Согласие на обработку персональных данных на сайте образец: Согласие на обработку персональных данных образец

Соглашение об обработке персональных данных

1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана и применяется в Обществе с ограниченной ответственностью «СПЕЦИАЛИЗИРОВАННЫЙ ЗАСТРОЙЩИК НАСЛЕДИЕ» (ИНН 7802881236, ОГРН 1207800096701) (далее — Оператор) в соответствии с пп. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту — Федеральный закон «О персональных данных»).

1.2. Настоящая Политика определяет основные принципы цели и способы обработки персональных данных, принятых на обработку, порядок и условия осуществления обработки персональных данных физических лиц, передавших свои персональные данные для обработки Оператору (далее — субъекты персональных данных) с использованием и без использования средств автоматизации, устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.

1.3. Политика разработана с целью обеспечения защиты прав и свобод субъектов персональных данных при обработке их персональных данных, а также с целью установления ответственности должностных лиц Оператора, имеющих доступ к персональным данным субъектов персональных данных, за невыполнение требований и норм, регулирующих обработку персональных данных.

1.4. Оператор, руководствуясь ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) «О персональных данных», производит обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных.

1.5. Персональные данные Субъекта персональных данных — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

1.6. Оператор осуществляет обработку следующих персональных данных:

• Имя, отчество, фамилия субъектов персональных данных;

• номер контактного телефона;

• адрес электронной почты.

При получении персональных данных, не указанных в настоящем пункте, такие данные подлежат немедленному уничтожению лицом, непреднамеренно получившим их.

1.7. Оператор осуществляет обработку персональных данных Субъектов персональных данных в целях обеспечения Субъектов всей полнотой информации, находящейся в распоряжении Оператора относительно объектов, принадлежащих (строящихся) Партнером Оператора, информация о которых расположена на сайте Оператора.

В иных целях в случае, если соответствующие действия Оператора не противоречат действующему законодательству, деятельности Оператора, и на проведение указанной обработки получено согласие Субъекта персональных данных.

1.8. Оператор осуществляет обработку персональных данных Субъекта персональных посредством совершения любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая следующие:

• сбор,

• запись,

• систематизацию,

• накопление,

• хранение,

• уточнение (обновление, изменение),

• извлечение,

• использование,

• передачу (распространение, предоставление, доступ),

• обезличивание,

• блокирование,

• удаление,

• уничтожение.

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

2.1. При обработке персональных данных Оператор руководствуется следующими принципами:

• законности и справедливости;

• своевременности и достоверности получения согласия субъекта персональных данных на обработку персональных данных;

• обработки только персональных данных, которые отвечают целям их обработки;

• соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

• недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

• обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.

  Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

• хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

2.2. Обработка персональных данных Оператором осуществляется с соблюдением принципов и правил, предусмотренных:

• Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

• Настоящей Политикой;

• ст.12 Всеобщей Декларацией прав человека 1948 года;

• ст.17 Международного пакта о гражданских и политических правах 1966 года;

• ст.

  8 Европейской конвенции о защите прав человека и основных свобод 1950 года;

• Положениями Конвенции Содружества Независимых Государств о правах и основных свободах человека (Минск, 1995 г.), ратифицированной РФ 11.08. 1998 года;

• Положениями Окинавской Хартии глобального информационного общества, принятой 22.07.2000 года.

2.3. Обработка персональных данных Оператором осуществляется в соответствии с:

• Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

• Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

• Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена Заместителем директора ФСТЭК РФ 14 февраля 2008 года.

• Рекомендациями по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждены заместителем директора ФСТЭК РФ 15 февраля 2008 года.

• Методическими рекомендациями по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утверждены руководством 8-го Центра ФСБ РФ 21 февраля 2008 года N 149/5-144.

• Иными нормативными и ненормативными правовыми актами, регулирующими вопросы обработки персональных данных.

3. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.

3.1. Персональные данные субъектов персональных данных получаются Оператором:

посредством заполнения Субъектом полей для подачи Заявки на сайте, адресация которого в глобальной сети «Интернет» осуществляется с помощью доменного имени nasledie.house.ru, иными способами, не противоречащими законодательству РФ и требованиям международного законодательства о защите персональных данных.

3.2. Оператор получает и начинает обработку персональных данных субъекта с момента получения его согласия.

Согласие на обработку персональных данных может быть дано субъектом персональных данных в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством, в том числе посредством совершения субъектом персональных данных конклюдентных действий.

3.3. Согласие на обработку персональных данных считается предоставленным субъектом персональных данных посредством совершения субъектом персональных данных следующих конклюдентных действий в совокупности:

лицо подтверждает правильность и достоверность указанных им данных и выражает желание подать Заявку «Заказать звонок» и волю на акцепт ДОГОВОРА — ОФЕРТЫ оказания информационно-консультационных услуг путем активации поля «Заказать звонок» на сайте, адресация которого в глобальной сети «Интернет» осуществляется с помощью доменного имени nasledie.house.ru.

Совершая акцепт ДОГОВОРА — ОФЕРТЫ оказания информационно-консультационных услуг Субъект дает свободно, своей волей и в своем интересе письменное согласие Оператору на обработку предоставленных персональных данных.

Согласие считается полученным с момента такой активации, при условии ее подтверждения субъектом персональных данных в установленном порядке, и действует до момента направления субъектом персональных данных Оператору отзыва согласия на обработку персональных данных.

В случае отсутствия согласия субъекта персональных данных на обработку его персональных данных, такая обработка не осуществляется.

3.4. Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных при условии, что подобная процедура не нарушает требований законодательства РФ. В случае отзыва субъектом персональных данных согласия на обработку персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных только при наличии оснований, указанных в Федеральном законе «О персональных данных».

3.5. Порядок отзыва согласия на обработку персональных данных:

3.6. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, Оператор должен прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей их обработки, уничтожить персональные данные в срок, не превышающий 30 (Тридцати) рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.

4. ПРАВИЛА И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

4.1. Оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных.

4.1.1. Ответственный за организацию обработки персональных данных получает указания непосредственно от исполнительного органа Оператора (Генерального директора) и подотчетен ему.

4.1.2. Ответственный за организацию обработки персональных данных вправе оформлять и подписывать уведомление в уполномоченный орган по защите прав субъектов персональных данных о намерении Оператора осуществлять обработку персональных данных.

4.2. Обработку персональных данных осуществляют сотрудники Оператора, уполномоченные на то должностными инструкциями, иными внутренними документами Оператора.

Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены до начала работы:

• с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к порядку защиты персональных данных;

• с документами, определяющими политику Оператора в отношении обработки персональных данных, в том числе с настоящей Политикой, приложениями и изменениями к нему;

• с локальными актами по вопросам обработки персональных данных.

Сотрудники Оператора имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных должностных обязанностей. Сотрудники Оператора, осуществляющие обработку персональных данных, должны быть проинформированы о факте такой обработки, об особенностях и правилах такой обработки, установленных нормативно-правовыми актами и внутренними документами Оператора.

4.3. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона «О персональных данных», Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства РФ от 17.11.2007 г. № 781, Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК РФ 14. 02.2008 г., Рекомендациями по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утвержденными Приказом Роскомнадзора от 19.08.2011 г. № 706, Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных ФСБ РФ 21.02.2008 г. № 149/54-144.

4.4. Режим конфиденциальности персональных данных Оператор обеспечивает в соответствии с Соглашением о конфиденциальности, принятым Оператором.

4.5. Контроль соблюдения сотрудниками Оператора требований законодательства РФ и норм международного законодательства, а также положений локальных нормативных актов Оператора организован Оператором в соответствии с настоящей Политикой об обработке персональных данных.

4.6. Аудит соблюдения Оператором требований законодательства и положений локальных нормативных актов Оператора организован в соответствии с настоящей Политикой об обработке персональных данных.

4.7. Оценка вреда, который может быть причинен Субъектам персональных данных в случае нарушения Оператором требований Закона об обработке персональных данных, определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса РФ.

4.8. Опубликование или обеспечение иным образом неограниченного доступа к настоящей Политике, иным документам, определяющим политику Оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных Оператор осуществляет посредством размещения на электронном сайте Оператора: nasledie.house.ru.

4.9. Доступ к персональным данным Субъектов имеют сотрудники Оператора, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей. Перечень сотрудников, имеющих доступ к персональным данным, устанавливается Приказом генерального директора Оператора.

5. ПРАВИЛА РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ

5. 1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 статьи 14 Федерального закона «О персональных данных», за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона «О персональных данных».

Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.2. Сведения должны быть предоставлены субъекту персональных данных Оператором в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

5.3. Сведения предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.

Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос должен быть направлен в письменной форме по месту нахождения Оператора.

5.4. В случае, если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через 30 (тридцать) рабочих дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

5.5. Субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 5.4. настоящей Политики, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 5.3. настоящей Политики, должен содержать обоснование направления повторного запроса.

5.6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п.п. 5.4. — 5.5. настоящей Политики, в порядке, установленном Законом о персональных данных. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

5.7. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством РФ.

5.8. Оператор при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных обязан:

• сообщить в порядке, предусмотренном статьей 14 Федерального закона «О персональных данных», субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 (тридцати) рабочих дней с даты получения запроса субъекта персональных данных или его представителя.

