Соглашение о персональных данных для сайта образец: Согласие на обработку персональных данных образец

Сайт 

Содержание

[DOC] Скачайте Соглашение о защите персональных данных пользователей

Ситуация, при которой применимо Соглашение о защите персональных данных пользователей:

Вы оказываете за плату какие — либо электронные услуги, которые оказываются с применением информационных технологий либо осуществляете продажу товаров посредством электронной торговли и делаете предложение на заключение договора неограниченному кругу лиц на идентичных условиях, т.е. Вы предлагаете заключить сделку  путем размещения Пользовательского соглашения на своем общедоступном интернет ресурсе, т.е. сайте (публичная оферта) с последующим принятием пользователями данного Пользовательского соглашения.

При этом пользователями Вашего сайта могут выступать физические лица или индивидуальные предприниматели (физические лица, осуществляющие предпринимательскую деятельность), которые в ходе получения услуг с сайта, оставляют свою персональную информацию, например: Ф.И.О., адрес, место работы и должность, номер телефона, адрес электронной почты и т. п.

Таким образом Вы, как владелец сайта, осуществляющий сбор, обработку и защиту персональных данных (Оператор) обязаны осуществлять сбор, обработку персональных данных исключительно с согласия лица, к которому относятся персональные данные  (Субъект), кроме случаев, предусмотренных статьей 9 Закона «О персональных данных и их защите».

Из этого следует, что при получении пользователями услуг с Вашего сайта, с них необходимо брать согласие на сбор и обработку персональных данных в форме соглашения с представленным — Соглашением о защите персональных данных пользователей. 

Стоит отметить, что незаконный сбор и (или) обработка персональных данных влекут штраф на физических лиц в размере десяти, субъектов малого предпринимательства или некоммерческие организации — в размере двадцати, на субъектов среднего предпринимательства — в размере тридцати, на субъектов крупного предпринимательства — в размере семидесяти месячных расчетных показателей, с конфискацией предметов и (или) орудия административного правонарушения или без таковой.

Стороны  Соглашения о защите персональных данных пользователей:

  • Компания — юридическое лицо или индивидуальный предприниматель, оказывающее электронные услуги с применением информационных технологий за вознаграждение и осуществляющее  сбор, обработку и защиту персональных данных. 
  • Пользователь —  лицо (совершеннолетнее дееспособное физическое и юридическое лицо или индивидуальный предприниматель),  совершивший акцепт Публичной оферты (предложения) оказания электронных услуг и дающий согласие на сбор и обработку его персональных данных.

Содержание Соглашения о защите персональных данных пользователей:

  • Раздел: Термины и определения — включает в себя понятия, используемые в Соглашении;
  • Раздел — Предмет соглашения:
  • закрепляет момент ознакомления пользователя с представленным Соглашением;
  • закрепляет порядок отзыва пользователем согласия на сбор и обработку персональных данных;
  • регламентирует цели сбора и обработки персональных данных;
  • регламентирует обязательство компании по принятию необходимых мер по защите персональных данных пользователей и т.
    п.
  • Раздел: Прочие условия — включает в себя положения о вступлении Соглашения в законную силу.

Соглашение о защите персональных данных пользователей регулируется:

  • Закон РК «О персональных данных и их защите»;
  • Статья 147 Уголовного Кодекса РК;
  • иные нормативные правовые акты, регламентирующие, а также связанные с вопросами сбора, обработки  персональных данных.

Cогласие на обработку персональных данных

1. Термины и определения

В настоящем соглашении об обработке персональных данных (далее – Соглашение) нижеприведенные термины имеют следующие определения:
Оператор – ИП Ланда С.Г., расположенный по адресу: 117452, г. Москва, ул. Азовская, д. 24 к2, кв. 370, осуществляющий руководство интернет-сайтом https://slacademy.ru на условиях настоящего Соглашения.

Акцепт Соглашения – полное и безоговорочное принятие всех условий Соглашения путем осуществления действий на Сайте.

Персональные данные – информация, внесенная Пользователем (субъектом персональных данных) на Сайт и относящаяся прямо или косвенно к данному Пользователю.

