных, учитывая их место в статье 5 GDPR.

Если глава 1 GDPR содержит 4 статьи, которые соответственно охватывают предмет и цели GDPR (подчеркивая основные права и свободы физических лиц и право на защиту персональных данных, в соответствии с GDPR Recital 4 представляет принцип соразмерности, устанавливающий что защита личных данных должна быть сбалансирована с другими правами и свободами, такими как свобода мысли и выражения) , материальный объем GDPR, территориальный охват (с упомянутым экстерриториальным применением) и несколькими Определения в статье 4, вторая глава статей GDPR немедленно начинается с принципов, касающихся обработки персональных данных, прежде чем упомянутые ранее правовые основания для законной обработки статьи 6, условия для согласия статьи 7, согласие детей в Статья 8, обработка особых категорий персональных данных в статье 9 и обработка персональных данных, относящихся к o уголовное преступление в соответствии со статьей 10 и обработка, когда идентификация не требуется в соответствии со статьей 11, которые являются частью главы 2.

Подробнее о 9 принципах обработки данных

Этого достаточно о важности принципов обработки персональных данных. Мы уже говорили о законности, справедливости и прозрачности. Время для обзора всех принципов обработки персональных данных и контекста по принципу.

Принцип законности обработки персональных данных

Статья 5 GDPR начинается с того, что персональные данные должны обрабатываться законным, справедливым и прозрачным образом по отношению к субъекту данных.Итак, законность, справедливость и прозрачность.

Принцип законности говорит сам за себя. Обработка персональных данных должна происходить законным образом и, следовательно, иметь правовую основу, которая делает обработку законной. Законность действительно относится к правовым основаниям для законной обработки, которые мы рассмотрели, но также, в этом контексте, к фактической обработке. Законность нужно толковать строго: должен быть закон, разрешающий обработку. Действительно, есть случаи, когда существуют другие законы, помимо GDPR, в ЕС или в государстве-члене, которые требуют обработки персональных данных.Более того, иногда существенных правовых оснований для законности обработки персональных данных недостаточно. В качестве примера: хотя согласие является одним из юридических оснований, в некоторых случаях требуется явное согласие.

В статье 6 Общего регламента по защите данных (GDPR) дополнительно устанавливаются ключевые элементы законности, и по всему тексту правила определяются для конкретных типов персональных данных, действий по обработке и последствий, прав, ответственности и административных штрафов в случае незаконной обработки, а также когда основания законности больше не действуют.

GDPR Recital 10 предусматривает свободу маневра для государств-членов, чтобы указать свои правила, в том числе касающиеся обработки конфиденциальных данных, и уточнения условий, при которых обработка личных данных считается законной.

Хотя законность чаще всего упоминается в контексте юридических оснований для законной обработки, законность, как уже говорилось, также относится к фактической обработке.

В качестве примера: GDPR и GDPR Recital 83 обязывают контролера и процессора оценивать риски и рекомендовать такие меры, как шифрование, для обеспечения соответствующего уровня безопасности и конфиденциальности, в результате чего незаконное уничтожение является одним из нескольких рисков безопасности данных.Раскрытие личных данных, передача данных, хранение данных и т. Д. Должны происходить законным образом в том смысле, что все эти действия по обработке соответствуют закону, который включает в себя, прежде всего, GDPR, но также и другие. В частности, мы думаем о Положении об электронной конфиденциальности, которое является «lex specialis» по отношению к GDPR и влияет на несколько операций обработки данных, когда они есть, в основном в сфере электронных коммуникаций.

Шесть принципов обработки персональных данных взгляд на статью 5 GDPR — источник и любезность GDPR Awareness Coalition

Принципы, касающиеся обработки персональных данных: принцип справедливости

Справедливость по-прежнему является частью того положения, что персональные данные должны обрабатываться законным, справедливым и прозрачным образом согласно статье 5 GDPR.Как вы могли видеть на приведенной выше инфографике, он действительно часто представлен в виде связки со ссылкой на шесть вместо семи (если вы добавляете ответственность), или восемь принципов.

Однако и здесь справедливость и принцип справедливости несколько раз возвращаются в GDPR. Проще говоря, справедливость означает, что должен быть справедливый баланс между личными данными, которые обрабатываются организациями, а также причинами, по которым они их обрабатывают (которые вернутся позже) и тем, что они сказали — и обещали и описали (также подумайте о праве на то, чтобы субъект данных был четко проинформирован и никоим образом не вводился в заблуждение) .

Это должна быть честная игра. В наших статьях о GDPR и согласии, а также о GDPR и юридических основаниях для обработки мы привели некоторые примеры последнего.

Организация, которая хочет соответствовать требованиям и хочет обрабатывать персональные данные со всей справедливостью по отношению к субъекту данных, который контролирует данные, ничего не скрывает и не творит уловки: она предлагает всю информацию, которая должна быть у субъекта данных. чтобы принять действительно свободное решение, в нем говорится, какие типы персональных данных обрабатываются и почему (обязательно при их получении) , и рассказывается, кто это, как субъекты данных могут связаться по поводу своих личных данных, какие права у них есть , каковы последствия обработки, конечно, в рамках автоматизированного принятия решений и профилирования и так далее.

GDPR Recital 71 подчеркивает справедливость обработки в контексте автоматизированной обработки и профилирования, GDPR Recital 60 ставит информационные обязанности контроллеров на фоне справедливости, и когда согласие является правовой основой для законной обработки GDPR Recital 42 (на обязанности контролера, чтобы иметь возможность продемонстрировать, что согласие было дано) прямо заявляет, что заявление о согласии не должно содержать несправедливых условий.

Прозрачность — обязанность быть прозрачным в отношении принципов обработки данных

Третий и последний из этого первоначального набора принципов, касающихся обработки персональных данных, — это прозрачность.

Этот принцип частично пересекается со многими элементами справедливости. Прозрачность, например, также четко подчеркивается в контексте профилирования, информационных обязанностей и демонстрации согласия. Прозрачность означает объяснение, по каким причинам организации обрабатывают какие персональные данные.

Тем не менее, прозрачность также необходимо рассматривать в отношении того, как выполняются обязательства в отношении информации и коммуникации в отношении субъекта данных. Прозрачность требует, чтобы информация и общение с субъектом данных происходили не просто (что также является частью принципа прозрачности) , но также осуществлялись таким образом, чтобы субъекты данных могли это понять, например, указывая на тот факт, что язык легко понять, и что информацию легко найти и получить к ней доступ, благодаря чему контекст (e.г канал связи, носитель информации и т. д.) имеет значение. Кроме того, следует избегать использования длинных текстов на языке, понятном только юристам, поскольку информация должна быть краткой.

И последнее, но не менее важное: принцип прозрачности также применяется к способам, которыми субъекты данных могут осуществлять свои права (поиск способов сделать это также должен быть легким) и еще больше играет в контексте личных данных детей где язык и стиль общения должны быть еще более адаптированы.Сделайте его открытым, проясните и дайте возможность субъекту данных находить, знать и делать все, что нужно знать и делать, не усложняя задачу.

Как уже упоминалось, Рабочая группа по защите данных по статье 29 опубликовала руководящие принципы прозрачности в соответствии с GDPR .