• в случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 (тридцати) рабочих дней со дня обращения субъекта персональных данных или его представителя либо со дня получения запроса субъекта персональных данных или его представителя.

• предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные.

• сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 (тридцати) рабочих дней с даты получения такого запроса.

 
6. ПОРЯДОК ОБЕСПЕЧЕНИЯ ОПЕРАТОРОМ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ.

6.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.

6.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном Федеральным законом «О персональных данных».

6.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в установленном законодательством порядке. Копия доверенности представителя хранится Оператором не менее 3 (Трех) лет, а в случае, если срок хранения персональных данных больше трех лет, — не менее срока хранения персональных данных.

6.4. Сведения, указанные в ч. 7 ст. 22 Федерального закона «О персональных данных», предоставляются субъекту персональных данных структурным подразделением Оператора, занимающимся обработкой персональных данных, в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных в электронном виде.

6.5. Сведения, указанные в ч. 7 ст. 22 Федерального закона «О персональных данных», предоставляются субъекту персональных данных или его представителю при личном обращении либо при получении Оператором соответствующего запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя.

6.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе на основании ч.  8 ст. 22 Федерального закона «О персональных данных».

6.7. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, осуществляемую на основании ч. 1 ст. 15 Федерального закона «О персональных данных».

6.8. Решение, влекущее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

7. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.

7.1. Хранение персональных данных осуществляется в соответствии с письменным согласием субъекта персональных данных и в течение срока, установленного с учетом требований действующего законодательства РФ.

В случае отсутствия в соответствующих нормативно-правовых актах сроков хранения отдельных видов персональных данных, указанные персональные данные подлежат хранению в течение срока, указанного в письменном согласии соответствующего субъекта персональных данных.

7.2. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7.3. Сотрудник Оператора, имеющий доступ к персональным данным в связи с исполнением трудовых обязанностей обеспечивает хранение информации, содержащей персональные данные субъектов персональных данных, исключающее доступ к ним третьих лиц.

При уходе в отпуск, служебную командировку и иных случаях длительного отсутствия сотрудника на рабочем месте, он обязан передать носители, содержащие персональные данные, лицу, на которое локальным актом Оператора будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, то носители, содержащие персональные данные субъектов персональных данных, передаются другому сотруднику, имеющему доступ к персональным данным субъектов персональных данных по указанию руководителя соответствующего структурного подразделения Оператора.

При увольнении сотрудника, имеющего доступ к персональным данным, носители, содержащие персональные данные субъектов персональных данных, передаются другому сотруднику, имеющему доступ к персональным данным субъектов персональных данных по указанию руководителя структурного подразделения и с уведомлением лица, ответственного за обработку персональных данных.

8. МЕРЫ, НАПРАВЛЕННЫЕ НА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ.

8.1. Основной задачей обеспечения безопасности персональных данных при их обработке Оператором является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.

Оператор принимает необходимые и достаточные меры для защиты обрабатываемых персональных данных от неправомерного или случайного доступа к ним, от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.

8.2. Обеспечение безопасности персональных данных достигается, в частности:

• определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

• применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;

• применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

• оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

• учетом машинных носителей персональных данных;

• обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

• восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

• установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

• контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

8.3. Доступ сотрудников Оператора к обрабатываемым персональным данным осуществляется в соответствии с их должностными обязанностями и требованиями локальных нормативных актов Оператора. Допущенные к обработке персональных данных работники под роспись знакомятся с локальными нормативными актами Оператора, устанавливающими порядок обработки персональных данных, включая документы, устанавливающие права и обязанности конкретных работников.

8.4. Факты получения доступа к информационным системам персональных данных, а также факты обработки персональных данных регистрируются, в том числе с использованием средств обеспечения информационной безопасности. Информация о фактах обработки персональных данных хранится Оператором в течение трех лет.

8.5. Мероприятия по защите персональных данных реализуются Оператором в следующих направлениях:

1. предотвращение утечки информации, содержащей персональные данные, по техническим каналам связи и иными способами;

2. предотвращение несанкционированного доступа к содержащей персональные данные информации, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней;

3. защита от вредоносных программ;

4. обеспечение безопасного межсетевого взаимодействия;

5. обеспечение безопасного доступа к сетям международного информационного обмена;

6. анализ защищенности информационных систем персональных данных;

7. обеспечение защиты информации с использованием шифровальных (криптографических) средств при передаче персональных данных по каналам связи;

8. обнаружение вторжений и компьютерных атак;

9. осуществления контроля за реализацией системы защиты персональных данных.

8.6. Мероприятия по обеспечению безопасности персональных данных включают в себя:

1. реализацию разрешительной системы допуска работников к информационным ресурсам информационных систем и связанным с их использованием работам, документам;

2. разграничение доступа пользователей информационных систем персональных данных и обслуживающих информационные системы персональных данных работников к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

3. регистрацию действий пользователей и обслуживающих информационные системы персональных данных работников, контроль несанкционированного доступа и действий пользователей и обслуживающих работников, а также третьих лиц;

4. использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

5. предотвращение внедрения в информационные системы вредоносных программ и программных закладок, анализ принимаемой по информационно-телекоммуникационным сетям (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов;

6. учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

7. реализацию требований по безопасному межсетевому взаимодействию информационных систем;

8. периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные системы;

9. активный аудит безопасности информационных систем на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;

10. анализ защищенности информационных систем с применением специализированных программных средств (сканеров безопасности).

8.7. С целью поддержания состояния защиты персональных данных на надлежащем уровне Оператором осуществляется внутренний контроль за эффективностью системы защиты персональных данных и соответствием порядка и условий обработки и защиты персональных данных установленным требованиям.

Внутренний контроль включает:

1. мониторинг состояния технических и программных средств, входящих в состав средств защиты персональных данных;
2. контроль соблюдения требований по обеспечению безопасности персональных данных (требований нормативных правовых актов и локальных нормативных актов в области обработки и защиты персональных данных, требований договоров).

8.8. В целях осуществления внутреннего контроля Оператором проводятся периодические проверки условий обработки персональных данных. Такие проверки осуществляются комиссией, образуемой Генеральным директором Оператора.
О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, докладывается Генеральному директору Оператора.

9. КОНТРОЛЬ, ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ИЛИ НЕИСПОЛНЕНИЕ ПОЛИТИКИ.

9.1. Контроль исполнения настоящей Политики возложен на Генерального директора Оператора.

9.2. Лица, нарушающие или не исполняющие требования Политики, привлекаются к дисциплинарной, административной (ст. ст. 5.39, 13.11, 13.14 Кодекса об административных правонарушениях РФ) или уголовной ответственности (ст. ст. 137, 272 Уголовного кодекса РФ).

9.3. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.

10. ПРОЧИЕ ПОЛОЖЕНИЯ.

10.1. Настоящая Политика вступает в силу со дня его утверждения единоличным исполнительным органом Оператора.

10.2. Все сотрудники Оператора, допущенные к работе с персональными данными, должны быть ознакомлены с настоящей Политикой до начала работы с персональными данными.

11. Оператор

Общество с ограниченной ответственностью «СПЕЦИАЛИЗИРОВАННЫЙ ЗАСТРОЙЩИК НАСЛЕДИЕ»
Юридический адрес: 194044, г. Санкт-Петербург, улица Выборгская, д.5, лит.А, пом. 34-Н, ОФИС 2
ОГРН 1207800096701
ИНН 7802881236

Образец согласия на обработку персональных данных

Согласие на обработку персональных данных — официальный документ, позволяющий организациям работать с личной информацией гражданина. Он должен быть у любого юридического и физического лица, которое получает, использует, передает или хранит такие сведения. В статье — образец соглашения на обработку персональных данных и требования к его оформлению.

Что относят к личной информации граждан

Персданные и порядок обращения с ними регулирует Федеральный закон от 27.07.2006 № 152-ФЗ. В соответствии с этим документом, личной информацией гражданина считаются любые сведения, относящиеся к нему. Какая именно это информация о человеке, в законе не раскрывается, но на практике подлежат защите:

• Ф.И.О.;
• дата и место рождения;
• адрес проживания и регистрации;
• семейный статус и имущественное положение;
• образование;
• национальность и политические взгляды;
• вероисповедание и состояние здоровья;
• прочая общая и специфичная информация, позволяющая идентифицировать гражданина.

Обычно все эти сведения человек сообщает сам. Пользователями такой информации становятся государственные органы, медицинские, образовательные и кредитные организации, коммерческие структуры. Все они считаются операторами персональных данных и должны иметь соглашение с гражданами об обработке их личных сведений.

Хотите заявить о себе на отраслевых конференциях? Мы подготовим для вас специальный выпуск с качественными журналистскими материалами – под ключ.

Какие действия с персданными требуют согласия граждан

В законе № 152-ФЗ указано, что согласие требуется при любом действии (или их совокупности), совершаемом с личной информацией:

• сбор и запись;
• систематизация и накопление;
• уточнение и использование;
• извлечение и обезличивание;
• передача и самой информации, и доступа к ней;
• блокирование и хранение;
• удаление и уничтожение сведений.

Неважно, как именно происходит обработка: на бумаге, с использованием средств автоматизации или без, онлайн-способом — оператор должен получить от каждого владельца согласие на обработку персональных данных (на сайте, например, вывесить). При этом деятельность работодателей с персданными — это отдельный случай, поскольку она дополнительно регулируется главой 14 ТК РФ. И они должны получать письменное заявление о согласии на обработку персональных данных от каждого работника — документ, который немного отличается от общего образца.

Образец формы согласия на обработку персональных данных

Чиновники не дают типовой формы разрешения на манипуляции с личной информацией граждан. Но само соглашение обязательно оформляется в письменном виде, и к нему есть ряд требований (ст. 9 закона № 152-ФЗ):

• основные критерии документа — конкретика, информированность и сознательность;
• среди обязательных реквизитов субъекта персданных — Ф. И.О., адрес, паспортные данные;
• об операторе следует сообщать наименование, адрес, по желанию — контакты;
• в согласии указывают:
  • цель получения сведений и действия с ними;
  • перечень данных, которые передает гражданин;
  • наименования третьих лиц, которые могут получить доступ к сведениям;
  • срок действия соглашения и способ его отзыва;
  • личная подпись владельца персданных.

Для работодателей все эти требования также актуальны, но они должны руководствоваться еще нормами ТК РФ. В частности, им запрещено работать со специфичной личной информацией сотрудников, а все общие персональные данные разрешено использовать только для реализации функций работодателя (сдача отчетности, подготовка пакета документов при трудоустройстве, направление на обучение или оценку квалификации, пр.).

Образец заполнения согласия на обработку персональных данных от сотрудника выглядит так:

 

Бланк согласия на обработку персональных данных (2019)

Сергей Кириенко социальные лифты губернаторы Александр Беглов

Карикатуры, Виктор Богорад, карикатура

Среда Виктора Богорада. О развитии метрополитена

Губернатор города Александр Беглов обрадовал петербуржцев сообщением, что в Петербурге появятся 89 новых станций метро. Но реально строятся только три. По остальным нет никакой конкретики. Если только Александр Беглов не намерен сам взять лопату и выполнить обещанное, размышляет художник Виктор Богорад.

Виктор Богорад 17.08.2022

Мнения, конфликт, Александр Беглов

Игры патриотов. Евгений Пригожин идёт в открытую на Александра Беглова

Политика, если гнать ее в дверь, полезет в окно, то есть нецивилизованным способом. Положив немало сил на тотальное заравнивание городской политики, Смольный внезапно получает, наоборот, риск разнузданного конфликта в стиле девяностых.

Михаил Шевчук 07.07.2022

Актуально сегодня, губернаторы, Санкт-Петербург

Znak.com: «Петербург может возглавить Андрей Турчак»

По данным источников издания Znak.com в Администрации президента, вице-спикера Совета Федерации, секретаря генсовета «Единой России» Андрея Турчака согласовали на должность нового губернатора Петербурга.

02.02.2022

Согласие на обработку персональных данных

Политика в отношении обработки персональных данных в ООО ГРК «ЦИТАДЕЛЬ»

1. Общие положения

1.1. Настоящий документ определяет политику ООО ГРК «ЦИТАДЕЛЬ»
(далее – Гостиница) в отношении обработки и обеспечения безопасности персональных данных.

1.2. Настоящая политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлена на всемерное обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных в Гостинице.

1.3. Положения настоящей Политики являются обязательными для исполнения всеми работниками Гостиницы.

1.4. Положения настоящей Политики являются основой для организации всех процессов в Гостинице, связанных с обработкой и защитой персональных данных.

1.5. Настоящая Политика разработана в соответствии с федеральным законодательством Российской Федерации:

• Конституцией Российской Федерации;
• Федеральным законом от 27. 07. 2006 г. № 152-ФЗ «О персональных данных»;
• Трудовым кодексом Российской Федерации от 30.12.2001 №197-ФЗ;
• Федеральным законом от 24.11.1996г. № 132-ФЗ «Об основах туристской деятельности в Российской Федерации;
• «Правилами предоставления гостиничных услуг в Российской Федерации», утвержденных Постановлением Правительства РФ от 09.10.2015г. № 1085;
• а также в соответствии с иными действующими федеральными законами и подзаконными актами Российской Федерации, определяющими правила и особенности обработки персональных данных и обеспечения безопасности и конфиденциальности такой обработки.

1.6. Настоящая Политика устанавливает:

• цели обработки персональных данных;
• общие принципы и правила обработки персональных данных;
• классификацию персональных данных и Субъектов персональных данных;
• права и обязанности Субъектов персональных данных и Гостиницы по их обработке;
• порядок организации обработки персональных данных.

1.7. Настоящая Политика подлежит размещению на общедоступном ресурсе – на официальном сайте Гостиницы http://citadelpark.ru/ в неограниченном доступе.

1.8. Настоящая Политика вступает в силу с момента утверждения.

1.9. Настоящая Политика подлежит пересмотру в связи с изменением законодательства Российской Федерации в области обработки и защиты персональных данных, по результатам оценки актуальности, достаточности и эффективности принимаемых мер обеспечения безопасности обработки персональных данных в Гостинице.

1.10. Действие настоящей Политики распространяется на действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2. Основные термины и определения

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных — обязательное для соблюдения Гостиницей или иным получившим доступ к персональным данным лицом требование не допускать их раскрытие и распространение без согласия субъекта персональных данных или наличия иного законного основания.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Специальные категории персональных данных — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.

Субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью данных.

Другая информация —это данные, по которым нельзя идентифицировать физическое лицо или которые не имеют к нему прямого отношения.

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3. Цели обработки персональных данных

3.1. Гостиница осуществляет обработку персональных данных в целях:

• оказания гостиничных и/или дополнительных услуг в парк – отеле «Цитадель» в соответствии с Правилами предоставления гостиничных услуг ООО ГРК «ЦИТАДЕЛЬ» утвержденных Приказом Генерального директора гражданским законодательством Российской Федерации и присвоенной Гостинице категорией.
• предоставления Субъекту персональных данных подтверждения бронирования номера/номеров в ООО ГРК «Цитадель»
• заключения с Субъектом персональных данных договоров на оказание гостиничных и дополнительных услуг в ООО ГРК «Цитадель» и их дальнейшего исполнения;
• организации и ведением кадрового делопроизводства в Гостинице;
• привлечения и отбора кандидатов на работу в Гостинице;
• формирования статистической отчетности, в том числе для предоставления контролирующим органам государственной власти Российской Федерации;
• предоставления Субъекту персональных данных информации об оказываемых услугах, о текущих маркетинговых акциях и новых услугах;
• а также в других целей, достижение которых не запрещено федеральным законодательством, международными договорами Российской Федерации.

4. Классификация персональных данных и категории Субъектов, персональные данные, которые обрабатываются в Гостинице

4. 1. К персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), обрабатываемая Гостиницей для достижения указанных целей.

4.2. Гостиница не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, если иное не установлено законодательством Российской Федерации.

4.3. Гостиница осуществляет обработку персональных данных следующих категорий

Субъектов персональных данных:

• физические лица, являющиеся сотрудниками Гостиницы;
• физические лица, являющиеся кандидатами на должности сотрудников Гостиницы;
• физические и юридические лица выполняющие работы и оказывающие услуги по заключенным с Гостиницей договорам гражданско-правового характера;
• физические или юридические лица являющиеся клиентами Гостиницы (гостями) и/или на законных основаниях, представляющие интересы клиентов Гостиницы, или намеревающиеся стать таковыми;
• физические или юридические лица приобретающие или намеревающиеся приобрести услуги третьих лиц при посредничестве Гостиницы при условии, что их персональные данные включены в автоматизированные системы Гостиницы в связи с оказанием им Гостиницей гостиничных и/или дополнительных услуг;
• иные физические или юридические лица, выразившие согласие на обработку Гостиницей их персональных данных или обработка персональных данных которых необходима Гостинице для выполнения обязанностей, исполнения функций или полномочий, возложенных и/или предусмотренных международным договором Российской Федерации или законом Российской Федерации.

5. Основные принципы обработки персональных данных

5.1. Обработка персональных данных в Гостинице осуществляется на основе следующих принципов:

• законности целей и способов обработки персональных данных;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
• соответствия состава и объема обрабатываемых персональных, а также способов обработки персональных данных заявленным целям обработки;
• достоверности персональных данных, их достаточности для целей обработки;
• недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой;
• обеспечения хранения персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных;
• уничтожения или обезличивания персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации, договором, стороной которого является Субъект персональных данных;
• обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.

6. Организация обработки персональных данных

6.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, установленных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».

6.2. Гостиница осуществляет обработку персональных данных, как с использованием средств автоматизации, так и без использования средств автоматизации.

6.3. Гостиница может включать персональные данные субъектов в общедоступные источники персональных данных, при этом Гостиница берет письменное согласие субъекта на обработку его персональных данных.

6.4. Биометрические персональные данные в Гостинице не обрабатываются.

6.5. Гостиница может осуществлять трансграничную передачу персональных данных (как в страны, обеспечивающие надлежащий уровень защиты персональных данных, так и в иные страны, которые могут не обеспечивать надлежащий уровень защиты персональных данных) в целях исполнения договора, стороной которого является субъект персональных данных, и/или с его согласия.

6.6. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.

6.7. При отсутствии необходимости письменного согласия субъекта на обработку его персональных данных согласие субъекта может быть дано субъектом персональных данных или его представителем в любой позволяющей получить факт его получения форме.

6.8. Гостиница вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение оператора). При этом Гостиница в договоре обязывает лицо, осуществляющее обработку персональных данных по поручению Гостиницы, соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.

6.9. Предоставление доступа органам государственной власти (в том числе, контролирующих, надзорных, правоохранительных и иных органов) к персональным данным, обрабатываемым Гостиницей осуществляется в объёме и порядке, установленным соответствующим законодательством Российской Федерации.

6.10. Сбор и обработка Другой информации

В целях настоящей Политики под «Другой информацией» понимаются данные, которые напрямую не идентифицируют посетителя сайта Гостиницы http://citadelpark.ru/, но используются Гостиницей с его согласия. Эти данные представляют собой фрагменты информации, которые используются сервером для обмена данными о состоянии с браузером интернет-пользователя, в частности, это информация об используемом посетителем сайта браузере и устройстве, истории посещений сайта и просматриваемых страницах. Сбор такой информации осуществляется Гостиницей с помощью файлов cookie, пиксельных тэгов («точечных маркеров») и других схожих технологий. Такая информация используется Гостиницей для проведения веб-анализа и сбора статистических данных, отслеживания потока посетителей и оценки их способа работы с сайтом, оптимизации работы с сайтом для посетителя, обмена данными со сторонними веб-сайтами и перенаправления пользователей на сайт Гостиницы.

Поскольку Другая информация не идентифицирует посетителя лично, она может быть раскрыта и использована для любых не запрещённых законом целей. В некоторых случаях (например, при оформлении подписки на сайте обращении пользователя через форму обратной связи) Гостиница может использовать Другую информацию в сочетании с персональными данными посетителя сайта. В таких случаях такие данные будут считаться персональными в соответствии с настоящей Политикой.

7. Права Субъекта персональных данных

7.1. Субъект персональных данных имеет право:

• получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Законодательством о персональных данных;
• требовать уточнения своих персональных данных, их Блокирования или Уничтожения

в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении Субъектом персональных данных согласия на обработку персональных данных;

• принимать предусмотренные законом меры по защите своих прав;
• отозвать свое согласие на обработку персональных данных.

7.2. Субъект персональных данных обязан предоставить полные, точные и достоверные сведения о своих персональных данных.

7.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

8. Права и обязанности Гостиницы при обработке персональных данных

8.1. Гостиница имеет право:

• обрабатывать персональные данные Субъекта персональных данных в соответствии с заявленной целью;
• требовать от Субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги,
• идентификации Субъекта персональных данных, а также в иных случаях, предусмотренных Законодательством о персональных данных;
• ограничить доступ Субъекта персональных данных к его персональным данным в случае, если таковой нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;
• обрабатывать общедоступные персональные данные физических лиц;
• осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;
• уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
• вести учет обращений Субъектов персональных данных;
• поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных.

8.2. В соответствии с требованиями Федерального закона «О персональных данных»

Гостиница обязана:

• предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ.
• по требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональных данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
• вести учет обращений субъектов персональных данных.
• уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных за исключением предусмотренных законом Российской Федерации случаев.
• в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между Гостиницей и субъектом персональных данных.
• в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, установленный законодательством Российской Федерации. Об уничтожении персональных данных Гостиница обязано уведомить субъекта персональных данных.
• Гостиница обязуется и обязывает иные лица, получившие доступ к персональным данным, не раскрывать их третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
• Назначить лицо (лиц), ответственных за организацию обработки персональных данных.

9. Меры по обеспечению безопасности персональных данных при их обработке

9.1. При обработке персональных данных Гостиница принимает необходимые правовые,

организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

9.2. Обеспечение безопасности персональных данных достигается, в частности:

• Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
• Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
• Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
• Учетом машинных носителей персональных данных.
• Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер.
• Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
• Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
• Обучением персонала Гостиницы, участвующего в обработке персональных данных, вопросам обеспечения безопасности персональных данных.
• Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

10. Ответственность Гостиницы

10.1. Контроль за выполнением требований настоящей Политики, правил и требований, применяемых при обработке персональных данных в Гостинице осуществляют лица, назначенные Приказом исполнительного органа Гостиницы.

10.2. Гостиница, а также его должностные лица и сотрудники несут уголовную, гражданско-правовую, административную и дисциплинарную ответственность за несоблюдение принципов и условий обработки персональных данных, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.

6 шагов, чтобы написать электронное письмо с согласием GDPR [с примерами]

Соблюдение Общего регламента по защите данных (GDPR) является обязательным для компаний, занимающихся маркетингом по электронной почте в Европейском союзе (ЕС) или ориентированных на клиентов в регионе. Согласно законодательству, вы должны получить согласие на отправку ваших рассылок.

Если вы потратили время и силы на расширение списка подписчиков, убедитесь, что ваша кампания соответствует правилам. Для этого вам нужно одобрение ваших подписчиков.

В этом посте мы поделимся советами о том, как написать электронное письмо с согласием GDPR — сообщение с просьбой к вашим подписчикам дать согласие на получение ваших электронных писем.

Что такое Общий регламент по защите данных (GDPR)?

Общий регламент по защите данных (GDPR) — это положение в законодательстве ЕС о конфиденциальности, которое регулирует защиту данных и конфиденциальность в Европейском союзе и Европейской экономической зоне (ЕЭЗ). Он также регулирует передачу персональных данных за пределы ЕС.

Что касается маркетинга по электронной почте, GDPR регулирует сбор и обработку персональных данных пользователей электронной почты в ЕС. Это требует от компаний обновить управление данными о клиентах и ​​их использование в маркетинговых целях.

Что поможет вам лучше понять GDPR, так это его принципы. GDPR воплощает следующие семь принципов: 

1. Законность, справедливость и прозрачность
2. Ограничение цели
3. Минимизация данных
4. Точность
5. Ограничение хранения
6. Целостность и конфиденциальность (безопасность)
7. Подотчетность

67% жителей ЕС выразили сомнение и беспокойство по поводу отсутствия полного контроля над информацией, которую они предоставляют в Интернете. С помощью электронного письма о соблюдении GDPR вы можете развеять их сомнения, предоставив необходимую информацию об использовании их личных данных.

Чтобы информировать своих подписчиков электронной почты о соблюдении GDPR, вам необходимо создать собственное электронное письмо. Он должен быть простым, прозрачным и информативным.

Как написать электронное письмо с согласием GDPR

В соответствии с GDPR согласие определяется как: четким утвердительным действием, означает согласие на обработку персональных данных, касающихся его или ее. ”

Чтобы получить согласие от ваших подписчиков, вам необходимо тщательно подготовить информативное электронное письмо с согласием. Примите во внимание следующие советы по созданию электронного письма с согласием GDPR.

Соответствует ли файл cookie вашего веб-сайта GDPR или CCPA? Получите решение CookieYes для согласия на использование файлов cookie для своего веб-сайта и эффективно управляйте согласием и блокировкой сторонних сценариев для GDPR и CCPA. Попробуйте бесплатно!

1. Объясните цель сообщения электронной почты

Напишите краткое введение, чтобы объяснить, почему вы связываетесь. Подписчики будут более заинтересованы в чтении письма, если вы объясните, почему их согласие необходимо и актуально.

Персонализация электронной почты поможет привлечь их внимание. Например, WhatCounts обращается к подписчику по имени в электронном письме с согласием.

Если вы начнете электронное письмо с имени подписчика, оно привлечет его внимание. Электронное письмо будет казаться более личным, чем обычное объявление.

Как вы можете видеть в электронном письме с согласием от WhatCount, вы также должны указать варианты, доступные для получателей. Они должны знать, что они контролируют свои данные.

2. Четко опишите использование данных

Цель GDPR — дать людям представление о том, как используются их данные. Имея это в виду, электронное письмо с согласием должно прямо и явно сообщать, как будут использоваться данные подписчиков.

Объясните, как ваша компания собирает и обрабатывает данные о клиентах и ​​для каких целей. Информация, которой вы должны поделиться:

• Данные, которые вы обрабатываете
• Как вы обрабатываете данные
• Как вы защищаете данные подписчиков
• Для чего вы обрабатываете данные (например, для анализа рынка)
• При участии третьих лиц
• Права абонента в отношении его данных
• Как вы обрабатываете запросы и жалобы, связанные с их правами

Вот Например, чтобы текст был кратким и легким для понимания.

Наша компания соответствует Общему регламенту по защите данных (GDPR). Чтобы узнать больше о том, как мы собираем, храним, управляем и обрабатываем ваши персональные данные в соответствии с GDPR, ознакомьтесь с нашей политикой конфиденциальности.

Имейте в виду, что помимо описания использования данных, вы должны предоставить ссылку на политику конфиденциальности, в которой объясняются все пункты, указанные в электронном письме с согласием. Вот так:

3. Заверьте, что данные клиентов будут в безопасности

Воспользуйтесь этой возможностью, чтобы написать краткий раздел, в котором говорится, что вы планируете продолжать отправлять только соответствующий контент и сохранять данные клиентов.