Пользователь – любое лицо, находящееся на Сайте. Сайт – интернет-сайт, размещенный в сети Интернет по адресу: https://slacademy.ru, используемый ИП Ланда С.Г.

2. Общие положения

2.1. Настоящее Соглашение составлено на основании требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» и действует в отношении всех персональных данных, которые Оператор может получить о Пользователе во время использования им Сайта.

2.2. Использование сайта Пользователем означает безоговорочное согласие Пользователя со всеми условиями настоящего Соглашения (Акцепт Соглашения). В случае несогласия с этими условиями Пользователь не осуществляет использование Сайта: просмотр страниц, заполнение и отправку форм, скачивание файлов.

2.3. Согласие Пользователя на предоставление персональных данных Оператору и их обработку Оператором действует до момента прекращения деятельности Оператора либо до момента отзыва согласия Пользователем. Акцептовав настоящее Соглашение, осуществляя последующий доступ к Сайту, Пользователь подтверждает, что он, действуя своей волей и в своем интересе, передает свои персональные данные для обработки Оператору и согласен на их обработку. Пользователь уведомлен, что обработка его персональных данных будет осуществляться Оператором на основании Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

3. Перечень персональных данных и иной информации о пользователе, подлежащих передаче Оператору

3.1. При использовании Сайта Оператора Пользователем представляются следующие персональные данные:

3.1.1. Достоверная персональная информация, которую Пользователь предоставляет о себе самостоятельно при заполнении форм Сайта, включая: фамилию, имя, номер телефона (домашний или мобильный), адрес электронной почты, адрес страницы в социальных сетях (Твиттер, Вконтакт и т.д.).

3.1.2. Данные, которые автоматически передаются сервисам Сайта в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IP-адрес, информация из Cookies, информация о браузере Пользователя (или иной программе, с помощью которой осуществляется доступ к сервисам).

3.2. Оператор не проверяет достоверность персональных данных, предоставляемых Пользователем. При этом Оператор исходит из того, что Пользователь предоставляет достоверную и достаточную персональную информацию по вопросам, предлагаемым в форме заявки.

4. Цели, правила сбора и использования персональных данных

4.1. Оператор осуществляет обработку персональных данных, которые необходимы для оказания услуг Пользователю.

4.2. Персональные данные Пользователя используются Оператором в следующих целях:

4.2.1. Идентификация Пользователя;

4.2.2. Предоставление Пользователю персонализированных оценок возможных услуг Оператора;

4.2.3. Поддерживания связи с Пользователем в случае необходимости, в том числе направление уведомлений, запросов и информации, связанных с оказанием услуг, а также обработка запросов и заявок от Пользователя;

4.3. В ходе обработки персональных данных будут совершены следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение.

4.4. Пользователь не возражает, что указанные им сведения в определенных случаях могут предоставляться уполномоченным государственным органам РФ в соответствии с действующим законодательством РФ.

4.5. Персональные данные Пользователя хранятся и обрабатываются Оператором в порядке, предусмотренном настоящим Соглашением, в течение всего срока осуществления деятельности Оператором.

4.6. Обработка персональных данных осуществляется Оператором путем ведения баз данных, автоматизированным, механическим, ручным способами.

4.7. Сайт использует файлы Cookies и другие технологии, чтобы отслеживать использование сервисов Сайта. Эти данные необходимы для оптимизации технической работы Сайта и повышения качества предоставления услуг. На Сайте автоматически записываются сведения (включая URL, IP-адрес, тип браузера, язык, дату и время запроса) о каждом посетителе Сайта. Пользователь вправе отказаться от предоставления персональных данных при посещении Сайта или отключить файлы Cookies, но в этом случае не все функции и сервисы в составе Сайта могут работать правильно.

4.8. Предусмотренные настоящим Соглашением условия конфиденциальности распространяются на всю информацию, которую Оператор может получить о Пользователе во время пребывания последнего на Сайте и использования Сайта.

4.9. Не является конфиденциальной информация, публично раскрытая в ходе исполнения настоящего Соглашения, а также информация, которая может быть получена сторонами или третьими лицами из источников, к которым имеется свободный доступ любым лицам.

4.10. Оператор принимает все необходимые меры для защиты конфиденциальности персональных данных Пользователя от несанкционированного доступа, изменения, раскрытия или уничтожения, в том числе: обеспечивает постоянную внутреннюю проверку процессов сбора, хранения и обработки данных и обеспечения безопасности; обеспечивает физическую безопасность данных, предотвращая неправомерный доступ к техническим системам, обеспечивающим работу Сайта, в которых Оператор хранит персональные данные; предоставляет доступ к персональным данным только тем сотрудникам Оператора или уполномоченным лицам, которым эта информация необходима для выполнения обязанностей, непосредственно связанных с оказанием услуг Пользователю, а также эксплуатации, разработки и улучшения Сайта.

4.13. В отношении персональных данных Пользователя сохраняется их конфиденциальность, кроме случаев добровольного предоставления Пользователем информации о себе для общего доступа неограниченному кругу лиц.

4.14. Передача Оператором персональных данных Пользователя правомерна при реорганизации Оператора и передачи прав правопреемнику Оператора, при этом к правопреемнику переходят все обязательства по соблюдению условий настоящего Соглашения применительно к полученной им персональной информации.

5. Права пользователя как субъекта персональных данных, изменение и удаление пользователем персональных данных

5.1. Пользователь вправе:

5.1.2. Требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5. 1.3. Получать информацию, касающуюся обработки его персональных данных, в том числе содержащей:

5.1.3.1. подтверждение факта обработки персональных данных Оператором;

5.1.3.2. цели и применяемые оператором способы обработки персональных данных;

5.1.3.3. наименование и место нахождения Оператора;

5.1.3.4. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

5.1.3.5. сроки обработки персональных данных, в том числе сроки их хранения;

5.1.3.6. иные сведения, предусмотренные действующим законодательством РФ.

5.2. Отзыв согласия на обработку персональных данных может быть осуществлен Пользователем путем направления Оператору соответствующего письменного (распечатанного на материальном носителе и подписанного Пользователем) уведомления.

Понимание соглашений об обработке данных: Полное руководство

Соглашение об обработке данных (DPA) — это договор между компанией, которой требуются персональные данные для обработки, и компанией, которая обрабатывает данные от имени других компаний. Читайте все о DPA здесь.

Соглашения об обработке данных (DPA) являются важной, но часто упускаемой из виду частью безопасности данных для бизнеса. В этом исчерпывающем руководстве мы расскажем, что такое DPA, p;l09как он работает и зачем он нужен бизнесу. Чтобы защитить активы данных вашей организации, приготовьтесь к исчерпывающему пошаговому обзору всего, что вам нужно знать о DPA!

Знакомство с соглашениями об обработке данных

Если вы обрабатываете данные от других, вам необходимо иметь соглашение об обработке данных. Этот юридически обязывающий договор устанавливает роли и обязанности обеих сторон и устанавливает условия, в соответствии с которыми будут обрабатываться данные.

Соглашение об обработке данных также известно как дополнение к обработке данных (DPA) или соглашение о защите данных (DPA). Независимо от названия, его цель — защитить как вас, так и ваших клиентов, установив четкие ожидания в отношении обработки данных.

Этот тип соглашения становится все более распространенным, поскольку организации во всем мире изо всех сил пытаются соблюдать новые правила, такие как Общий регламент ЕС по защите данных (GDPR). Если вы обрабатываете персональные данные физических лиц в Европейском Союзе, вы должны иметь DPA для защиты персональных данных, прежде чем собирать или получать эти данные.

Обработчики данных могут быть привлечены к ответственности за ущерб, если они нарушат условия DPA, поэтому важно понимать, что входит в эти соглашения. В этом подробном руководстве мы расскажем все, что вам нужно знать о DPA, в том числе:

  • Какие законы о защите данных требуют DPA?
  • Каковы ключевые элементы DPA?
  • Как мне приступить к составлению собственного DPA?
  • Каковы соображения конфиденциальности и безопасности для DPA?

Что такое соглашение об обработке данных?

В соответствии с GDPR соглашение об обработке данных представляет собой договор между контролером данных и обработчиком данных, в котором излагаются их соответствующие права и обязанности в отношении характера деятельности по обработке обрабатываемых персональных данных. DPA призван дать обработчикам некоторую юридическую определенность и помочь им выполнять свои обязательства по DPA.