Руководящие принципы увеличивают элементы прозрачности в соответствии с GDPR, включая понятия «Краткий, прозрачный, понятный и легко доступный» и «ясный и простой язык» , способы и контекст предоставления информации и общения, обеспечивая информация для детей и тот факт, что предоставление информации в рамках нескольких статей GDPR (статьи 13 и 14, статьи о правах субъектов данных и обязанности по уведомлению о нарушении данных в отношении субъектов данных) должно быть бесплатным .В рекомендациях также подробно рассматриваются статьи и 14 GDPR в отношении информации, предоставляемой субъектам данных, и многого другого.

Что касается значения прозрачности, руководство указывает на GDPR Recital 39:

«Физическим лицам должно быть понятно, что их личные данные собираются, используются, консультируются или обрабатываются иным образом, а также то, в какой степени личные данные обрабатываются или будут обрабатываться. Принцип прозрачности требует, чтобы любая информация и сообщения, относящиеся к обработке этих персональных данных, были легкодоступными и легкими для понимания, а также использовался ясный и простой язык.

Этот принцип касается, в частности, информации для субъектов данных о личности контролера и целей обработки, а также дополнительной информации для обеспечения справедливой и прозрачной обработки в отношении соответствующих физических лиц и их права на получение подтверждения и сообщения. обрабатываемых персональных данных о них… ».

Ограничение цели как принцип обработки данных

Ограничение цели — это второй принцип статьи 5 GDPR, касающийся принципов обработки персональных данных, если вы следуете подходу «шести принципов».Мы уже рассмотрели этот вопрос более подробно при рассмотрении вопроса о согласии. Однако вот краткий обзор того, что означает ограничение цели.

Каждое действие по обработке данных, относящееся к личным данным, преследует одну или несколько целей. Различные действия по обработке данных могут иметь одну цель.

Существенный принцип ограничения цели состоит из нескольких элементов, связанных с целью:

  • Когда собираются персональные данные, они должны служить указанному, явному и законному (здесь также играет законность)
  • После сбора личные данные, очевидно, не должны обрабатываться способом, несовместимым с целями (которые сообщаются субъекту данных) .
  • Когда персональные данные обрабатываются по определенным причинам, указанным в статье 89 GDPR (например, дальнейшая обработка в целях архивирования в общественных интересах) , такая обработка не считается несовместимой с первоначальными целями.

Однако ограничение цели простирается дальше этих трех элементов. Логично, что персональные данные не могут быть обработаны для каких-либо других целей, кроме тех, которые были упомянуты субъекту данных во время сбора. Столь же логично, что изменение целей со временем имеет последствия, за исключением упомянутых конкретных причин.

Несмотря на исключения из принципа ограничения цели, здесь важны детали. Определенная, явная и законная цель не просто означает, что должна быть цель, это также буквально означает, что цель должна быть ограничена.

Это особенно актуально в контексте согласия (поэтому мы и занялись этим там) , когда различные цели не могут быть объединены и возникает детализация. Проще говоря: в зависимости от объема и цели обработки данных вам необходимо выбрать соответствующее правовое основание, и вам не следует смешивать разные цели за некоторыми исключениями.Что наиболее важно, цель во время сбора данных должна совпадать с обработкой, а когда цель другая, организациям необходимо проверить свои обязанности.

Когда обработка данных осуществляется в соответствии с другими правовыми основаниями (например, в соответствии с юридическим обязательством, указанным в GDPR Recital 45) , тогда другие правила по цели и ограничению цели могут играть (в примере ограничения цели юридического обязательства могут, например, определяется законодательством ЕС или государства-члена, в соответствии с которым подпадает юридическое обязательство) .

Об ограничении целей, конечно же, можно сказать больше, но GDPR Recital 39 ясен: «Конкретные цели, для которых обрабатываются персональные данные, должны быть явными и законными и определяться во время сбора персональных данных. Персональные данные должны быть адекватными, актуальными и ограничиваться тем, что необходимо для целей, для которых они обрабатываются ».

Принцип обработки персональных данных по минимизации данных

Только что упомянутая цитата из GDPR Recital 39 (второе предложение) является точным описанием минимизации данных: у вас есть цель обработки личных данных, вам нужны личные данные, которые служат этой цели, но вы не можете пойти помимо обработки строго необходимых и актуальных данных.

Адекватность и ограничение просто означает: не более того, что действительно необходимо. Этот принцип минимизации данных обязывает организации ограничивать себя минимумом персональных данных, которые им необходимы в рамках обработки и ее цели (целей).

GDPR Recital 39 основывается на (как и в статьях GDPR) и предусматривает гарантии, обеспечивающие соблюдение как ограничения цели, так и минимизации данных, что, в свою очередь, приводит нас к дополнительным принципам обработки персональных данных, таким как ограничение хранения (см. ниже).

В статье 25 GDPR еще раз подчеркивается обязательство принимать «соответствующие технические и организационные меры». (в контексте защиты данных по дизайну и по умолчанию) для реализации принципов защиты данных, в соответствии с которыми минимизация данных упоминается как такой принцип, и GDPR снова рекомендует псевдонимизацию.

Обзор 7 принципов обработки персональных данных GDPR — с подотчетностью контролера за добавленные 6 принципов — источник и любезность Serve IT

Точность Принцип обработки персональных данных

Следующим логическим принципом было бы ограничение хранения, но давайте придерживаться порядка статьи 5 о принципах, касающихся обработки персональных данных, и рассмотрим следующий принцип в списке: точность.

Точность имеет несколько значений и, безусловно, несколько областей применения. Он работает в нескольких контекстах и, среди прочего, сильно подчеркивается в контексте профилирования.

Суть статьи 5 и принцип ее точности заключается в следующем:

  • Персональные данные, которые обрабатываются, должны быть точными.
  • Обрабатываемые персональные данные должны храниться в том же состоянии, в котором они необходимы. (а это действительно необходимо в некоторых случаях).
  • Необходимо принять меры для незамедлительного удаления или исправления неточных личных данных (с учетом целей процесса).

Таким образом, точность покрывает некоторые обязанности и действия со стороны контроллера (и / или процессора) во время сбора и обработки с дополнительным акцентом на точность в некоторых случаях. Кроме того, точность также касается основных прав субъектов данных, таких как право на удаление (право на забвение) и право на исправление.

Точность также должна рассматриваться в контексте гигиены данных, управления данными и безопасности данных, в которых должны присутствовать механизмы точности, особенно механизмы исправления.Если субъект данных не согласен с точностью личных данных в отношении него или нее, он или она может воспользоваться правом на ограничение обработки. GDPR Recital 39 гласит, что «следует предпринять все разумные шаги для обеспечения исправления или удаления неточных личных данных» .

Как уже говорилось, при профилировании особое внимание уделяется точности. В Руководстве по профилированию WP29 по существу указывается, что на всех этапах профилирования необходимо учитывать точность, от сбора и анализа до построения профилей и принятия решений по ним.Более того, контролер данных должен убедиться, что существуют, как указано в руководстве, надежные меры для обеспечения того, чтобы личные данные всегда соответствовали данным. Следует отметить, что профилирование в целом также строже в отношении минимизации данных и ограничения хранилища.

Принцип ограничения хранения: вы должны ограничить обработку по времени, потребности и цели

И это действительно подводит нас к принципу ограничения памяти, о котором мы уже упоминали несколько раз.Как вы могли прочитать в определенных обстоятельствах, таких как профилирование, требуется дополнительное внимание, а ограничение хранилища связано с ограничением цели и минимизацией данных.

Статья 5 GDPR по существу говорит об ограничении хранения:

  • Данные, делающие возможной идентификацию субъекта данных, не должны храниться дольше в форме, которая позволяет эту идентификацию тогда, когда это строго необходимо для цели обработки персональных данных. Опять же, GDPR требует ограничить его до минимума, но затем в объеме хранения, связанном с назначением.Обратите внимание на «хранится в форме». По сути, вам нужно удалить данные в рамках ограничения хранилища. Тем не менее, есть исключения, и помните, что анонимные данные не подпадают под действие GDPR (анонимные данные могут быть полезны, например, для статистических целей, очевидно, мы говорим о полях и записях, а не обо всех данных) .
  • Последний (статистические цели) возвращается в виде исключения, касающегося ограничения хранения в Статье 5, в соответствии с которым разрешены более длительные сроки хранения персональных данных, когда персональные данные обрабатываются только для целей архивирования в общественных интересах, в целях научных или исторических исследований или статистические цели, при которых организации необходимо принять правильные технические и организационные меры.

В целом правило таково: данные больше не нужны дольше, чем это действительно строго необходимо для цели: удалить. И, как справедливо указано в приведенной выше инфографике: на практике ваша политика хранения записей должна указывать, как долго хранятся данные (а именно столько, сколько требуется, но вам, конечно же, необходимо предпринять действия и сообщить) .

Принципы обработки персональных данных в соответствии с GDPR с точки зрения закона Инфографика — источник и полная статья

Принцип целостности и конфиденциальности

Хотя конфиденциальность часто упоминается отдельно в GDPR, мы оставили здесь принцип целостности и конфиденциальности как единое целое, поскольку он конкретно связан с принципами обработки персональных данных, которые вращаются вокруг безопасности, и тех технических и организационных мер, которые мы упоминали несколько раз и повсеместно присутствуют в GDPR.

Вкратце, что говорится в статье 5 GDPR о целостности и конфиденциальности:

  • Обработка данных должна выполняться таким образом, чтобы гарантировать надлежащий уровень безопасности в отношении личных данных.
  • Для этого необходимо принять правильные меры.
  • Среди элементов, на которые следует обратить внимание с точки зрения безопасности и мер, входят такие элементы, как защита и меры безопасности для предотвращения несанкционированной и незаконной обработки, случайной потери, уничтожения или повреждения обрабатываемых персональных данных и многое другое.

Хотя как таковой это не требует слишком подробного объяснения, на практике очевидно, что это важно и оказывает влияние с точки зрения соответствия GDPR, и есть обширные меры, которые необходимо предпринять, на уровнях управления информацией, безопасности и, конечно же, также осведомленности персонала GDPR и обучения безопасности. поскольку человеческий фактор нельзя упускать из виду при случайных потерях, нарушении конфиденциальности и многом другом.

Принцип принципов обработки персональных данных: подотчетность и обязанность гарантировать принципы обработки

Принцип подотчетности является последним в статье 5 GDPR и предметом параграфа 2.Вы можете рассматривать это как принцип, который включает в себя все вышеупомянутые принципы и многое другое: контроллер не только отвечает за соблюдение GDPR в целом, и в рамках всех принципов защиты данных, изложенных в параграфе один, контроллеры также должны иметь возможность чтобы продемонстрировать это соответствие.

Мы будем краткими, поскольку мы писали о соблюдении и других обязанностях, включая подотчетность, контролера. Подотчетность контролера также включает обязанности по работе с обработчиками данных — вторую тему, которую мы рассмотрели отдельно.

Как видно из приведенной выше инфографики, под подотчетностью понимается обязанность соблюдать принципы и способность продемонстрировать, что обработка выполняется в соответствии с этими принципами обработки персональных данных.

Верхнее изображение: Shutterstock — Авторские права: Максим Кабаку — Все остальные изображения являются собственностью их соответствующих владельцев. Несмотря на то, что содержание этой статьи тщательно проверено, мы не несем ответственности за возможные ошибки и советуем вам обратиться за помощью в подготовке к соблюдению GDPR ЕС.

Что такое GDPR, новый закон ЕС о защите данных?

Что такое GDPR? Новый европейский закон о конфиденциальности и безопасности данных включает в себя сотни страниц новых требований для организаций по всему миру. Этот обзор GDPR поможет вам понять закон и определить, какие его части применимы к вам.

Общие правила защиты данных (GDPR) — самый строгий в мире закон о конфиденциальности и безопасности. Хотя он был разработан и принят Европейским союзом (ЕС), он налагает обязательства на организации где угодно, если они нацелены или собирают данные, связанные с людьми в ЕС.Постановление вступило в силу 25 мая 2018 года. GDPR налагает суровые штрафы на тех, кто нарушает его стандарты конфиденциальности и безопасности, с штрафами, достигающими десятков миллионов евро.

В соответствии с GDPR Европа демонстрирует свою твердую позицию в отношении конфиденциальности и безопасности данных в то время, когда все больше людей доверяют свои личные данные облачным сервисам, а нарушения являются повседневным явлением. Само постановление является масштабным, далеко идущим и довольно легким в деталях, что делает соблюдение GDPR устрашающей перспективой, особенно для малых и средних предприятий (МСП).

Мы создали этот веб-сайт, чтобы он служил для владельцев и менеджеров МСП ресурсом для решения конкретных проблем, с которыми они могут столкнуться. Хотя он не заменяет юридическую консультацию, он может помочь вам понять, на чем следует сосредоточить усилия по соблюдению GDPR. Мы также предлагаем советы по инструментам обеспечения конфиденциальности и способам снижения рисков. Поскольку GDPR продолжает интерпретироваться, мы будем держать вас в курсе новых передовых практик.

Если вы нашли эту страницу — «что такое GDPR?» — скорее всего, вы ищете ускоренный курс.Возможно, вы еще даже не нашли сам документ (совет: вот полный регламент). Может быть, у вас нет времени все это прочитать. Эта страница для вас. В этой статье мы пытаемся демистифицировать GDPR и, как мы надеемся, сделать его менее сложным для малых и средних предприятий, обеспокоенных соблюдением GDPR.

История GDPR

Право на неприкосновенность частной жизни является частью Европейской конвенции о правах человека 1950 года, которая гласит: «Каждый человек имеет право на уважение его частной и семейной жизни, его жилища и его корреспонденции.«Исходя из этого, Европейский Союз стремился обеспечить защиту этого права посредством законодательства.

По мере развития технологий и изобретения Интернета ЕС осознал необходимость современных средств защиты. Поэтому в 1995 г. была принята Европейская директива о защите данных, устанавливающая минимальные стандарты конфиденциальности и безопасности данных, на основе которых каждое государство-член основывало свой собственный закон о реализации. Но Интернет уже трансформировался в данные, которыми он является сегодня. В 1994 году в сети появилась первая баннерная реклама.В 2000 году большинство финансовых учреждений предлагали онлайн-банкинг. В 2006 году Facebook открылся для публики. В 2011 году пользователь Google подал в суд на компанию за сканирование ее электронной почты. Через два месяца после этого европейский орган по защите данных заявил, что ЕС необходим «комплексный подход к защите личных данных», и началась работа по обновлению директивы 1995 года.

GDPR вступил в силу в 2016 году после принятия Европейского парламента, и с 25 мая 2018 года все организации должны были соответствовать.

Объем, штрафы и ключевые определения

Во-первых, если вы обрабатываете персональные данные граждан или резидентов ЕС, или вы предлагаете товары или услуги таким людям, то GDPR применяется к вам, даже если вы не в ЕС . Подробнее об этом мы поговорим в другой статье.

Во-вторых, штраф за нарушение GDPR очень высок . Существует два уровня штрафов, максимальная сумма которых составляет 20 миллионов евро или 4% от глобального дохода (в зависимости от того, что больше), плюс субъекты данных имеют право требовать компенсации за ущерб.Еще мы поговорим о штрафах GDPR.

GDPR определяет множество юридических терминов. Ниже приведены некоторые из наиболее важных из них, на которые мы ссылаемся в этой статье:

Персональные данные — Персональные данные — это любая информация, относящаяся к физическому лицу, которое может быть прямо или косвенно идентифицировано. Имена и адреса электронной почты, очевидно, являются личными данными. Информация о местоположении, этническая принадлежность, пол, биометрические данные, религиозные убеждения, веб-файлы cookie и политические взгляды также могут быть личными данными.Псевдонимные данные также могут подпадать под это определение, если по ним относительно легко идентифицировать кого-либо.

Обработка данных — Любое действие, выполняемое с данными, автоматическое или ручное. Примеры, приведенные в тексте, включают сбор, запись, организацию, структурирование, хранение, использование, стирание… так что практически все.

Субъект данных — Лицо, данные которого обрабатываются. Это ваши клиенты или посетители сайта.

Контроллер данных — Лицо, которое решает, почему и как будут обрабатываться личные данные.Если вы владелец или сотрудник своей организации, который обрабатывает данные, это вы.

Обработчик данных — Третья сторона, которая обрабатывает персональные данные от имени контроллера данных. GDPR имеет особые правила для этих лиц и организаций. Они могут включать облачные серверы, такие как Tresorit, или поставщиков услуг электронной почты, таких как ProtonMail.

О чем говорится в GDPR…

В оставшейся части этой статьи мы кратко объясним все ключевые положения GDPR.

Принципы защиты данных

Если вы обрабатываете данные, вы должны делать это в соответствии с семью принципами защиты и подотчетности, изложенными в Статье 5.1-2:

  1. Законность, справедливость и прозрачность — Обработка должна быть законной, справедливой и прозрачно для субъекта данных.
  2. Ограничение цели — Вы должны обрабатывать данные в законных целях, явно указанных субъекту данных при их сборе.
  3. Минимизация данных — Вы должны собирать и обрабатывать столько данных, сколько абсолютно необходимо для указанных целей.
  4. Точность — Вы должны поддерживать точность и актуальность личных данных.
  5. Ограничение хранения — Вы можете хранить личные данные только столько времени, сколько необходимо для указанной цели.
  6. Целостность и конфиденциальность — Обработка должна выполняться таким образом, чтобы обеспечить надлежащую безопасность, целостность и конфиденциальность (например, с использованием шифрования).
  7. Подотчетность — Контроллер данных несет ответственность за возможность продемонстрировать соответствие GDPR всем этим принципам.
Подотчетность

GDPR говорит, что контроллеры данных должны иметь возможность продемонстрировать, что они соответствуют GDPR. И это не то, что вы можете сделать постфактум: если вы думаете, что соблюдаете GDPR, но не можете показать, как это сделать, значит, вы не соблюдаете GDPR. Это можно сделать одним из способов:

  • Назначьте обязанности по защите данных своей команде.
  • Вести подробную документацию о данных, которые вы собираете, о том, как они используются, где хранятся, кто за них отвечает и т. Д.
  • Обучите свой персонал и внедрите технические и организационные меры безопасности.
  • Заключите соглашение об обработке данных с третьими сторонами, которые будут обрабатывать данные за вас.
  • Назначьте сотрудника по защите данных (хотя не всем организациям он нужен — подробнее об этом в этой статье).
Безопасность данных

Вы должны безопасно обрабатывать данные, применяя «соответствующие технические и организационные меры».

Технические меры означают все, что угодно, от требования к вашим сотрудникам использовать двухфакторную аутентификацию в учетных записях, где хранятся личные данные, до заключения контрактов с поставщиками облачных услуг, которые используют сквозное шифрование .

Организационные меры — это такие вещи, как обучение персонала , добавление политики конфиденциальности в справочник сотрудника или ограничение доступа к персональным данным только тем сотрудникам в вашей организации, которым это необходимо.

Если у вас есть утечка данных, у вас есть 72 часа, чтобы сообщить об этом субъектам данных или понести наказание. (Это требование об уведомлении может быть отменено, если вы используете технологические меры безопасности, такие как шифрование, чтобы сделать данные бесполезными для злоумышленника.)

Защита данных по умолчанию и по умолчанию

С этого момента все, что вы делаете в своей организации, должно, «по замыслу и по умолчанию», учитывать защиту данных. На практике это означает, что вы должны учитывать принципы защиты данных при разработке любого нового продукта или деятельности. GDPR охватывает этот принцип в статье 25.

Предположим, например, вы запускаете новое приложение для своей компании. Вы должны подумать о том, какие личные данные приложение может собирать от пользователей, а затем подумать о способах минимизировать объем данных и о том, как вы защитите их с помощью новейших технологий.

Когда вам разрешено обрабатывать данные

В статье 6 перечислены случаи, в которых обработка личных данных является законной. Даже не думайте касаться чьих-либо личных данных — не собирайте их, не храните, не продавайте рекламодателям — если вы не можете оправдать это одним из следующих:

  1. Субъект данных предоставил вам конкретное, недвусмысленное согласие на обработку данных. (Например, они подписались на ваш список рассылки по электронной почте.)
  2. Обработка необходима для выполнения или подготовки к заключению договора , стороной которого является субъект данных.(Например, вам необходимо выполнить проверку биографических данных, прежде чем сдавать недвижимость в аренду потенциальному арендатору.)
  3. Вам необходимо обработать его , чтобы выполнить ваше юридическое обязательство . (например, вы получили постановление суда в вашей юрисдикции.)
  4. Вам необходимо обработать данные , чтобы спасти чью-то жизнь . (Например, вы, вероятно, знаете, когда это применимо.)
  5. Обработка необходима для выполнения задачи в общественных интересах или для выполнения некоторых официальных функций.(например, вы — частная компания по сбору мусора.)
  6. У вас есть законный интерес в обработке чьих-либо личных данных. Это наиболее гибкая законная основа, хотя «основные права и свободы субъекта данных» всегда имеют приоритет над вашими интересами, особенно если это данные ребенка. (Сложно привести здесь пример, потому что существует множество факторов, которые вам необходимо учитывать при рассмотрении вашего дела. Офис комиссара по информации Великобритании предоставляет здесь полезные рекомендации.)

После того, как вы определили законное основание для обработки ваших данных, вам необходимо задокументировать это основание и уведомить субъекта данных (прозрачность!). И если вы позже решите изменить свое обоснование, у вас должна быть веская причина, задокументировать эту причину и уведомить субъекта данных.

Согласие

Существуют новые строгие правила относительно того, что представляет собой согласие субъекта данных на обработку своей информации.

  • Согласие должно быть «добровольным, конкретным, информированным и недвусмысленным.»
  • Запросы о согласии должны быть« четко отличаться от других вопросов »и представлены« ясным и понятным языком ».
  • Субъекты данных могут в любой момент отозвать ранее данное согласие, и вы должны выполнить их решение. Вы не можете просто изменить правовое основание обработки на одно из других обоснований.
  • Дети до 13 лет могут давать согласие только с разрешения родителей.
  • Необходимо иметь документальное подтверждение согласия.
Сотрудники по защите данных

Вопреки распространенному мнению, не каждому контроллеру данных или процессору необходимо назначать сотрудника по защите данных (DPO). Есть три условия, при которых вы должны назначить DPO:

  1. Вы являетесь органом государственной власти, а не судом, действующим в судебном качестве.
  2. Ваша основная деятельность требует систематического и регулярного крупномасштабного мониторинга людей. (например, вы Google.)
  3. Ваша основная деятельность — это крупномасштабная обработка особых категорий данных, перечисленных в статье 9 GDPR, или данных, касающихся обвинительных приговоров и правонарушений, указанных в статье 10.(например, у вас медицинский кабинет.)

Вы также можете назначить DPO, даже если от вас это не требуется. В том, чтобы кто-то занимал эту должность, есть свои преимущества. Их основные задачи включают понимание GDPR и то, как он применяется к организации, консультирование людей в организации об их обязанностях, проведение тренингов по защите данных, проведение аудитов и мониторинг соблюдения GDPR, а также поддержание связи с регулирующими органами.

Мы подробно рассмотрим роль DPO в другой статье.

Права людей на неприкосновенность частной жизни

Вы являетесь контролером и / или обработчиком данных. Но как человек, пользующийся Интернетом, вы также являетесь субъектом данных. GDPR признает ряд новых прав на неприкосновенность частной жизни для субъектов данных, цель которых — предоставить людям больший контроль над данными, которые они ссужают организациям. Организации важно понимать эти права, чтобы обеспечить соответствие GDPR.

Ниже приводится краткое изложение прав субъектов данных на конфиденциальность:

  1. Право на получение информации
  2. Право доступа
  3. Право на исправление
  4. Право на удаление
  5. Право на ограничение обработки
  6. Право на переносимость данных
  7. Право на возражение
  8. Права в отношении автоматизированного принятия решений и профилирования.

Заключение

Мы только что рассмотрели все основные положения GDPR, используя чуть более 2000 слов. Сама инструкция (не считая сопутствующих директив) составляет 88 страниц. Если вы подпадаете под действие GDPR, мы настоятельно рекомендуем, чтобы кто-нибудь из вашей организации прочитал его и проконсультировался с юристом, чтобы убедиться, что вы соблюдаете GDPR.

Законное основание для обработки | ICO

Кратко

  • У вас должно быть законное основание для обработки персональных данных.
  • Существует шесть доступных законных оснований для обработки. Ни одна из основ не может быть «лучше» или важнее других — какая основа будет наиболее подходящей для использования, будет зависеть от ваших целей и взаимоотношений с человеком.
  • Большинство законных оснований требуют, чтобы обработка была «необходимой» для определенной цели. Если вы можете разумно достичь той же цели без обработки, у вас не будет законных оснований.
  • Вы должны определить свои законные основания до начала обработки и задокументировать их.У нас есть интерактивный инструмент, который поможет вам.
  • Позаботьтесь о том, чтобы сделать это правильно с первого раза — вам не следует переходить на другое законное основание позже без уважительной причины. В частности, вы обычно не можете перейти с согласия на другую основу.
  • В вашем уведомлении о конфиденциальности должно быть указано ваше законное основание для обработки, а также цели обработки.
  • Если ваши цели изменятся, вы сможете продолжить обработку в соответствии с исходным законным основанием, если ваша новая цель совместима с вашей первоначальной целью (если исходной законной основой не было согласие).
  • Если вы обрабатываете данные особой категории, вам необходимо указать как законное основание для общей обработки, так и дополнительное условие для обработки этого типа данных.
  • Если вы обрабатываете данные о судимости или данные о правонарушениях, вам необходимо указать как законное основание для общей обработки, так и дополнительное условие для обработки этого типа данных.

Контрольный список

☐ Мы рассмотрели цели нашей деятельности по обработке и выбрали наиболее подходящую законную основу (или основы) для каждой деятельности.

☐ Мы проверили, что обработка необходима для соответствующей цели, и убедились, что нет другого разумного и менее интрузивного способа достижения этой цели.

☐ Мы задокументировали наше решение о том, какие законные основания применяются для демонстрации соблюдения.

☐ Мы включили информацию как о целях обработки, так и о законных основаниях для обработки в наше уведомление о конфиденциальности.

☐ Там, где мы обрабатываем данные специальной категории, мы также определили условие для обработки данных специальной категории и задокументировали это.

☐ При обработке данных об уголовных преступлениях мы также определили условие обработки этих данных и задокументировали это.

Вкратце

Каковы законные основания для обработки?

Законные основания для обработки изложены в статье 6 GDPR Великобритании. Как минимум одно из них должно применяться при обработке персональных данных:

(a) Согласие: физическое лицо дало вам четкое согласие на обработку его личных данных для определенной цели.

(b) Контракт: обработка необходима для контракта, который у вас есть с физическим лицом, или потому, что они попросили вас предпринять определенные шаги перед заключением контракта.

(c) Юридическое обязательство: обработка необходима для соблюдения закона (не включая договорные обязательства).

(d) Жизненно важные интересы: обработка необходима для защиты чьей-либо жизни.

(e) Общественная задача: обработка необходима для выполнения вами задачи в общественных интересах или для ваших официальных функций, и эта задача или функция имеют четкую юридическую основу.

(f) Законные интересы: обработка необходима для ваших законных интересов или законных интересов третьей стороны, за исключением случаев, когда существует веская причина для защиты личных данных человека, которая имеет приоритет над этими законными интересами. (Это не применимо, если вы являетесь государственным органом, обрабатывающим данные для выполнения своих служебных задач.)

Для получения более подробной информации по каждому законному основанию прочтите конкретную страницу этого руководства.

Дополнительная литература

Когда обработка «необходима»?

Многие законные основания для обработки зависят от того, является ли обработка «необходимой».Это не означает, что обработка должна быть абсолютно необходимой. Однако это должно быть больше, чем просто полезное, и больше, чем просто стандартная практика. Это должен быть целенаправленный и соразмерный способ достижения конкретной цели. Законное основание не будет применяться, если вы можете разумно достичь цели с помощью других менее навязчивых средств или путем обработки меньшего объема данных.

Недостаточно утверждать, что обработка необходима, потому что вы выбрали определенный способ ведения бизнеса.Вопрос в том, является ли обработка объективно необходимой для заявленной цели, а не является ли она необходимой частью выбранных вами методов.

Почему важна законная основа для обработки?

Первый принцип требует, чтобы вы обрабатывали все личные данные законным, справедливым и прозрачным образом. Если к вашей обработке не применяется законное основание, ваша обработка будет незаконной и нарушит первый принцип.

Физические лица также имеют право удалять персональные данные, которые были обработаны незаконно.

Право человека на получение информации в соответствии со статьями 13 и 14 требует от вас предоставления людям информации о ваших законных основаниях для обработки. Это означает, что вам необходимо указать эти данные в своем уведомлении о конфиденциальности.

Законное основание для вашей обработки также может повлиять на то, какие права доступны отдельным лицам. Например, некоторые права не будут применяться:

Тем не менее, физическое лицо всегда имеет право возражать против обработки в целях прямого маркетинга, независимо от того, на каком законном основании это применимо.

Остальные права не всегда абсолютны, и есть другие права, которые могут быть затронуты другими способами. Например, ваша законная основа может повлиять на то, как применяются положения, касающиеся автоматизированных решений и профилирования, и если вы полагаетесь на законные интересы, вам потребуется более подробная информация в уведомлении о конфиденциальности.

Пожалуйста, прочтите раздел настоящего Руководства о правах физических лиц для получения полной информации.

Дополнительная литература

Как мы решаем, какое законное основание применяется?

Это зависит от ваших конкретных целей и контекста обработки.Вам следует подумать о том, почему вы хотите обрабатывать данные, и подумать, какое законное основание лучше всего соответствует обстоятельствам. Вы можете использовать наш интерактивный инструмент руководства, чтобы помочь вам.

Вы можете подумать, что применяется более одного основания, и в этом случае вы должны идентифицировать и задокументировать их все с самого начала.

Вы не должны использовать универсальный подход. Ни одно основание не должно всегда считаться лучше, безопаснее или важнее, чем другие, и в GDPR Великобритании нет иерархии в порядке списка.

Некоторые из законных оснований относятся к конкретной указанной цели — юридическое обязательство, выполнение контракта с физическим лицом, защита чьих-либо жизненно важных интересов или выполнение ваших общественных задач. Если вы обрабатываете данные для этих целей, то соответствующее законное основание вполне может быть очевидным, поэтому полезно сначала рассмотреть их.

В других случаях у вас, вероятно, будет выбор между использованием законных интересов или согласия. Вам нужно подумать о более широком контексте, в том числе:

  • Кому выгодна обработка?
  • Ожидают ли люди, что такая обработка будет иметь место?
  • Каковы ваши отношения с человеком?
  • Имеете ли вы над ними власть?
  • Как обработка влияет на человека?
  • Они уязвимы?
  • Вероятно, что некоторые из заинтересованных лиц будут возражать?
  • Можете ли вы остановить обработку в любой момент по запросу?

Вы можете предпочесть рассматривать законные интересы в качестве законной основы, если хотите сохранить контроль над обработкой и взять на себя ответственность за демонстрацию того, что она соответствует разумным ожиданиям людей и не окажет на них неоправданного воздействия.С другой стороны, если вы предпочитаете предоставить отдельным лицам полный контроль над своими данными и ответственность за них (в том числе возможность изменить свое мнение о том, можно ли продолжать их обработку), вы можете подумать о том, чтобы полагаться на их согласие.

Подробнее

Мы разработали инструмент интерактивного руководства на законной основе, чтобы дать более индивидуализированное руководство, на основании которого законная основа может быть наиболее подходящей для вашей деятельности по обработке.

Отличается ли это для государственных органов?

Базовый подход такой же.Вам следует подумать о своих целях и выбрать наиболее подходящую основу. Вы по-прежнему можете использовать наш законный инструмент, чтобы помочь вам.

Основа общественных задач, скорее всего, будет иметь отношение к большей части того, что вы делаете. Если вы являетесь государственным органом и можете продемонстрировать, что обработка предназначена для выполнения ваших задач в соответствии с законодательством Великобритании, тогда вы можете использовать основу для общедоступных задач. Но если это для другой цели, вы все равно можете рассмотреть другую основу.

В частности, в некоторых случаях вы все еще можете учитывать согласие или законные интересы, в зависимости от характера обработки и ваших отношений с этим лицом.Абсолютного запрета на использование органами государственной власти согласия или законных интересов в качестве законного основания не существует, хотя есть некоторые ограничения. Для получения дополнительной информации см. Специальную страницу с инструкциями по каждому законному основанию.

В Законе о защите данных 2018 года говорится, что «государственный орган» здесь означает государственный орган в соответствии с Законом о свободе информации или Законом о свободе информации (Шотландия), за исключением приходских и общественных советов.

Пример

Университет, который хочет обрабатывать персональные данные, может рассмотреть множество законных оснований в зависимости от того, что он хочет делать с данными.

Университеты классифицируются как органы государственной власти, поэтому основа общественных задач, вероятно, будет применяться к большей части их обработки, в зависимости от деталей их конституций и юридических полномочий. Если обработка данных осуществляется отдельно от их задач как государственного органа, тогда университет может вместо этого рассмотреть вопрос о том, уместны ли согласие или законные интересы в конкретных обстоятельствах. Например, университет может полагаться на публичную задачу по обработке личных данных в учебных и исследовательских целях; но смесь законных интересов и согласия для отношений с выпускниками и в целях сбора средств.

Однако университету необходимо внимательно изучить его основу — контролер несет ответственность за возможность продемонстрировать, какое законное основание применимо к конкретной цели обработки.

Дополнительная литература

Можем ли мы изменить нашу законную основу?

Вы должны определить свои законные основания, прежде чем начинать обработку персональных данных. Важно сделать это правильно с первого раза. Если позже вы обнаружите, что выбранная вами основа была на самом деле неподходящей, будет сложно просто заменить ее на другую.Даже если бы с самого начала могла применяться другая основа, ретроспективная смена законной основы, вероятно, будет по своей сути несправедливой по отношению к отдельному лицу и приведет к нарушениям требований подотчетности и прозрачности.

Пример

Компания решила провести обработку на основе согласия и получила согласие от частных лиц. Впоследствии человек решил отозвать свое согласие на обработку своих данных, что является его правом. Однако компания хотела продолжить обработку данных, поэтому решила продолжить обработку на основании законных интересов.

Даже если бы она изначально могла полагаться на законные интересы, компания не может сделать это позже — она ​​не может сменить основу, когда поняла, что изначально выбранная основа была неуместной (в данном случае, потому что она не хотела предлагать физическому лицу подлинный постоянный контроль). Он должен был с самого начала дать понять человеку, что обработка осуществляется на основе законных интересов. Заставить человека поверить в то, что у него был выбор, по своей сути несправедливо, если этот выбор не имеет значения.Поэтому компания должна прекратить обработку, когда физическое лицо отозвает согласие.

Поэтому важно заранее тщательно оценить подходящую основу и задокументировать ее. Возможно, что к обработке применимо несколько оснований, потому что у вас более одной цели, и если это так, вам следует четко указать это с самого начала.

Если обстоятельства действительно изменились или у вас появилась новая и непредвиденная цель, что означает, что есть веская причина пересмотреть ваши законные основания и внести изменения, вам необходимо проинформировать об этом человека и задокументировать это изменение.

Дополнительная литература

Что произойдет, если у нас появится новая цель?

Если ваши цели со временем меняются или у вас появляется новая цель, которую вы не ожидали изначально, вам может не понадобиться новое законное основание, если ваша новая цель совместима с первоначальной.

Однако это не относится к обработке на основе согласия. Согласие всегда должно быть конкретным и информированным, а повторное использование данных для новой цели несправедливо подорвет исходное согласие.Обычно вам нужно получить новое согласие, которое конкретно касается новой цели. Если вы получили конкретное согласие для новой цели, вам не нужно доказывать, что оно совместимо.

В остальных случаях, чтобы оценить, совместимо ли новое назначение с первоначальным, следует принять во внимание:

  • любая связь между вашей первоначальной целью и новой целью;
  • контекст, в котором вы собирали данные, в частности, ваши отношения с человеком и то, чего он разумно ожидал;
  • характер персональных данных — например, данные особой категории или данные об уголовных преступлениях;
  • возможные последствия новой обработки для физических лиц; и
  • , существуют ли соответствующие меры защиты — например, шифрование или псевдонимизация.

Этот список не является исчерпывающим, и то, на что вам нужно обратить внимание, зависит от конкретных обстоятельств.

Вы можете найти наш шаблон оценки законных интересов полезным инструментом для оценки совместимости, поскольку оба учитывают схожие факторы.

Как правило, если новая цель сильно отличается от первоначальной, будет неожиданной или окажет неоправданное влияние на человека, она вряд ли будет совместима с вашей первоначальной целью сбора данных.Затем вы можете продолжить, только если вы получите конкретное согласие для новой цели, или вы можете указать на конкретное правовое положение, требующее или разрешающее новую обработку в общественных интересах (в этом случае вашим новым законным основанием будет юридическое обязательство или общественная задача. ).

Если вы обрабатываете данные специальной категории, вам необходимо убедиться, что вы можете определить соответствующее условие, которое применяется к вашей новой обработке.

GDPR Великобритании специально говорит, что дальнейшая обработка для следующих целей должна считаться совместимой законной обработкой:

  • архивирование в общественных интересах;
  • научно-исследовательских целей; и
  • статистических целей.

Здесь есть ссылка на принцип «ограничения цели» в статье 5, в которой говорится, что «личные данные должны собираться для определенных, явных и законных целей и не обрабатываться в дальнейшем способом, несовместимым с этими целями».

Даже если обработка для новой цели является законной, вам также необходимо будет рассмотреть, является ли она справедливой и прозрачной, и предоставить отдельным лицам информацию о новой цели.

Дополнительная литература

Как мы должны документировать наши законные основания?

Принцип подотчетности требует, чтобы вы могли продемонстрировать, что вы соблюдаете GDPR Великобритании, и имеете соответствующие политики и процессы.Это означает, что вам необходимо продемонстрировать, что вы должным образом рассмотрели, какие законные основания применимы к каждой цели обработки, и можете обосновать свое решение.

Следовательно, вам необходимо вести учет того, на какое основание вы полагаетесь для каждой цели обработки, а также обоснование того, почему вы считаете, что это применимо. Для этого не существует стандартной формы, если вы гарантируете, что то, что вы записываете, достаточно, чтобы продемонстрировать наличие законного основания. Это поможет вам соблюдать обязательства по подотчетности, а также поможет вам при написании уведомлений о конфиденциальности.

Вы несете ответственность за то, чтобы продемонстрировать, какое законное основание применимо к конкретной цели обработки.

Подробнее об этой теме читайте в разделе об ответственности этого руководства. На соответствующих страницах руководства также есть дополнительные инструкции по документированию оценок согласия или законных интересов.

Дополнительная литература

Что нам нужно сказать людям?

Вам необходимо включить информацию о ваших законных основаниях (или основаниях, если применимо более одного) в ваше уведомление о конфиденциальности.В соответствии с положениями GDPR Великобритании о прозрачности информация, которую вы должны предоставить людям, включает:

  • предполагаемые цели обработки персональных данных; и
  • законное основание для обработки.

Это применимо независимо от того, собираете ли вы личные данные непосредственно от человека или вы собираете его данные из другого источника.

Прочтите раздел «Право на получение информации» этого руководства, чтобы узнать больше о требованиях к прозрачности GDPR.

Дополнительная литература

А как насчет данных специальной категории?

Если вы обрабатываете данные особой категории, вам необходимо указать как законное основание для обработки, так и условие особой категории для обработки в соответствии со Статьей 9. Вы должны задокументировать как свое законное основание для обработки, так и условие особой категории, чтобы вы могли продемонстрировать соответствие и подотчетность.

Дальнейшие указания можно найти в разделе, посвященном данным специальной категории.

А как насчет данных об уголовных преступлениях?

Если вы обрабатываете данные об уголовных приговорах, уголовных преступлениях или связанных с ними мерах безопасности, вам потребуется как законное основание для обработки, так и «официальные полномочия» или отдельное условие для обработки этих данных в соответствии со статьей 10. Вы должны задокументировать и то, и другое. ваше законное основание для обработки и состояние ваших данных об уголовном преступлении, чтобы вы могли продемонстрировать соблюдение и подотчетность.

Дополнительные инструкции можно найти в разделе, посвященном данным об уголовных преступлениях.

Вернуться наверх Предыдущий Следующий

Когда разрешена обработка персональных данных?

Правовые основы обработки персональных данных

Для обработки персональных данных всегда требуется правовая основа, которая должна быть определена до начала обработки. После того, как обработка персональных данных была привязана к основанию для обработки, основание не может быть изменено. Основа обработки существенно влияет на права субъектов данных по отношению к контроллеру.

Дополнительная информация: какие права имеют субъекты данных в различных ситуациях

Общий регламент по защите данных (GDPR) содержит шесть оснований, разрешающих обработку персональных данных:

Особые категории персональных данных, такие как данные об этническом происхождении или состоянии здоровья, принципиально запрещены. Однако такая обработка может быть разрешена, если исключение из запрета на обработку предусмотрено GDPR или национальным законодательством.

Дополнительная информация: Обработка особых категорий персональных данных

Согласие субъекта данных

Субъект данных может дать свое согласие на обработку личных данных субъекта данных. Такое согласие должно быть свободно данным, конкретным, информированным и недвусмысленным указанием согласия субъекта данных на обработку относящихся к нему персональных данных. Субъект данных может дать письменное или устное заявление о своем согласии или выразить его каким-либо другим четким позитивным действием, например, отметив поле на веб-сайте.Отозвать согласие должно быть так же легко, как и дать его.

Контроллер должен иметь возможность продемонстрировать, что субъект данных дал законное согласие на операцию обработки.

Дополнительная информация: Согласие субъекта данных

Контракт

Если субъект данных является стороной договора, его или ее личные данные могут быть обработаны для выполнения договора. Если, например, субъект данных заказывает товары через Интернет, компании разрешается обрабатывать его или ее адресные данные для доставки товаров.

Важно определить точное содержание и основную цель контракта, потому что они используются для оценки необходимости обработки. Обработка ограничивается необходимыми персональными данными.

Эта основа для обработки также охватывает операции обработки, выполненные до заключения договора по запросу субъекта данных. Например, кредитор может обработать данные, необходимые для оценки кредитоспособности, до заключения кредитного соглашения.

Юридическое обязательство

От контролера может потребоваться обработка личных данных для выполнения юридического обязательства. Юридические обязательства могут в равной степени применяться к контролерам в частном и государственном секторах и могут включать, например, обязательство работодателя сообщать информацию о заработной плате своих сотрудников в налоговые органы или обязательство финансовых учреждений сообщать о подозрительных операциях в налоговые органы. органы власти.

Юридические обязательства могут быть основаны только на законодательстве Союза или государства-члена.Обязательства, основанные на законодательстве третьих стран, не подпадают под эту основу, если они не включены в правовой режим Европейского Союза или государства-члена, например, международным договором.

Защита жизненно важных интересов

Обработка персональных данных разрешается, когда это необходимо для защиты жизненно важных интересов субъекта данных или другого физического лица. Например, защита жизненно важных интересов является подходящей основой для обработки в ситуациях жизни и смерти или в случае угроз, которые могут нанести вред субъекту данных или другому лицу или иным образом нанести вред здоровью.

Обработка персональных данных может быть жизненно важной во время гуманитарных катастроф, таких как стихийные бедствия или эпидемии, когда это может быть необходимо для отслеживания распространения эпидемии.

Общественные интересы и авторитет

Обработка персональных данных разрешена, если этого требуют общественные интересы или осуществление государственных полномочий, возложенных на контролера. Эта основа для обработки может использоваться как в частном, так и в государственном секторе в ситуациях, которые связаны с общественными интересами или осуществлением государственных полномочий в Европейском Союзе или государстве-члене.

Задача, выполняемая в общественных интересах или в государственных органах, должна основываться на законе или других правовых положениях. Например, обработка в общественных интересах может включать обработку персональных данных для научных или исторических исследований или сбор статистики.

Законные интересы контролера

Обработка персональных данных разрешена, когда это необходимо для законных интересов, преследуемых контролером или третьей стороной.Легитимность интереса может быть определена с помощью так называемого теста баланса. В тесте интересы контролера или третьей стороны сопоставляются с интересами и основными правами субъекта данных.

Законный интерес может существовать, например, при наличии соответствующих отношений между субъектом данных и контролером. На практике это означает, что субъект данных является заказчиком или подчиненным контролера.

Дополнительная информация: Законные интересы контролера

Правовая основа для обработки данных в соответствии с GDPR

Существует 6 правовых оснований для обработки, изложенных в статье 6 GDPR.По крайней мере, одно из них должно применяться всякий раз, когда вы обрабатываете личные данные.

Хотя Управление уполномоченного по информации (ICO) ясно дало понять, что для обработки личных данных у вас должно быть законное основание, многие организации полагают, что это зависит от получения согласия. Согласие — это лишь одна из ряда законных целей обработки персональных данных. Какая основа, по вашему мнению, будет наиболее подходящей для использования, будет зависеть от ваших целей и взаимоотношений с человеком.

Ключевые условия для обеспечения законности обработки данных

1. Согласие

Субъект данных дал четкое согласие на обработку. GDPR гласит, что он должен быть свободным, конкретным, информированным и недвусмысленным — выражаться в заявлении или четких позитивных действиях. Субъекты данных должны иметь возможность отказаться или отозвать согласие без штрафных санкций.

2. Исполнение договора

GDPR Recital 40 упоминает «выполнение договора, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора» в качестве законной основы законной обработки.Это означает, что обработка должна быть законной при сборе имени и адреса клиента для обработки их заказа.

3. Юридические или судебные причины

Обработка необходима по юридическим или судебным причинам, например для отправления правосудия или правоохранительных органов, например, для использования их банковских реквизитов для обработки возврата. Однако у этого есть ограничения.

В декларации 45 говорится, что «если обработка осуществляется в соответствии с юридическим обязательством, которому подчиняется контролер, или когда обработка необходима для выполнения задачи, выполняемой в общественных интересах или при исполнении официальных полномочий, обработка должны иметь основу в законодательстве Союза или государства-члена ».

4. Защита жизненно важных интересов субъекта данных

Это применимо только в том случае, если обработка личных данных необходима для защиты чьей-либо жизни. Это разъясняется в Приложении 46 GDPR: «Обработка персональных данных, основанная на жизненных интересах другого физического лица, в принципе должна осуществляться только в тех случаях, когда обработка не может быть явно основана на другом правовом основании». Это применимо в тех случаях, когда, например, доступна история болезни кого-то для лечения в отделении неотложной помощи после дорожно-транспортного происшествия.

5. Выполнение задачи в интересах общества

Данные могут обрабатываться «для выполнения задачи, выполняемой в общественных интересах» или «при исполнении официальных полномочий».

Для обработки персональных данных вам не нужны определенные законодательные полномочия, но у вас должна быть четкая юридическая основа, которая должна быть задокументирована.

DPA 2018 уточняет, что сюда входит обработка, необходимая для:
  1. Отправление правосудия.
  2. Осуществление функций любой из палат парламента
  3. Выполнение функции, возложенной на человека законодательным актом или верховенством закона.
  4. Осуществление функций Короны, Министра Короны или государственного ведомства
  5. Деятельность, которая поддерживает или продвигает демократическое участие.

Права субъектов данных на удаление и переносимость данных не применяются, если вы обрабатываете данные на этом основании. Однако у них есть право на возражение.

6. Законный интерес

Законный интерес — наиболее гибкая из шести законных оснований для обработки данных. Это потенциально может быть применено к любому типу обработки, выполняемой для любой разумной цели.

Статья 6 (1f) гласит, что обработка является законной, если «обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной, за исключением случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта данных. ‘.

Это оставляет много места для интерпретации, а определение бесполезно расплывчато. Вы должны определить, действительно ли ваши интересы в обработке персональных данных законны.

Эти интересы должны быть сопоставлены с интересами субъектов данных.GDPR упоминает обработку данных клиентов или сотрудников, маркетинг, предотвращение мошенничества, внутригрупповые переводы или ИТ-безопасность как потенциальные законные интересы, но этот список не является исчерпывающим.

Важно учитывать, что «законные интересы», скорее всего, будут уместными, если вы используете личные данные способами, которые субъект данных сочтет разумными, и когда обработка оказывает минимальное влияние на их конфиденциальность.

Помните, что если вы используете законный интерес в качестве основы для обработки личной информации в рамках своей маркетинговой деятельности, право субъектов данных на возражение является абсолютным: вы должны прекратить обработку, если кто-либо возражает.

Где получить консультацию о законности обработки данных

Если у вас есть сомнения относительно юридического обоснования обработки данных, лучше всего спросить своего сотрудника по защите данных (DPO). Это может быть отдельный сотрудник, роль или кто-то с опытом в этой области. Если у вас его нет, вам следует — см. Статью 37 (1) GDPR.

Само собой разумеется, что весь персонал нуждается в обучении по осведомленности о GDPR, а тем, кто обрабатывает большой объем данных (особенно конфиденциальных), потребуется более глубокое понимание.

Чтобы успокоить тех, кто предоставляет вам данные, вы должны создать веб-страницы с уведомлением о конфиденциальности и заявлением об обработке данных. И сделайте запросы cookie веб-сайта простыми и понятными.

Хотите узнать больше о GDPR?

Если вы хотите быть в курсе лучших практик GDPR, отраслевого анализа и ключевых тенденций в области соблюдения нормативных требований, цифрового обучения, новостей EdTech и RegTech, подпишитесь на бюллетень Skillcast Compliance Bulletin.

Чтобы помочь вам ориентироваться в сфере соблюдения нормативных требований, мы собрали доступные для поиска глоссарии ключевых терминов и определений по сложным темам, включая GDPR, равенство, финансовые преступления и SMCR.Мы также регулярно сообщаем о важных выводах, извлеченных из недавних штрафов GDPR. А если вы ищете решение для обучения нормативным требованиям, почему бы не посетить нашу библиотеку курсов GDPR ?.

Вы можете следить за нашим текущим исследованием YouGov по вопросам соответствия, отношениям и восприятию рисков на рабочем месте в Великобритании через наши блоги Compliance Insights.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *