152 фз для сайтов: Что сделать на сайте, чтобы избежать штрафов за нарушение закона.

Мы будем присылать Вам письма не чаще 1 — 2 раз в месяц.

Просто и доступно о 152 ФЗ, регламентирующим обработку персональных данных

Общие ПДн

Базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, e-mail и другие. Как правило, эти данные известны широкому кругу лиц и именно их чаще всего запрашивают веб-ресурсы.

Специальные ПДн

Более конкретные данные о личности: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, информация о судимостях и другие. Эту категорию отличает то, что такие данные можно получить только по запросу у самого человека, либо в соответствующих инстанциях.

Биометрические ПДн

Это физиологические или биологические особенности человека, которые используются для идентификации личности: фотографии, отпечатки пальцев, группа крови, генетическая информация и другие.

Важно: если вы не используете фото и другие данные этой категории, чтобы идентифицировать человека, они не являются биометрическими ПДн.

Иные ПДн

К этой категории относятся персональные данные, которые нельзя отнести к категориям, перечисленным выше: принадлежность к определенной социальной группе, корпоративные данные и тому подобные.

Определив категории ПДн, с которыми вы работаете, можно определить и требуемую ФЗ-152 степень их защиты.

Иерархия в данном случае выглядит следующим образом – от меньшей степени защиты к большей:

·      Общедоступные – известны широкому кругу лиц, слабая защита.

·      Иные – известны меньшему количеству людей, требуют чуть большей защиты.

·      Биометрические данные – используются для идентификации личности, требуют серьезной защиты.

·      Специальные данные – при утечке могут нанести вред человеку, требуют самой высокой степени защиты.

Для обеспечения защиты ПДн, согласно закону «О персональных данных», оператору необходимо выстроить безопасную ИТ-инфраструктуру и в случаях, требующих, высокой степени защиты – действительно получить соответствующую документацию от государственных органов, регулирующих действие 152-ФЗ: ФСБ, Роскомнадзор, ФСТЭК – лицензии, свидетельства об аттестации и другие.

Требуемые уровни защиты ПДн 

Обеспечение соответствия ваших проектов 152-ФЗ и меры, которые в этой связи необходимо предпринять, напрямую зависят от категории данных ПДн, с которыми Вы работаете и ряда параметров, наглядно представленных в таблице

Рассмотрим все параметры этой таблицы:
 

• Количество субъектов ПДн – число тех, кто оставляет ПДн на вашем сайте.
• Типы актуальных угроз:
  • 1 тип — не теоретические, связанные с возможностями уязвимостей в системном программном обеспечении, например, в операционной системе, гипервизоре.
  • 2 тип — угрозы средней уязвимости, связанные со слабыми местами прикладного ПО, например, в установленных программах, базах данных.
  • 3 тип — угрозы, не связанные с ПО, например, уязвимости в физическом оборудовании.

Важно: если вы используете ПО с сертификацией ФСТЭК, то угрозы 1 и 2 типа для вас не актуальны (недокументированных возможностей в ПО нет). Но понятно, что таким специфичным ПО пользуются в основном только государственные структуры. В общем случае, специалист по информационной безопасности может точно определить уровень актуальных угроз исходя из той конфигурации ПО и инфраструктуры, которую вы реально используете.

УЗ – это требуемый законодательством уровень защищенности ПДн. Всего выделяют 4 типа, у каждого есть свои определения, но если упрощенно, то данные с УЗ-3 и УЗ-4 можно без опасений хранить в публичном облаке, а вот для УЗ-2 и УЗ-1 нужны особые условия. 

Обратите внимание, если у вас интернет-магазин, вы собираете общедоступную информацию от ваших клиентов, и количество этих клиентов, не превышает 100 тыс., то вам не надо беспокоиться об использовании защищенного ФЗ-152 хостинга или облака, также как и о наличии лицензий ФСБ и ФСТЭК.

Вы спокойно можете выбрать провайдера, чьи серверы расположены на территории РФ, и доверить ему свою ИТ-инфраструктуру. Этого будет полностью достаточно, чтобы соблюдать требования 152-ФЗ в части ИТ инфраструктуры и не опасаться санкций и огромных штрафов!

Кстати, если вы используете CMS нашего давнего партнера 1С-Битрикс, то все становится совсем просто – ребята отлично поработали и поставили в CMS модуль – конструктор соглашений, который подойдет для большинства компаний, чтобы решить все задачи с приемом и обработкой персональных данных на сайте. Вот тут подробно описано, как это работает, а мы в свою очередь подготовили оптимизированные под 1С-Битрикс тарифы на ультрабыстром «железе». 

Если же у вас более комплексный случай, то обращайтесь к нам, наши специалисты по информационной безопасности проведут аудит вашего проекта, помогут разработать необходимые нормативные документы и будут готовы сопровождать вас на всех этапах приведения ИТ инфраструктуры к требованиям законодательства.

Наши серверы находятся не просто на территории РФ – они находятся в самом надежном дата-центре России – DataPro. Несколько upstream провайдеров с защитой от DDoS обеспечивают связность нашей инфраструктуры с сетью Интернет.

Серверы Dell и Intel обеспечивают работу высоконагруженных вебсайтов, мобильных приложений и инфраструктуры интернет-проектов.

Облако на базе OpenStack и виртуализации KVM обеспечивают отказоустойчивость и безопасность клиентских приложений.

Именно поэтому нам доверяют 35 тысяч интернет-магазинов, предприятий, финансовых организаций и ИТ-компаний.

Оставьте ваши контакты и мы свяжемся с вами, чтобы проконсультировать и рассказать подробней о наших услугах.

Битрикс — 152-ФЗ. Все о персональных данных и безопасности сайта

Никогда не было, и вот опять! Не успели интернет-магазины отойти от вступления в силу закона об онлайн-кассах, как приняли изменения в закон 152-ФЗ о персональных данных. Чтобы выполнить все требования Роскомнадзора и пройти их проверку, необходимо тщательно проверить все ваши сайты и сервисы, которые имеют связь с вашими клиентами.

На семинаре 26 сентября вы узнаете:

• как полностью обезопасить ваш сайт и сервисы и не думать о штрафах;
• как правильно подготовить все документы;
• как обеспечить полную безопасность сайта;
• как правильно выстроить отношения с веб-студией, чтобы потом не возникло проблем;
• практические кейсы от тех, кто «попался» под закон;

и ответы на другие вопросы, связанные с безопасностью вашего сайта для вас и ваших клиентов.

Поделятся своим опытом и дадут советы такие компании, как:

«1С-Битрикс» – лидирующая CMS для крупнейших российских интернет-магазинов по версии рейтинга Data Insight.
Revisium — ведущая российская компания, специализирующаяся на комплексной безопасности сайтов для малого и среднего бизнеса.
«Б-152» — специалисты по защите персональных данных, среди клиентов такие компании, как Philips, Aэроклуб, TimePad, Free-lance.ru и другие
Notamedia – 3 место в рейтинге веб-студий «Лучшие разработчики сайтов» в рейтинге Рунета
ROMZA – ведущий разработчик готовых решений на «1С-Битрикс»

Дата:

26 сентября 10:30 — 15:00

Место проведения:

Москва, Никоновский пер., 26, стр. 6, конференц-зал фирмы «1С»
Показать на карте

Стоимость:

Бесплатно

Связаться с организатором:

Элина Груздева
8(495) 229 14 41
[email protected]

Программа

10.30 – 11. 00

Регистрация

11.00 – 12.00

ФЗ-152 для сайтов и интернет-магазинов. Правда и вымыслы

Как привести процессы и документацию в соответствие, ключевые требования. Какие санкции может применить Роскомнадзор в случае найденных нарушений, на что они смотрят при проверке. Кто может инициировать проверку и как следует работать со своими клиентами-физическими лицами. Как выбрать бизнес-партнера по 152-ФЗ и на что обращать внимание.

Максим Лагутин, ведущий эксперт по информационной безопасности компании «Б-152»
Скачать презентацию

12.00– 13.00

Как легко выполнить требования 152-ФЗ на вашем сайте

• инструменты для сайта и интернет-магазина, которые помогут избежать вам штрафов;
• как теперь производить сбор персональных данных на вашем сайте и сервисах;
• обзор инструментов платформы «1С-Битрикс:Управление Сайтом» для эффективной и правильной работы с клиентами.

Сергей Кулешов, заместитель генерального директора «1С-Битрикс»
Скачать презентацию

13.00 – 13.30

Кофе-брейк

13.30 – 14.00

Клиенты, агентства, веб-студии: обеспечиваем безопасность сайтов вместе

В докладе расскажем, как клиентам грамотно построить отношения с подрядчиками, координировать работу с ними и не подвергать угрозам сайты.

Григорий Земсков, директор компании «Revisium»
Скачать презентацию

14.00 — 14.30

Как теперь жить дальше? Без паники!

• что нужно учитывать каждому владельцу сайта;
• показательные кейсы;
• уголок параинока: что будет дальше.

Алексей Бородкин, директор по продукту «Notamedia»
Скачать презентацию

14. 30 – 15.00

152-ФЗ на практике

• все ли сайты соответствуют новым требованиям? Посмотрим статистику;
• примеры сайтов, соответствующих закону. Что и как должно быть сделано;
• типичные ошибки владельцев сайтов.

Тимофей Конов, менеджер отдела продаж «ROMZA»
Скачать презентацию

Эксперты

Регистрация завершена

Как пройти к конференц-залу фирмы «1С»:

От метро Достоевская: выход направо на улицу Селезневская, далее сворачиваете в арку между магазином «Немецкая обувь» и кафе «Зам-Зам». Идете к отдельно стоящему зданию серо-голубого цвета, огороженному оградой-решеткой черного цвета. Входите в подъезд (он единственный), внутри направо, по информационным указателям поднимаетесь по лестнице на четвертый этаж. Перед вами зал регистрации на мероприятия компании «1С-Битрикс».

От метро Новослободская (кольцевая линия): выход к Селезневской улице. Около ресторана «Елки-Палки» переходите улицу Селезневская на противоположную сторону, идете по направлению движения транспорта. Примерно через 600 метров после м.Новослободская, справа от вас, будет магазин «Магнолия», располагающийся на первом этаже жилого дома. Идете вдоль этого здания, проходите 2 арки, ведущие во двор. После кафе «Зам-Зам», поворачиваете направо в третью арку. Идете к отдельно стоящему зданию серо-голубого цвета, огороженному оградой-решеткой черного цвета. Входите в подъезд (он единственный), внутри направо, по информационным указателям поднимаетесь по лестнице на четвертый этаж. Перед вами зал регистрации на мероприятия компании «1С-Битрикс».

Как добраться

загрузка карты…

Политика конфиденциальности

Настоящая политика конфиденциальности персональных данных (далее — Политика конфиденциальности) соответствует требованиям Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Регламента (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, отменяющей Директиву 95/46/EC (Общее положение о защите данных, далее GDPR), и применяется ко всей информации, касающейся Пользователя, которые могут быть собраны сайтом https://icc.moscow/ (Сайт) в процессе взаимодействия Пользователя с Сайтом.

1.1. В настоящей Политике конфиденциальности следующие термины имеют следующие значения:

1.1.1. Администрация – юридические лица, связанные договорными отношениями в целях организации и проведения Международного конгресса по кибербезопасности (МКК), а именно ПАО Сбербанк и ООО «БиЗон». В рамках организации мероприятия Администрация обрабатывает Персональные данные пользователей Сайта.

1.1.2. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

1.1.3. Обработка означает любые автоматизированные или неавтоматизированные операции/методы, применяемые к Персональным данным, включая сбор, запись, систематизацию, накопление, хранение, проверку (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, стирание и уничтожение.

1.1.4. Конфиденциальность — требование, предъявляемое к Администрации, Пользователю или иному лицу, получившему доступ к Персональным данным, не допускать их распространения без согласия Пользователя или наличия для этого законных оснований.

1.1.5. Веб-сайт означает ряд взаимосвязанных веб-страниц, размещенных в сети Интернет по уникальному URL-адресу: https://icc.moscow/.

1.1.6. Пользователь – лицо, прошедшее регистрацию на Сайте и имеющее соответствующие учетные данные (логин и пароль).

1.1.7. Cookie — это крошечный фрагмент данных, который веб-сайт запрашивает с вашего настольного или мобильного браузера. Эти файлы позволяют веб-сайту запоминать ваши действия или предпочтения. Файлы cookie хранятся локально — на вашем компьютере или мобильном устройстве. Пользователи могут удалить сохраненные файлы cookie по своему усмотрению.

1.1.8. IP-адрес — уникальный сетевой адрес узла в компьютерной сети, через который Пользователь получает доступ к Сайту.

2.1. Взаимодействие Пользователя с Сайтом означает его согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных.

2.2. Если Пользователь не согласен с условиями настоящей Политики конфиденциальности, он должен прекратить использование Сайта.

2.3. Настоящая Политика конфиденциальности применяется к Веб-сайту. Администрация не контролирует и не несет ответственности за сторонние сайты (и их контент), на которые Пользователь может быть перенаправлен по ссылкам на Сайте.

2.4. Администрация не проверяет и не гарантирует достоверность Персональных данных, предоставляемых Пользователем.

3.1. Настоящая Политика конфиденциальности устанавливает обязательства Администрации по неразглашению и обеспечению конфиденциальности в отношении Персональных данных, предоставляемых Пользователем по запросу Администрации при регистрации на Сайте или при взаимодействии с ним, а также при подписке на электронные рассылки.

3.2. Категории обрабатываемых персональных данных:

3.2.1 адрес электронной почты Пользователя

3.2.2 информация об активности Пользователя на Сайте и используемых устройствах (IP-адреса, файлы cookie)

3.3. Использование файлов cookie.

3.3.1. Администрация обрабатывает файлы cookie, информацию об устройствах Пользователя, активности на Сайте, дате и времени сеанса (в том числе с помощью Яндекс.Метрики, Google Analytics) с целью улучшения работы Сайта и выявления предпочтений Пользователя.

3.3.2. Пользователь может отказаться от файлов cookie, однако следует помнить, что после этого некоторые разделы Сайта могут стать недоступными. Вы можете управлять файлами cookie, обратившись к странице справки вашего браузера.

4.1. Персональные данные могут обрабатываться в следующих целях:

4.1.1. отправлять информационные бюллетени ICC Пользователю от имени Веб-сайта, такие как обновления о датах ICC 2020 и 2021 и т. д.

4.1.2. для обеспечения обслуживания и поддержки Веб-сайта.

4.2. Администрация может осуществлять обработку Персональных данных Пользователя исключительно в силу согласия Пользователя на Обработку Персональных данных для одной или нескольких конкретных целей.

4.3. Персональные данные обрабатываются автоматически с применением следующих способов: сбор, запись, систематизация, накопление, хранение, проверка (обновление, изменение), предоставление доступа, извлечение, использование, блокирование, стирание, уничтожение.

5. 1. Персональные данные, которые используются для целей рассылки уведомлений и информационных бюллетеней о событиях кибербезопасности, обрабатываются в течение 5 лет или до отзыва Пользователем соответствующего согласия.

5.2. Персональные данные Пользователя могут быть обработаны после удаления учетной записи Пользователя в случаях, предусмотренных законодательством Российской Федерации и GDPR.

6.1. Пользователь может:

6.1.1. добровольно и в своем интересе давать согласие на Обработку Персональных данных при подписке на рассылку новостей на Сайте.

6.1.2. получить от Администрации подтверждение о том, осуществляется ли обработка их Персональных данных. В случае осуществления такой Обработки Пользователь имеет право знать, какие Персональные данные обрабатываются (в том числе категории данных), цели, способы и сроки Обработки, получатели данных, гарантии, связанные с передачей данных третьим лицам. , источники данных, применяется ли исключительно автоматизированное принятие решений и находится ли Пользователь в списке маркетинговой рассылки. Пользователь также может получить список обрабатываемых Персональных данных.

6.1.3. требовать от Администрации внесения изменений в свои Персональные данные в случае выявления неточностей в Персональных данных, находящихся в обработке Администрации. С учетом целей Обработки Пользователь может дополнить Персональные данные, в том числе путем подачи дополнительной заявки.

6.1.4. требовать от Администрации ограничения Обработки своих Персональных данных (полностью или частично) при наступлении одного из следующих условий:

• Пользователь оспаривает достоверность Персональных данных. В таких случаях Обработка будет ограничена на период, позволяющий Администрации проверить точность Персональных данных.
• Обработка неправомерна, но Пользователь возражает против удаления Персональных данных и вместо этого требует ограничения их использования.
• Персональные данные больше не нужны Администрации для целей Обработки, однако они нужны Пользователю для установления, осуществления или защиты правовых притязаний.
• Пользователь возражает против обработки Персональных данных. В таких случаях Обработка будет ограничена на период, позволяющий Администрации проверить, превалируют ли законные основания Администрации над законными основаниями Пользователя.

6.1.5. потребовать от Администрации удаления своих Персональных данных с Сайта и/или иных материальных носителей, если выполняется одно из следующих условий:

• Персональные данные больше не требуются для целей, для которых они были получены.
• Пользователь отзывает согласие на Обработку Персональных Данных при отсутствии преобладающих законных оснований для Обработки.
• Персональные данные обрабатываются незаконно.
• Персональные данные должны быть уничтожены в соответствии с юридическим обязательством.
• Персональные данные были получены в ходе оказания услуг информационного общества.

6.1.6. Пользователь вправе получить свои Персональные данные, переданные Администрации, в структурированном, единообразном и машиночитаемом формате, а также поручить Администрации передать свои Персональные данные третьему лицу при наличии у Администрации техническая возможность сделать это. При этом Администрация не несет ответственности за дальнейшие действия третьих лиц, связанные с Персональными данными.

6.1.7. Пользователь вправе возразить против Обработки своих Персональных данных, частично или полностью, для целей, указанных на момент предоставления Персональных данных Администрации, за исключением случаев, когда законные основания для Обработки Персональных данных преобладают над интересов, прав и свобод Пользователя или когда такая Обработка необходима для установления, осуществления или защиты законных требований.

6.1.8. Пользователь вправе потребовать от Администрации ограничить Обработку в маркетинговых целях.

6.1.9. Пользователь вправе обратиться с жалобой в надзорный орган в случае нарушения Администрацией его прав в отношении Обработки Персональных данных.

6.1.10. Вся юридическая переписка между Администрацией и Пользователем осуществляется по электронной почте: [email protected].

6.2. Пользователь должен:

6.2.1. воздерживаться от загрузки любых сторонних адресов электронной почты при подписке на информационные бюллетени, за исключением случаев, когда согласие третьих лиц не требуется в соответствии со статьей 152.1 Гражданского кодекса Российской Федерации.

6.3. Администрация:

6.3.1. использовать Персональные данные, полученные от Пользователя, исключительно для целей, указанных в статье 4 настоящей Политики конфиденциальности.

6.3.2. обеспечить конфиденциальность Персональных данных и их неразглашение без согласия Пользователя; не допускать продажи, обмена, опубликования или раскрытия иными способами Персональных данных, за исключением их раскрытия компетентным органам Российской Федерации по основаниям и в порядке, предусмотренным законодательством Российской Федерации.

6.3.3. обрабатывать, обеспечивать конфиденциальность и защиту Персональных данных Пользователя, обращение с которыми осуществляется в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и GDPR; принимать надлежащие правовые, организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.

7.1. Администрация и Пользователи, нарушающие свои обязательства по обработке персональных данных, несут ответственность за ущерб, причиненный неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации.

8.1. Администрация вправе вносить изменения в настоящую Политику конфиденциальности без согласия Пользователя.

8.2. Настоящая Политика конфиденциальности вступает в силу с момента ее публикации на Сайте, если иное не предусмотрено новой редакцией настоящей Политики конфиденциальности.

8.3. Ваши предложения или вопросы по настоящей Политике конфиденциальности направляйте по адресу: [email protected].

9.1. С вопросами, предложениями или намерением воспользоваться одним или несколькими правами в отношении обработки Персональных данных Пользователь может обращаться к Администрации по следующим контактным данным:

ПАО Сбербанк

Адрес: Россия, 117997, Москва, ул. Вавилова, д. 19.

Электронная почта: [email protected]

Сотрудник по персональным данным

Электронная почта: [email protected].

Тел: +7 (495) 665-56-00 доб. 64969

ООО «Бизон»

Адрес: ул. Ольховская, д. 4, корп. 2, Москва 105066, Россия

Электронная почта: [email protected]

Политика конфиденциальности Infralex

Политика защиты персональных данных

1. Общие положения

1. 1. Настоящая Политика обработки персональных данных (далее «Политика») принята компанией ИНФРАЛЕКС, зарегистрированной по адресу: 123112, Россия, г. Москва, Пресненская набережная, д. 8, корп. 1. Деловой квартал «Москва-Сити» Башня «Город Столиц» Северный блок 5 этаж, офис 11 определяет основные принципы, цели, порядок и условия обработки персональных данных Посетителей сайта, а также меры по обеспечению персональные данные находятся в безопасности и защищены.
1.2. Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, законодательными и иными нормативными правовыми актами Российской Федерации в области персональных данных и размещена в открытом доступе на сайте ИНФРАЛЕКС по адресу: www.infralex.ru.
1.3. Термины, используемые в настоящей Политике, толкуются в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
1.4. ИНФРАЛЕКС гарантирует конфиденциальность полученных им персональных данных с учетом положений настоящей Политики и обязуется использовать такие персональные данные только в целях, указанных в Политике.

2. Определение и состав персональных данных

2.1. Перечень персональных данных, подлежащих хранению в ИНФРАЛЕКС, формируется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
2.2. ИНФРАЛЕКС обрабатывает и защищает персональные данные (включая фамилию, имя, место работы, должность, контактный телефон, адрес электронной почты и т. д.) Посетителей Сайта ИНФРАЛЕКС www.infralex.ru (далее «Сайт»), а также как персональные данные, поступающие на корпоративную электронную почту ИНФРАЛЕКС, заканчивающуюся на @infralex.ru («Корпоративная электронная почта») субъектов персональных данных, выразивших Согласие на обработку своих персональных данных («Согласие») путем направления информации через формы они выбирают («Формы») на Веб-сайте или отправляют электронное письмо. Моментом принятия Согласия будет пометка соответствующего поля Формы и нажатие на кнопку «Отправить форму» на любой странице Сайта, а также нажатие на кнопку «Отправить письмо». на Корпоративную электронную почту, при этом такая электронная почта должна содержать персональные данные субъекта.
2.3. При посещении Сайта ИНФРАЛЕКС, чтении текстов и загрузке другой информации определенные данные автоматически регистрируются на ПК, с которого Посетитель Сайта просматривает Сайт ИНФРАЛЕКС. Когда посетители просматривают свой Веб-сайт, ИНФРАЛЕКС собирает следующую информацию:

• дата и время посещения Веб-сайта;
• количество и название посещенных страниц, а также продолжительность посещения каждой страницы;
• IP-адрес, присвоенный устройству для подключения к Интернету;
• тип браузера и операционной системы;
• URL сайта, с которого пришел посетитель.

3. Цели обработки персональных данных

• отправка Посетителям Сайта справочных и маркетинговых материалов на адреса электронной почты, указанные Посетителями Сайта;
• предлагая посетителям возможность связаться с ИНФРАЛЕКС для обратной связи;
• консультирование Посетителей Сайта о предоставляемых нами услугах, в целях маркетинга и оказания поддержки Посетителям Сайта, а также в любых других целях, не противоречащих действующему законодательству Российской Федерации и положениям договора между ИНФРАЛЕКС и соответствующими Посетителями Сайта.

4. Принципы и сроки обработки персональных данных

4.1. ИНФРАЛЕКС обрабатывает персональные данные на основе следующих принципов:

• обработка осуществляется на законной и справедливой основе;
• обработка ограничена конкретными и заранее определенными юридическими целями;
• не допускается обработка персональных данных, несовместимая с целями, для которых такие персональные данные были собраны;
• не допускается объединение баз данных, содержащих персональные данные, обрабатываемые для взаимно несовместимых целей;
• содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;
• хранение персональных данных в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем это требуется в соответствии с целями обработки персональных данных, если иной срок не установлен федеральным законом или договором стороной, выгодоприобретателем или поручителем по которым является субъект персональных данных;
• на иных принципах, предусмотренных действующим законодательством Российской Федерации о персональных данных.

• субъект персональных данных предоставил Согласие на обработку своих персональных данных;
• обработка персональных данных необходима для реализации прав и законных интересов ИНФРАЛЕКС или для достижения общественно значимых целей при условии, что это не ущемляет права и свободы субъектов персональных данных;
• обработка персональных данных осуществляется в целях статистического или иного исследования при условии, что такие данные всегда обезличены;
• иные условия, предусмотренные действующим законодательством Российской Федерации о персональных данных

5. Права и обязанности субъекта персональных данных

• требовать уточнения, обновления, блокирования или уничтожения своих персональных данных;
• для получения перечня своих персональных данных, которые обрабатывает ИНФРАЛЕКС, и источника, из которого были получены такие персональные данные, для уведомления о сроке, в течение которого будут обрабатываться его персональные данные, в том числе о сроке их хранения, и любую другую информацию об обработке его персональных данных;
• требовать, чтобы все лица, которым его / ее неточные или неполные личные данные были уведомлены о любых исправлениях или дополнениях;
• обжаловать в установленном порядке неправомерные действия или бездействие при обработке его персональных данных.

6. Права и обязанности ИНФРАЛЕКС

• должностных лиц органов государственной власти в пределах их полномочий;
• лица, которым ИНФРАЛЕКС обязан передать такие персональные данные в целях соблюдения законодательства РФ;
• лица, которым ИНФРАЛЕКС передает персональные данные на основании договора с субъектом персональных данных;
• лица, которым ИНФРАЛЕКС поручает обработку персональных данных;
• Правопреемники ИНФРАЛЕКС в случае его реорганизации;
• иные лица, с согласия субъекта персональных данных.

7. Защита и безопасность персональных данных

• назначение лица, ответственного за организацию обработки персональных данных;
• применение правовых, технических и организационных мер по обеспечению сохранности персональных данных;
• оценка ущерба, который субъекты персональных данных могут понести в случае нарушения законодательства, и соотношение ущерба и мер безопасности. Применяется ИНФРАЛЕКС;
• с использованием охраняемых помещений с разграниченным доступом, в которых размещены серверы персональных данных, и с использованием запираемых шкафов для хранения персональных данных в бумажном виде;
• ознакомление работников ИНФРАЛЕКС, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных;
• мониторинг мер, принимаемых для защиты персональных данных.

8. Хранение персональных данных

9. Данные журнала, файлы cookie и веб-маяки

Собранная стандартная информация будет использоваться исключительно в стратегических целях. ИНФРАЛЕКС не использует персональные данные для идентификации личности каких-либо Посетителей. Однако, если зарегистрированные Посетители авторизуются на Сайте, ИНФРАЛЕКС сможет использовать такие данные вместе с информацией, полученной с помощью инструментов анализа данных и файлов cookie, для анализа того, как посетители используют Сайт.

9.2. При использовании Сайта Посетитель дает свое согласие на загрузку ИНФРАЛЕКС файлов cookie на устройство Посетителя в соответствии с условиями, указанными выше.

10. Заключительные положения

Сравнение законов о конфиденциальности: Россия, Китай и США

Режимы конфиденциальности данных в России, Китае и США сильно отличаются от режимов в других странах. Финансовая привлекательность продажи или обработки данных резидентам ЕС сильна, что побудило другие страны принять Общий регламент по защите данных (GDPR) или что-то в этом роде. Россия, Китай и Соединенные Штаты достаточно велики, чтобы другие силы могли доминировать, включая желание хранить данные своих граждан локально, как мы увидим.

Россия

В России действует конституционная защита конфиденциальности данных и Закон о конфиденциальности данных (ЗПД) 2006 года (152-ФЗ). DPA был существенно изменен в 2014 году и стал известен как Закон о локализации данных по причинам, которые мы увидим позже.

Ключевой особенностью Закона о локализации данных является требование о том, что данные о российских гражданах должны храниться в России, включая данные отслеживания файлов cookie. Закон содержит положение, позволяющее стране блокировать сайты, которые не обрабатывают российские данные в России, что, как и следовало ожидать, привело к буму использования российских дата-центров. Первоначальное наказание за нарушение закона составляло всего 160 долларов, но в 2019 году оно было увеличено до 100 000 долларов.. На момент написания кажется, что точные правила соблюдения расплывчаты.

Аналогично GDPR, российское законодательство определяет категории конфиденциальных данных, которые не могут быть собраны или обработаны без согласия пользователя. Большим отличием от GDPR является отсутствие каких-либо требований сообщать об утечках данных.

Китай

Закон Китайской Народной Республики о кибербезопасности вступил в силу 1 июня 2017 года и ввел обязательное уведомление государства об утечке данных, но не обязывал информировать пострадавших лиц. Существует понятие более конфиденциальных персональных данных, но оно более расплывчато, чем точное определение, данное в GDPR, а правила расплывчаты. Как и в российском законодательстве, в китайском законодательстве есть правила экспорта данных, в этом случае требуется, чтобы копия данных постоянно находилась в Китае, а обработчики данных должны получить согласие отдельных лиц на обработку их данных за границей.

Ситуация в Китае может существенно измениться с принятием Закона о защите личной информации, который был опубликован в виде проекта 21 октября 2020 года. Этот предлагаемый закон очищает и разъясняет китайское законодательство. В нем есть несколько ключевых новых положений, выходящих за рамки существующего законодательства:

• Иски об экстерриториальности, когда иностранные компании обрабатывают данные китайских граждан за пределами Китая.
• Для обработки данных третьей стороной требуется индивидуальное согласие.
• Правила автоматизированного принятия решений.
• Положение о том, что китайский регулирующий орган должен принимать контрмеры против любой страны, которая принимает необоснованную политику против Китая в отношении обработки персональных данных.
• Персональные данные должны храниться в Китае.
• Требование информировать людей о взломе их данных.

На момент написания у нас нет информации о том, когда этот законопроект может стать законом.

США

Соединенные Штаты — это особый случай, когда речь идет о конфиденциальности данных, и, как и положено частному случаю, картина непростая. Правовая база представляет собой лоскутное одеяло из федеральных правил и правил штата, при этом преобладают законы крупнейшего штата Калифорния.

The Federal View

На момент написания в США не существовало федерального закона о конфиденциальности, хотя предпринимались различные усилия по его созданию. Наиболее близким законом является Закон о переносимости и подотчетности медицинского страхования от 1996, который относится к медицинской документации.

Отсутствие федеральных законов делает обработку данных резидентов ЕС в США более рискованной для американских компаний. В GDPR четко изложены требования к обработке данных за рубежом, и в 2016 году Европейская комиссия и США достигли общего соглашения об экспорте и обработке данных (Privacy Shield). В 2020 году Европейский суд (ECJ) признал это соглашение между ЕС и США недействительным, и в настоящее время обработка данных основывается на юридических договорах. Федеральный закон о конфиденциальности, совместимый с GDPR, упростит обработку данных жителей ЕС и снизит риск юридических рисков

The State View

В большинстве штатов действует закон о конфиденциальности, требующий от компаний уведомлять государственные органы о нарушениях, например, Закон об уведомлении о нарушениях в Массачусетсе, но детали законов различаются от штата к штату.

Наиболее важным законом штата является Калифорнийский закон о конфиденциальности потребителей (CCPA), который ввел многие, но не все идеи GDPR в законодательство штата США. Вот некоторые из прав, предоставляемых CCPA:

• По запросу компании должны раскрывать, какие личные данные жителей Калифорнии они хранят и что они с ними делают.
• Предприятия должны удалять данные по запросу и не могут продавать личные данные по запросу.
• Для сбора данных о детях до 13 лет необходимо получить согласие родителей. Для применения закона должно быть выполнено одно или несколько из следующих условий:
  • Иметь валовой годовой доход более 25 миллионов долларов США;
  • Покупка, получение или продажа личной информации 50 000 или более жителей Калифорнии, домохозяйств или устройств; или
  • Получать 50% или более своего годового дохода от продажи личной информации жителей Калифорнии.

  В 2020 году избиратели Калифорнии приняли Предложение 24, которое привело к принятию Закона Калифорнии о правах на неприкосновенность частной жизни от 2020 года. Он вступит в силу в 2023 году и добавит больше прав в CCPA. Закон определяет «конфиденциальные» данные так же, как и GDPR, и создает новый регулирующий орган, приближая закон в Калифорнии к GDPR, но ключевые отличия все же есть.

  Штат Вашингтон работает над Законом штата Вашингтон о конфиденциальности (WPA), который содержит положения, аналогичные CCPA, но расширяет права в отношении систем распознавания лиц.

  Закон в Калифорнии распространяется только на жителей Калифорнии, но на самом деле большинству фирм слишком сложно иметь разные правила обработки данных о жителях разных штатов, поэтому самые ограничительные правила распространяются на всех в США. Другими словами, Калифорния устанавливает стандарты.

  Будущее

  Ситуация с конфиденциальностью данных в Китае, России и США сложна и быстро меняется.

  No related posts.