DPA обычно решают такие вопросы, как:

  • Конкретные цели, для которых будут обрабатываться персональные данные;
  • Категории персональных данных, которые будут обрабатываться;
  • Продолжительность обработки;
  • Географический охват обработки;
  • Меры безопасности, которые будут реализованы для защиты персональных данных;
  • Права физических лиц в отношении их персональных данных; и
  • Обязанность сторон соблюдать действующее законодательство.

Хотя это и не требуется по закону, обычно рекомендуется, чтобы контроллеры имели DPA с любыми процессорами сторонних производителей, которые они используют. Это связано с тем, что DPA могут помочь обработчикам понять свои обязательства по защите данных и обеспечить некоторую правовую определенность в областях со значительной потенциальной ответственностью.

Наличие DPA имеет следующие преимущества:

  • Обеспечение соблюдения законов о защите данных;
  • Защита прав отдельных лиц или физических лиц;
  • Обеспечение конфиденциальности персональных данных;
  • минимизация риска несанкционированного доступа к персональным данным; и
  • Создание системы подотчетности при обработке персональных данных.

Какие законы о защите данных требуют соглашения об обработке данных?

GDPR популяризировал DPA, но теперь практически каждый орган по защите данных в мире требует их в той или иной форме. Везде, где закон требует письменных инструкций по обработке данных, контролер и обработчик требуют DPA.

Следующие законы о защите данных требуют DPA:

  • GDPR ЕС
  • GDPR Великобритании
  • LGPD Бразилии
  • CCPA/CPRA Калифорнии
  • CDPA Вирджинии
  • CPA Колорадо
  • Коннектикут DPA
  • Дубай PDPA
  • Таиланд PDPA
  • Южно-Африканская POPIA и многие другие.

Основные положения в DPA

DPA гарантируют, что все стороны, участвующие в обработке персональных данных, соблюдают требования по защите персональных данных. Ключевые положения в DPA включают:

  • Конкретные цели, для которых будут обрабатываться персональные данные;
  • Конкретные типы персональных данных, которые будут обрабатываться;
  • Продолжительность ДПД;
  • Обязательства каждой стороны;
  • Права физических лиц на их личные данные;
  • Меры безопасности при нарушении DPA, например, при утечке данных;
  • Использование подпроцессоров и их обязанности;
  • Обязательства по передаче данных; и,
  • Возмещение ущерба и ответственность контроллера данных, обработчика данных и подпроцессоров.

DPA следует периодически пересматривать и обновлять, чтобы обеспечить его соответствие GDPR и другим применимым законам. Несоблюдение, скорее всего, приведет к штрафам и крупным штрафам.

Эти ключевые положения (включая, при необходимости, Стандартные договорные положения или СУК) должны быть включены в любой DPA для обеспечения соблюдения соответствующих законов о защите данных и защиты таких персональных данных всех вовлеченных сторон.

Кто должен подписывать соглашение об обработке данных?

Контроллер данных и обработчик данных должны подписать DPA. GDPR и многие другие регулирующие законы во всем мире требуют, чтобы контролер предоставил обработчику письменные инструкции по обработке. Эти инструкции обычно приходят в форме DPA.

Контроллеру данных требуется DPA для предоставления процессору таких инструкций. Без них обработка нарушает законы.

Обработчику данных требуется DPA, поскольку он не должен обрабатывать личные данные клиентов без письменных инструкций.

В результате, без письменного DPA между ними обе стороны будут нести ответственность за нарушения.

Подписание DPA в качестве контроллера данных

Предположим, ваша компания нанимает поставщика услуг или партнеров со сторонним обработчиком данных. В этом случае DPA гарантирует, что вы и нанятый вами обработчик данных будете соблюдать законы о конфиденциальности данных, необходимые для ваших клиентов. Обработчик данных — это любое предприятие или организация, не относящаяся к вашему бизнесу, которое собирает, хранит и передает данные от вашего имени. В результате требуется соглашение об обработке данных.

Ознакомьтесь с элементами DPA, перечисленными выше, и убедитесь, что они достаточно подробны, чтобы не оставлять места для интерпретации при представлении одного из них.

Контролер может быть привлечен к ответственности за утечку данных, даже если она была вызвана ошибкой со стороны процессора, в случае соглашения об обработке данных GDPR. Убедитесь, что процессор имеет достаточную пропускную способность для защиты данных и организационных мер для быстрого реагирования на любые возникающие проблемы.

Подписание DPA в качестве обработчика данных

Компании по обработке данных, особенно те, которые работают с данными пользователей из регионов, которым требуются DPA, должны быть знакомы с DPA.

Как обработчик данных вы гарантируете, что применимые законы о защите данных обрабатывают все личные данные. Это включает в себя обеспечение наличия соответствующих технических и организационных мер для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения или использования. Вы также должны убедиться, что личные данные являются точными и актуальными, и что лица имеют право на удаление или исправление своих личных данных, если они неточны. Эти обязанности также распространяются на любых таких вспомогательных обработчиков, которых вы можете нанять, включая любые действия по дополнительной обработке.

DPA также устанавливает ваши обязательства в отношении такой передачи персональных данных в третьи страны. Предположим, вы передаете личные данные за пределы Европейской экономической зоны (ЕЭЗ). В этом случае вы должны обеспечить наличие надлежащих средств защиты прав и свобод человека.

Как составить проект соглашения об обработке данных

Когда вы будете готовы приступить к составлению соглашения об обработке данных, обязательно включите в него несколько ключевых элементов:

1. Участвующие стороны. Обязательно укажите в соглашении обработчика данных и контролера данных.

2. Цель договора. В нем должно быть точно указано, какие данные будут обрабатываться и с какой целью.

3. Роли и обязанности каждой стороны. Это важно для обеспечения того, чтобы обе стороны понимали свои обязательства по соглашению.

4. Срок действия договора. Это защитит обе стороны, установив четкие временные рамки для договоренности.

5. Условия конфиденциальности. Этот предмет важен для обеспечения того, чтобы любая конфиденциальная информация оставалась защищенной в течение всего срока действия соглашения.

6. Любые другие соответствующие положения и условия. Это может включать в себя любые применимые законы и правила, которые необходимо соблюдать, или другие важные сведения о соглашении.

Следует также отметить, что стандартом для всех терминов, написанных с заглавной буквы в DPA, являются шаблоны

DPA, которые легко доступны в Интернете, например, этот шаблон GDPR DPA ЕС, предоставленный Европейской комиссией.

Как вести переговоры по соглашению об обработке данных

При обсуждении соглашения об обработке данных, включая любые поправки, которые могут возникнуть в будущем, необходимо помнить о нескольких ключевых вещах. Во-первых, вы должны убедиться, что соглашение соответствует всем требованиям применимого законодательства. Во-вторых, вы должны договориться о выгодных условиях для себя и своего бизнеса. Вот несколько советов, как сделать и то, и другое:

1. Убедитесь, что соглашение соответствует всем требованиям защиты данных.

Большинство законов о защите данных требуют, чтобы соглашения об обработке данных включали определенные положения, такие как указание цели обработки, продолжительности обработки и прав субъектов данных.

2. Обсудите условия, выгодные для вас и вашего бизнеса.

При заключении соглашения об обработке данных учитывайте свои собственные потребности и цели, а также потребности своего бизнеса. Например, вы можете включить положения, защищающие вашу коммерческую тайну или ограничивающие ответственность в случае нарушения.

3. При необходимости обратитесь за помощью к юристу.

Если вам неудобно вести переговоры по соглашению самостоятельно или если вы хотите убедиться, что все требования выполнены, вы можете нанять юриста, который поможет вам в этом процессе.

Вопросы конфиденциальности и безопасности для DPA

Когда речь идет о конфиденциальных личных данных, DPA помогают обеспечить адекватные меры безопасности и конфиденциальности. Но что именно должны включать эти соглашения, чтобы быть эффективными? Вот несколько ключевых соображений для DPA, когда речь идет о конфиденциальности и безопасности:

1. Минимизация данных. DPA должны включать положения, требующие, чтобы операторы данных собирали и обрабатывали только минимальные персональные данные, необходимые для целей, указанных в соглашении. Это помогает снизить риск случайного или несанкционированного доступа, использования или раскрытия конфиденциальной информации.

2. Контроль доступа. DPA должны требовать от контролеров данных принятия соответствующих физических, технических и организационных мер для защиты персональных данных от несанкционированного доступа, использования или раскрытия. Эти меры информационной безопасности могут включать шифрование, аутентификацию с помощью токенов, брандмауэры и защиту паролем.

3. Ограничения обработки. DPA могут помочь гарантировать, что персональные данные обрабатываются только в конкретных целях, разрешенных заинтересованным лицом. Например, DPA может предусматривать, что персональные данные могут использоваться в маркетинговых целях только с явного согласия заинтересованного лица.

4. Качество и точность данных. DPA могут помочь обеспечить точность и актуальность персональных данных, требуя от контролеров данных принятия разумных мер для проверки точности любых персональных данных, которые они собирают и обрабатывают. Они также должны внедрить процедуры для физических лиц, чтобы исправить любые неточности в своих личных данных.

5. Сроки хранения данных. DPA могут помочь гарантировать, что личные данные хранятся только до тех пор, пока это необходимо для целей, указанных в соглашении. Это помогает снизить риск несанкционированного доступа или использования, а также гарантирует, что личные данные отдельных лиц не хранятся дольше, чем это необходимо.

6. Права субъекта данных. DPA должны включать положения, требующие от контролеров данных соблюдать права отдельных лиц в отношении их личных данных. Это может включать предоставление отдельным лицам доступа к своим личным данным и их исправление или даже удаление, если нет законных оснований для их хранения.

7. Политика конфиденциальности. DPA должны требовать от контролеров данных внедрения всеобъемлющих политик конфиденциальности, которые четко объясняют, как собираются, используются и защищаются личные данные. Политика также должна содержать контактную информацию для лиц, которые могут обращаться с запросами субъектов данных или осуществлять свои права в соответствии с соглашением.

8. Утечка персональных данных. DPA должны требовать, чтобы обработчик данных без неоправданной задержки предоставил контролеру данных описание утечки персональных данных, тип данных, которые были предметом утечки персональных данных, категории затронутых субъектов данных и другую информацию, требуемую применимыми данными. закон о защите, как только такая информация может быть собрана или иным образом станет доступной. Обработчик данных также должен оказывать разумную помощь в ответ на любой разумный запрос, сделанный контроллером данных в связи с утечкой персональных данных.

8. Аудиты и оценки. DPA могут помочь гарантировать, что контроллеры данных выполняют свои обязательства в отношении безопасности и конфиденциальности, предусмотрев регулярные проверки или оценки воздействия защиты данных (DPIA) на эффективность их мер. Это может помочь выявить слабые места в их процессах, чтобы их можно было исправить до того, как произойдет нарушение.

Заключительные мысли

Соглашения об обработке данных необходимы для любой компании, которая имеет дело с личной информацией и должна соблюдать правила защиты данных, установленные различными юрисдикциями. Мы надеемся, что это руководство помогло вам лучше понять, что такое соглашение об обработке данных и почему важно его иметь, а также как убедиться, что ваши собственные DPA актуальны и соответствуют всем применимым законам. Имея четкие инструкции, вы можете защитить себя и своих клиентов от нарушений конфиденциальности или других нежелательных событий при работе с конфиденциальными данными.

Контракты | ICO

Краткий обзор

  • Всякий раз, когда контроллер использует процессор, должен быть заключен письменный договор (или иной юридический акт).
  • Контракт важен тем, что обе стороны понимают свои обязанности и обязательства.
  • GDPR Великобритании устанавливает, что должно быть включено в контракт.
  • Если обработчик использует другую организацию (т.е. субпроцессора) для помощи в обработке персональных данных для контролера, он должен иметь письменный договор с этим субобработчиком.

Контрольные списки

Что включить в договор

В договоре (или ином правовом акте) излагаются детали обработки, включая:

☐ предмет обработки;

☐ продолжительность обработки;

☐ характер и цель обработки;

☐ тип задействованных персональных данных;

☐ категории субъекта данных;

☐ обязанности и права контролера.

Контракт или иной правовой акт включает условия или положения, устанавливающие, что:

☐ обработчик должен действовать только в соответствии с задокументированными инструкциями контролера, если только закон не требует действовать без таких инструкций;

☐ обработчик должен гарантировать, что лица, обрабатывающие данные, должны соблюдать конфиденциальность;

☐ обработчик должен принять соответствующие меры для обеспечения безопасности обработки;

☐ обработчик должен нанимать вспомогательного обработчика только с предварительного разрешения контролера и на основании письменного договора;

☐ обработчик должен принять соответствующие меры, чтобы помочь контролеру ответить на запросы отдельных лиц об осуществлении их прав;

☐ принимая во внимание характер обработки и доступную информацию, обработчик должен помочь контролеру в выполнении его обязательств GDPR Великобритании в отношении безопасности обработки, уведомления об утечке персональных данных и оценки воздействия на защиту данных;

☐ обработчик должен удалить или вернуть все персональные данные контролеру (по выбору контролера) по окончании договора, а также обработчик должен удалить существующие персональные данные, если закон не требует их хранения; и

☐ обработчик должен проходить аудиты и проверки. Обработчик также должен предоставить контролеру любую информацию, которая ему необходима, чтобы убедиться, что они оба выполняют свои обязательства по статье 28.

Коротко

  • Когда нужен договор и почему он важен?
  • Что необходимо включить в договор?
  • Какие обязанности и обязательства несут контроллеры при использовании процессора?
  • Какие обязанности и обязательства несут сами обработчики?
  • Подробнее

Когда нужен договор и почему это важно?

Всякий раз, когда контролер использует процессор для обработки персональных данных от своего имени, между сторонами должен быть заключен письменный договор.

Аналогичным образом, если обработчик использует другую организацию (т.е. субпроцессора) для помощи в обработке персональных данных для контролера, он должен иметь письменный договор с этим субобработчиком.

Контракты между контролерами и обработчиками гарантируют, что они оба понимают свои обязанности, ответственность и обязательства. Контракты также помогают им соблюдать GDPR Великобритании и помогают контролерам демонстрировать отдельным лицам и регулирующим органам их соответствие требованиям принципа подотчетности.

Что должно быть включено в контракт?

В контрактах должны быть указаны:

  • предмет и продолжительность обработки;
  • характер и цель обработки;
  • вид персональных данных и категории субъекта данных; и
  • обязанности и права контролера.

Контракты также должны включать конкретные условия или положения, касающиеся:

  • обработки только по задокументированным инструкциям контролера;
  • долг конфиденциальности;
  • соответствующие меры безопасности;
  • с использованием подпроцессоров;
  • прав субъектов данных;
  • помощь контроллеру;
  • положения об окончании контракта; и
  • ревизий и проверок.

Какие обязанности и обязательства несут контроллеры при использовании процессора?

Контроллеры должны использовать только процессоры, которые могут дать достаточные гарантии того, что они примут соответствующие технические и организационные меры, чтобы их обработка соответствовала требованиям GDPR Великобритании и защищала права субъектов данных.

Контроллеры несут основную ответственность за общее соблюдение GDPR Великобритании и демонстрацию этого соответствия. Если это не будет достигнуто, они могут быть обязаны возместить ущерб в судебном порядке или подвергнуться штрафам или другим санкциям или исправительным мерам.

Какие обязанности и обязательства несут сами обработчики?

В дополнение к своим договорным обязательствам перед контроллером обработчик имеет некоторые прямые обязанности в соответствии с GDPR Великобритании. Если обработчик не выполняет свои обязательства или действует вне или вопреки инструкциям контролера, он может быть обязан возместить ущерб в судебном порядке или подвергнуться штрафам или другим санкциям или исправительным мерам.

Обработчик не может пользоваться услугами субобработчика без предварительного специального или общего письменного разрешения контролера. Если авторизация предоставлена, обработчик должен заключить контракт с подпроцессором. Условия договора, относящиеся к статье 28(3), должны обеспечивать такой же уровень защиты персональных данных, как и в договоре между контролером и обработчиком.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *