Закон обработка персональных данных: Как закон обеспечивает сохранность персональных данных россиян

основные изменения с 1 марта

Тема «Персональные данные 2023» всё больше интересует читателей. Дело в том, что в этой области произошли изменения в законодательстве, которые вступили в силу 1 марта этого года.

В статье подробно расскажем, что изменилось и как работать с персональными данными (ПД) по новым правилам в 2023 году.

Обработка персональных данных в 2023 году

Основные изменения в законе 152-ФЗ «О персональных данных» в 2023 году вводят новые правила, которые касаются:

• сроков подачи уведомлений в Роскомнадзор;
• уничтожения персональных данных;
• новых полномочий Роскомнадзора при передаче ПД за границу;
• оценки вреда утечки персональных данных.

Все нововведения вступили в силу 1 марта 2023 года. Рассмотрим каждый пункт по отдельности.

Уведомление об изменении персональных данных: новый срок

Все, кто обрабатывает персональные данные, являются операторами персональных данных. Такие организации отправляют в Роскомнадзор уведомление о сборе персональных данных и уведомление об изменении представленной информации.

Ранее отправлять уведомление об изменении представленных персональных данных операторам нужно было в течение 10 дней с момента их корректировки. С 1 марта 2023 года этот срок увеличен. Теперь, если ПД изменились, оператору можно отправить соответствующее уведомление в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. При представлении используется форма из приложения № 2 приказа Роскомнадзора от 28.10.2022 № 180.

Уничтожение персональных данных: новые правила

Согласно Приказу Роскомнадзора от 28.10.2022 № 179, операторам ПД нужно подтверждать уничтожение сведений о персональных данных. В документе прописаны порядок и требования к данной процедуре.

Уничтожение персональных данных на бумажных носителях должны фиксироваться актом. В нём указывают категорию уничтожаемых ПД, Ф. И.О. и должности участников процедуры, их подписи, причины и способы уничтожения и т.п.

Если электронные персональные данные удаляют из хранилища информационной системы, то достаточно выгрузки журнала, где зарегистрированы все события. Если в выгрузке какие-либо сведения не будут указаны, их дополняют бумажным актом. В нём дописывают недостающую информацию. Срок хранения акта 3 года.

Передача персональных данных за границу

Основные моменты, которые важно знать

Если компания осуществляет трансграничную передачу персональных данных, то она обязана уведомить об этом Роскомнадзор. Данное правило введено Федеральным законом от 14.07.2022 № 266-ФЗ и действует с 1 марта 2022 года. ПД отправляются, когда компания сотрудничает с заграничными партнёрами, отправляет работников в командировку или на обучение за рубеж.

Уведомление о трансграничной передаче направляется в Роскомнадзор:

• единоразово, до осуществления отправки ПД за рубеж;
• отдельно от других уведомлений об обработке персональных данных;
• с указанием всех стран, куда оператор ПД уже передаёт персональные данные.

До 1 марта 2023 года

Перед отправкой персональных данных за пределы РФ оператор должен проверить получателя на безопасность. Необходимо убедиться, сможет ли иностранный партнёр соблюдать конфиденциальность ПД и обеспечивать их защиту при обработке.

После анализа и положительного решения, оператор ПД должен подать уведомление о том, что он осуществляет передачу персональных данных за рубеж.

После 1 марта 2023 года

Вышеописанные процедуры по проверке защиты иностранного получателя оператору ПД необходимо делать каждый раз, когда он хочет осуществить:

• запуск нового процесса, связанного с отправкой персональных данных за границу. Пример: заключение договора с новым зарубежным партнёром;
• изменения в текущем процессе передачи ПД. Пример: Компания использует иностранный облачный сервис для обработки персональных данных. После 1 марта 2023 года она начала обрабатывать не только данные своих сотрудников, но и данные клиентов.

Оператор ПД отправляет уведомление о трансграничной передаче персональных данных и может сразу приступать к их обработке.

В течение 10 дней Роскомнадзор проводит собственную проверку иностранного получателя. После этого ведомство может запретить или ограничить передачу ПД во внесудебном порядке.

Оператор может осуществлять трансграничную передачу ПД только по истечении 10 дней с момента получения уведомления от Роскомнадзора. Однако ведомство может наложить запрет повторно.

Также Роскомнадзор может запретить всем операторам ПД отправлять персональные данные в конкретное государство. Или во внесудебном порядке установить ограничения передачи к отдельному оператору ПД.

Данные меры приняты в целях защиты нравственности, здоровья, прав и законных интересов граждан. Решение можно обжаловать в суде или у вышестоящего должностного лица Роскомнадзора.

Что изменилось с 1 марта 2023 года

Согласно тексту поправок ст.12 152-ФЗ, сама форма уведомления о намерении трансграничной передачи не изменилась. До 1 марта 2023 года Роскомнадзор не мог принимать решения о запрете или ограничении отправки ПД. После 1 марта 2023 года у ведомства такое полномочие появилось. Теперь Роскомнадзор сам принимает решение, может ли зарубежная страна обеспечить должную защиту персональных данных.

Уведомление об утечке персональных данных

При утечке персональных данных оператор ПД должен уведомить об этом органы исполнительной власти. Для этого оператор отправляет специальное уведомление в Роскомнадзор.

Оценка вреда, который может быть причинён субъектам персональных данных

1 марта 2023 года вступил в силу Приказ Роскомнадзора от 27.10.2022 № 178. Документ обязывает операторов ПД создать акт, в котором прописываются возможные степени риска при работе с персональными данными. То есть компания должна оценить, какой вред будет причинён субъекту ПД в случае нарушения Федерального закона «О персональных данных». Оценку указанного вреда проводит ответственный за организацию обработки ПД или комиссия, созданная оператором.

Форма акта не установлена.

Какие бывают степени вреда

Для оценки вреда оператор определяет одну из трёх степеней: высокую, среднюю или низкую. Конкретная степень зависит от допущенных нарушений. При выявлении факторов, относящихся к разным степеням риска, выбирается более высокая степень.

Высокая

Высокая степень вреда присваивается, если:

• ведётся обработка биометрических ПД с целью установления личности субъекта, которому они принадлежат. Исключение – случаи, когда обработка таких данных прямо предусмотрена законом;
• ведётся обработка ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости. Исключение – случаи, установленные федеральными законами для специальных категорий ПД;
• ведётся обработка ПД несовершеннолетних для исполнения или заключения договора;
• обезличиваются ПД для оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также других исследований, не предусмотренных п. 9 ч. 1 ст. 6 Закона № 152-ФЗ;
• иностранному гражданину поручено вести обработку персональных данных граждан РФ;
• осуществляется сбор ПД с помощью баз данных, находящихся за пределами РФ.

Средняя

Средняя степень вреда присваивается, если:

• ПД распространяются на сайте оператора или неограниченному кругу лиц;
• цель обработки ПД отличается от первоначальной;
• используются базы персональных данных других операторов с целью продвижения своих товаров, работ, услуг;
• получено согласие на обработку ПД на сайте оператора, который не предусматривает дальнейшую идентификацию и аутентификацию субъекта персональных данных;
• осуществляется обработка персональных данных с получением согласия на передачу права их обработки третьими лицам в целях, которые несовместимы с целями сбора таких данных.

Низкая

Низкая степень вреда устанавливается, если:

• ведётся общедоступный источник персональных данных, сформированный в соответствии со ст. 8 Закона № 152-ФЗ;
• ответственным за обработку персональных данных назначается лицо, которое не является штатным сотрудником оператора ПД.

Представленные требования действуют до 1 марта 2029 года.

Комментарии для сайта Cackle

Политика обработки персональных данных

Политика обработки персональных данных

Общество с ограниченной ответственностью «Киберком»

1 ноября 2016 года

Настоящий документ (далее — Политика) определяет политику и порядок обработки персональных данных.

1. Общие положения

1.1. Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (далее — ФЗ-152).

1.2.Политика определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в ООО «Киберком» (далее — Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

1.3. Политика действует бессрочно после утверждения и до ее замены новой версией.

1.4. В Политике используются термины и определения в соответствии с их значениями, как они определены в ФЗ-152.

1.5. Политика распространяется на всех абонентов Оператора, а также на всех сотрудников Оператора. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

2. Сведения об обработке персональных данных

2.1. Обработка персональных данных Оператором ведется смешанным способом: с использованием средств автоматизации и без.

2.2. Действия с персональными данными включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3. Обработка персональных данных осуществляется Оператором на законной и справедливой основе, правовыми основания для обработки являются:

• Конституция Российской Федерации;

• Трудовой кодекс Российской Федерации;

• Гражданский кодекс Российской Федерации;

• Налоговый кодекс Российской Федерации;

• Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»;

• Федеральный закон от 04.05.2011 №99-ФЗ «О лицензировании отдельных видов деятельности»;

• Федеральный закон от 07.07.2003 №126-ФЗ «О связи»;

• Федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

• Федеральный закон от 24.07.2009 №212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;

• Устав ООО «Киберком»;

• Публичная оферта ООО «Киберком».

2.4. Содержание и объем обрабатываемых персональных определяются исходя из целей обработки. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:

• заключение трудовых отношений с физическими лицами;

• выполнение договорных обязательств Оператора;

• соблюдение действующего трудового, бухгалтерского, пенсионного, иного законодательства Российской Федерации.

2.5. К основным категориям субъектов персональных данных, чьи данные обрабатываются Оператором, относятся:

2.6. Для указанных категорий субъектов могут обрабатываться: фамилия, имя, отчество; год, месяц, дата рождения; место рождения, адрес проживания; контактная информация (телефон, адрес электронной почты). Для сотрудников Оператора дополнительно могут обрабатываться: семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; ИНН, СНИЛС, иные сведения, предусмотренные типовыми формами и установленным порядком обработки.

2.7. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.

2.8. Для персональных данных, не являющихся общедоступными, обеспечивается конфиденциальность.

2.9. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:

• достижение целей обработки персональных данных или максимальных сроков хранения — в течение 30 дней;

• утрата необходимости в достижении целей обработки персональных данных — в течение 30 дней;

• предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 дней;

• невозможность обеспечения правомерности обработки персональных данных — в течение 10 дней;

• отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных — в течение 30 дней;

• отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг — в течение 2 дней;

• истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;

• ликвидация (реорганизация) Оператора.

2.10. Персональные данные абонентов Оператора обезличиваются перед обработкой с использованием средств автоматизации. Автоматизированная обработка персональных данных абонентов Оператора не осуществляется.

2.11. Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений Оператора, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности:

• цели, условия, сроки обработки персональных данных;

• обязательства сторон, в том числе меры по обеспечению конфиденциальности;

• права, обязанности и ответственность сторон, касающиеся обработки персональных данных.

2.12. В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством. Обязательным случаем получения предварительного согласия является, например, контакт с потенциальным потребителем при продвижении товаров и услуг Оператора на рынке.

2.13. Оператор зарегистрирован в реестре уполномоченного органа по защите прав субъектов персональных данных за номером №9-15-000510. В реестре указаны сведения об Операторе, в том числе: полное наименование, контактная информация для обращений, сведения об обработке персональных данных и мерах по обеспечению безопасности.

3. Меры по обеспечению безопасности персональных данных

3.1. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

• назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;

• проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;

• издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;

• обеспечение физической безопасности помещений и средств обработки, пропускной режим, видеонаблюдение;

• ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;

• определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;

• применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;

• учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;

• резервное копирование информации для возможности восстановления;

• осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

4. Права субъектов персональных данных

4.1. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично.

4.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение или отрицание факта обработки персональных данных Оператором;

• правовые основания и цели обработки персональных данных;

• цели и применяемые Оператором способы обработки персональных данных;

• наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

• сроки обработки персональных данных, в том числе сроки их хранения;

• порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ-152;

• информацию об осуществленной или о предполагаемой трансграничной передаче данных;

• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

• иные сведения, предусмотренные ФЗ-152 или другими федеральными законами.

4.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.4. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или в судебном порядке.

4.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5. Роли и ответственность

5.1. Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.

5.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных и Отделом информационной безопасности Оператора в пределах их полномочий.

5.3. Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и контрагентом гражданско-правового договора или Соглашения о конфиденциальности информации.

5.4. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.

5.5. Политика разрабатывается ответственным за организацию обработки персональных данных и вводится в действие после утверждения руководителем Оператора.

Путеводитель по законным основаниям

Вы могли заметить, что мы внесли некоторые изменения в наш веб-сайт. Это включает в себя изменения в Руководстве по GDPR Великобритании, которое было разбито на более мелкие руководства, такие как это.

Нажмите, чтобы переключить детали

Последнее обновление

7 октября 2022 г. — Мы обновили нашу позицию в отношении необходимости нового законного основания, когда ваша цель обработки меняется. Обновление можно найти в разделе «Что произойдет, если у нас появится новая цель?». Теперь вам нужно подумать, нужны ли вам новые законные основания, если ваши цели обработки персональных данных изменятся.

Кратко

• Для обработки персональных данных у вас должны быть веские законные основания.
• Существует шесть доступных законных оснований для обработки. Ни одна из основ не является «лучше» или более важной, чем другие. Какая основа наиболее уместна для использования, зависит от вашей цели и отношений с человеком.
• Большинство законных оснований требуют, чтобы обработка была «необходима» для определенной цели. Если вы можете разумно достичь той же цели без обработки, у вас не будет законного основания.
• Прежде чем приступить к обработке, вы должны определить свое законное основание и задокументировать его. У нас есть интерактивный инструмент, чтобы помочь вам.
• Позаботьтесь о том, чтобы сделать это правильно с первого раза — вы не должны переходить на другое законное основание позже без веской причины. В частности, вы обычно не можете перейти от согласия к другому основанию.
• Ваше уведомление о конфиденциальности должно включать ваши законные основания для обработки, а также цели обработки.
• Если ваши цели изменятся, вам нужно подумать, нужны ли вам новые законные основания.
• Если вы обрабатываете данные специальной категории, вам необходимо указать как законное основание для общей обработки, так и дополнительное условие для обработки данных этого типа.
• Если вы обрабатываете данные о судимости или данные о правонарушениях, вам необходимо указать как законное основание для общей обработки, так и дополнительное условие для обработки этого типа данных.

Контрольный список

☐ Мы рассмотрели цели нашей деятельности по обработке и выбрали наиболее подходящее законное основание (или основания) для каждого действия.

☐ Мы проверили, что обработка необходима для соответствующей цели, и убеждены, что нет другого разумного и менее навязчивого способа достижения этой цели.

☐ Мы задокументировали наше решение о том, какое законное основание применимо, чтобы помочь нам продемонстрировать соблюдение требований.

☐ Мы включили информацию как о целях обработки, так и о законных основаниях для обработки в наше уведомление о конфиденциальности.

☐ Когда мы обрабатываем данные специальной категории, мы также определили условие для обработки данных специальной категории и задокументировали это.

☐ Когда мы обрабатываем данные об уголовных преступлениях, мы также определили условие для обработки этих данных и задокументировали это.

Коротко

• Каковы законные основания для обработки?
• Когда обработка «необходима»?
• Почему важна законная основа для обработки?
• Как мы решаем, какое законное основание применимо?
• Отличается ли это для органов государственной власти?
• Можем ли мы изменить наши законные основания?
• Что произойдет, если у нас появится новая цель?
• Как мы должны документировать наши законные основания?
• Что нам нужно сказать людям?
• Как насчет данных специальной категории?
• А как насчет данных об уголовных преступлениях?

Каковы законные основания для обработки?

Законные основания для обработки изложены в статье 6 GDPR Великобритании. Каждый раз, когда вы обрабатываете персональные данные, необходимо применять по крайней мере одно из следующих условий:

(a) Согласие: физическое лицо дало вам четкое согласие на обработку его персональных данных для определенной цели.

(b) Контракт: обработка необходима для контракта, который у вас есть с физическим лицом, или потому что они попросили вас предпринять определенные шаги перед заключением контракта.

(c) Юридическое обязательство: обработка необходима для соблюдения вами закона (не включая договорные обязательства).

(d) Жизненно важные интересы: обработка необходима для защиты чьей-либо жизни.

(e) Публичная задача: обработка необходима вам для выполнения задачи в общественных интересах или для ваших официальных функций, и задача или функция имеет четкое юридическое основание.

(f) Законные интересы: обработка необходима для ваших законных интересов или законных интересов третьей стороны, за исключением случаев, когда существует веская причина для защиты личных данных человека, которая имеет приоритет над этими законными интересами. (Это неприменимо, если вы являетесь государственным органом, обрабатывающим данные для выполнения своих официальных задач. )

Для получения более подробной информации о каждом законном основании, прочитайте конкретную страницу этого руководства.

Дополнительная литература

• Соответствующие положения GDPR Великобритании — см. статью 6(1), статью 6(2) и преамбулу 40

  Внешняя ссылка

Когда необходима обработка?

Многие из законных оснований для обработки зависят от того, является ли обработка «необходимой». Это не означает, что обработка должна быть абсолютно необходимой. Однако это должно быть больше, чем просто полезно, и больше, чем просто стандартная практика. Это должен быть целенаправленный и соразмерный способ достижения конкретной цели. Законное основание не будет применяться, если вы можете разумно достичь цели с помощью других менее навязчивых средств или путем обработки меньшего количества данных.

Недостаточно утверждать, что обработка необходима, потому что вы решили вести свой бизнес определенным образом. Вопрос в том, объективно ли обработка необходима для заявленной цели, а не является ли она необходимой частью выбранных вами методов.

Почему важна законная основа для обработки?

Первый принцип требует, чтобы вы обрабатывали все личные данные законно, справедливо и прозрачно. Если к вашей обработке не применимо никаких законных оснований, ваша обработка будет незаконной и нарушающей первый принцип.

Физические лица также имеют право удалить личные данные, которые были обработаны незаконно.

Право человека на получение информации в соответствии со статьями 13 и 14 требует, чтобы вы предоставили людям информацию о ваших законных основаниях для обработки. Это означает, что вам необходимо включить эти данные в свое уведомление о конфиденциальности.

Законное основание для вашей обработки также может повлиять на то, какие права доступны отдельным лицам. Например, некоторые права не будут применяться:

  

Однако физическое лицо всегда имеет право возражать против обработки в целях прямого маркетинга, независимо от применимого законного основания.

Остальные права не всегда являются абсолютными, и есть другие права, на которые можно повлиять другими способами. Например, ваше законное основание может повлиять на применение положений, касающихся автоматизированных решений и профилирования, и если вы полагаетесь на законные интересы, вам потребуется более подробная информация в вашем уведомлении о конфиденциальности.

Подробную информацию см. в разделе настоящего Руководства о правах отдельных лиц.

Дополнительная литература

• Соответствующие положения GDPR Великобритании — см. статью 6 и преамбулу 39, 40 и главу III (Права субъекта данных)

  Внешняя ссылка

Как определить применимое законное основание?

Это зависит от ваших конкретных целей и контекста обработки. Вы должны подумать о том, почему вы хотите обрабатывать данные, и решить, какое законное основание лучше всего соответствует обстоятельствам. Вы можете использовать наш интерактивный инструмент руководства, чтобы помочь вам.

Возможно, вы считаете, что применяется более одного базиса, и в этом случае вам следует определить и задокументировать их все с самого начала.

Вы не должны применять универсальный подход. Ни одна основа не должна всегда рассматриваться как лучшая, безопасная или более важная, чем другие, и в GDPR Великобритании нет иерархии в порядке списка.

Некоторые из законных оснований связаны с конкретной определенной целью – юридическим обязательством, выполнением договора с физическим лицом, защитой чьих-либо жизненно важных интересов или выполнением ваших общественных задач. Если вы обрабатываете данные для этих целей, то соответствующие законные основания могут быть очевидны, поэтому полезно рассмотреть их в первую очередь.

В других случаях у вас, вероятно, будет выбор между использованием законных интересов или согласием. Вам нужно подумать о более широком контексте, включая:

• Кому выгодна обработка?
• Ожидают ли люди, что эта обработка будет иметь место?
• Каковы ваши отношения с человеком?
• У вас есть власть над ними?
• Как обработка влияет на человека?
• Они уязвимы?
• Могут ли некоторые из заинтересованных лиц возразить?
• Можно ли остановить обработку в любое время по запросу?

Вы можете предпочесть рассматривать законные интересы в качестве своего законного основания, если хотите сохранить контроль над обработкой и взять на себя ответственность за демонстрацию того, что она соответствует разумным ожиданиям людей и не окажет на них неоправданного влияния. С другой стороны, если вы предпочитаете предоставить отдельным лицам полный контроль над их данными и ответственность за них (включая возможность изменить свое мнение относительно того, можно ли продолжать их обработку), вы можете рассмотреть вопрос о том, чтобы полагаться на согласие отдельных лиц.

Более подробная информация

Мы разработали интерактивный инструмент управления законными основаниями, чтобы дать более точные указания относительно того, какие законные основания наиболее подходят для вашей деятельности по обработке данных.

Отличается ли это для органов государственной власти?

Основной подход тот же. Вы должны подумать о своих целях и выбрать ту основу, которая подходит лучше всего. Вы по-прежнему можете использовать наш инструмент законных оснований, чтобы помочь вам.

Основа общедоступных задач, скорее всего, будет иметь отношение к большей части того, что вы делаете. Если вы являетесь государственным органом и можете продемонстрировать, что обработка предназначена для выполнения ваших задач в соответствии с законодательством Великобритании, вы можете использовать принцип публичного задания. Но если она для другой цели, можно еще рассмотреть другую основу.

В частности, в некоторых случаях вы все еще можете учитывать согласие или законные интересы, в зависимости от характера обработки и ваших отношений с человеком. Абсолютного запрета на использование органами государственной власти согласия или законных интересов в качестве своего законного основания не существует, хотя и существуют некоторые ограничения. Для получения дополнительной информации см. страницу конкретных руководств по каждому законному основанию.

В Законе о защите данных 2018 г. говорится, что «государственный орган» здесь означает государственный орган в соответствии с Законом о свободе информации или Законом о свободе информации (Шотландия), за исключением приходских и общественных советов.

Пример

Университет, который хочет обрабатывать персональные данные, может рассмотреть различные законные основания в зависимости от того, что он хочет делать с данными.

Университеты классифицируются как органы государственной власти, поэтому принцип общественных задач, вероятно, будет применяться к большей части их обработки, в зависимости от деталей их конституций и юридических полномочий. Если обработка не связана с их задачами в качестве государственного органа, то университет может вместо этого рассмотреть вопрос о том, уместны ли согласие или законные интересы в конкретных обстоятельствах. Например, университет может полагаться на публичное задание для обработки персональных данных в учебных и исследовательских целях; но смесь законных интересов и согласия для отношений выпускников и целей сбора средств.

Тем не менее, университету необходимо тщательно рассмотреть свою основу – контролер обязан продемонстрировать, какая законная основа применима к конкретной цели обработки.

Дополнительная литература

• Ключевые положения Закона о защите данных 2018 г. — см. раздел 7 (Значение понятий «государственный орган» и «государственный орган»)

  Внешняя ссылка

Можем ли мы изменить наши законные основания?

Прежде чем приступить к обработке персональных данных, вы должны определить свои законные основания. Важно сделать это правильно с первого раза. Если позже вы обнаружите, что выбранная вами основа была на самом деле неподходящей, будет сложно просто перейти на другую. Даже если с самого начала можно было бы применить другое основание, ретроспективное изменение законного основания, вероятно, будет изначально несправедливым по отношению к человеку и приведет к нарушению требований подотчетности и прозрачности.

Пример

Компания приняла решение об обработке на основе согласия и получила согласие от физических лиц. Впоследствии физическое лицо решило отозвать свое согласие на обработку своих данных, что является его правом. Однако компания хотела продолжить обработку данных, поэтому решила продолжить обработку на основании законных интересов.

Даже если изначально она могла полагаться на законные интересы, компания не может сделать это позднее – она не может изменить базу, когда поняла, что первоначально выбранная база была неуместной (в данном случае, потому что она не хотела предлагать индивидуальный подлинный текущий контроль). Он должен был с самого начала дать понять человеку, что он обрабатывает на основе законных интересов. Заставлять человека верить, что у него есть выбор, по своей сути несправедливо, если этот выбор не имеет значения. Поэтому компания должна прекратить обработку, когда физическое лицо отзывает согласие.

Поэтому важно заранее тщательно оценить, какое основание подходит, и задокументировать это. Возможно, что к обработке применяется более одного основания, потому что у вас более одной цели, и в этом случае вы должны четко указать это с самого начала.

Если обстоятельства действительно изменились или у вас появилась новая и непредвиденная цель, а это означает, что есть веская причина для пересмотра ваших законных оснований и внесения изменений, вам необходимо сообщить об этом лицу и задокументировать изменение.

Дополнительная литература

• Соответствующие положения GDPR Великобритании — см.

  статью 6(1) и пункты 39 и 40 преамбулы

  Внешняя ссылка

Что произойдет, если у нас появится новая цель?

Если ваши цели со временем меняются или у вас появляется новая цель, которую вы изначально не предполагали, вам необходимо соблюдать принцип ограничения цели. Таким образом, вы можете идти вперед, только если:

• новая цель совместима с первоначальной целью;
• вы получаете конкретное согласие человека на новую цель; или
• вы можете указать на четкое правовое положение, требующее или разрешающее новую обработку в общественных интересах — например, новую функцию для государственного органа.

Для получения дополнительной информации о совместимости см. наше руководство по ограничению целей.

Вся обработка должна быть законной, поэтому вам также необходимо указать законное основание. Первоначальная основа, которую вы использовали для сбора данных, может не всегда подходить для вашего нового использования данных.

В большинстве случаев подходящее основание для нового использования данных, скорее всего, будет достаточно очевидным. Например, если вы получаете конкретное согласие для новой цели, вашим законным основанием будет согласие. Если вы полагаетесь на правовое положение, требующее новой обработки в общественных интересах, вашим законным основанием будет юридическое обязательство. Если вы полагаетесь на правовое положение, разрешающее новое использование данных в общественных интересах, вашим законным основанием будет общественная задача.

Если цель вашей новой обработки совместима с первоначальной целью обработки, вы, вероятно, сможете полагаться на «законные интересы» в качестве законного основания для новой обработки, при условии, что вы используете персональные данные необходимые для этой цели.

Мы считаем, что оценка совместимости, скорее всего, будет учитывать факторы, аналогичные оценке законных интересов (LIA). Хотя это и не требуется, вы можете использовать наш шаблон LIA, чтобы помочь вам оценить совместимость. Это также поможет продемонстрировать ваши законные основания в то же время.

Если ваша новая обработка предназначена для исследовательских целей, вам не нужно проводить оценку совместимости, и в большинстве случаев вы можете быть уверены, что вашим законным основанием, вероятно, будет либо общественная задача, либо законные интересы. См. наше руководство по положениям об исследованиях для получения более подробной информации об этом.

Однако, если вы изначально собирали данные на основе согласия, вам следует получить новое согласие, конкретно касающееся новой цели (если только вы не полагаетесь на четкое юридическое положение, специально разрешающее повторное использование данных). Это связано с тем, что согласие означает предоставление людям реального выбора и контроля над тем, как используются их данные. Это означает, что согласие всегда должно быть конкретным и информированным. Люди могут дать действительное согласие только тогда, когда они знают и понимают, что вы собираетесь делать с их данными. Если вы получили конкретное согласие на новую цель, вам не нужно показывать, что она совместима.

Если вы обрабатываете данные специальной категории, вам также необходимо убедиться, что вы можете определить соответствующее условие, которое применяется к вашей новой обработке.

Дополнительная литература

• Соответствующие положения GDPR Великобритании — см. статью 6(4), статью 5(1)(b) и пункт 50, пункт 61 пункта преамбулы

  .

  Внешняя ссылка

Как мы должны задокументировать наши законные основания?

Принцип подотчетности требует, чтобы вы могли продемонстрировать, что вы соблюдаете GDPR Великобритании и имеете соответствующие политики и процессы. Это означает, что вы должны быть в состоянии показать, что вы должным образом рассмотрели, какое законное основание применимо к каждой цели обработки, и можете обосновать свое решение.

Поэтому вам необходимо вести учет того, на какое основание вы полагаетесь для каждой цели обработки, и обоснование того, почему вы считаете, что оно применимо. Стандартной формы для этого не существует, если вы убедитесь, что того, что вы записываете, достаточно, чтобы продемонстрировать, что применяется законное основание. Это поможет вам соблюдать обязательства по подотчетности, а также поможет вам при написании уведомлений о конфиденциальности.

Вы несете ответственность за то, чтобы продемонстрировать, какое законное основание применимо к конкретной цели обработки.

Дополнительную информацию по этой теме см. в разделе об ответственности данного руководства. Кроме того, на соответствующих страницах руководства приведены дополнительные указания по документированию согласия или оценок законных интересов.

Дополнительная литература

• Соответствующие положения GDPR Великобритании — см.

  статьи 5(2) и 24

  Внешняя ссылка

Что нам нужно сказать людям?

Вам необходимо включить информацию о ваших законных основаниях (или основаниях, если применимо более одного) в ваше уведомление о конфиденциальности. В соответствии с положениями о прозрачности GDPR Великобритании информация, которую вы должны предоставить людям, включает:

• ваши предполагаемые цели обработки персональных данных; и
• законное основание для обработки.

Это применимо независимо от того, собираете ли вы личные данные непосредственно от человека или вы собираете их данные из другого источника.

Прочтите раздел «Право на получение информации» этого руководства, чтобы узнать больше о требованиях GDPR к прозрачности.

Дополнительная литература

• Соответствующие положения GDPR Великобритании — см.

  статью 13(1)(c), статью 14(1)(c) и пункт 39 декларации.(внешняя ссылка)

  Внешняя ссылка

Как насчет данных специальной категории?

Если вы обрабатываете данные специальной категории, вам необходимо указать как законное основание для обработки, так и условие особой категории для обработки в соответствии со статьей 9. может продемонстрировать соответствие и подотчетность.

Дальнейшие указания можно найти в разделе, посвященном данным специальной категории.

Как насчет данных об уголовных преступлениях?

Если вы обрабатываете данные об уголовных судимостях, уголовных правонарушениях или связанных с ними мерах безопасности, вам необходимо как законное основание для обработки, так и либо «официальный орган», либо отдельное условие для обработки этих данных в соответствии со статьей 10. Вы должны документировать как ваше законное основание для обработки, так и состояние данных о вашем уголовном преступлении, чтобы вы могли продемонстрировать соблюдение и подотчетность.

Дальнейшие указания можно найти в разделе данных об уголовных преступлениях.

Дополнительная литература – руководство ICO

Структура подотчетности рассматривает ожидания ICO в отношении законного основания.

Закон Коннектикута о конфиденциальности данных

Закон Коннектикута о конфиденциальности данных

10 мая 2022 года губернатор Нед Ламонт подписал законопроект Сената 6: Закон о конфиденциальности личных данных и онлайн-мониторинге (также известный как Закон Коннектикута о конфиденциальности данных или «CTDPA»), что сделало Коннектикут одним из первых штатов, принявших всеобъемлющий закон о защите прав потребителей. закон о конфиденциальности.

Ниже приведены ответы на часто задаваемые вопросы о правах потребителей и обязанностях бизнеса в соответствии с CTDPA. Обратите внимание, что это не является юридической консультацией или заключением Генерального прокурора.

• Когда закон вступит в силу?

  CTDPA вступает в силу 1 июля 2023 г.

• Что делает закон?

  CTDPA предоставляет жителям Коннектикута определенные права на их личные данные и устанавливает обязанности и стандарты защиты конфиденциальности для контролеров данных, обрабатывающих личные данные. Он защищает жителей Коннектикута, действующих в индивидуальном или домашнем контексте, например, при просмотре Интернета или совершении покупки в магазине. Он не защищает лицо, действующее в контексте трудоустройства, например, подающее заявление о приеме на работу.

• На что распространяется закон?

  CTDPA применяется к людям, которые ведут бизнес в Коннектикуте или производят товары или услуги, предназначенные для жителей Коннектикута, и которые в течение предыдущего календарного года контролировали или обрабатывали персональные данные:

  • не менее 100 000 потребителей; или
  • 25 000 или более потребителей и получают более 25% валового дохода от продажи персональных данных.

  Это также относится к поставщикам услуг (называемым «обработчиками»), которые поддерживают или предоставляют услуги, связанные с персональными данными, от имени компаний, на которые распространяется действие.

• Что такое контроллер?

  Контролер определяется как физическое или юридическое лицо, которое самостоятельно или совместно с другими лицами собирает и обрабатывает персональные данные и несет ответственность за реагирование на запросы потребителей о сборе и обработке персональных данных.

• В чем разница между контроллером и процессором?

  Основное различие между контролером и обработчиком заключается в их полномочиях по принятию решений в отношении персональных данных. В соответствии с CTDPA процессор может обрабатывать данные только по запросу и под руководством контроллера. Обработчик по договору связан инструкциями контролера относительно того, что обработчик должен и может делать с персональными данными.

  Если обработчик начнет осуществлять полномочия по принятию решений в отношении целей и средств обработки персональных данных, он станет контролером в отношении этой обработки и будет подчиняться обязательствам, возлагаемым на контролеров в соответствии с CTDPA.

• Что такое персональные данные?

  Персональные данные — это любая информация, которая может быть связана с идентифицируемым лицом, за исключением общедоступной информации. Некоторые примеры персональных данных включают: домашний адрес, водительские права или государственный идентификационный номер, паспортную информацию, номер финансового счета, учетные данные для входа и информацию о платежной карте.

• В чем разница между персональными данными и конфиденциальными данными?

  Конфиденциальные данные — это подмножество персональных данных, которое включает:

  • Любые данные, раскрывающие расовое или этническое происхождение, религиозные убеждения, состояние или диагнозы психического или физического здоровья, сексуальную активность или ориентацию, гражданство или иммиграционный статус;
  • Генетические или биометрические данные, используемые для однозначной идентификации человека;
  • Персональные данные ребенка в возрасте до 13 лет; и
  • Информация, которая идентифицирует конкретное местоположение человека с определенной степенью точности и правильности (так называемые «точные данные геолокации»).

  В соответствии с CTDPA контролеру необходимо согласие потребителя на обработку конфиденциальных данных.

• Что значит «обработать» данные?

  Обработка относится к любым действиям, которые компания может предпринять в отношении персональных данных, включая сбор, использование, хранение, продажу, совместное использование, анализ или изменение данных.

• Кто освобождается от соблюдения закона?

  Следующие организации освобождены от CTDPA:

  • Государственные и местные органы власти
  • Некоммерческие организации
  • Финансовые учреждения, подпадающие под действие Закона Грэмма-Лича-Блайли («GLBA»)
  • Национальные ассоциации ценных бумаг, зарегистрированные в соответствии с Законом о фондовых биржах 1934 года
  • Субъекты, подпадающие под действие Закона о переносимости и подотчетности медицинского страхования («HIPAA»)
  • Высшие учебные заведения

  CTDPA также не распространяется на определенные типы персональных данных, которые хранятся в соответствии с другими законами, такими как GLBA, HIPAA, Закон о достоверной кредитной истории и Закон о правах семьи на образование и конфиденциальность, а также персональные данные, обрабатываемые для определенные указанные цели. Полный список см. в Разделе 3(b) CTDPA.

   

• Какими правами могут пользоваться жители Коннектикута в соответствии с CTDPA?

  CTDPA предоставляет жителям Коннектикута следующие перечисленные права:

  • Право доступа к персональным данным, которые о них собрал контролер.
  • Право на исправление неточностей в своих персональных данных.
  • Право на удаление их личные данные, включая личные данные, которые контролер собирал через третьих лиц.
  • Право на получение копии своих личных данных в портативном и удобном для использования формате, который позволяет им легко передавать данные другому контролеру.
  • Право отказа от:
    • продажа своих личных данных;
    • обработка персональных данных в целях таргетированной рекламы; и
    • профилирование, которое может иметь юридические или другие существенные последствия.
• Как потребитель узнает, обрабатывает ли контролер данные потребителя?

  Потребитель может напрямую связаться с контролером — через канал (каналы), описанные в требуемом уведомлении о конфиденциальности контролера, — и запросить подтверждение того, обрабатывает ли он персональные данные потребителя.

• Как потребитель реализует права в соответствии с CTDPA?

  Уведомление о конфиденциальности контролера должно четко описывать, как потребители могут осуществлять свои права в соответствии с CTDPA. Среди других методов контролер должен предоставить легкодоступную ссылку на своем веб-сайте, с помощью которой потребители могут отказаться от целевой рекламы или продажи своих личных данных. Вскоре потребители также смогут отказаться от подписки с помощью универсальных механизмов отказа.

• Что такое универсальные механизмы отказа?

  Универсальные механизмы отказа предназначены для того, чтобы дать потребителям возможность отправить запрос на отказ от обработки их персональных данных одновременно на нескольких веб-сайтах, вместо того, чтобы делать отдельные запросы на отказ через веб-сайт каждого контролера. В соответствии с CTDPA универсальные механизмы отказа должны признаваться контролерами действительными запросами потребителей, начиная с 1 января 2025 года9.0003

• Может ли Потребитель отказаться от продажи Персональных данных третьим лицам?

  Да, потребитель может отказаться от продажи персональных данных третьим лицам. Потребитель также может назначить третье лицо для отказа от его или ее имени.

• Защищает ли CTDPA личные данные детей и подростков?

  Да. Если персональные данные ребенка обрабатываются контролером, родитель или законный опекун ребенка может осуществлять права от имени ребенка. Контролеры должны соблюдать все правила, касающиеся конфиденциальности детей в Интернете, установленные в соответствии с Законом о защите конфиденциальности детей в Интернете («COPPA»), включая требования согласия родителей. Кроме того, CTDPA запрещает контролерам продавать личные данные потребителя или обрабатывать личные данные в целях целевой рекламы, когда потребителю меньше 16 лет.

• Может ли контролер отклонить запрос о правах потребителя?

  Да, по определенным указанным причинам в соответствии с CTDPA. Например, контролер может отклонить запрос потребителя, если выполнение запроса ограничит его способность:

  • Предоставить продукт или услугу, специально запрошенную потребителем.
  • Выполнять определенные внутренние операции, которые разумно соответствуют ожиданиям потребителей.
  • Отзыв продукта или устранение технических ошибок.
  • Реагируйте и предотвращайте инциденты безопасности, кражу личных данных и мошенничество.
  • Соблюдайте федеральное, государственное или местное законодательство.

  Дополнительные исключения см. в разделе 10 CTDPA.

• Имеет ли потребитель право обжаловать отказ?

  Да. CTDPA предоставляет потребителям право обжаловать решение контролера об отклонении запроса о защите прав потребителей. У контролера есть 60 дней после получения апелляции, чтобы написать ответ потребителю с объяснением любых предпринятых им действий и причин отклонения запроса потребителя. Если апелляция отклонена, контролер должен предоставить потребителю информацию для связи с Генеральным прокурором, если потребитель пожелает подать жалобу.

• Как часто потребитель может запрашивать информацию о своих личных данных у контролера? Есть ли стоимость?

  Потребитель может запросить информацию у контроллера бесплатно один раз в 12 месяцев. При определенных обстоятельствах, помимо ежегодного запроса, контролер может взимать административный сбор.

• Что должны сделать контролеры, чтобы соответствовать CTDPA?

  Помимо прочих обязательств, контролеры должны:

  • Предоставить уведомление о типах персональных данных, которые обрабатывает контролер, цели (целях) обработки, о том, делится ли контролер персональными данными с третьими сторонами и почему, а также информацию о том, как потребители могут осуществлять свои различные права (например, доступ, удаление) в отношении своих личных данных.
  • Ограничьте сбор персональных данных тем, что является адекватным, актуальным и разумно необходимым для конкретных целей, для которых обрабатываются данные (также известное как «минимизация данных»).
  • Получите согласие перед обработкой конфиденциальных данных потребителя.
  • Отвечать на запросы для осуществления прав потребителей, предоставленных в соответствии с CTDPA.
  • Проведение оценок перед обработкой персональных данных таким образом, который представляет повышенный риск причинения вреда потребителям (так называемые «Оценки защиты данных»). Это включает обработку персональных данных в целях целевой рекламы, продажи или профилирования, а также обработку конфиденциальных данных.
  • Используйте разумные меры безопасности для защиты личных данных.
  • Не допускать дискриминации в отношении потребителей, которые осуществляют свои права в соответствии с CTDPA или обрабатывают персональные данные таким образом, который в противном случае может привести к незаконной дискриминации.
• Как долго контролер должен отвечать на запрос потребителя?

  Контролер должен ответить на запросы потребителя не позднее 45 дней после получения запроса. При определенных условиях контролер может продлить срок ответа на 45 дней.

• Какова роль Генерального прокурора в обеспечении соблюдения CTDPA?

  Генеральный прокурор обладает исключительными полномочиями по преследованию нарушений Закона.

• Существует ли частное право на иск для физических лиц?

  Нет, CTDPA не включает частное основание для иска.

• Есть ли период лечения?

  Да. Если генеральный прокурор определяет, что контролер может исправить нарушение CTDPA, генеральный прокурор должен уведомить контролера о нарушении, прежде чем возбуждать судебный процесс. Затем у контролера есть 60 дней на устранение нарушения (так называемое «право на исправление»).

  No related posts.