Сообщите подписчикам, что у вас нет намерения воспользоваться их личной информацией или использовать ее не по назначению. Вы можете заявить об этом в одном или двух кратких предложениях. Вот как это делает Юго-Западная железная дорога:

Информация об использовании их личных данных может вызвать у некоторых подписчиков сомнения относительно получения информационных бюллетеней. Вот почему заверение их в том, что « безопасность ваших данных является нашим приоритетом », как выразилась Юго-Западная железная дорога, может сделать их менее колеблющимися.

Если вам не удается выразить свою уверенность в хорошо продуманных словах, найдите время, чтобы просмотреть бесплатные образцы на Subjecto и изучить примеры того, как обычно пишутся подобные политики.

4. Дайте ссылки на соответствующие политики

Прошли те времена, когда формы согласия и ящики с предварительно отмеченными галочками прошли. Теперь вы должны указать ссылку на свою новую политику управления данными, соответствующую GDPR, и соответствующие статьи службы поддержки клиентов.

Вот пример от Scosche:

Политика конфиденциальности подробно описывает различные способы, которыми ваш веб-сайт собирает, раскрывает, управляет и использует данные человека. Таким образом, ссылка на вашу политику конфиденциальности может предоставить пользователям доступ ко всей соответствующей информации.

Прочитайте здесь, как создать политику конфиденциальности для вашего веб-сайта в соответствии с GDPR.

Если сторонние поставщики участвуют в вашем почтовом маркетинге или процессе управления информационными бюллетенями, вы также должны предоставить ссылку на их политику конфиденциальности.

5. Завершите призыв к действию для обновления настроек

Электронное письмо с согласием должно заканчиваться кнопкой призыва к действию (CTA). CTA должен предложить пользователям сделать следующий шаг и продолжить получать электронные письма от вашей компании.

Напишите пару предложений, чтобы побудить подписчиков обновить свои предпочтения. Однако не забудьте упомянуть, что для отказа также требуются некоторые действия.

Электронное письмо ASOS — прекрасный пример того, как вы можете сделать этот раздел организованным и привлекательным.

ASOS предоставила три кнопки CTA для различных вариантов выбора. Кроме того, они мотивировали подписчиков подписаться, показывая, что они будут получать.

6. Адаптируйте свой стиль письма

Изложите всю информацию в простой и понятной форме. Несмотря на то, что это информативное электронное письмо, язык не должен быть слишком формальным.

Старайтесь писать понятно, профессионально и лаконично. Отличным примером является следующее электронное письмо от The Little Green Sheep:

Электронное письмо короткое, сразу переходит к делу и соответствует стилю бренда благодаря дружелюбному стилю письма и тону.

Заключительные мысли

Электронная почта GDPR для согласия пользователя представляет собой перекресток, когда подписчики решают, дают ли они согласие на использование вашей компанией их данных или нет. Вы хотите, чтобы это информативное электронное письмо было удобоваримым, простым и прямым.

Если вам удастся создать такой контент, вы сможете продолжать привлекать новых клиентов с помощью привлекательных электронных писем. Поэтому не торопитесь, чтобы создать согласие по электронной почте, на которое ваши подписчики будут более чем счастливы ответить «да».

Отказ от ответственности: этот пост в блоге предназначен только для информационных целей и не предназначен для замены юридической консультации. Поэтому для любой юридической помощи, пожалуйста, обратитесь за помощью к адвокату.

Примеры согласия GDPR, определения и инструкции

Если вы изо всех сил пытаетесь понять, что на самом деле означают требования к согласию Общего регламента по защите данных (GDPR) для вашего бизнеса, вы не одиноки.

Согласие на сегодняшний день является одним из самых спорных вопросов в GDPR — в основном из-за того, что в тексте отсутствуют четкие примеры и модели того, как должны выглядеть надлежащие практики получения согласия .

Это отсутствие каких-либо четких указаний открыло дверь для самопровозглашенных «экспертов GDPR» для их собственных интерпретаций и выдвижения различных версий того, как получить законное согласие. В результате большинство владельцев бизнеса запутались больше, чем когда-либо.

Вот почему команда Termly решила помочь избавиться от шума и составила простое, но исчерпывающее руководство по согласию, а также рекомендации по его получению. Самое приятное то, что для понимания не требуется юридическое образование!

Termly бесплатно поможет вам выполнить требования GDPR.

Оглавление

1. Как GDPR определяет согласие?
2. Нужно ли мне получать согласие?
3. Примеры формы согласия GDPR и инструкции
   • Формулировка запроса на согласие
   • Где разместить запрос на согласие
   • Информация для включения
   • Возможные действия по подписке
4. Запись и управление согласием GDPR
5. Альтернативы согласию
6. Дополнительные ресурсы GDPR

Прежде чем мы углубимся в тему согласия, важно отметить, что статья 6 GDPR гласит, что сбор и использование пользовательских данных является законным только в том случае, если он соответствует хотя бы одному из шести правовых оснований.

Предприятия должны оценить каждую точку, на которой они собирают и используют персональные данные, а затем определить, подпадает ли она под одно из правовых оснований для сбора и обработки данных:

1. Согласие пользователя
2. Законный интерес
3. Договорная необходимость
4. Жизненно важные интересы пользователя
5. Юридическое обязательство
6. Общественные интересы

Если ваши методы сбора данных не соответствуют одному из вышеперечисленных условий, то они незаконны в соответствии с GDPR, и ваш бизнес подлежит серьезным финансовым санкциям. Для целей этой статьи мы сосредоточимся на согласии как на правовой основе для обработки данных. Тем не менее, мы обсудим пять альтернатив ближе к концу, если вам интересно.

Юридическое определение

Чтобы лучше понять согласие в соответствии с GDPR, давайте сначала рассмотрим определение, изложенное в статье 4:

«согласие субъекта данных (пользователя) означает информированное и недвусмысленное указание на пожелания субъекта данных, которым он или она заявлением или четким утвердительным действием выражает согласие на обработку относящихся к нему персональных данных»

Выделенные выше слова являются ключевыми для обеспечение того, чтобы согласие пользователя было получено на законных основаниях, но что именно они означают?

Давайте разберем эти термины так, чтобы мы все могли понять:

– Бесплатно: Пользователям должен быть предоставлен реальный выбор, а не принуждение с негативными последствиями.

– Конкретный: Согласие должно даваться только на конкретные действия (например, еженедельный информационный бюллетень) вместо широкого согласия на использование данных по любым причинам, которые компания считает целесообразными.

– Информированный: Пользователи должны понимать весь объем сбора данных и их использования, прежде чем принимать решение о согласии. Следует четко указать, что запрашивается согласие и для каких конкретных целей.

– Однозначно: Необходимо сделать очевидным, что пользователь дает свое согласие.

– Положительное действие: Пользователи должны предпринять действия, чтобы продемонстрировать свое согласие на обработку своих данных. С практической точки зрения это означает, что типичные предварительно установленные флажки, которые вы регулярно видите в процессе регистрации учетной записи, больше не действительны в соответствии с GDPR, поскольку пользователь не предпринимает никаких действий, чтобы продемонстрировать свое согласие. Однако, если флажок не был установлен при первом представлении пользователю, установка флажка будет считаться позитивным действием.

Если в ваших методах получения согласия отсутствует какой-либо из вышеперечисленных аспектов, то, согласно GDPR, вы не получаете его на законных основаниях. Возьмем, к примеру, штраф Google GDPR, который стоил техническому гиганту 50 миллионов евро за нарушение требований GDPR.

Согласие

— это лишь небольшая часть GDPR. Чтобы получить четкое представление о полном объеме этого закона и о том, что необходимо сделать вашему бизнесу для его соблюдения, ознакомьтесь с нашей статьей Что такое GDPR? руководство.

Требования к согласию

Чтобы выполнить приведенное выше определение, необходимо выполнить несколько условий:

1. Подтверждение согласия: Как упоминается в статье 4 GDPR, пользователи должны предпринять позитивные действия, то есть предварительно отмеченные поля отказа больше не будут проходить тест на согласие. Отныне пользователи должны вручную выполнять действие, в котором они принимают участие в описанных методах сбора/использования/обмена данными. Например, использование clickwrap на веб-сайте может заставить пользователя принять положительное решение, дающее согласие на использование файлов cookie.
2. Документальное согласие: Предприятия должны вести учет согласия всех пользователей, включая то, как они давали согласие, на что именно они давали согласие и когда они давали свое согласие. Это необходимо для защиты вашего бизнеса и послужит доказательством в случае, если пользователь заявит, что не давал своего согласия.
3. Упростите отзыв согласия: Предприятиям следует упростить отзыв согласия, как и его предоставление. Пользователям должна быть предоставлена ​​возможность отозвать свое согласие в любое время посредством четко определенного процесса.
4. Согласие на разделение: Согласие не должно быть предварительным условием для выполнения контракта или получения услуги, за исключением случаев, когда это абсолютно необходимо для выполнения контракта или оказания услуги. Пользователи должны иметь возможность отказаться от согласия без каких-либо последствий.
5. Сделайте детализированными: Пользователи должны иметь возможность давать отдельное согласие на различные действия по обработке данных. Для каждой цели обработки требуется отдельное согласие.
6. Избегайте дисбаланса сил: В основном это относится к отношениям между работником и работодателем, в которых работник чувствует давление, чтобы дать согласие из-за страха потерять работу.

В соответствии с GDPR запросы на получение согласия и политики конфиденциальности больше не могут быть переполнены юридическими терминами, понятными только юристу. Узнайте больше о том, что является юридическим языком и как его избежать.

Однозначное согласие против явного согласия

Что касается обработки «особых категорий» пользовательских данных, статья 9 гласит, что контроллер данных должен сначала получить явное согласие. Согласно GDPR, «особые категории» (также известные как конфиденциальная личная информация) относятся к любой информации, касающейся пользователя:

• расовое или этническое происхождение
• политические взгляды
• религиозные или философские убеждения
• Членство в профсоюзе
• генетические данные
• биометрические данные
• медицинские данные
• половая жизнь или сексуальная ориентация

Но в чем разница между явным и недвусмысленным согласием?

Вам, наверное, интересно, если любое согласие уже должно быть свободно дано, конкретно, осознанно, недвусмысленно и утвердительно, то какая разница в том, чтобы сделать его явным?

Явное согласие должно быть выражено в форме письменного или устного заявления.

Рассмотрим два примера:

Пример №1.

Несмотря на то, что указанный выше веб-сайт дает четкое представление об обработке данных, и пользователь должен предпринять однозначные подтверждающие действия для обработки своих данных, все же можно утверждать, что согласие не является явным, поскольку нет заявления о том, что окончательно говорит, что пользователь дает свое согласие на получение информационных бюллетеней и рекламных акций.

Пример №2.

В отличие от примера № 1, компания выше представляет два четко написанных заявления с ячейками, которые пользователь должен отметить, чтобы дать согласие на обработку своих данных.

Хотя разница может показаться незначительной при чтении фактического текста GDPR, приведенные выше примеры ясно показывают различие между недвусмысленным и явным согласием.

Нужна помощь в обеспечении совместимости вашего веб-сайта с WordPress? Ознакомьтесь с этими 5 бесплатными плагинами GDPR для WordPress.

2. Нужно ли мне получать согласие?

Теперь, когда мы рассмотрели, что такое согласие, давайте определим, нужно ли вашему бизнесу использовать согласие в качестве правовой основы для обработки данных.

Вы должны использовать согласие в качестве юридического основания, если:

Остальные 5 правовых оснований (юридическое обязательство, договорная необходимость и т. д.) не применяются к вашей деятельности по обработке данных

Вы обрабатываете «особые категории» личной информации ( расы, религии и т. д.)

Вы хотите предоставить своим пользователям законный выбор

Вы хотите завоевать доверие и вовлеченность пользователей

Вы отправляете маркетинговые электронные письма, такие как предложения третьих сторон и информационные бюллетени

Вы не должны использовать согласие в качестве законного основания, если:

Существует другая правовая основа, которая лучше подходит для обработки ваших данных

Вы не предоставите пользователям возможность легко отозвать свое согласие

Выбор согласия на самом деле не является подлинным, и вы будете обрабатывать данные пользователя независимо от того, согласие

Согласие дается в качестве предварительного условия для получения услуги, но сбор этих данных на самом деле не требуется для выполнения этой услуги дать согласие (например, работодатель и сотрудник)

Принятие решения о том, как именно настроить запрос на согласие, возможно, является самой сложной частью соблюдения требований GDPR. Конечно, теперь вы знаете определение согласия, а также различные требования для его получения на законных основаниях, но как вы можете применить все это на практике на своих собственных веб-сайтах и ​​в приложениях?

Ниже мы познакомим вас с четырьмя основными компонентами формы согласия GDPR и предоставим вам несколько примеров компаний, которые делают это правильно.

Наши решения помогут вам соответствовать GDPR бесплатно.

Формулировка запроса согласия

Как мы упоминали ранее, согласие должно быть конкретным и информированным . Это означает, что получение согласия в формулировке вашего запроса согласия или правильной формы является абсолютной необходимостью.

Давайте взглянем на регистрационную форму BBC ниже:

Первое, что вы заметите, это вопрос о согласии на отправку обновлений по электронной почте пользователю. Само по себе «обновления по электронной почте о вещах, которые вам понравятся» не так уж специфичны и не информируют пользователя о цели обновлений.

Тем не менее, BBC продолжает предоставлять короткий рекламный ролик о том, что информирует пользователей о том, о чем будут обновления по электронной почте. Кроме того, они также дают понять, что согласие может быть удалено в любое время, и предоставляют ссылку, которая дополнительно объясняет особенности содержимого электронной почты .

В то время как BBC дает нам хороший пример того, как мы можем сформулировать наш запрос на согласие, есть много других способов, которыми вы можете его сформулировать.

Вот еще примеры формулировок, которые вы можете использовать в своем запросе на получение согласия на маркетинг:

• «Я хотел бы получать обновления продукта от [Brand]. Вы можете отписаться в любое время.»

• «Да, пожалуйста, подпишите меня на еженедельную рассылку [Бренда]. Вы можете отписаться в любое время.»

• «Я подтверждаю, что прочитал и согласен с Политикой конфиденциальности и Условиями [Бренда]».

• «Нажимая «Продолжить», вы соглашаетесь соблюдать Политику конфиденциальности и Условия использования [Бренда]».

Вы можете использовать Termly, чтобы бесплатно получить помощь в соблюдении GDPR.

Где разместить запрос о согласии

Где и , когда вы запрашиваете согласие пользователя, может быть сложно получить правильно, потому что они требуют от вас рассмотрения ряда деталей.

Вот контрольный список вещей, которые следует учитывать при принятии решения о размещении вашего запроса на согласие:

• Формулировка согласия должна быть ЗАМЕЧАТЕЛЬНОЙ. Не прячьте его в нижней части вашего сайта или во всплывающем окне с размером шрифта 8.
• Отделите запрос согласия от политики конфиденциальности и условий. Согласие с условиями не должно также означать, что пользователь соглашается на маркетинговое электронное письмо. Если вы еще не сделали этого, создайте положения и условия, которые отличаются от других ваших правовых политик.
• Запросы согласия должны быть сделаны ДО сбора пользовательских данных. Нет смысла запрашивать согласие после того, как вы собрали информацию.
• Вы действительно должны предоставить пользователям выбор — без каких-либо параметров по умолчанию. Помните, никаких предварительно отмеченных флажков.
• Не влияйте на их выбор, используя разные цвета или текст, выделенный жирным шрифтом. Это не совсем правильный выбор, если вариант «Да» выделен зеленым цветом, выделен полужирным шрифтом и имеет стрелки, указывающие на него.
• Вы должны запрашивать согласие в каждой точке сбора данных. Тот факт, что они предоставили свою электронную почту для загрузки вашей электронной книги, не означает, что они также согласились получать ваш ежедневный информационный бюллетень.

Эти 5 маркетинговых инструментов формы согласия GDPR по электронной почте могут помочь легко убедиться, что все формы вашего веб-сайта имеют правильную формулировку согласия, а наш шаблон политики конфиденциальности электронного маркетинга может помочь вам разработать идеальную политику конфиденциальности электронной почты.

Как вы ДОЛЖНЫ это сделать:

Ниже приведен пример того, как GitHub — служба веб-хостинга — запрашивает согласие. GitHub хорошо справляется с запросом согласия на отдельные действия по обработке данных.

В процессе регистрации GitHub предоставляет пользователям два отдельных заявления о согласии: в первом запрашивается у пользователей разрешение на создание организации, а во втором запрашивается отправка новостей и предложений.

Наконец, они также упоминают, что пользователь может отказаться от подписки в любое время, и они даже ссылаются на сообщение во всех типах электронных писем, которые они отправляют.

GitHub отмечает все флажки, когда дело доходит до размещения их запроса на согласие:

Согласие запрашивается перед сбором данных

Оно размещается на видном месте

Они запрашивают отдельное согласие для различных действий

У пользователя есть очевидный выбор

Нет влияния выбора пользователя

Подробные положения и условия жизненно важны для безопасности вашего веб-сайта. Воспользуйтесь нашими бесплатными примерами условий и положений, чтобы приступить к работе и обеспечить дополнительную защиту своего сайта.

Информация, которую необходимо включить

Есть 3 основных элемента информации, которые вы должны включить в свой запрос на согласие:

• Кто выполняет обработку
• Цель обработки
• Что вы будете делать с данными

В дополнение к трем требованиям, указанным выше, также рекомендуется упомянуть, что согласие может быть отозвано в любое время, и как пользователи могут его отозвать.

Пример:

Приведенный выше пример из Friends of the Earth Scotland соответствует всем необходимым параметрам. Мы знаем:

Что FoE Scotland обрабатывает информацию для отправки своего информационного бюллетеня

Содержание информационного бюллетеня

Как отказаться от подписки

Возможные действия по подписке

Последний элемент, который вам необходимо учитывать при создании запроса на согласие, — это решить, какое действие по подписке должен предпринять пользователь, чтобы предложить действительное согласие.

Выбранное вами действие согласия зависит от собираемых вами данных. Как мы обсуждали ранее, если вы собираете конфиденциальные личные данные , вам потребуется явное согласие .

Возможные действия:

• Установка флажка
• Подписание формы согласия
• Выбор пользовательских настроек
• Нажатие переключателя
• Заполнение необязательных полей формы для определенной цели

Практическое применение: хорошее, плохое и безобразное

Чтобы получить лучшее представление о том, как на самом деле выполнить вышеуказанные требования, давайте оценим некоторые другие примеры из Интернета.

Как НЕ надо делать:

Во-первых, давайте взглянем на некоторые стили, которые просто не подходят для GDPR:

Пример №1:

Есть несколько проблем с приведенным выше заявлением о согласии:

Пользователи должны отказаться (флажок уже установлен)

«Выбрать партнеров»? Кто они? Будет ли у них доступ к пользовательским данным?

«И еще»? Что еще? На что еще могут неосознанно соглашаться пользователи?

Пользователь автоматически согласился на получение информационных бюллетеней и уведомлений

Сможет ли пользователь отказаться позже ?

Я не только не знаю, кто может видеть мои данные, но и неясно, в какой степени мои данные будут обрабатываться, и как я могу отказаться от рассылки новостей.

Пример №2:

Если вы настроите всплывающее окно или форму согласия GDPR, как показано выше, вы НЕ будете соответствовать требованиям GDPR.

Вот что с ним не так:

Пользователи должны отказаться (необходимо снять галочки)

Неясно, кто может быть «партнерами и спонсорами»

Неясно, может ли пользователь отказаться в любое время

Неясно, какие «обновления» могут повлечь за собой

Закрыть… но по-прежнему не хватает метки:

В следующих примерах многое сделано правильно — некоторые из них вы даже можете принять самостоятельно. К сожалению, в них также отсутствуют некоторые важные элементы:

Пример №1:

Приведенное выше заявление о согласии может понравиться многим. Во-первых, на сайте представлена ​​подробная информация о том, как будут использоваться ваши данные, и указано, что вы можете отказаться от подписки в любое время. Это также идет еще дальше и заверяет пользователей, что их данные не будут проданы третьим лицам.

Однако есть две основные проблемы:

Обработка не является гранулированной. Если я хочу электронную книгу, я должен подписаться на информационный бюллетень.

Текст внизу кажется скрытым. Из-за размера и цвета его труднее читать, чем остальной текст во всплывающем окне.

Пример №2:

Как ни странно, приведенная выше регистрационная форма предназначена для вебинара GDPR. Фраза внизу достаточно подробна — я знаю, кто обрабатывает мои данные, для каких целей и что я могу отказаться от подписки в любое время.

Большая проблема с этой формой заключается в том, что при регистрации на вебинар я автоматически подписываюсь на получение электронных писем И телефонных звонков, касающихся продуктов и услуг компании. Опять же, согласие должно быть детализированным и разрозненным, что означает, что эта форма также должна иметь отдельные механизмы подписки для электронных писем и телефонных звонков.

Отличные примеры:

Наконец, теперь, когда мы увидели, чего делать не следует, давайте рассмотрим некоторые практики получения согласия, которые прошли бы тест GDPR:

Пример № 1:

Приведенный выше пример от Saltare Consulting затрагивает все основные моменты:

Соответствующее действие согласия (заполнение полей формы)

Определяет, кто обрабатывает данные обрабатывается для

Объясняет, как именно отказаться от подписки

Пример № 2:

Наш последний пример взят из сети защиты данных. Вот что нам нравится в их форме членства:

Активация соответствующего списка рассылки (переключение)

Активация отдельных условий и положений

Пользователю не нужно щелкать ссылку, чтобы прочитать положения и условия

Объясняет, как отказаться от участия Ваши старые списки контактов

В этот момент вы, вероятно, задаетесь вопросом: «Применяется ли GDPR к моим старым спискам контактов?»

Это может быть больно слышать, но GDPR действительно распространяется на любые пользовательские данные, которые вы могли собрать в прошлом . Но пока не начинайте удалять свои старые списки рассылки. Вы все еще можете спасти свои старые списки контактов, запустив кампанию по повторному разрешению.

Первое, что вам нужно сделать, это вернуться и проверить, как вы собрали эти старые контакты . Если методы, которые вы использовали для сбора пользовательских данных, соответствуют требованиям GDPR (вы получили надлежащее согласие и у вас есть записи, подтверждающие это), вам НЕ нужно повторно разрешать ваш старый список.

Однако , если ваши старые методы сбора данных не удовлетворяют требованиям согласия GDPR (например, ваш информационный бюллетень НЕ был подписан), вам нужно либо запустить кампанию повторного разрешения, либо очистить свои списки рассылки. Мы сделаем предположение и предположим, что вы не хотите, чтобы вся работа, которую вы вложили в создание своих списков контактов, пропала даром.

Наиболее распространенный метод повторного разрешения — отправить электронное письмо своим старым контактам и сообщить им, что они должны повторно подписаться, если они хотят продолжать получать предложения, информационные бюллетени, обновления или все, на что они подписались изначально.

Вот как Litmus повторно разрешил свои старые списки:

Электронная почта Litmus — отличная модель для кампании по повторному разрешению электронной почты. Формулировка легкая, дружелюбная и прямолинейная. Пользователю предоставляется четкий список того, что он получит, если повторно подпишется, и как отписаться в любое время.

Самая важная часть вашего электронного письма о повторном разрешении — помнить, что если пользователь не соглашается, его данные должны быть удалены. Если вы этого не сделаете, вы, вероятно, столкнетесь с суровыми финансовыми санкциями.

При повторном разрешении будьте осторожны, чтобы не отправить по электронной почте старые списки отказа от подписки. Несколько компаний, в том числе Honda, уже попали в беду из-за того, что рассылали электронные письма пользователям, отписавшимся от подписки.

Электронная почта — не единственный способ повторно разрешить ваши старые контакты. Компания Visual Retailing создала на своем веб-сайте отдельную страницу для подписки пользователей на рассылку:

Опять же, формулировка несложная и ясно представляет ситуацию для старых подписчиков. Пользователям предоставляется подробная информация о том, что включено в информационные бюллетени, как часто они отправляются и как получатели могут отказаться от подписки.

То, как именно вы решите структурировать свои новые механизмы согласия и повторно разрешить старые контакты, во многом зависит от пользовательских данных, которые вы собираете, но если вы будете следовать приведенным выше рекомендациям и примерам, вы будете в хорошей форме.

Все еще запутались? Прочитайте нашу полную статью об отказе от участия, чтобы узнать больше об этих концепциях и их связи с согласием GDPR.

Даже если действия по подписке, формулировка и размещение вашего запроса на согласие полностью соответствуют требованиям GDPR, получение согласия — это только полдела. В соответствии с GDPR вы также должны вести подробный учет согласия ваших пользователей.

Статья 7, раздел 1 гласит:

«Если обработка основана на согласии, контролер должен иметь возможность продемонстрировать, что субъект данных дал согласие на обработку своих персональных данных».

По сути, это означает, что компаниям необходимо вести подробный учет всех пользователей и сведений об их согласии. Это будет особенно полезно в качестве доказательства в случае, если пользователь обвинит вас в сборе его данных без его согласия.

Какая информация должна быть записана?

Записи, которые вы храните в деталях согласия ваших пользователей, должны быть такими же конкретными и подробными, как и само согласие. У вас должна быть следующая запись:

• Кто: Имя, идентификатор пользователя, адрес электронной почты или другие идентификаторы (например, IP-адрес)
• Когда: Отметка времени, когда пользователь дал согласие
• Как: Конкретная форма или место на сайте, где пользователь дал согласие (например, всплывающее окно или форма регистрации)
• Что: На что именно они дали согласие (например, еженедельная рассылка или сторонние предложения)
• Если и когда они отозвали свое согласие

Как разрешить пользователям управлять своим согласием?

В главе 3 GDPR статьи с 15 по 21 охватывают особые права пользователей в отношении собранных от них данных. Среди наиболее примечательных — право пользователя на доступ, изменение, передачу, удаление и возражение против обработки своих данных для конкретных целей в любое время.

Помимо этих прав, пользователи должны иметь возможность легко ими пользоваться — пользователям не нужно прыгать через бесконечный лабиринт экранов настроек и всплывающих окон. Кроме того, инструкции о том, как пользователи могут осуществлять эти права, должны быть четко указаны в вашей политике конфиденциальности.

Если вы еще не создали свою политику конфиденциальности или оптимизировали текущую для GDPR, воспользуйтесь нашим бесплатным образцом шаблона политики конфиденциальности, который поможет вам начать работу.

Хотя эти новые права полезны для пользователей, поскольку они возвращают контроль над своими данными в их руки, они создают уникальные проблемы для предприятий, ответственных за их соблюдение. Как бизнес может предложить эти права, не нанимая специальную команду обслуживания клиентов?

Большинство компаний реализуют эти права, предлагая пользователям центр конфиденциальности. Проще говоря, центр конфиденциальности — это набор страниц, на которых представлены все политики, условия и пользовательские настройки веб-сайта или приложения 9. 0011 .

Ознакомьтесь с фрагментами центра конфиденциальности SnapChat ниже:

Snapchat имеет информативный и удобный центр конфиденциальности. На приведенных выше снимках экрана вы заметите, как они объясняют свои меры конфиденциальности, а также то, как пользователи могут контролировать свою информацию. Их панель управления «Управление моей учетной записью» предоставляет пользователям несколько действий, которые они могут выполнять со своими данными.

Хотя центр конфиденциальности является одним из лучших способов предоставить вашим пользователям контроль над своими данными, если вы владелец малого бизнеса, его создание, скорее всего, не укладывается в ваш бюджет.

К счастью, центры конфиденциальности — это еще не все. Самое главное — вы даете пользователям четкий и простой способ запросить просмотр, передачу, обновление или удаление их данных в любое время.

Termly предлагает такое решение. Наш простой инструмент запроса данных дает владельцам бизнеса простой способ удовлетворить требования статей главы 3 GDPR. С помощью нашего инструмента компании могут предоставить своим пользователям форму для запроса на просмотр, редактирование, передачу или удаление их личных данных .

После того, как пользователь заполнит форму, владельцы бизнеса получат запрос вместе с контрольным списком того, как его решить. В соответствии с GDPR у компаний есть 30 дней, чтобы ответить на запрос.

5. Альтернативы согласию

Как мы упоминали в первом разделе, возможно, что согласие может быть не лучшим оправданием для ваших методов сбора и обработки данных. Поэтому, прежде чем вы решите приступить к реализации стратегий запроса согласия для ваших методов сбора и обработки данных, вам следует рассмотреть другие правовые основы, предлагаемые GDPR.

Есть пять других правовых оснований, которые могут оказаться более применимыми:

• Законный интерес — Наиболее неоднозначное из юридических оснований. Позволяет предприятиям собирать и обрабатывать данные без согласия пользователя, если это не препятствует правам и свободам пользователя. Предприятиям следует провести балансировочный тест, чтобы определить, является ли это подходящей правовой основой. Хотя в GDPR нет ясности, в нем приведены некоторые примеры того, что представляет собой законный интерес:
  • Предотвращение мошенничества
  • Внутренние административные цели (например, расчет заработной платы)
  • Исследование рынка

• Договорная необходимость —  Обработка персональных данных разрешена, если это абсолютно необходимо для оказания услуги или выполнения договора с пользователем (например, обработка номера кредитной карты и контактной информации для предоставления пользователю учетной записи)

• Жизненный интерес пользователя – Применяется, если обработка необходима для защиты жизненно важных интересов пользователя (обычно применяется только в ситуации жизни или смерти)

• Юридическое обязательство — Разрешает обработку персональных данных, если это необходимо для соблюдения закона (например, уголовное расследование или повестка в суд)

• Общественные интересы — Применяется, если необходимо выполнить задачу для официального органа или в интересах общества (на самом деле следует применять только к организациям, связанным с государством)

GDPR охватывает гораздо больше, чем просто согласие. Для получения дополнительных рекомендаций по соблюдению нормативных требований ознакомьтесь с другими нашими ресурсами GDPR:

• Руководство по соблюдению общих правил защиты данных
• Что такое «юридический язык» и почему компаниям следует его избегать?
• 5 инструментов форм, которые помогут вашему сайту соответствовать GDPR
• 5 лучших плагинов GDPR WordPress для соответствия GDPR
• GDPR CRM-соответствие

Попробуйте Termly бесплатно!

Termly — это простое в использовании решение для соблюдения GDPR и управления согласием.

Мы знаем, что соблюдение сложных законов о конфиденциальности данных может сбивать с толку и отнимать много времени; поэтому мы делаем тяжелую работу для вас!

Попробуйте наши генераторы правовой политики и решения для управления согласием на использование файлов cookie БЕСПЛАТНО!

Зарегистрируйтесь бесплатно

Согласие на сбор и обработку персональных данных

Маркетинг без персональных данных остался в прошлом. Теперь, чтобы произвести впечатление на клиентов и продать им товары или услуги, нужно знать о них как можно больше. Под фразой «как можно больше» мы подразумеваем абсолютно все: то, чем пользователи делятся сами, и то, что собирается автоматически. Все кажется в порядке. Как правило, пользователи сами предоставляют персональные данные, например, при регистрации на сайте или согласии на использование файлов cookie.

Cookies —

небольшой фрагмент данных, который отправляется веб-сервером и сохраняется на компьютере пользователя. Например, файлы cookie могут сохранять предпочтительный язык или поведение пользователя на сайте.

Однако вы не можете использовать даже добровольно предоставленную информацию без согласия пользователя. Разберемся, как и зачем собирать и использовать персональные данные, чтобы у клиента не было претензий.

Зачем получать согласие

Персональные данные – это любая информация о пользователе, полученная из различных источников: регистрация в личном кабинете, форма обратного звонка, форма подписки и т. д. Это, например, может быть:

• имя;
• дата рождения;
адрес
• ;
номер телефона
• ;
электронная почта
• ;
• профиль в социальных сетях;
• предпочтения.

В Европе уже давно работает GDPR — Общий регламент по защите данных. Это правила, регулирующие использование и защиту персональных данных граждан ЕС. В частности, они касаются передачи, обработки и хранения персональных данных. Штрафы за нарушение GDPR существенные: они могут достигать до 20 млн евро или 4% от годового дохода компании. Чтобы избежать штрафа в Европе, данные должны правильно собираться, использоваться и храниться.

Основным законом США о спаме является Закон CAN-SPAM. Штрафы, предусмотренные за его нарушение, могут составить более 43 000 долларов.

В целом можно сказать, что американские антиспамовые законы менее строгие, чем европейские. На самом деле они позволяют отправить на любой контакт. Главное, вовремя отписаться от адресов, если захотят.

Но помните, что в некоторых штатах действуют местные правовые акты. Например, Калифорнийский закон о конфиденциальности потребителей (CCPA) в Калифорнии. В соответствии с этим законом жители Калифорнии имеют право:

• знать, какая личная информация собирается и как она используется;
• удалить личные данные;
• отписаться;
• получать товары и услуги независимо от предоставления согласия на сбор и использование их данных.

Максимальный гражданский штраф за нарушение правил CCPA составляет 2500 долларов США.

В Бразилии Общий закон о защите данных (LGPD) практически полностью повторяет основные правила GDPR.

Закон строго регламентирует правила сбора, обработки и хранения персональных данных на территории Бразилии. Таким образом, он защищает не только личные данные граждан Бразилии, но и всех, чьи данные обрабатывались во время их пребывания в Бразилии.

Важно!

Правила LGPD применяются ко всем, кто собирает, хранит или обрабатывает персональные данные в Бразилии, независимо от национальности и местонахождения обработчика данных. Штрафы за нарушение LGPD составят до 13 миллионов долларов или 2% от годового дохода компании-нарушителя.

Я хочу безопасно отправлять рассылки

Как собирать данные

Множество законов и штрафов может сбить с толку: так как правильно собирать и обрабатывать данные? Давайте разберемся.

Прежде всего, запомните следующие моменты.

Политика конфиденциальности

Почти каждый сайт в футере содержит ссылку на политику конфиденциальности. А если вашего сайта нет, то срочно добавить. Политика защищает вас от штрафов и нежелательной блокировки, поскольку она предоставляет информацию о том, почему вы собираете данные, как вы их храните и где вы будете их использовать. Обычно прописывается, какая информация собирается и с какой целью. Составление полиса лучше доверить профессиональному юристу, который хорошо разбирается в законодательстве и поможет правильно оформить документ.

В нашей Политике конфиденциальности вы можете найти всю информацию: какие данные мы собираем, когда и как мы их используем, как данные защищены, как они могут быть удалены и т. д. Этот документ также включает согласие на сбор персональных данных.

Уведомление о файлах cookie

Файлы cookie могут содержать любые данные о пользователе, даже пароли или информацию о платежной карте. Они чаще всего используются для рекламы, маркетинга и продаж. Пользователь, конечно, может отказаться от них, но отключение файлов cookie может вызвать проблемы с просмотром. Вам необходимо уведомить пользователей о том, как вы будете использовать файлы cookie и какими правами обладают пользователи.

При посещении сайта пользователь должен увидеть уведомление о том, что сайт использует файлы cookie. Лучше дать пользователю выбор: кнопку для подтверждения и кнопку для управления настройками.

Флажки

В любой форме на сайте необходимо оставлять пустой чекбокс. Если он заполнен по умолчанию, вы можете получить штраф. Ставя галочку, пользователи дают согласие на обработку своих данных и подтверждают, что ознакомились с политикой конфиденциальности. Текст рядом с флажком должен содержать ссылку на политику.

Специальный запрос Встроенный

Безопасное хранилище данных

Вам также необходимо предоставить пользователям безопасное хранилище всей касающейся их информации. Здесь уже не обойтись без технических специалистов. Они помогут вам настроить управление данными в соответствии с законом.

Double Opt-In

DOI является обязательным элементом для тех, кто занимается маркетингом по электронной почте. Когда вы выполнили все вышеперечисленные действия, законно собрали данные о пользователях и хотите начать общение с ними по электронной почте, торопиться не стоит. В соответствии с вышеизложенным законодательством вам необходимо получить согласие от клиентов на получение информационных бюллетеней. На помощь придет Double Opt-In. Электронное письмо с подтверждением является обязательным сообщением перед началом разговора. Он содержит кнопку, которая подтверждает подписку и дает возможность включить человека в список рассылки.