Обработка персональных данных что это: обработка, защита, согласие на обработку — СКБ Контур

обработка, защита, согласие на обработку — СКБ Контур

В 2021 году значительно выросли штрафы за нарушения в работе с персональными данными. Появились и другие нововведения, которые обеспечили им дополнительную защиту. Так, прояснился вопрос о получении согласия на распространение данных. 

Но начинать разбираться в теме нужно с законодательных основ.

Закон касается всех организаций — и коммерческих, и бюджетных

Персональные данные, как следует из ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных), это любая информация, имеющая отношение к физлицу: информация, указанная в паспорте (ФИО, дата рождения, адрес регистрации, семейное положение и т.д.), а также сведения об образовании, занимаемой должности, зарплате и даже росте, весе, цвете глаз и др.

Закон распространяется на все без исключения организации. Поскольку в каждой есть работники, то их данные так или иначе используются при заключении трудового договора, начислении зарплаты и в других случаях.

Персональные данные вносятся в личные дела сотрудников, которые хранятся у кадровиков.

Персональные данные сотрудника: как с ними работать

Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных. 

Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Компании могут использовать данные различных категорий субъектов

С каждой из категорий субъектов персональных данных компанию связывает определенный тип правоотношений. Некоторые компании обрабатывают персональные данные не только работников, но и клиентов, например, производственные компании.  

Так, компании из сферы услуг (автошколы, салоны красоты, парикмахерские, турагентства) взаимодействуют с клиентами-физлицами, обрабатывая их персональные данные с целью предоставления, например, дисконтных карт. Интернет-магазины собирают данные физлиц, чтобы осуществлять доставку товаров. 

Существует определенная категория лиц, которая не является ни клиентами, ни работниками компании, однако она передает свои данные в организацию, где они хранятся и обрабатываются. К такой категории относятся соискатели, принимающие участие в конкурсе на вакансию и передающие потенциальному работодателю свои персональные данные в виде резюме или анкеты на сайте компании. 

У товариществ собственников жилья нет ни работников, ни клиентов. Это объединение собственников квартир. Существуют и другие виды организаций с подобной структурой и без трудовых или гражданских правоотношений: общественные организации, политические партии, религиозные организации и др.

Обработке подлежат персональные данные, отвечающие целям их обработки

Организациям необходимо иметь представление не только о том, данные каких категорий субъектов они обрабатывают, но и с какой целью они это делают, исходя из специфики деятельности.

Например, у интернет-магазина и автошколы цель обработки данных может заключаться в выполнении условий договора с клиентами. 

Необходимо знать, какие именно данные нужно использовать

Закон требует от компаний понимания, какие именно персональные данные в отношении каждой категории субъектов они обрабатывают. Например, для доставки товара интернет-магазину достаточно знать имя, адрес и телефон покупателя.

Закон запрещает обрабатывать персональные данные, которые не требуются для достижения цели их обработки.

Достигнув цели обработки данных, компания должна прекратить обработку этих данных. Так, если интернет-магазин осуществил доставку товара клиенту, то в дальнейшем ему уже не потребуются его номер мобильного телефона и адрес доставки.

Необходимо понимать, когда требуется согласие на обработку данных

Для каждой категории субъектов (работников, клиентов, соискателей и др.) определяется цель обработки данных. Порой эта цель заключается в выполнении требований определенных законов. В этом случае организация может абсолютно спокойно собирать данные соответствующей категории и обрабатывать их. Так, в отношении работников организации выполняют трудовое законодательство, многие кредитные и финансовые организации обязаны на своем официальном сайте публиковать сведения об аффилированных лицах, ОАО должно размещать у себя на сайте информацию о структуре акционеров. 

Если цель обработки данных какой-то категории субъектов установлена компанией самостоятельно, исходя из специфики деятельности, то она должна взять согласие на обработку персональных данных у субъекта данных (ст. 9 Закона о персональных данных). 

Например, если компания принимает на работу сотрудника по трудовому договору, то по трудовому законодательству она должна знать, как его зовут, какое у него образование. И эти сведения компания может получать у человека без его согласия. Если же компания собралась выплачивать сотруднику зарплату на банковскую карту и планирует передавать сведения о нем в банк, то она обязана взять на это согласие, так как прямого требования передавать персональные данные в банк для выплаты заработной платы в законе нет.

Вовремя примите меры по защите персональных данных

Если интернет-магазин после доставки товара планирует рассылать клиентам СМС-сообщения о скидках, то он должен заранее сформулировать эту цель и взять с клиентов согласие на использование данных именно с этой целью. 

В ч. 1 ст. 15 Закона о персональных данных указано на то, что рекламные контакты с клиентами совершаются только при условии получения их согласия.

Обработка биометрических персональных данных

Закон отдельно выделяет требования для данных, неправомерные действия с которыми могут нанести вред субъекту персональных данных. Речь идет о специальной категории персональных данных (ст. 10 Закона о персональных данных) и биометрических персональных данных (ст. 11 Закона о персональных данных).

К биометрическим данным относятся сведения, которые отражают физиологические особенности человека и необходимы для установления его личности (например, если в компании используются системы контроля доступа).

 

К специальной категории данных относятся сведения о национальной, расовой принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья и интимной жизни. Эти данные выделяются в отдельную категорию, так как закон прямо запрещает их использовать, за исключением ряда случаев (один из них — если субъект дал письменное согласие).

Отдельно закон говорит о передаче данных за границу (ст. 12 Закона о персональных данных).

Требования к обработке персональных данных

С учетом всех базовых принципов, описанных выше, требования к обработке данных можно разделить на три больших блока (ст. 19 Закона о персональных данных):

1. Правовые меры

Организация решает, как будет соблюдать законодательство, оформляет решение в виде внутренних документов, например, Политики в отношении обработки персональных данных, издает приказ, в котором назначает ответственного за организацию процесса обработки персональных данных и т.д.

2.

Организационные меры

Эти меры связаны с деятельностью компании. Закон требует, чтобы Политика в отношении обработки персональных данных была доступна для всех категорий субъектов персональных данных. Ее рекомендуется размещать на информационном стенде, где с ней смогут ознакомиться не только работники, но и клиенты.

По закону любой субъект персональных данных может написать в компанию письмо с требованием уточнить, обрабатывает ли она его данные. Если обрабатывает, то какие данные, с какой целью и на каком основании. Также любой субъект имеет право потребовать прекратить обработку своих персональных данных.

Рассмотрение письма и подготовка ответа на него — деятельность, относящаяся к организационным мерам. О том, как отвечать на такие обращения, уточняется в ст. 20 и ст. 21 Закона о персональных данных. 

3. Технические меры

Связаны с использованием средств защиты информации. Это могут быть как примитивные средства — сургучовые печати, решетки на окнах, так и высокотехнологичные способы — антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты и др.

Чек-лист: что нужно сделать

1. Разобраться, с данными каких категорий субъектов имеет дело бизнес, на каком основании и с какой целью он использует их.
2. Ознакомиться с законом и решить, как будут выполняться требования, отразить это в локальных нормативных актах.
3. Принять соответствующие организационные меры. Например, опубликовать Политику в отношении обработки персональных данных и быть готовыми выполнять те организационные требования, которые необходимы в ходе операционной деятельности.
4. Позаботиться о технических мерах. Стоит отметить, что закон предоставляет бизнесу свободу в выборе технических мер. Что касается госкомпаний, то для них требования по использованию средств защиты информации четко определены и подробно описаны. 

Обработка персональных данных

Для соблюдения требований закона N 152-ФЗ «О персональных данных» (ПДнДля соблюдения требований закона N 152-ФЗ «О персональных данных» (ПДн) школа должна получить от родителей каждого ученика согласие на обработку персональных данных. Без такого согласия мы не сможем вести учет Ваших детей в привычном режиме. 
Мы гарантируем, что данные Ваших детей будут использоваться только для организации образовательной деятельности. Данные об обучающихся используются и передаются в медицинские учреждения (в поликлинику при прохождении диспансеризации, оформлении медицинских справок 086-у, проведения вакцинации), в санитарно-эпидемиологическую службу (при возникновении нештатных ситуаций), охранные службы в экстренных ситуациях (пожар), в военкомат (при постановке юношей на воинский учет), в департамент образования (статистические отчеты, проведение ГИА), администрацию города  (льготное питание, защита интересов детей), в структурные подразделения органов внутренних дел, Комиссию по делам несовершеннолетних, органы опеки, управление социальной защиты населения.

Мы прекрасно понимаем, что определение «общедоступности» вызывает у Вас оправданную настороженность. Со своей стороны, обращаем Ваше внимание на многолетний опыт взаимодействия: все это время мы фактически работали в режиме, который теперь назван общедоступным. Мы используем современные общеизвестные средства защиты от несанкционированного доступа и за все годы ни одной жалобы на утечку информации не поступало. Гарантируем и в дальнейшем заботливо относиться к Вашим персональным данным.

В отношении тех, кто не даст согласие на обработку данных, должна быть выполнена норма 152-ФЗ по блокированию обработки данных: Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных. 
п.5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.  В этом случае персональные данные ребенка блокируются в «Личном деле», исключаются из всех информационных систем школы и отсутствуют во всех учетных документах, заполняемых с начала 2011 года. Ребенок принимает участие только в тех мероприятиях, которые не сопровождаются составлением списка участников.

Обработка персональных данных, предусмотренных настоящим Федеральным законом, осуществляется только с согласия родителей в письменной форме. Лист согласия заполняется родителем (законным представителем) ребенка и прикрепляется к личному делу обучающегося. Согласие на обработку персональных данных будет храниться в школе, его содержание недоступно другим операторам, поэтому распространяться оно будет только на школу. Любой другой оператор персональных данных должен будет независимо получать от Вас разрешение на обработку Ваших персональных данных.

Письменное согласие должно включать в себя:
— фамилию, имя, отчество, адрес родителя (законного представителя), номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, сведения о дате  рождения, месте рождения; (Без этих данных лист согласия недействителен!!!!)
— цель обработки персональных данных;
— перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
— перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных.  Например, в соответствии с п. 38 Порядка проведения единого государственного экзамена проводится автоматизированное распределение участников ЕГЭ и организаторов по аудиториям, если нет согласия на обработку персональных данных, то обучающиеся 11 классов будут отсутствовать в списках выпускников, что приведет к невозможности участия в сдаче ЕГЭ (получения бланков, контрольно-измерительных материалов). Участие в дистанционных конкурсах и олимпиадах (отправка заявки на участие по сети Интернет), выставление на сайте школы информации о победителях олимпиад и конкурсов (Ф.И. обучающегося и фото) и т.д. 
срок, в течение которого действует согласие, а также порядок его отзыва.

Основной целью обработки персональных данных обучающихся является обеспечение наиболее полного исполнения образовательным учреждением своих обязанностей, обязательств и компетенций, определенных Федеральным законом «Об образовании в Российской Федерации».

Целями обработки персональных данных обучающихся являются:

• обеспечение соблюдения законов и иных нормативных правовых актов;
• учет детей, подлежащих обязательному обучению в образовательном учреждении;
• соблюдение порядка и правил приема в образовательное учреждение;
• индивидуальный учет результатов освоения обучающимися образовательных программ, а также хранение архивов данных об этих результатах на бумажных носителях и/или электронных носителях;
• учет реализации права обучающихся на получение образования в соответствии с государственными стандартами в форме самообразования, семейного образования, на обучение в пределах этих стандартов по индивидуальным учебным планам;
• учет обучающихся, нуждающихся в социальной поддержке и защите;
• учет обучающихся, нуждающихся в особых условиях воспитания и обучения и требующих специального педагогического подхода, обеспечивающего их социальную реабилитацию, образование и профессиональную подготовку, содействие  в обучении, трудоустройстве;
• использование в уставной деятельности с применением средств автоматизации или без таких средств, включая хранение этих данных в архивах и размещение в информационно-телекоммуникационных сетях с целью предоставления доступа к ним;
• заполнение базы данных автоматизированной информационной системы управления качеством образования в целях повышения эффективности управления образовательными процессами, проведения мониторинговых исследований в сфере образования, формирования статистических и аналитических отчётов по вопросам качества образования;
• обеспечение личной безопасности обучающихся;
• планирование, организация, регулирование и контроль деятельности образовательного учреждения в целях осуществления государственной политики в области образования.  

Могут ли родители (законные представители) не давать свое согласие на обработку персональных данных ребенка? Чем это грозит?

Школа будет оперировать только фамилией именем и отчеством ребенка, поскольку согласно Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» персональные данные (ПДн) – это данные, позволяющие идентифицировать субъект ПДн. Для того чтобы идентифицировать субъект ПДн, необходима определенная совокупность его персональных данных. Например, на основании только ФИО невозможно идентифицировать субъект. В случае, если помимо ФИО присутствуют дополнительные персональные данные (например, паспортные сведения: дата рождения, адрес и т.д.), такой набор персональных данных позволяет однозначно идентифицировать субъект. Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными, и на их обработку согласие не требуется.
НО! Что делать с Личным делом и Медицинской картой ребенка? Вы их заберете? Даже если нет, то Школа без подписанного вами Согласия не сможет использовать (обрабатывать и распространять) ПДн, а следовательно ПДн ребенка не будут внесены в базы данных ГИА, следовательно, ребенок не сможет сдавать экзамены и не получит документ об образовании. Ребенок не сможет получить медицинское обслуживание, не сможет участвовать (при желании) в олимпиадах и конкурсах и т.д.

Почему в Согласии на обработку ПДн должны указываться паспортные данные родителя (законного представителя)?

Эти данные вносятся на основании статьи 9, п. 4.1 и п. 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Почему в Согласии на обработку ПДн указано, что оно действует бессрочно?

Согласно закона персональные данные хранятся в течение 75 лет, а в некоторых базах данных и дольше. Но Вы в любой момент можете отозвать свое Согласие, например, после того, как Ваш ребенок закончит обучение в нашей школе.

Нормативные документы по защите персональных данных

Федеральный закон от 27 июля 2006 года №152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации»

Федеральный закон от 7 февраля 2017 года № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» — смотреть. ..

Указ Президента Российской Федерации от 6 марта 1997 года №188  «ОБ УТВЕРЖДЕНИИ ПЕРЕЧНЯ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА»

Постановление Правительства Российской Федерации от 17 ноября 2007 года №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Постановления Правительства Российской Федерации от 6 июля 2008 года №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

Постановление Правительства Российской Федерации от 15 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года №55/86/20  «Об утверждении Порядка проведения классификации информационных систем персональных данных»

Приказ Роскомнадзора от 28 марта 2008 г. N 154  «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»

Письмо Рособразования от 3 сентября 2008 года №17-02-09/185 «О представлении уведомлений об обработке персональных данных»

Письмо Рособразования от 27 июля 2009 года №17-110 «Об обеспечении защиты персональных данных»

Приказ Мининформсвязи России от 30 января 2010 г. №18«Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» 

Приказ Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. N 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»

Локальные акты

Политика в области обработки персональных данных  — смотреть. ..

Бланк согласия на обработку персональных данных

Россияне будут давать больше согласий на обработку персональных данных — РБК

Новый закон значительно ужесточает правила обработки и распространения персональных данных лиц для операторов и бизнеса, сообщил РБК Александр Надмитов, управляющий партнер юридической фирмы «Надмитов, Иванов и Партнеры». Так, до обработки персональных данных из открытых источников надо будет убеждаться в том, что человек дал согласие на их распространение. Кроме того, нужно будет проверять наличие условий и ограничений на обработку данных другими операторами, пояснил Надмитов. В новом законе прописаны условия обработки тех персональных данных, которые россияне разрешат распространять, рассказала в беседе с РБК партнер коллегии адвокатов Pen & Paper Екатерина Тягай.

Читайте на РБК Pro

Как будет предоставляться согласие

Россияне смогут предоставить согласие непосредственно оператору или с использованием информационной системы Роскомнадзора, сообщила Екатерина Тягай. В своем специальном согласии субъект должен будет прямо определить перечень персональных данных, которые смогут быть распространены оператором. Оператор обязан будет предоставить субъекту возможность произвести такое определение по каждой категории разрешенных для распространения персональных данных, указанной в согласии на их обработку, рассказала юрист.

Надмитов отметил, что закон не содержит требования об обязательной письменной форме согласия на распространение. По его словам, требования к содержанию согласия на распространение будут установлены Роскомнадзором. На данный момент соответствующих актов регулятора нет. В любом случае операторам придется дополнять и конкретизировать свои стандартные согласия на обработку персональных данных, сказал юрист.

Новый закон особенно затронет владельцев (операторов) онлайн-ресурсов и сервисов, которые позволяют пользователям делиться информацией с неограниченным кругом лиц. Также закон повлияет на тех, кто использует в своей работе информацию из открытых источников, в частности СМИ, компании, использующие системы мониторинга поведения в интернете, считает Надмитов.

Как по новому закону будут удалять персональные данные

Россияне смогут в любое время потребовать прекратить передачу или распространение персональных данных, напомнил о положениях закона Надмитов. Действие согласия на обработку персональных данных прекращается с момента поступления оператору требования их обладателя.

При этом запреты на использование персональных данных не распространяются на случаи обработки информации в государственных, общественных и иных публичных интересах, определенных законодательством, указал юрист.

В начале декабря Ассоциация больших данных (объединяет «Яндекс», Mail.ru Group, Сбербанк, Газпромбанк, мобильных операторов) просила Госдуму не принимать нововведения в закон о персональных данных. Компании опасались, что закон усложнит обработку общедоступных персональных данных. В частности, в заявлении говорилось, что закон может создать правовую неопределенность при использовании данных в тех случаях, когда пользователь дает двум социальным сетям согласие на обработку данных, но с разными параметрами.

Также требования могут привести к дополнительным расходам площадок на доработку интерфейсов, причем российские ресурсы окажутся в невыгодном положении, так как контролировать соблюдение требований иностранцами будет невозможно, считает бизнес. Председатель комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Александр Журавлев отмечал, что изменения могут осложнить работу компаний, которые используют искусственный интеллект и большие данные.

Сроки обработки персональных данных — RPPA

Определение срока обработки персональных данных является важным элементом системы защиты прав и свобод человека и гражданина, а также позволяет операторам избежать обработки избыточного объема данных, сокращая финансовые и иные затраты. Для получения представления о порядке и особенностях определения сроков обработки необходимо рассмотреть как нормы российского законодательства, определяющего сроки обработки персональных данных, так и зарубежный опыт в обозначенной сфере.

В п. 3 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) определено, что обработка персональных данных – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В данном определении законодатель, путем внесения в перечень действий пункта «уничтожение персональных данных», заложил возможность ограничения временного периода обработки персональных данных. Указанное ограничение дополнительно оговорено посредством ч. 7 ст. 5 152-ФЗ, где один из этапов обработки персональных данных – хранение – должен осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Продолжительность других этапов обработки персональных данных также зависит от целей и особенностей обработки, от разнообразия категорий субъектов персональных данных, от количества и структуры информационных систем персональных данных, и от других факторов.

Законодательство (п. 6 ч. 7 ст. 14 152-ФЗ) закрепляет за субъектом персональных данных право на получение информации, касающейся сроков обработки персональных данных, в том числе сроков их хранения, при обращении к оператору или при получении запроса от оператора. В законом установленных случаях оператор обязан направлять в уполномоченный орган по защите прав субъектов персональных данных (в настоящее время уполномоченным органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор) уведомление о своем намерении осуществлять обработку персональных данных, в котором оператор обязан указать срок или условие прекращения обработки персональных данных. 152-ФЗ в п. 1 ч. 3 ст. 23 устанавливает, что Уполномоченный орган имеет право запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию. Уполномоченный орган может воспользоваться этим правомочием, в том числе, и при возникновении необходимости выяснить сроки обработки персональных данных операторами, не направившими в Уполномоченный орган уведомления о намерении осуществлять обработку.

Согласно ч. 1 ст. 14 № 152-ФЗ субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Уполномоченный орган в целях защиты прав субъектов персональных данных и соблюдения законодательства в сфере обработки и защиты персональных данных имеет право требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных, а также принимать в установленном законодательством порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона (п. п. 3, 4 ч. 3 ст. 23 № 152-ФЗ).

Сроки обработки персональных данных, в том числе сроки их хранения, могут быть установлены как по решению самого оператора, так и путем закрепления в соответствующем нормативном правовом акте. В первом случае оператору следует закрепить в локальном нормативном акте (например, в Положении о персональных данных) срок или условие прекращения обработки персональных данных в отношении каждого из существующих перечней персональных данных, обрабатываемых и защищаемых оператором. Во втором случае операторам необходимо будет следовать нормативным правовым актам, императивно устанавливающим срок или условие прекращения обработки. Например, постановление Правительства РФ от 16 октября 2003 г. № 630 «О Едином государственном реестре индивидуальных предпринимателей, Правилах хранения в единых государственных реестрах юридических лиц и индивидуальных предпринимателей документов (сведений) и передачи их на постоянное хранение в государственные архивы…» обязывает органы, осуществляющие государственную регистрацию юридических лиц и индивидуальных предпринимателей, хранить регистрационные дела юридических лиц и индивидуальных предпринимателей, прекративших свою деятельность, в течение 15 лет с даты внесения соответствующих записей в государственные реестры. Аналогичные нормы существуют и в других нормативных актах. В большинстве случаев срок хранения персональных данных варьируется в пределах от 3 до 75 лет, но возможно и постоянное (бессрочное) хранение персональных данных: например, если материальный носитель с зафиксированными на нем персональными данными получает статус документа Архивного фонда Российской Федерации и, в соответствии с законодательством об Архивном деле, подлежит постоянному хранению.

Исходя из всего вышесказанного, представляется возможным сделать следующие выводы:

1. По общему правилу срок обработки персональных данных императивно не установлен. Следовательно, определение срока обработки относится к компетенции оператора, за исключением случаев, прямо установленных в законодательстве;

2. Срок обработки непосредственно связан с достижением или с утратой необходимости достижения оператором целей обработки;

3. Субъекты и Уполномоченный орган имеют право на получение информации от оператора, касающейся срока обработки персональных данных, в том числе срока их хранения;

4. Срок обработки, при определенных законодательством условиях, может быть изменен по требованию субъектов персональных данных или по требованию Уполномоченного органа.

Зарубежное законодательство в сфере персональных данных, также как и российское, не конкретизирует порядок определения и длительность сроков обработки персональных данных. Принцип хранения персональных данных, проходящих автоматическую обработку, в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются, последовательно воплощается в следующих международных актах:

1. Конвенция ETS № 108 от 28 января 1981 года «О защите физических лиц при автоматизированной обработке персональных данных» – см. п. 5 ст. 5.

2. Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 года «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» – см. п. «e» ч. 1 ст. 6.

3. Директива 2002/58/EC Европейского парламента и Совета Европейского Союза от 12 июля 2002 года «О конфиденциальности и электронных коммуникациях» – см. ч. 1 ст. 6.

Соответственно, определение срока обработки по общему правилу носит диспозитивный характер и производится операторами персональных данных самостоятельно. Законодательство европейских стран, большинство из которых подписали и ратифицировали Конвенцию ETS № 108, следует указанному принципу: например, ст. 6 Закона Французской Республики № 78-17 от 6 января 1978 г. «Об информатике, картотеках и свободах», ст. «6b» «Федерального закона о защите данных» ФРГ, принятого 11 мая 2001 г. и т.д. Аналогичный принцип закреплен и в законодательстве многих других стран, не являющихся участниками Конвенции ETS № 108.

Особый интерес представляет «Федеральный закон о защите личных сведений и электронных документов» Канады, принятый 13 апреля 2000 г., включивший в себя разработанный в 1995 г. Канадской ассоциацией по стандартизации «Модельный кодекс по защите персональных данных», где в пунктах 4.5 – 4.5.4 относительно подробно рассматриваются вопросы сроков обработки персональных данных операторами. Так, в п. 4.5 закреплен принцип соответствия срока обработки персональных данных заявленным целям обработки. Кроме того, Закон указывает операторам на необходимость определения минимальных и максимальных сроков хранения персональных данных, а также на возможность законодательного установления сроков хранения. Законодатель обращает внимание на обязанность операторов хранить те персональные данные, на основании которых принимаются решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. Тем самым обеспечивается право субъектов персональных данных на доступ к подобным сведениям, длительность хранения которых на законодательном уровне не регламентируется. Закон предусматривает следующие способы прекращения обработки персональных данных: уничтожение, стирание и анонимизация. Операторы обязываются разработать и принять локальные нормативные акты, закрепляющие порядок прекращения обработки персональных данных, если она более не соответствует заявленным целям операторов.

Сложившуюся ситуацию в сфере определения и обоснования сроков обработки персональных данных операторами следует признать неудовлетворительной. К сожалению, многие операторы пренебрегают необходимостью четко опередить срок обработки и фактически устанавливают режим бессрочной обработки персональных данных, тем самым допуская нарушение действующего законодательства. Некоторые операторы, определяя срок или условие прекращения обработки, не производят соответствующего закрепления данных положений в локальном нормативном акте, что не способствует стабильности системы обработки персональных данных и может вызвать вопросы со стороны Уполномоченного органа.

Положение о защите персональных данных клиентов (абонентов) в ООО «Новотелеком»

1. Термины и определения

1.1. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, адрес электронной почты, телефонный номер, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

1.2. Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование.

1.3. Конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания.

1.4. Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

1.5. Использование персональных данных — действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц.

1.6. Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

1.7. Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

1.8. Обезличивание персональных данных — действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

1.9. Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

1.10. Информация — сведения (сообщения, данные) независимо от формы их представления.

1.11. Клиент (субъект персональных данных) — физическое лицо потребитель услуг ООО «Новотелеком», далее «Организация».

1.12. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящего Положения Оператором признается Общество с ограниченной ответственностью «Новотелеком».

2. Общие положения.

2.1. Настоящее Положение об обработке персональных данных (далее — Положение) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом 152-ФЗ «О персональных данных», Федеральным законом «О связи», Правилами оказания услуг связи, утвержденными иными федеральными законами.

2.2. Цель разработки Положения — определение порядка обработки и защиты персональных данных всех Клиентов Организации, данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

2.3. Порядок ввода в действие и изменения Положения.

2.3.1. Настоящее Положение вступает в силу с момента его утверждения Генеральным директором Организации и действует бессрочно, до замены его новым Положением.

2.3.2. Изменения в Положение вносятся на основании Приказов Генерального директора Организации.

3. Состав персональных данных.

3.1. В состав персональных данных Клиентов , в том числе входят:

3.1.1. Фамилия, имя, отчество.

3.1.2. Год рождения.

3.1.3. Месяц рождения.

3.1.4. Дата рождения.

3.1.5. Место рождения.

3.1.6. Паспортные данные

3.1.7. Адрес электронной почты.

3.1.8. Номер телефона (домашний, сотовый).

3.1.9. Адрес регистрации.

3.1.10. Адрес места жительства.

3. 2. В Организации могут создаваться (создаются, собираются) и хранятся следующие документы и сведения, в том числе в электронном виде, содержащие данные о Клиентах:

3.2.1. Заявка на обследование о возможности подключения физического лица.

3.2.2. Договор (публичная оферта).

3.2.3. Копии документов, удостоверяющих личность, а также иных документов, предоставляемых Клиентом, и содержащих персональные данные.

3.2.4. Данные по оплатам заказов (товаров/услуг), содержащие платежные и иные реквизиты Клиента.

4. Цель обработки персональных данных.

4.1. Цель обработки персональных данных — осуществление комплекса действий направленных на достижение цели, в том числе:

4.1.1. Оказание услуг связи в соответствии с заключенным договором.

4.1.2. Абонентское обслуживание.

4.1.3. Иные действия, направленные на улучшение качества оказания услуг, не запрещенные законодательством, а также комплекс действий с персональными данными, необходимых для исполнения вышеуказанных действий.

4.1.4. В целях исполнения требований законодательства РФ.

4.2. Условием прекращения обработки персональных данных является ликвидация Организации, а также соответствующее требование Клиента о расторжении договорных отношений. Требование абонента о прекращении обработки персональных данных без расторжения договорных отношений не допускается.

5. Сбор, обработка и защита персональных данных.

5.1. Порядок получения (сбора) персональных данных:

5.1.1. Получение (сбор) персональных данных клиента осуществляется в момент подачи заявления о заключении договора.

5.1.2. В случае отсутствия технической возможности оказания услуг связи и заключения договора, полученные персональные данные подлежат уничтожению.

5.1.3. В случае подписания договора об оказании услуг, Клиент выражает свое согласие на обработку персональных данных, требующихся Организации для исполнения обязательств по договору.

5.1.4. Согласие субъекта на обработку персональных данных действует в течение всего срока действия договора, а также в течение срока искововой давности с даты прекращения действия договорных отношений Клиента с Организацией.

5.1.5. Если персональные данные Клиента возможно получить только у третьей стороны, Клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Третье лицо, предоставляющее персональные данные Клиента, должно обладать согласием субъекта на передачу персональных данных Организации. Организация обязана получить подтверждение от третьего лица, передающего персональные данные Клиента о том, что персональные данные передаются с его согласия. Организация обязана при взаимодействии с третьими лицами заключить с ними соглашение о конфиденциальности информации, касающейся персональных данных Клиентов.

5.1.6. Организация обязана сообщить Клиенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Клиента персональных данных дать письменное согласие на их получение.

5.1.7. Организация не имеет права получать и обрабатывать персональные данные Клиента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

5.2. Порядок обработки персональных данных:

5.2.1. Субъект персональных данных предоставляет Организации достоверные сведения о себе.

5.2.2. К обработке персональных данных Клиентов могут иметь доступ только сотрудники Организации, допущенные к работе с персональными данными Клиента.

5.2.3. Перечень сотрудников Организации, допущенных к обработке персональных данных Клиента, определяется приказом Исполнительного директора компании.

5.2.4. Обработка персональных данных Клиента может осуществляться исключительно в целях установленных Положением и соблюдения законов и иных нормативных правовых актов РФ.

5. 2.5. При определении объема и содержания, обрабатываемых персональных данных Организация руководствоваться Конституцией Российской Федерации, законом о персональных данных, законодательством в сфере связи, и иными федеральными законами.

5.3. Защита персональных данных:

5.3.1. Под защитой персональных данных Клиента понимается комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.

5.3.2. Защита персональных данных Клиента осуществляется за счёт Организации в порядке, установленном федеральным законом РФ, локальными организационно-распорядительными документами.

5.3.3. Организация при защите персональных данных Клиентов принимает все необходимые организационно-распорядительные, юридические и технические меры, в том числе:

• Антивирусная защита.
• Анализ защищённости.
• Обнаружение и предотвращение вторжений.
• Управления доступом.
• Регистрация и учет.
• Обеспечение целостности.
• Издание локальных актов, регулирующих защиту персональных данных.

5.3.4. Общую организацию защиты персональных данных Клиентов осуществляет лицо, ответственное за организацию обработки персональных данных Организации.

5.3.5. Доступ к персональным данным Клиента имеют сотрудники Организации, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.

5.3.6. Все сотрудники, связанные с получением, обработкой и защитой персональных данных Клиентов, обязаны подписать Соглашение о неразглашении персональных данных Клиентов.

5.3.7. Процедура оформления доступа к персональным данным Клиента включает в себя:

• Ознакомление сотрудника под роспись с настоящим Положением, Правилами обработки персональных данных в Организации. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление под роспись.
• Истребование с сотрудника (за исключением Генерального директора) письменного обязательства о соблюдении конфиденциальности персональных данных Клиентов и соблюдении правил их обработки в соответствии с внутренними локальными актами Организации, регулирующих вопросы обеспечения безопасности конфиденциальной информации.
• Истребование с сотрудника (за исключением Генерального директора) письменного обязательства о прекращении обработки персональных данных в случае его увольнения с занимаемой должности.

5.3.8. Сотрудник Организации, имеющий доступ к персональным данным Клиентов в связи с исполнением трудовых обязанностей:

• Обеспечивает хранение информации, содержащей персональные данные Клиента, исключающее доступ к ним третьих лиц.
• В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Клиентов.
• При уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Клиентов лицу, на которое локальным актом Общества (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.
• В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию Генерального директора Организации.
• При увольнении сотрудника, имеющего доступ к персональным данным Клиентов, документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию Генерального директора.
• В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией Генерального директора, доступ к персональным данным Клиента может быть предоставлен иному сотруднику. Допуск к персональным данным Клиента других сотрудников Организации, не имеющих надлежащим образом оформленного доступа, запрещается.

5.3.9. Начальник отдела кадров обеспечивает:

• Ознакомление сотрудников под роспись с настоящим Положением.
• Истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных Клиента (Соглашение о неразглашении) и соблюдении правил их обработки.
• Истребование с сотрудников письменного обязательства о прекращении обработки персональных данных, в случае их увольнения с занимаемой должности.
• Общий контроль за соблюдением сотрудниками мер по защите персональных данных Клиента.

5.3.10. Защита персональных данных Клиентов, хранящихся в электронных базах данных Организации, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается техническими службами Организации.

5.4. Хранение персональных данных:

5.4.1. Персональные данные Клиентов на бумажных носителях хранятся в помещениях, определенным Приказами Исполнительного директора Организации.

5.4.2. Персональные данные Клиентов в электронном виде хранятся в локальной компьютерной сети Организации, в электронных папках и файлах в персональных компьютерах сотрудников, допущенных к обработке персональных данных Клиентов, в Информационных системах и электронных базах данных Организации.

5.4.3. Защита доступа к электронным базам данных, содержащим персональные данные Клиентов, обеспечивается:

• Разграничением прав доступа с использованием учетной записи.
• Двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются технической службой Организации и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Клиентов.

5.4.4. Несанкционированный вход в ПК, в которых содержатся персональные данные Клиентов, блокируется паролем, который устанавливается технической службой Организации и не подлежит разглашению.

5.4.5. Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях.

5.4.6. Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов даются только с письменного согласия самого Клиента, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Организации, и в том объеме, который позволяет не разглашать излишний объем персональных данных Клиента. 

6. Блокировка, обезличивание, уничтожение персональных данных

6.1. Порядок блокировки и разблокировки персональных данных:

6.1.1. Блокировка персональных данных Клиентов осуществляется с письменного заявления Клиента.

6.1.2. Блокировка персональных данных подразумевает:

6.1.2.1. Запрет редактирования персональных данных.

6.1.2.2. Запрет распространения персональных данных любыми средствами (e-mail, сотовая связь, материальные носители).

6.1.2.3. Запрет использования персональных данных в массовых рассылках (sms, e-mail, почта).

6.1.2.4. Изъятие бумажных документов, относящихся к Клиенту и содержащих его персональные данные из внутреннего документооборота Организации и запрет их использования.

6.1.3. Блокировка персональных данных Клиента может быть временно снята, если это требуется для соблюдения законодательства РФ.

6.1.4. Разблокировка персональных данных Клиента осуществляется с его письменного согласия (при наличии необходимости получения согласия) или заявления Клиента.

6.1.5. Повторное согласие Клиента на обработку его персональных данных (при необходимости его получения) влечет разблокирование его персональных данных.

6.2. Порядок обезличивания и уничтожения персональных данных:

6.2.1. Порядок обезличивания персональных данных определяется правилами работы с обезличенными персональными данными, утвержденными Приказом исполнительного директора.

6.2.2. Принципы обезличивания персональных данных Клиентов в информационных системах Организации устанавливаются правилами работы с обезличенными персональными данными, утвержденными Приказом исполнительного директора.

6.2.3. Персональные данные на бумажных носителях подлежат уничтожению.

6.2.4. При проведения испытаний информационных систем Организации персональные данные клиентов подлежат обезличиванию.

6.2.5. Организация обязана обеспечить конфиденциальность в отношении персональных данных при необходимости проведения испытаний информационных систем на территории разработчика и произвести обезличивание персональных данных в передаваемых разработчику информационных системах.

6.2.6. Уничтожение персональных данных Клиента подразумевает прекращение какого-либо доступа к персональным данным Клиента.

6.2.7. При уничтожении персональных данных Клиента работники Организации не могут получить доступ к персональным данным субъекта в информационных системах.

6.2.8. Бумажные носители документов при уничтожении персональных данных уничтожаются, персональные данные в информационных системах обезличиваются. Персональные данные восстановлению не подлежат.

6.2.9. Операция уничтожения персональных данных необратима.

6.2.10. Срок, после которого возможна операция уничтожения персональных данных Клиента, определяется окончанием срока, указанным в пункте 7.3 настоящего Положения.

7. Передача и хранение персональных данных

7.1. Передача персональных данных:

7.1.1. Под передачей персональных данных субъекта понимается распространение информации по каналам связи и на материальных носителях.

7.1.2. При передаче персональных данных работники Организации должны соблюдать следующие требования:

7.1.2.1. Не сообщать персональные данные Клиента в коммерческих целях.

7.1.2.2. Не сообщать персональные данные Клиента третьей стороне без письменного согласия Клиента, за исключением случаев, установленных федеральным законом РФ.

7.1.2.3. Предупредить лиц, получающих персональные данные Клиента о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

7.1.2.4. Разрешать доступ к персональным данным Клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиентов, которые необходимы для выполнения конкретных функций.

7.1.2.5. Осуществлять передачу персональных данных Клиента в пределах Организации в соответствии с настоящим Положением, нормативно-технологической документацией и должностными инструкциями.

7.1.2.6. Предоставлять доступ Клиента к своим персональным данным при обращении либо при получении запроса Клиента. Организация обязана сообщить Клиенту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения.

7.1.2.7. Передавать персональные данные Клиента представителям Клиента в порядке, установленном законодательством и нормативно-технологической документацией и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функции.

7.2. Хранение и использование персональных данных:

7.2.1. Под хранением персональных данных понимается существование записей в информационных системах и на материальных носителях.

7.2.2. Персональные данные Клиентов обрабатываются и хранятся в информационных системах, а также на бумажных носителях в Организации. Персональные данные Клиентов также хранятся в электронном виде: в локальной компьютерной сети Организации, в электронных папках и файлах, информационных системах.

7.2.3. Хранение персональных данных Клиента может осуществляться не дольше, чем этого требуют цели обработки, если иное не предусмотрено федеральными законами РФ.

7.3. Сроки хранения персональных данных:

7.3.1. Сроки хранения гражданско-правовых договоров, содержащих персональные данные Клиентов, а также сопутствующих их заключению, исполнению документов соответствует сроку исковой давности, установленному гражданским законодательством РФ.

7.3.2. В течение срока хранения персональные данные не могут быть обезличены или уничтожены.

7.3.3. По истечении срока хранения персональные данные могут быть обезличены в информационных системах и уничтожены на бумажном носителе в порядке установленном в Положении и действующем законодательстве РФ.

8. Права оператора персональных данных

Организация вправе:

8.1. Отстаивать свои интересы в суде.

8.2. Предоставлять персональные данные Клиентов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.).

8.3. Отказать в предоставлении персональных данных в случаях, предусмотренных законом.

8.4. Использовать персональные данные Клиента без его согласия, в случаях предусмотренных законодательством РФ.

9. Права Клиента

Клиент имеет право:

9.1. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

9. 2. Требовать перечень обрабатываемых персональных данных, имеющихся в Организации и источник их получения.

9.3. Получать информацию о сроках обработки персональных данных, в том числе о сроках их хранения.

9.4. Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

9.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.

10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

10.1. Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующем законодательством Российской Федерации и внутренними локальными актами Организации.

Обработка и хранение персональных данных: закон требует, ЦОДы предлагают

Законодательство Российской Федерации в области персональных данных предъявляет строгие требования к обеспечению их безопасности при обработке. Решение части проблем могут взять на себя ЦОДы. 

Сергей СМОЛИН, ведущий юрист, DataSpace

В последнее время у всех на слуху новеллы, вносимые законодателем в правовое регулирование действий по обработке и хранению персональных данных граждан. Изменения в Федеральном законе «О персональных данных» (№ 152-ФЗ) направлены на ужесточение контроля за операторами, обрабатывающими такие данные. Помимо введения обязанности хранить персональные данные российских граждан только на территории РФ, законодатель расширил полномочия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), на которую возложен контроль за операторами, обрабатывающими персональные данные граждан. Указанные изменения в той или иной степени затрагивают деятельность широкого круга участников экономического оборота — от небольших интернет-магазинов до операторов центров обработки данных.

Какие данные — персональные?

В соответствии с п. 1 ст. 3 152-ФЗ персональными данными является «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу», т.е. любая информация, при помощи которой можно идентифицировать личность. Как правило, к персональным данным относят: ФИО, дату и место рождения, паспортные данные, физические характеристики, контактную информацию и т.д. — перечень подобных сведений достаточно широк, но не является исчерпывающим.

Кто является оператором?

Понятие «оператор» в значении, определенном в 152-ФЗ, значительно шире, чем мы привыкли считать. Согласно п. 2 ст. 3 упомянутого закона, оператор — это «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».

Персональные данные граждан в той или иной степени получает, обрабатывает и хранит практически каждая компания — при приеме на работу новых сотрудников или при переписке с клиентами — и любая из них может быть признана оператором персональных данных. Операторов можно разделить на две группы: на тех, которые обязаны уведомлять Роскомнадзор об обработке персональных данных, и тех, которые делать это не обязаны.

Кто не обязан уведомлять Роскомнадзор?

Перечень действий по обработке персональных данных, которые не требуют уведомления Роскомнадзора, приведен в ст. 22 152-ФЗ. К таким действиям относятся действия юридических лиц, которые получают и обрабатывают персональные данные граждан в следующих случаях:

1. Для исполнения требований трудового законодательства.
2. При заключении компанией договора с физическим лицом.
3. Если персональные данные содержат только ФИО граждан.
4. Если персональные данные раскрываются для предоставления разового пропуска.
5. Если персональные данные обрабатываются без использования компьютера.
6. Если персональные данные обрабатываются в целях транспортной безопасности.

Во всех перечисленных случаях компания не обязана уведомлять уполномоченный орган о том, что осуществляет сбор, обработку и хранение персональных данных. Тем не менее всегда существует риск того, что компания неумышленно может осуществлять такую обработку персональных данных, которая влечет за собой обязанность уведомлять Роскомнадзор.

Кто обязан уведомлять Роскомнадзор?

К таким операторам относятся компании, которые обрабатывают персональные данные на постоянной основе. В эту категорию попадают владельцы сайтов с регистрацией пользователей (с указанием ФИО, электронной почты и телефона), туристические агентства, банки, розничные магазины с клубными картами, медицинские клиники, бизнес-центры и т.п. 

Список компаний и организаций, обязанных уведомлять Роскомнадзор об обработке персональных данных, не является исчерпывающим. Часто компании, получая персональные данные граждан, не осознают, что их обработка регулируется законом. 

Что должен делать оператор?

Если компания относится к первой группе, то никаких действий предпринимать не требуется. Операторы персональных данных, входящие во вторую группу, должны подготовить необходимый пакет документов (перечень можно найти на сайте Роскомнадзора) и направить их в ведомство для внесения компании в реестр операторов персональных данных.

В настоящий момент в этом реестре зарегистрировано почти 370 тыс. компаний. Процедура регистрации не сложна, но после внесения в реестр оператор должен будет следить за изменениями, вносимыми в ФЗ «О персональных данных». Такие изменения могут повлечь необходимость подачи дополнительных документов в Роскомнадзор. Неуведомление уполномоченного органа об обработке персональных данных может привести к серьезным последствиям.

Каковы последствия нарушения требований закона?

В первую очередь компании необходимо оценить риск того, что факт обработки персональных данных, не подпадающий под ст.  22 152-ФЗ, будет выявлен Роскомнадзором. Если компания однократно произвела обработку персональных данных и работа с такими данными не является для нее постоянной, то риск привлечения к ответственности относительно низок. 

Большинство ИT-компаний являются операторами персональных данных и максимально вовлечены в процесс их обработки. В связи с этим велика вероятность проверки Роскомнадзором соблюдения ими положений 152-ФЗ.

Роскомнадзор может привлечь к ответственности сотрудников, руководителя компании и саму компанию. Как правило, за различные выявленные нарушения — от нарушения порядка сбора, хранения и обработки информации о гражданах до несоответствия требованиям лицензий — на оператора персональных данных накладывается целый ряд штрафов. Крупные игроки ИT-индустрии помимо штрафов подвержены репутационным рискам, которые трудно оценить в денежном выражении. Центр обработки данных или оператор связи, не способный надлежащим образом организовать обработку персональных данных, может вызвать сомнение у потенциальных клиентов.  

Необходимо также учитывать, что проверки Рос­комнадзора могут быть не только плановыми, но и организованными по заявлению третьих лиц или сотрудника компании, который сочтет, что при обработке персональных данных были нарушены его права.

Что могут обеспечить ЦОДы?

Организация надлежащей работы с персональными данными, требующаяся от любой ИT-компании, должна быть многосторонней. Она должна охватывать как юридические направления (правовые аспекты получения персональных данных), так и практические (организация процедуры хранения персональных данных, ведения журналов доступа к персональным данным и т.д.).

Логика законодательного ужесточения требований к процедурам обработки персональных данных обусловлена в первую очередь необходимостью обеспечения безопасности граждан. С каждым годом все больше персональных данных вовлекается в оборот во всемирной сети: номера телефонов, данные банковских карт, личная переписка — и все они должны храниться надежно. Многие компании передают хранение персональных данных специалистам — профессиональным операторам связи и дата-центрам. В такой ситуации сохранность персональных данных зависит от правильного выбора поставщика услуг. Центр обработки данных, имеющий не только отказоустойчивую инфраструктуру, но и надежную физическую охрану, в полной мере способен обеспечить защиту серверов клиентов и не допустить несанкционированного доступа к персональным данным. По этой причине большинство банков и крупных компаний доверяют хранение персональных данных ЦОДам высокого уровня надежности.

Пресс-центр

Обработка персональных данных из резюме — Статьи — INTELLECT

26 марта 2021

Для обработки персональных данных, указанных соискателем в резюме, нужно подобрать правильное правовое основание.

На первый взгляд, правила обработки сведений из резюме нужно искать в главе 14 Трудового кодекса. Но нет.

Вопросы поиска сотрудников не урегулированы Трудовым кодексом. Закон РФ от 19 апреля 1991 г. №1032-1 «О занятости населения в Российской Федерации» также умалчивает об обработке персональных данных при поиске работы.

Поэтому обработка персональных данных должна осуществляться в соответствии с общими правилами законодательства о персональных данных.

Это означает, что для рассмотрения резюме необходимо получить согласие на обработку персональных данных соискателя.

Общий порядок получения и хранения согласий соискателей нужно прописать в локальных актах с учетом специфики работодателя.

Форма согласия обработку персональных данных соискателей

Письменная форма согласия на обработку персональных данных необходима только в пяти случаях, прямо предусмотренных законом: статьи 8, 10,11, 12, 16 ФЗ «О персональных данных». Требования к письменной форме согласия изложены в части 4 статьи 9 Закона «О персональных данных».

Нам же интересна статья 10, которая касается обработки специальных категорий персональных данных:

• расовой, национальной принадлежности;
• политических взглядов;
• религиозных или философских убеждений;
• состояния здоровья, интимной жизни.

Такие персональные данные иногда встречаются в резюме.

Биометрические данные я в этом контексте не рассматриваю, так как мне сложно представить ситуацию, в которой соискатель отправляет потенциальному работодателю отпечатки своих пальцев в своем резюме.

Если в анкете для трудоустройства предусмотрено раскрытие специальных категорий персональных данных, то их обработка возможна только при наличии письменного согласия.

Фотография в нашем контексте к персональным данным не относится, поскольку не преследует цели идентификации субъекта. Фото в резюме — это изображение гражданина, согласие на использование которого дается статьей 152. 1 Гражданского кодекса.

В остальных случаях согласие возможно в любой форме, позволяющей подтвердить факт его получения.

Резюмирую: за исключением случаев, когда в резюме требуется указать специальные категории персональных данных, допускается любая форма согласия на обработку персональных данных.

Как получить согласие на обработку персональных данных соискателя

Резюме чаще всего отправляются по электронной почте — или же соискатель заполняет анкету работодателя на сайте.

Вопросов к сайту обычно не возникает: чекбокс рядом с кнопкой «отправить» и ссылка на текст согласия «я согласен на обработку персональных данных» — согласие получено, подтверждение есть.

Резюме размещено на сайте по поиску работы

Соискатель, загружая свое резюме на специализированные сайты, обычно дает этому сайту согласие на обработку его персональных данных в целях получения предложений о работе.

Другой вопрос, что отклик на вакансию будет легален в случае использования возможностей самого сайта.

Что я имею в виду под «легальностью». Как правило, сайты с вакансиями не получают согласие соискателей на включение его кандидатуры в вашу базу. Поэтому с идеей скопировать себе на компьютер резюме с контактами, а потом обзванивать или писать соискателям — нужно быть очень осторожными.

Еще бывают случаи парсинга базы данных лидеров кадрового рынка. И далеко не факт, что на сайт, где вы нашли будущего работника, резюме загрузил сам сотрудник.

А пункт 10 части 1 статьи 6 Закона «О персональных данных» об обработке персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, с 1 марта 2021 года утратит силу.

В любом случае последствия разгребать работодателю.

Резюме прислал сам соискатель на электронную почту

В этом случае нужно быть немного внимательнее и осторожней. Впрочем, как и всегда.

Вы заранее не знаете, какой объем персональных данных будет указан в резюме, поэтому и согласие получить не можете. Напомню, что в согласии должен быть определен объем персональных данных и цели обработки.

Чтобы увидеть, какие персональные данные указал соискатель, нужно открыть резюме. А в смысле 152-ФЗ — это уже обработка, на которую нет согласия… Парадокс? Нет. Это персональные данные Шредингера: они одновременно и существуют и нет.

Вижу следующий вариант. В тексте вакансии, рядом с вашей электронной почтой, можно написать: «Отправляя резюме, вы даете свое согласие на обработку персональных данных в объеме, указанном в резюме».

После получения резюме, ответным письмом попросите соискателя подтвердить согласие на обработку персональных данных. В этом же письме разъясните последствия отказа: вы не сможете обработать резюме и принять решение о приеме на работу. После получения положительного ответа соискателя — приступайте.

В противном случае, как еще в 2012 году разъяснял Роскомнадзор,

при поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее, не представляется возможным, данное резюме подлежит уничтожению в день поступления.

Порядок уничтожения персональных данных работников и иных лиц должен быть закреплен локальных актах работодателя. С актами должны быть ознакомлены все заинтересованные лица.

Персональные данные родственников в анкете соискателя

Мнение об обработке сведений о родителях, супругах и детей соискателя Роскомнадзор уже озвучивал. Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласие от самих родственников.

В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников. Например, сообщить о необходимости проверки конфликта интересов.

То есть мнение регулятора однозначно: без согласия родственников на обработку их персональных данных не обойтись.

Срок хранения согласия на обработку персональных данных соискателей

В 2012 году Роскомнадзор опубликовал разъяснения об обработке персональных данных соискателей.

В этом документе было указано:

В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством о государственной гражданской службе, где срок хранения персональных данных соискателя определен в течение 3 лет.

Такой срок обусловлен тем, что при достижении цели обработка персональных данных должна быть прекращена на основании части 4 статьи 21 Закона «О персональных данных».

Если же соискатель принят на работу, то его персональные данные будут обрабатываться уже в рамках трудового законодательства, в пределах, предусмотренных локальными актами или договором.

Вместо выводов: зачем вообще нужно этим заниматься?

Обиженные отказом соискатели могут из вредности пожаловаться на нарушение порядка обработки персональных данных. Жалуются ведь на дискриминацию в вакансиях, и тут грех не написать пару строк на сайте Роскомнадзора — пусть разбираются. Даже идти никуда не надо. Ему, а не работодателю. Последнему как раз и придется набегаться и написать ворох пояснений.

Ну, и штрафы, само собой.

Источник: mediapravo.com, блог Михаила Хохолкова, INTELLECT

Статьи экспертов юридической фирмы INTELLECT >>

кадровое делопроизводство, персональные данные, трудовое право

Обработка персональных данных | Офис омбудсмена по защите данных

Под обработкой персональных данных понимаются такие действия, как сбор, хранение, использование, передача и раскрытие персональных данных. Все действия с персональными данными, от планирования обработки до удаления персональных данных, представляют собой обработку персональных данных.

Все данные, относящиеся к идентифицированному или идентифицируемому лицу, являются персональными данными.Такая информация, как имена, номера телефонов, данные о местонахождении и информация о врожденных заболеваниях бабушек и дедушек человека, составляет персональных данных .

Контролер — физическое лицо или организация, определяющая цели и средства обработки персональных данных. Контролером может быть ассоциация, собирающая информацию о своих членах, больница, обрабатывающая истории болезни, интернет-магазин или служба социальных сетей.

Обработчик — это физическое лицо или организация, которые обрабатывают персональные данные от имени контролера.Обработчиком может быть маркетинговое агентство, занимающееся маркетингом другой компании, или поставщик ИТ-услуг, имеющий доступ к персональным данным, собранным контролером.

Принципы защиты данных и обработка персональных данных

Персональные данные всегда должны обрабатываться в соответствии с принципами защиты данных, указанными в законодательстве о защите данных.

Принципы защиты данных гласят, что персональные данные должны быть

• обрабатывается законно, справедливо и прозрачно по отношению к субъекту данных обрабатывается конфиденциально и безопасно
• собраны и обработаны для конкретной и законной цели
• собирается только на сумму, необходимую для цели обработки
• обновляется по мере необходимости ‒ неточные личные данные должны быть удалены или исправлены без промедления и
• хранится в форме, позволяющей идентифицировать субъектов данных, не дольше, чем это необходимо для целей, для которых обрабатываются персональные данные.

Принципы обработки персональных данных: 9 принципов обработки GDPR

Обзор принципов обработки персональных данных в соответствии с Общим регламентом по защите данных (GDPR) , а также где и как принципы, относящиеся к обработке персональных данных, имеют значение для обеспечения соответствия GDPR, начиная со статьи 5 GDPR и далее .

Чтобы добиться соответствия GDPR, важно понимать суть GDPR в оценке персональных данных и возвращении контроля над персональными данными гражданам намного лучше, чем его предшественница, Директива о защите данных или Директива 95/46/EC.

Эти цели и соответствующие права, свободы и принципы GDPR выражаются не только в новых или усиленных принципах и обязанностях контролеров и процессоров, но и в экстерриториальном применении GDPR (в соответствии с которым все организации, приобретающие и обрабатывающие затрагиваются личные данные граждан ЕС, независимо от того, где происходит обработка) .

Хотя многие права и правила субъектов данных, касающиеся правовых основ для законной обработки персональных данных граждан ЕС, не слишком изменились, важно понимать, как новые правила вписываются в рамки упомянутых целей и общих принципов. что подчеркивает GDPR.

Это также относится к принципам обработки персональных данных, теме этой статьи.

Установление принципов обработки персональных данных

Очевидно, что существует также определенная степень «обновления», чтобы больше соответствовать современным средствам обработки данных и действиям с GDPR, и ЕС хочет гораздо более последовательного подхода, применения и обеспечения соблюдения для организаций в рыночной реальности, где большие данные и персональные данные необходимы во времена цифровой трансформации, инноваций, основанных на данных, новых технологий, таких как Интернет вещей и Индустрия 4.0.

Тем не менее, принципы, права и свободы вездесущи и упоминаются практически во всех аспектах GDPR, касается ли это роли DPO (сотрудник по защите данных) , правил о согласии (информированное, добровольно данное, активное, и т. д.) или способы демонстрации соответствия утвержденным методам обеспечения безопасности и обработки данных, таким как шифрование и псевдонимизация, важность DPIA, кодексов поведения и т. д.

Соблюдение GDPR начинается с осведомленности о GDPR, понимания прав субъектов данных, выбора надлежащих оснований для законной обработки для всех действий по обработке данных и понимания принципов, закрепленных в Регламенте, включая принципы, касающиеся обработки персональных данных. .

Ранее мы рассмотрели различные юридические основания для законной обработки и подробно остановились на некоторых из них. Получение согласия или наличие иного законного основания для правомерной обработки, конечно же, является лишь одним из шагов, когда речь идет об обработке персональных данных.

Когда существуют правовые основания, обработка все равно должна происходить, и действительно существуют четкие принципы, касающиеся фактической обработки персональных данных. Эти принципы обработки персональных данных всегда связаны с общими принципами (и часто включают в себя) , такими как справедливость, прозрачность, свобода выбора и многое другое.

Шесть и девять принципов обработки персональных данных

Принципы обработки персональных данных в соответствии с GDPR можно найти в статье 5 GDPR. Мы рассмотрим 9 принципов обработки персональных данных и кратко рассмотрим каждый из них, прежде чем углубляться в каждый из них.

Почему принципы обработки персональных данных имеют значение (большое)?

Причины, по которым эти принципы обработки персональных данных необходимы?

Касается ли это самого GDPR, руководящих принципов Европейского совета по защите данных или надзорных органов, судебной практики, практических аспектов для организаций в соответствии с GDPR или толкования прав, обязанностей и многого другого: они всегда есть, как важные руководящие принципы, содержащиеся в Регламенте, которыми на самом деле являются принципы, касающиеся обработки персональных данных.

Как мы упоминали в нашем обзоре главы 2 GDPR, к которой относятся принципы обработки персональных данных, изложенные в статье 5, на самом деле существует шесть принципов обработки персональных данных (которые иногда также называют шестью принципами обработки данных или шестью принципами конфиденциальности) и дополнительный (в пункте 2) об ответственности, который применяется ко всем шести.

Некоторые из этих принципов, так сказать, связаны друг с другом. Например: первым принципом обработки персональных данных, который упоминается в статье 5, является «законность, справедливость и прозрачность» .

В рамках этой статьи мы упомянем некоторые из них отдельно, потому что, хотя они тесно переплетены (а также переплетены с другими принципами и правилами GDPR) , они возвращаются по отдельности в GDPR. Более того, Рабочая группа по защите данных в соответствии со статьей 29 и другие разработали руководящие принципы (не имеющие обязательной юридической силы ) для одного или нескольких из этих трех, которые упоминаются как единое целое в статье 5 GDPR. Например, WP29 опубликовала руководящие принципы. на прозрачность.

Поскольку мы разделили некоторые из них, а также включили подотчетность, мы получили 9 принципов.

Место принципов обработки персональных данных в GDPR

Важность принципов, касающихся обработки персональных данных, также трудно не заметить, учитывая их место в статье 5 GDPR.

Если в главе 1 GDPR есть 4 статьи, которые соответственно охватывают предмет и цели GDPR (подчеркивая основные права и свободы физических лиц и право на защиту персональных данных, при этом в части 4 GDPR представлен принцип пропорциональности, утверждающий что защита персональных данных должна быть сбалансирована с другими правами и свободами, такими как свобода мысли и самовыражения) , существенным охватом GDPR, территориальным охватом (с упомянутым экстерриториальным применением) и несколькими определения в статье 4, второй главе статей GDPR, сразу начинается с принципов, касающихся обработки персональных данных, до ранее упомянутых правовых оснований для законной обработки статьи 6, условий согласия статьи 7, согласия детей в Статья 8, обработка специальных категорий персональных данных в статье 9 и обработка персональных данных, относящихся к o уголовное преступление в статье 10 и обработка, когда не требуется идентификация в статье 11, которые являются частью главы 2.

9 принципов обработки данных в деталях

Пока достаточно о важности принципов обработки персональных данных. Мы уже упоминали о законности, справедливости и прозрачности. Время для обзора всех принципов обработки персональных данных и контекста для каждого принципа.

Принцип законности обработки персональных данных

Статья 5 GDPR начинается с того, что персональные данные должны обрабатываться законно, справедливо и прозрачно по отношению к субъекту данных.Итак, законность, справедливость и прозрачность.

Принцип законности говорит сам за себя. Обработка персональных данных должна осуществляться законным способом и, таким образом, иметь правовую основу, которая делает обработку законной. Законность действительно относится к юридическим основаниям для законной обработки, которые мы рассмотрели, но также, в этом смысле, к фактической обработке. Законность нужно толковать строго: должен быть закон, разрешающий обработку. Действительно, есть случаи, когда существуют другие законы, кроме GDPR, в ЕС или в государстве-члене, которые требуют обработки персональных данных.Более того, иногда существенных правовых оснований для законности обработки персональных данных недостаточно. В качестве примера: хотя согласие является одним из юридических оснований, в некоторых случаях требуется прямое согласие.

В статье 6 GDPR дополнительно устанавливаются ключевые элементы законности, и по всему тексту определяются правила для конкретных типов персональных данных, действий по обработке и последствий, прав, обязанностей и административных штрафов в случае незаконной обработки, а также когда основания законности уже недействительны.

Шесть принципов обработки персональных данных в статье 5 GDPR — источник и любезность GDPR Awareness Coalition

GDPR Recital 10 предусматривает свободу маневра для государств-членов, чтобы указать свои правила, среди прочего, в отношении обработки конфиденциальных данных и уточнения условий, при которых обработка персональных данных считается законной.

Хотя законность чаще всего упоминается в контексте правовых оснований для законной обработки, законность, как сказано, также относится к фактической обработке.

В качестве примера: GDPR и GDPR Recital 83 обязывают контролера и процессора оценивать риски и рекомендовать такие меры, как шифрование, для обеспечения надлежащего уровня безопасности и конфиденциальности, при этом незаконное уничтожение является одним из нескольких рисков безопасности данных. Раскрытие персональных данных, передача данных, хранение данных и т. д. должны осуществляться законным образом в том смысле, что все эти действия по обработке соответствуют закону, который включает в себя, в первую очередь, GDPR, но также и другие.Здесь мы особенно думаем о Регламенте электронной конфиденциальности, который является «lex specialis» для GDPR и затрагивает несколько операций обработки данных, когда он существует, в основном в сфере электронных коммуникаций.

Принципы обработки персональных данных: принцип справедливости

Справедливость по-прежнему является частью этого положения о том, что персональные данные должны обрабатываться законно, справедливо и прозрачно в соответствии со статьей 5 GDPR. Как вы можете видеть на инфографике выше, они действительно часто представлены в виде пакета со ссылкой на шесть вместо семь (если добавить ответственность) или восемь принципов.

Однако и здесь справедливость и принцип справедливости несколько раз повторяются в GDPR. Проще говоря, справедливость означает, что должен быть справедливый баланс между персональными данными, которые обрабатывают организации, а также причинами, по которым они их обрабатывают (которые вернутся позже) и тем, что они сказали, а также пообещали и описали (также подумайте о праве субъекта данных быть четко информированным и никоим образом не введенным в заблуждение) .

Это должна быть честная игра.В наших статьях о GDPR и согласии, а также о GDPR и правовых основаниях для обработки мы привели несколько примеров последнего.

Организация, которая хочет соответствовать требованиям и хочет обрабатывать персональные данные со всей справедливостью по отношению к субъекту данных, который контролирует данные, не скрывает ничего и не прибегает к уловкам: она предлагает всю информацию, которую субъект данных должен иметь в чтобы принять действительно свободное решение, в нем говорится, какие типы персональных данных обрабатываются и почему (конечно, при их получении) , а также рассказывается, кто это, как субъекты данных могут связаться по поводу своих персональных данных, какие у них есть права , каковы последствия обработки, безусловно, в рамках автоматизированного принятия решений и профилирования и так далее.

Декларация 71 GDPR подчеркивает справедливость обработки в контексте автоматизированной обработки и профилирования, Декларация 60 GDPR ставит информационные обязанности контролеров на фоне справедливости и когда согласие является правовым основанием для законной обработки GDPR Recital 42 (об обязанности контроллера, чтобы иметь возможность продемонстрировать, что согласие было дано) прямо указывает, что заявление о согласии не должно содержать несправедливых условий.

Прозрачность – обязанность быть прозрачным в рамках принципов обработки данных

Третьим и последним из этого первоначального набора принципов, касающихся обработки персональных данных, является прозрачность.

Этот принцип пересекается со многими элементами справедливости. Прозрачность, например, также четко подчеркивается в контексте профилирования, информационных обязанностей и демонстрации согласия. Прозрачность означает объяснение того, по каким причинам организации обрабатывают какие персональные данные.

Однако прозрачность также необходимо рассматривать в отношении способов выполнения обязательств по информации и коммуникации в отношении субъекта данных. Прозрачность требует, чтобы информация и общение с субъектом данных не просто происходили (что также является частью принципа прозрачности) , но также осуществлялись таким образом, чтобы субъекты данных могли это понять, например, указывая на тот факт, что язык легко понять и что информацию легко найти и получить к ней доступ, благодаря чему контекст (т.g канал связи, носитель информации и др.) имеет значение. Кроме того, следует избегать использования длинных текстов, наполненных языком, понятным только юристам, поскольку информация должна быть краткой.

Наконец, что не менее важно, принцип прозрачности также применяется к способам, которыми субъекты данных могут осуществлять свои права (найти способы сделать это также должно быть легко) и еще больше играет роль в контексте персональных данных детей где язык и стиль общения должны быть еще более адаптированы. Сделайте его открытым, сделайте его ясным и дайте субъекту данных возможность находить, знать и делать все, что необходимо знать и делать, не усложняя это.

Как уже упоминалось, Рабочая группа по защите данных в соответствии со статьей 29 опубликовала руководство по прозрачности в соответствии с GDPR .

В рекомендациях подробно рассматриваются элементы прозрачности в соответствии с GDPR, в том числе понятия «краткий, прозрачный, понятный и легкодоступный» и «четкий и понятный язык» , способы и контекст предоставления информации и коммуникации, предоставления информация для детей и тот факт, что предоставление информации в рамках нескольких статей Общего регламента по защите данных (статьи 13 и 14, статьи о правах субъектов данных и обязанности уведомления об утечке данных по отношению к субъектам данных) должно быть бесплатным .В руководящих принципах также подробно рассматриваются статьи GDPR и 14 в отношении информации, которую необходимо предоставить субъектам данных, и многое другое.

Что касается значения прозрачности, руководство указывает на GDPR Recital 39:

«Для физических лиц должно быть ясно, что личные данные, касающиеся их, собираются, используются, консультируются или обрабатываются иным образом, а также в какой степени личные данные обрабатываются или будут обрабатываться. Принцип прозрачности требует, чтобы любая информация и сообщения, связанные с обработкой этих персональных данных, были легко доступны и понятны, а также чтобы использовался ясный и простой язык.

Этот принцип касается, в частности, информации для субъектов данных о личности контролера и целях обработки, а также дополнительной информации для обеспечения справедливой и прозрачной обработки в отношении заинтересованных физических лиц и их права на получение подтверждения и сообщения персональных данных о них, которые обрабатываются…».

Ограничение цели как принцип обработки данных

Ограничение цели является вторым принципом статьи 5 GDPR в отношении принципов обработки персональных данных, если вы придерживаетесь подхода «шести принципов». Мы уже рассмотрели это более подробно при решении вопроса о согласии. Тем не менее, вот краткий обзор того, что означает ограничение цели.

Каждое действие по обработке данных, относящееся к персональным данным, преследует одну или несколько целей. Различные действия по обработке данных могут иметь одну цель.

Основной принцип ограничения цели состоит из нескольких связанных с целью элементов:

• При сборе персональных данных они должны служить определенной, явной и законной цели (здесь также играет роль законность)
• После сбора персональные данные не должны явно обрабатываться способом, несовместимым с целями (которые сообщаются субъекту данных) .
• Когда персональные данные обрабатываются по особым причинам, указанным в статье 89 Общего регламента по защите данных (например, дальнейшая обработка в целях архивирования в общественных интересах) , эта обработка не считается несовместимой с первоначальными целями.

Однако ограничение цели простирается дальше, чем эти 3 элемента. Логично, что персональные данные не могут обрабатываться для каких-либо других целей, кроме тех, которые были указаны субъекту данных во время сбора. Не менее логично, что когда со временем цели меняются, это имеет последствия, за исключением упомянутых конкретных причин.

Несмотря на исключения из принципа ограничения цели, здесь важны детали. Определенная, явная и законная цель не просто означает, что должна быть цель, это также буквально означает, что цель должна быть ограничена.

Это особенно актуально в контексте согласия (поэтому мы рассмотрели его здесь) , когда различные цели не могут быть объединены и необходима детализация. Проще говоря: в зависимости от объема и цели действия по обработке данных вам необходимо выбрать соответствующее юридическое основание, и вы не должны смешивать различные цели с некоторыми исключениями.Самое главное, цель во время сбора должна совпадать с целью обработки, а когда цель отличается, организации должны проверить свои обязанности.

Когда действия по обработке происходят на других правовых основаниях (например, в соответствии с юридическим обязательством, как указано в Декларации 45 Общего регламента по защите данных) , тогда могут действовать другие правила, касающиеся цели и ограничения цели (в примере юридического обязательства ограничения цели могут, например, определяется законодательством ЕС или государства-члена, на которое распространяется юридическое обязательство) .

Конечно, об ограничении целей можно сказать больше, но в пункте 39 GDPR ясно сказано: «Конкретные цели, для которых обрабатываются персональные данные, должны быть явными и законными и определяться во время сбора персональных данных. Персональные данные должны быть адекватными, актуальными и ограничиваться тем, что необходимо для целей, для которых они обрабатываются».

Представление о 7 принципах обработки персональных данных GDPR – с учетом ответственности контроллера за 6 добавленных принципов – источник и любезность Serve IT

Принцип минимизации данных при обработке персональных данных

Только что упомянутая цитата из GDPR Recital 39 (второе предложение) является точным описанием минимизации данных: у вас есть цель обработки персональных данных, у вас есть потребность в персональных данных, которые служат этой цели, но вы не можете помимо обработки данных, которые строго необходимы и актуальны.

Адекватность и ограниченность просто означают: не более того, что действительно необходимо. Этот принцип минимизации данных обязывает организации ограничивать себя минимумом персональных данных, которые им необходимы в рамках деятельности по обработке и ее цели (целей).

GDPR Recital 39 основывается на этом (как и статьи GDPR) и предусматривает гарантии соблюдения как ограничения цели, так и минимизации данных, что, в свою очередь, приводит нас к большему количеству принципов обработки персональных данных, таких как ограничение хранения (см. ниже).

В статье 25 GDPR еще раз подчеркивается обязательство принимать «соответствующие технические и организационные меры», пропорционально (в контексте защиты данных по замыслу и по умолчанию) для реализации принципов защиты данных, в которых минимизация данных упоминается как такой принцип и GDPR снова рекомендует псевдонимизацию.

Принцип достоверности обработки персональных данных

Следующим логическим принципом было бы ограничение хранения, но давайте придерживаться порядка статьи 5 о принципах, касающихся обработки персональных данных, и рассмотрим следующий принцип в списке: точность.

Точность имеет несколько значений и, конечно же, несколько областей применения. Он играет в нескольких контекстах и, среди прочего, сильно подчеркивается в контексте профилирования.

Суть статьи 5 и ее принцип точности таковы:

• Обрабатываемые персональные данные должны быть точными.
• Обрабатываемые персональные данные должны поддерживаться в актуальном состоянии там, где это необходимо (и это действительно необходимо в некоторых случаях).
• Должны быть приняты меры по безотлагательному удалению или исправлению неточных персональных данных (с учетом целей обработки).

Таким образом, точность охватывает некоторые обязанности и действия со стороны контроллера (и/или процессора) во время сбора и обработки с дополнительным акцентом на точность в некоторых обстоятельствах. Кроме того, точность также затрагивает основные права субъектов данных, такие как право на удаление (право на забвение) и право на исправление.

Точность также следует рассматривать в контексте гигиены данных, управления данными и безопасности данных, в которых должны присутствовать механизмы точности, особенно механизмы исправления. Если субъект данных не согласен с точностью касающихся его персональных данных, он может воспользоваться правом на ограничение обработки. В преамбуле 39 Общего регламента по защите данных говорится, что «должны быть предприняты все разумные шаги для обеспечения исправления или удаления неточных персональных данных» .

Как уже говорилось, особое внимание уделяется точности в контексте профилирования. В Руководстве по профилированию WP29 по существу говорится, что на всех этапах профилирования необходимо учитывать точность, от сбора и анализа до построения профилей и принятия по ним решений. Более того, контролер данных должен убедиться, что, как говорится в руководящих принципах, существуют надежные меры, обеспечивающие постоянное соответствие персональных данных данным. Следует сказать, что профилирование в целом также является более строгим в отношении минимизации данных и ограничения хранения.

Принцип ограничения хранения: вы должны ограничивать обработку по времени, необходимости и назначению

И это действительно подводит нас к тому принципу ограничения памяти, который мы уже упоминали несколько раз. Как вы могли прочитать, в определенных обстоятельствах, таких как профилирование, требуется дополнительное внимание, а ограничение хранилища связано с ограничением цели и минимизацией данных.

Статья 5 Общего регламента по защите данных по сути говорит об ограничении хранения:

• Данные, позволяющие идентифицировать субъекта данных, не должны храниться в форме, позволяющей эту идентификацию, дольше, чем это необходимо для целей обработки персональных данных.Опять же, GDPR говорит ограничить его до минимума, но тогда в объеме хранения, связанном с целью. Обратите внимание на «хранится в форме». По сути, вам нужно удалить данные в рамках ограничения хранилища. Тем не менее, есть исключения, и помните, что анонимные данные не подпадают под действие GDPR (анонимные данные могут быть полезны, например, для статистических целей, очевидно, мы говорим о полях и записях, а не обо всех данных) .
• Последний (для статистических целей) возвращается в виде исключения, касающегося ограничения хранения в статье 5, в соответствии с которой разрешены более длительные сроки хранения персональных данных, когда персональные данные обрабатываются только в целях архивирования в общественных интересах, научных или исторических исследовательских целях. или статистических целей, в связи с чем организация должна принять правильные технические и организационные меры.

В общем правило таково: данные не нужны дольше, чем это действительно строго необходимо для цели: удалить. И, как правильно сказано в инфографике выше: на практике ваша политика хранения записей должна указывать, как долго данные хранятся (а именно столько времени, сколько требуется, но вы должны предпринять действия и сообщить, конечно) .

Принципы обработки персональных данных в соответствии с GDPR глазами Закона Инфографика – источник и полная статья

Принцип целостности и конфиденциальности

Хотя конфиденциальность часто упоминается в GDPR отдельно, мы оставили здесь принцип целостности и конфиденциальности как один, поскольку он конкретно связан с принципами обработки персональных данных, которые связаны с безопасностью, а также с теми техническими и организационными мерами, которые мы упоминали несколько раз и которые вездесущи в GDPR.

Вкратце о том, что статья 5 GDPR говорит о честности и конфиденциальности:

• Обработка данных должна осуществляться таким образом, чтобы гарантировать надлежащий уровень безопасности в отношении персональных данных.
• Для этого необходимо принять соответствующие меры.
• Среди элементов, на которые следует обратить внимание с точки зрения безопасности и мер, входят такие элементы, как средства защиты и гарантии для предотвращения несанкционированной и незаконной обработки, случайной потери, уничтожения или повреждения обрабатываемых персональных данных и многое другое.

Хотя это не требует особых объяснений, на практике, очевидно, это важно и важно с точки зрения соблюдения GDPR, и существует достаточно мер, которые необходимо принять на уровнях управления информацией, безопасности и, конечно же, осведомленности и безопасности персонала GDPR. образование как человеческий фактор нельзя игнорировать при случайных потерях, нарушении конфиденциальности и многом другом.

Принципы обработки персональных данных: ответственность и обязанность гарантировать принципы обработки

Принцип подотчетности является последним в статье 5 GDPR и является предметом параграфа 2.Вы можете рассматривать это как принцип, который включает в себя все вышеупомянутые принципы и многое другое: контролер не просто несет ответственность за соответствие GDPR в целом и в рамках всех принципов защиты данных в параграфе один, контролеры также должны иметь возможность чтобы продемонстрировать это соответствие.

Мы будем краткими, поскольку мы писали о соблюдении и других обязанностях, включая подотчетность, контролера. Подотчетность контроллера также включает в себя обязанности по работе с обработчиками данных, вторую тему, которую мы рассмотрели отдельно.

Как видно из приведенной выше инфографики, подотчетность по существу относится к обязанности соблюдать принципы и способности продемонстрировать, что обработка осуществляется в соответствии с этими принципами обработки персональных данных.

Верхнее изображение: Shutterstock — Авторские права: Максим Кабаков — Все остальные изображения являются собственностью их соответствующих владельцев. Хотя содержание этой статьи тщательно проверено, мы не несем ответственности за возможные ошибки и советуем вам обратиться за помощью в подготовке к соблюдению GDPR ЕС.

Обработка персональных данных — CESSDA TRAINING

Вот несколько вопросов и ответов о том, как реализовать требования GDPR на практике в исследовательском проекте, полученном в результате веб-семинара CESSDA 2019 года. Я буду использовать псевдонимы для каждой интервьюируемой женщины. Респондентов по-прежнему можно узнать по истории, которую они рассказывают.Является ли это личной информацией? Если да, то какое правовое основание я должен использовать для этого исследования?

О: Да, это личная информация. В этом случае правовым основанием может быть согласие, которое следует получить от женщин, участвующих в исследовании. Еще один аспект, о котором следует помнить, — это собранные данные, которые позволят идентифицировать других людей, у которых, возможно, не спрашивали согласия, например партнеров, совершающих насилие. Таким образом, вы также можете обрабатывать личные данные людей, у которых не запрашивалось согласие.В этом случае область обработки может представлять общественный интерес, и аргументом может быть то, что исследование имеет ценность для общества. Если проект позволяет, такие партнеры могут быть проинформированы об обработке их данных, если это не представляет риска для участвующих женщин.

В: Я провожу онлайн-опрос с использованием Qualtrics, опрашивая 5000 человек по всей Европе, за какую политическую партию они голосовали на недавних европейских выборах, а также регистрируя их этническую принадлежность и другую демографическую информацию.Квалифицируется ли это как обработка данных специальных категорий? Если да, то как мне получить прямое согласие на сбор этой информации?

О: Первое, что следует учитывать, это то, сколько идентифицирующей/личной информации собирается во время опроса, наряду с политическими взглядами и этнической принадлежностью. Это помогает решить, классифицируются ли они как данные специальных категорий. Если данные, позволяющие идентифицировать респондентов, не собираются, GDPR не применяется. Если собирается идентифицирующая информация, то она квалифицируется как данные специальной категории, и поэтому потребуется явное согласие.Одним из способов достижения этого было бы двойное согласие, при котором согласие на обработку собранных персональных данных запрашивалось бы в начале и в конце анкеты.

Qualtrics — компания, базирующаяся в США, и благодаря переговорам с различными европейскими исследовательскими институтами Qualtrics теперь обрабатывает собранные данные опросов только в ЕС для опросов, проводимых в ЕС. Это означает, что Qualtrics можно использовать в качестве инструмента для опросов, которые должны соответствовать GDPR.

В: Каковы правила GDPR при использовании административных или регистрационных данных, содержащих личную информацию?

A: Если при сборе административных или регистрационных данных от лиц не получено согласие, то наиболее распространенной правовой основой для дальнейшего использования является публичное задание.Если согласие может быть запрошено, это было бы предпочтительнее.

В: В GDPR настоятельно указано, что форма согласия должна быть простой и понятной, но сейчас мне приходится предоставлять так много дополнительной информации моим собеседникам. Как мне это сделать?

О: Лучший способ предоставить эту информацию участникам — через информационный буклет и форму согласия. Вы можете предоставить информацию в письменной листовке. Если вы берете интервью у людей, вы также можете объяснить содержание листовки лицом к лицу, чтобы убедиться, что люди понимают содержание.

В: Если исследователь провозит электронное устройство через границу в третью страну, отправляет электронное письмо или публикует личные данные в Интернете, считается ли это передачей данных?

О: Электронное письмо, содержащее личные данные, отправленное из Европы кому-либо в неевропейскую страну, действительно представляет собой передачу данных. Электронное устройство, содержащее личные данные, перевозимое через границу в третью страну, будет представлять собой передачу данных, если личные данные будут переданы другому лицу.Если личные данные публикуются в Интернете, это зависит от того, хранятся ли данные и кто может получить к ним доступ. Если она будет опубликована открыто, это может считаться передачей данных.

В: Каковы последствия защиты данных для международных партнерств и исследовательских проектов, когда в них участвуют страны, не входящие в ЕС?

О: Если персональные данные будут обрабатываться в рамках партнерской исследовательской деятельности в ЕС, тогда будет применяться GDPR. Одним из решений может быть то, что партнеры из Европы требуют, чтобы их партнеры из стран, не входящих в ЕС, приняли надлежащие меры по обеспечению конфиденциальности/защиты данных и чтобы согласие давали все субъекты, независимо от того, находятся ли они в Европе или нет.Это не всегда может быть легко или возможно. Однако можно найти решения, такие как анонимизация данных, шифрование данных, использование защищенных серверов, и партнеры могут учиться друг у друга. Хорошей практикой также является регистрация всех пользователей и целей использования персональных данных.

В: Распространяется ли GDPR на персональные данные, собранные за пределами Европейской экономической зоны (ЕЭЗ) и переданные в ЕЭЗ для анализа?

О: Да, будет, потому что они будут классифицироваться как персональные данные после их хранения в ЕЭЗ.

В: Есть ли примеры исследований, в которых использование согласия в качестве правового основания для обработки персональных данных было бы неприемлемым?

О: Скрытое исследование — это пример, когда согласие не является подходящим основанием для обработки, поскольку запрос согласия может иметь отрицательный результат для исследования. В тайных исследованиях лучшим основанием, вероятно, будет публичное задание. По-прежнему важно, чтобы исследование придерживалось этических принципов, а исследователь был открыт в отношении процесса, используемого в публикациях.

В: Как мы можем соблюдать GDPR при изучении легко идентифицируемых групп населения, например опросы кандидатов, участвующих во всеобщих выборах, или опросы членов научной ассоциации?

О: Во-первых, вам необходимо правовое основание для обработки персональных данных. Наиболее распространенной правовой основой для этого сценария может быть согласие. Если вы получите согласие от изучаемых людей, вы можете предоставить информацию о риске быть идентифицированным в опубликованных результатах опроса и запросить согласие на этом основании.Если правовым основанием для обработки персональных данных является публичное задание, вы должны предоставить информацию об исследовании населению, чтобы убедиться, что они могут управлять своими правами в соответствии с GDPR.

В: Как «право на забвение» применяется в исследовательской среде?

A: Право на забвение применяется в исследованиях, но не является абсолютным правом. Лучшей практикой является как можно более четкое информирование участников об этом праве и объяснение того, что оно означает, а что может не означать.Например, если были опубликованы данные, в которых можно идентифицировать людей, например, статья, содержащая цитату, на которую было дано разрешение. Тогда, если участник захочет, чтобы его забыли, ему будет очень сложно отозвать бумагу. Поэтому четко объясните участникам, что они могут делать с этим правом и до какого момента они могут отказаться от участия в исследовании и потребовать, чтобы их забыли.

 

В: Требуется ли оценка воздействия на защиту данных (DPIA) только в научных исследованиях конфиденциальных данных, касающихся уязвимых субъектов?

A: DPIA требуется для обработки данных, которая может привести к высокому риску для прав и свобод людей.На практике это означает, что применяются хотя бы два из этих критериев (примеры можно найти в рекомендациях Рабочей группы по защите данных 248):

• оценка или оценка
• автоматизированное принятие решений с юридическими или аналогичными значительными последствиями
• систематический мониторинг
• конфиденциальные данные
• данных, обработанных в больших масштабах
• наборов данных, которые были сопоставлены или объединены
• данные об уязвимых субъектах данных
• инновационное использование или применение технологических или организационных решений
• передача данных через границы за пределами Европейского Союза
• , когда обработка сама по себе не позволяет субъектам данных осуществлять право или использовать услугу или контракт.

В то же время DPIA является хорошим средством обучения. Для исследовательского проекта, который включает сбор персональных данных, совместная сессия исследователя с юридическим лицом и техническим лицом очень полезна для установления передовых методов защиты данных. Это помогает понять контекст и помогает определить общие проблемы, решения и меры по снижению рисков.

 

В. Как в различных учреждениях проводятся оценки воздействия на защиту данных (DPIA) для исследований?

A: Если исследование проводится в сотрудничестве с несколькими учреждениями с общей ответственностью, одного DPIA, выполненного одним из учреждений, должно быть достаточно, и другие партнерские учреждения должны применять тот же DPIA.Проблемы могут возникнуть, когда в исследованиях участвуют учреждения, внедряющие DPIA в разных странах, в связи с чем политика или требования могут различаться в этих странах, например, в отношении безопасности данных, права собственности на данные, разного понимания получения согласия и того, какую правовую основу использовать для обработки. личные данные.

В: Как исследователям следует правильно обращаться с GDPR в контексте открытых данных?

О: Для персональных данных важен девиз открытого доступа «максимально открытый, настолько закрытый, насколько необходимо».Политическое или общественное стремление к открытому доступу и открытой науке не означает, что индивидуальные права, предоставленные законодательством, могут быть отменены. Следовательно, для персональных данных ключевым является «настолько закрытый, насколько это необходимо».

 

В: Какова применимость «законных интересов» в исследованиях с использованием искусственного интеллекта (ИИ)?

О: Использование ИИ — это особая форма использования персональных данных, и законный интерес может быть законным основанием для ИИ. Более важной является основа, обеспечиваемая руководящими принципами и рекомендациями Группы высокого уровня по интересам в области ИИ: руководящие принципы этики для заслуживающего доверия ИИ и политика и регулирование инвестиций для заслуживающего доверия ИИ.

 

В: Когда юридическое лицо США является обработчиком псевдонимизированных данных граждан ЕС, а ключ для повторной идентификации субъектов существует только в ЕС, поэтому юридическое лицо США не может повторно идентифицировать субъектов, применяется ли GDPR в юридическое лицо США? Должна ли организация США подписывать контракт по запросу организации ЕС?

О: Если у организации в США нет доступа к ключу, данные теоретически будут классифицироваться как анонимные. Если ключ когда-либо будет выпущен или юридическое лицо США получит к нему доступ, тогда данные будут определены как псевдонимизированные данные или личные данные.Организации необходимо будет решить, будет ли лучше подписать соглашение об обработке данных, учитывая риски, на которые они готовы пойти.

 

В: Как в исследовательских проектах, которые планируют использовать данные, собранные с платформ социальных сетей, исследователи могут согласовать право на неприкосновенность частной жизни с общедоступными данными?

О: Получение согласия было бы лучшим подходом при использовании данных социальных сетей. Таким образом, даже для данных из социальных сетей, находящихся в открытом доступе, исследователи должны запрашивать согласие людей, чей контент в социальных сетях они собирают, когда это возможно.В некоторых случаях публичное задание может быть использовано в качестве правового основания.

 

В: Европейские страны сходятся или расходятся в выборе правовых основ для обработки персональных данных в исследованиях по всей Европе, особенно при рассмотрении вопроса о том, будет ли в исследованиях использоваться согласие или публичное задание?

О: Великобритания настоятельно рекомендует использовать публичное задание в качестве законного основания для исследований, в то время как многие другие европейские страны выступают за согласие. Мнение Соединенного Королевства может представлять угрозу для прав участников.В будущем мы сможем оценить, как это развивалось. В случае с Германией можно скорее увидеть расходящуюся тенденцию, поскольку федеральное правительство оставило все открытым для определения 16 федеральными землями. Они воспользовались шансом, и теперь восемь ввели определение «анонимных данных», которое ранее использовалось в Законе о защите данных Германии. Но все они рассматривают согласие как основную основу для исследований.

 

В: Должны ли хранилища данных и архивы данных рассматриваться как обработчики или контролеры данных? Является ли архивирование данных исследования из проекта частью первоначальной обработки для исследования или представляет собой отдельную дальнейшую обработку?

О: В большинстве случаев вполне вероятно, что архивы данных будут рассматриваться как обработчики данных.Однако некоторые архивы данных также могут быть задействованы в проведении исследований для проектов, что может привести к тому, что они станут совместным контролером с исследовательским институтом.

Различные архивы данных в разных странах могут иметь разное представление. Некоторые рассматривали бы все сборы данных как потенциально личные данные и относились бы к ним как к таковым. Только когда данные считаются полностью анонимными, GDPR больше не применяется. Другие архивы используют двухуровневый подход, предусматривающий определенные процедуры для анонимных данных и другие для персональных данных.Архив может архивировать личные данные, если для этого есть законное основание. Очень важно поддерживать связь с командой исследовательского проекта.

Обработка персональных данных

Информация о том, как LKAB обрабатывает персональные данные

Luossavaara-Kiirunavaara AB (publ) и/или другая компания/компании в группе LKAB, которые обрабатывают ваши персональные данные (далее именуемые: «LKAB», «мы», «нас» или «наш»): индивидуально или совместно, контролеры в отношении соответствующей обработки персональных данных.Для нас крайне важно, чтобы ваша конфиденциальность была защищена, когда вы пользуетесь нашими услугами. Здесь вы найдете информацию о том, какие персональные данные о вас мы собираем, почему мы их собираем и как мы их используем. Пожалуйста, не стесняйтесь обращаться к нам, если у вас есть какие-либо вопросы (см. контактную информацию внизу страницы).

Обработка ваших персональных данных осуществляется в соответствии с положениями Общего регламента по защите данных (также известного как GDPR).

1. Собираемые персональные данные

От соискателей

Мы обрабатываем персональные данные, которые вы предоставляете нам при подаче заявления о приеме на работу, включая данные, которые вы предоставляете в документах вашего заявления (включая любые вложения), а также любые персональные данные, полученные в результате вашего контакта с нами в связи с прикладной процесс; для администрирования вашего приложения.Персональные данные, предоставленные нам, включают ваше имя и контактные данные. Как заявитель, вы несете ответственность за точность информации, которую вы нам предоставляете.

От сотрудников

Мы обрабатываем персональные данные, необходимые для выполнения наших обязательств и защиты наших прав как работодателя. Обрабатываемые персональные данные включают:

• идентификационная информация (например, имя, номер социального страхования и номер сотрудника),
• контактные данные (например, адрес и номер телефона),
• информация, необходимая для административных целей, выплаты заработной платы и налогов (например, банковские реквизиты и информация, касающаяся различных пособий), страховых вопросов и случаев социального страхования (например, связанных с болезнью),
• сведения о ближайших родственниках, должности в организационно-договорном секторе, а также о непосредственном руководителе,
• сведения о приобретенных навыках и информация из обзоров развития,
• информация о входе и выходе с наших площадок и объектов,
• информация в технологических и производственных системах, а также в системах управления делами и отчетами,
• информация в разговорах по электронной почте, а также в протоколах и других подобных отчетах,
• информация, необходимая для использования пропускных карт, e.г. для оплаты питания и топлива,
• в некоторых случаях изображения, данные журнала, данные о местоположении и данные, полученные в результате видеоконференций и телефонных встреч.

Для получения дополнительной информации об обработке персональных данных во время вашей работы см. бизнес-систему LKAB (Законы и другие требования: GDPR).

От тех, кто работает у одного из наших клиентов, поставщиков или деловых партнеров

Мы обрабатываем: имя, номер телефона, адрес электронной почты, адрес, должность, роль и должностную инструкцию.Данные о входе и выходе на наши объекты и объекты записываются, в некоторых случаях вместе с данными о местоположении, видео- и аудиозаписями, а также записями с камер наблюдения (дополнительную информацию см. ниже). Кроме того, персональные данные обрабатываются по мере необходимости для администрирования/управления делами в рамках соглашений с клиентами, поставщиками и/или деловыми партнерами, а также любые персональные данные, которые могут потребоваться для обработки для достижения целей, описанных ниже. .Что касается обработки персональных данных тех, кто работает в LKAB от имени поставщика, информацию о нашей обработке данных также можно найти в Справочнике поставщика.

От инвесторов

Информацию для инвесторов о нашей обработке персональных данных можно найти здесь: Информация для инвесторов

От посетителей наших объектов/сайтов

Мы обрабатываем ваше имя, информацию о компании, которую вы представляете, а в некоторых случаях контактные данные и изображения.Во время вашего визита также может быть записано время вашего входа и выхода, а в некоторых случаях и данные о местоположении. На объектах и ​​площадках, где работает камера видеонаблюдения, могут быть записаны ваши изображения (подробнее см. ниже).

Видеонаблюдение за теми, кто присутствует на объектах/объектах LKAB/входит в них

Камера наблюдения работает в ряде мест: на промышленных площадках и объектах, а также на стратегических заграждениях и проходах к таким объектам и объектам и обратно.

Персональные данные, обрабатываемые в рамках видеонаблюдения, состоят из изображений отдельных физических лиц.

От посетителей нашего общедоступного веб-сайта

Мы обрабатываем ваш IP-адрес и данные об используемом вами ИТ-оборудовании (например, информацию о вашей операционной системе и о том, происходит ли ваше посещение через компьютер или мобильный телефон). Мы также используем файлы cookie для обработки информации о вашем посещении нашего веб-сайта. См. ниже дополнительную информацию об использовании нами файлов cookie.

Когда вы общаетесь с нами, регистрируете профиль на нашем веб-сайте или связываетесь с нами, чтобы подписаться на информацию, предоставленные вами данные (такие как имя, контактные данные и подробности вашего дела) будут обработаны.

Печенье

Мы также используем файлы cookie для сбора информации о том, как вы пользуетесь нашими услугами. Вы можете прочитать об использовании нами файлов cookie здесь.

В случае требования закона или спора

Обрабатываемые данные необходимы для выполнения соответствующего требования закона или для защиты наших интересов в случае спора.Эти персональные данные могут включать, например, имена, контактные данные и личные идентификационные номера.

2. Назначение, правовая основа и срок хранения

Мы обрабатываем ваши персональные данные в следующих целях в связи с вашим заявлением о приеме на работу и/или во время вашего трудоустройства:

• Чтобы мы могли обработать и изучить ваше заявление о приеме на работу (например, для создания информационного досье). В соответствии со шведским Законом о дискриминации мы обязаны хранить все документы вашего заявления в течение двух лет после того, как должность, на которую вы претендуете, будет заполнена.Если вы не выразите желание, чтобы данные хранились дольше, данные будут удалены по истечении этого времени. Если вы подали заявку на несколько вакансий, период начинается с позиции, на которую вы подавали заявку последней.
• Чтобы обеспечить управление законными и договорными правами и обязанностями во время вашей работы в качестве работодателя (например, выплата заработной платы, проверка рабочего времени, решение вопросов социального страхования и предоставление информации в Шведское налоговое агентство и другие органы).

Ваши личные данные также будут обрабатываться, чтобы позволить LKAB управлять и распределять работу внутри Группы, управлять вашими разрешениями, позволять другим людям в Группе связываться с вами и общаться с вами, а также чтобы вы могли использовать основные системы (такие как как системы управления производством или делами) и вашу входную карточку. Ваши личные данные будут обрабатываться, когда вы пользуетесь службами определения местоположения, чтобы в случае аварии LKAB могла определить ваше местоположение на объекте LKAB.

Персональные данные, полученные в результате вашей работы, хранятся до тех пор, пока LKAB требует данные для целей, для которых осуществляется обработка, и/или для выполнения юридических обязательств и рассмотрения любых юридических претензий, связанных с работой. Более длительные периоды хранения необходимы, например, для пенсионного анализа или будущих расследований производственных травм.

Правовая основа для обработки: Обработка необходима для того, чтобы мы могли выполнять наши обязательства и защищать наши права на основании трудового договора, заключенного с вами (или который должен быть заключен с вами на основании заявления о приеме на работу) и на основании договорных соглашений, таких как коллективные договоры, пенсионные соглашения, обзоры заработной платы и т. д.Поэтому ваши персональные данные могут обрабатываться в системах управления персоналом. Обработка также может основываться на обязательстве, налагаемом на нас законом или другим нормативным актом (известном как юридическое обязательство). Например, у нас есть юридическое обязательство хранить определенную информацию во время и после вашего трудоустройства.

В некоторых случаях обработка персональных данных во время вашей работы может основываться на балансе интересов, например, если нам необходимо обработать данные; в системе ввода, в связи с коммуникацией и документацией или в контексте системы управления делами.В отношении заявлений о приеме на работу обработка будет основываться на балансе интересов, при этом считается, что наша заинтересованность в обработке персональных данных перевешивает любую возможную заинтересованность в отказе от обработки данных.

Мы обрабатываем ваши персональные данные в следующих целях в связи с заявками на авторизацию промышленных площадок/шахт/предприятий и в связи с посещением вышеупомянутых площадок:

Для обеспечения возможности проверки и администрирования: заявок на авторизацию и доступ; заявки на получение и использование пропускных карт, ключей, подземных жетонов и доступа для транспортных средств.Обеспечить, чтобы только те лица, которые имеют право находиться на площадке/объекте и в различных частях площадки/объекта, могли получить доступ к площадке/объекту; чтобы гарантировать вашу безопасность и безопасность других, а также для защиты нашей собственности. В отношении вышеуказанных приложений и способов использования вы самостоятельно регистрируете личные данные, необходимые для изучения и администрирования. Персональные данные хранятся до тех пор, пока существует потребность (в случае пропускных карт, например, до тех пор, пока существует необходимость доступа к определенному объекту).Ваши личные данные будут обрабатываться с помощью службы определения местоположения, чтобы в случае аварии LKAB могла определить ваше местоположение на объекте LKAB.

Правовая основа для обработки: Обработка необходима для соблюдения правовых обязательств, касающихся рабочей среды и/или предназначенных для обеспечения того, чтобы только достаточно квалифицированный персонал имел доступ к определенным объектам/объектам.

Обработка персональных данных в связи с контролем доступа необходима для защиты нашего интереса к знанию того, кто имеет доступ к нашим сайтам и присутствует на них; среди прочего, в целях обеспечения безопасности и защиты.Таким образом, в этом случае обработка ваших персональных данных основана на балансе интересов, при котором наша законная заинтересованность в обработке персональных данных, например, для обеспечения защиты доступа, перевешивает любую возможную заинтересованность в отказе от обработки данных.

Когда вы работаете у одного из наших клиентов, поставщиков или деловых партнеров, мы обрабатываем ваши персональные данные в следующих целях:

Чтобы мы могли выполнять наши обязательства и защищать права, связанные с контрактами (или предполагаемыми/расторгнутыми контрактами) с вашим работодателем или клиентом, а также выполнять различные виды администрирования задач, связанных с такими контрактами.Ваши личные данные также обрабатываются, чтобы позволить LKAB управлять и распределять работу внутри Группы и проверять ваши полномочия, а также чтобы другие лица в Группе могли связываться с вами и общаться с вами. В некоторых случаях ваши личные данные будут обрабатываться с использованием служб определения местоположения, чтобы LKAB могла определить ваше местоположение на сайте/объекте LKAB, особенно в случае аварии или по другим причинам безопасности/защиты. Персональные данные будут храниться только до тех пор, пока это необходимо для достижения вышеупомянутых целей.

Правовая основа для обработки: Обработка ваших личных данных необходима, чтобы мы могли защищать интересы, связанные с нашим бизнесом. Считается, что любое вторжение в вашу личную жизнь перевешивается нашей заинтересованностью в обработке ваших данных (баланс интересов). Обработка также может быть необходима для того, чтобы мы могли принять меры, касающиеся будущих, текущих и расторгнутых соглашений с компанией/организацией, сотрудником или подрядчиком которой вы являетесь.

Мы используем камеры видеонаблюдения для следующих целей:

Для облегчения проезда транспортных средств и людей на промышленные площадки и объекты и обратно, для предотвращения и расследования несчастных случаев и других инцидентов, связанных с безопасностью, для обеспечения того, чтобы на наши объекты и объекты допускались только уполномоченные лица, для предотвращения и расследования уголовных преступлений, и для защиты производственных и логистических процессов по соображениям планирования, эффективности и безопасности. Материал, записанный камерами, не хранится дольше, чем это необходимо для выполнения цели видеонаблюдения.

Правовая основа для обработки: Мы считаем, что наша заинтересованность в обработке персональных данных с помощью камеры наблюдения для указанных целей перевешивает вторжение в частную жизнь, от которого может пострадать лицо, находящееся под наблюдением. Таким образом, видеонаблюдение основано на законном интересе (который составляет правовую основу для наблюдения).

Если люди входят на наши сайты и объекты без разрешения, существует риск инцидентов, связанных с безопасностью и защитой, которые могут затронуть как лицо, пытающееся получить несанкционированный доступ к сайту, так и сотрудников и других лиц, которые на законных основаниях находятся на данном сайте.

Мы обрабатываем информацию о ваших посещениях нашего общедоступного веб-сайта в следующих целях:

Когда вы посещаете наш веб-сайт, некоторые данные о ваших действиях будут сохраняться на странице. Как упоминалось выше, данные, которые можно сохранить, включают информацию об используемом вами ИТ-оборудовании, ваш IP-адрес и файлы cookie. Обычно мы не можем идентифицировать вас по сохраненным данным. Мы обрабатываем данные для оценки и улучшения веб-сайта, понимания того, как посетители используют веб-сайт, и обеспечения функциональности веб-сайта.Данные будут храниться до тех пор, пока это необходимо для достижения вышеупомянутых целей, но не более 24 месяцев.

Правовая основа для обработки: Обработка ваших данных для целей, описанных выше, основана на правовом основании согласия. Как посетитель, вы можете дать согласие на использование нами файлов cookie на веб-сайте. Это согласие, которое является добровольным, подразумевает явное согласие на обработку ваших данных.

Мы обрабатываем ваши персональные данные для следующих целей, когда вы регистрируете профиль на нашем веб-сайте или связываетесь с нами любым другим способом, чтобы подписаться на информацию или заказать печатную информацию:

Мы обрабатываем персональные данные, чтобы обеспечить управление вашим заказом и доставку заказанной вами информации.Мы храним ваши личные данные в течение 12 месяцев после окончания вашей подписки или доставки вашего заказа, чтобы обеспечить отслеживаемость вашего общения с нами.

Правовая основа для обработки: Обработка персональных данных для целей, описанных выше, осуществляется на правовой основе баланса интересов. Обработка необходима как для нашей, так и для вашей законной заинтересованности в том, чтобы вы получили запрошенную информацию. Считается, что вышеупомянутые интересы перевешивают любые интересы, связанные с отказом от обработки данных.

Мы обрабатываем ваши персональные данные для следующих целей, когда вы общаетесь с нами, например, через форму на нашем веб-сайте или по электронной почте:

Мы обрабатываем персональные данные, чтобы мы могли ответить на ваш вопрос, ответить на ваши комментарии и обработать ваше дело. Мы стремимся свести к минимуму хранение данных, но продолжительность хранения персональных данных зависит от цели соответствующей обработки.

Правовая основа для обработки: Обработка персональных данных для целей, описанных выше, осуществляется на правовой основе баланса интересов.Обработка необходима как для нашей, так и для вашей законной заинтересованности в решении вашего вопроса. Считается, что заинтересованность в отказе от обработки данных перевешивает любую заинтересованность.

Мы обрабатываем ваши персональные данные для следующих целей в связи с требованиями законодательства, возлагаемыми на нас, или в случае спора:

Юридическое обязательство по обработке ваших персональных данных может быть основано на юридических или нормативных требованиях, которым мы подчиняемся. Мы также можем обрабатывать ваши персональные данные для установления, утверждения или защиты юридических требований.Мы храним данные до тех пор, пока мы обязаны это делать, или пока спор продолжается.

Правовая основа для обработки: Правовая основа для обработки заключается в том, что обработка необходима для соблюдения юридического обязательства или для нашего законного интереса в установлении, утверждении или защите наших юридических требований.

В отношении сотрудников могут иметь место другие формы обработки персональных данных, отличные от указанных выше.Для такой обработки персональных данных ответственное организационное подразделение LKAB предоставит вам необходимую информацию.

4. Внутренние и внешние получатели персональных данных

LKAB может раскрывать ваши персональные данные другим компаниям в составе Группы по мере необходимости для административных или других целей, имеющих отношение к деятельности Группы.

LKAB может раскрывать ваши личные данные внешним получателям, таким как органы государственной власти и организации сотрудников, когда и когда это требуется в результате юридического обязательства.Персональные данные также могут быть переданы компаниям и другим юридическим лицам по другим причинам; если LKAB привлекла какое-либо такое юридическое лицо в качестве помощника/подрядчика, например, для выполнения конкретной задачи. Однако в таком случае LKAB должен заключить соглашение об обработке данных с юридическим лицом, чтобы гарантировать, что последнее обрабатывает персональные данные в порядке, установленном законодательством и любыми инструкциями.

5. Ваши права

У вас есть ряд прав в соответствии с Общими правилами защиты данных (GDPR).

Право на информацию

Вы имеете право получать информацию о том, когда и как обрабатываются ваши персональные данные. Вы имеете право получать информацию об обработке во время сбора ваших персональных данных, а также по вашему запросу.

Право доступа к вашим личным данным

Вы имеете право на получение информации посредством выписки из реестра о том, какие личные данные о вас мы обрабатываем, как эти данные обрабатываются, цель обработки и получатели или категории получателей, которым мы раскрываем данные о ты.

Выписка из реестра обычно предоставляется вам не позднее одного месяца с даты получения вашего запроса.

В некоторых случаях информация, содержащаяся в выписке из реестра, не может или не может быть раскрыта, например, из-за положений другого законодательства или когда раскрытие информации может нанести ущерб третьей стороне.

Право на исправление

Вы имеете право запросить исправление неточных личных данных. Если вы являетесь сотрудником, у вас есть доступ к определенным личным данным о вас, которые зарегистрированы в нашей системе управления персоналом (например, ваш адрес и номер телефона).Таким образом, у вас будет доступ для самостоятельного исправления данных.
Если вы подали заявку на работу у нас, вы несете ответственность за обеспечение того, чтобы личные данные, которые вы указали в своем заявлении, были правильными на момент подачи заявки. Мы не будем исправлять такие данные.

Право на удаление персональных данных/право на забвение

Персональные данные должны быть удалены в следующих случаях:

• Если данные больше не нужны в связи с целями, для которых они были собраны.
• Если обработка основана на вашем согласии, и вы отзываете свое согласие.
• Если обработка осуществляется в целях прямого маркетинга и вы возражаете против обработки данных.
• Если вы возражаете против обработки персональных данных, которая осуществляется на законных основаниях осуществления служебных полномочий или законных интересов и при этом нет законных интересов, которые перевешивают ваши интересы.
• Если персональные данные были обработаны неправомерно.
• Если стирание требуется для соблюдения юридического обязательства.
• Если персональные данные относятся к ребенку и были собраны в связи с созданием ребенком профиля в социальной сети.

Если данные удаляются по вашему запросу, мы также должны сообщить о таком удалении тем, кому мы предоставили ваши данные. Однако это не применяется, когда это оказывается невозможным или чрезмерно обременительным для нас. Вы также имеете право запросить информацию о том, кому мы передали ваши данные.

Исключения из права на стирание и обязательства информировать других могут в некоторых случаях применяться, когда это необходимо для защиты других важных прав (таких как право на свободу выражения мнений и информации) или если это необходимо для обеспечения нам выполнить юридическое обязательство.

Если будет отправлен запрос на стирание, должен состояться диалог между LKAB как контролером и вами как лицом, запрашивающим стирание.

Право на ограничение обработки

В некоторых случаях вы имеете право потребовать, чтобы обработка ваших персональных данных ограничивалась только определенными конкретными целями.

Вы можете, например, запросить ограничение обработки до тех пор, пока точность данных не будет проверена после запроса на исправление, сделанного вами. Вы имеете право быть проинформированным, когда ограничение закончится.

Право возражать против обработки

В некоторых случаях вы имеете право возражать против обработки нами ваших персональных данных. Право на возражение применяется, когда персональные данные обрабатываются на основе баланса интересов.

Если вы возражаете против обработки, мы можем продолжать обработку данных только в том случае, если мы можем продемонстрировать веские законные основания для обработки данных, которые превалируют над вашими интересами, правами и свободами, или когда обработка осуществляется для установления, осуществления или защиты правовых требований.

Вы всегда имеете право возражать против использования ваших личных данных в целях прямого маркетинга. Такое возражение может быть сделано в любое время. Если вы возражаете против обработки в целях прямого маркетинга, ваши личные данные больше не могут обрабатываться для таких целей.

Право на переносимость данных (право на передачу персональных данных)

Если вы предоставили нам свои личные данные, вы имеете право в определенных случаях получать и использовать свои личные данные в другом месте (право на переносимость данных).Предпосылкой для этого является то, что ваши личные данные обрабатываются на основании согласия или для выполнения договора. Это право распространяется только на такие персональные данные, которые вы нам предоставили.

Право на подачу жалобы

Если вы считаете, что мы неправильно обработали ваши персональные данные, вы имеете право подать жалобу в Управление по защите данных Швеции.

6. Контактная информация

Luossavaara-Kiirunavaara AB (publ) и/или другая компания/компании в составе LKAB Group, которые обрабатывают ваши персональные данные, индивидуально или совместно являются контролерами в отношении соответствующей обработки персональных данных.

Единым контактным лицом по вопросам обработки персональных данных компаниями Группы назначена следующая компания: Luossavaara-Kiirunavaara AB (publ), org. нет. 556001-5835, а/я 952, 971 28 Лулео, адрес электронной почты [email protected] и номер телефона 0771 760 000.

Если у вас есть какие-либо вопросы об обработке персональных данных в Группе, вы можете связаться с координатором GDPR LKAB по адресу электронной почты [email protected].

Контроллеры и обработчики данных GDPR

Введение GDPR вызвало вопросы о том, являются ли определенные организации обычно контролерами или обработчиками данных.Понимание разницы между контроллерами данных и обработчиками жизненно важно для соблюдения GDPR.

Что GDPR говорит о контроллерах и процессорах?

Поскольку GDPR был запущен в мае 2018 года, у контролеров есть определенные обязательства. Кроме того, у процессоров есть собственные юридические обязательства. Это существенное отличие от первоначального законодательства о DPD 1995 года.

В соответствии с GDPR, ICO и другие надзорные органы могут преследовать процессоры и контролеров за любые нарушения.Существуют также особые требования к совместным контроллерам в соответствии с GDPR.

В чем разница между контроллером и процессором?

Существует четкая разница между «контроллером данных» и «обработчиком данных» в соответствии с GDPR.

Регламент признает, что не все организации, занимающиеся обработкой персональных данных, несут одинаковый уровень ответственности. Определения контроллеров и процессоров согласно GDPR следующие:

Контролер данных — Является юридическим или физическим лицом, агентством, государственным органом или любым другим органом, который самостоятельно или совместно с другими определяет цели любых персональных данных и средства их обработки.

Обработчик данных — Является юридическим или физическим лицом, агентством, государственным органом или любым другим органом, который обрабатывает персональные данные от имени контроллера данных.

Если вы классифицируетесь как контролер данных или обработчик данных, вы несете ответственность за обеспечение соблюдения GDPR и демонстрацию соблюдения принципов защиты данных регламента.

Обработчики данных не имеют такого же уровня ответственности за соблюдение GDPR.

Тем не менее, они все равно должны принимать соответствующие организационные и технические меры для обеспечения того, чтобы любые обрабатываемые данные выполнялись в соответствии с GDPR.

Контроллеры данных

Контроллеры данных являются ключевыми лицами, принимающими решения. Они имеют право голоса и контролируют причины и цели сбора данных, а также средства и методы любой обработки данных.

На некоторых контролеров данных может распространяться законодательное обязательство по сбору и обработке персональных данных. Согласно разделу 6(2) Закона о защите данных 2018 г., если организация несет такое обязательство и обрабатывает персональные данные в соответствии с требованиями, она будет классифицироваться как контролер данных.

Контролером данных может быть:

• Частная компания или любое другое юридическое лицо – Включая объединенную ассоциацию, объединенное товарищество или государственный орган.
• Физическое лицо – Например, партнер в некорпоративном товариществе, индивидуальный предприниматель или любой самозанятый профессионал.

Являются ли некорпоративные организации контроллерами данных?

Организация не может иметь отдельного юридического лица, например, неакционерные организации, такие как добровольные группы и спортивные клубы.В этом случае ответственная сторона должна ссылаться на документ, регулирующий управление этой организацией.

Этот документ должен содержать подробную информацию о том, как такие организации должны управляться от имени их членов. Вероятно, ожидается, что они будут действовать в качестве контролера данных или в качестве совместных контролеров данных.

Обязанности контроллера данных GDPR

Контроллеры

несут ответственность за самые строгие уровни соответствия GDPR. Согласно статье 24 GDPR , , они должны активно демонстрировать полное соблюдение всех принципов защиты данных.

Они также несут ответственность за соответствие GDPR любых процессоров, которые они могут использовать для обработки данных.

Они должны демонстрировать справедливость, законность и прозрачность, точность, минимизацию данных, целостность и хранение, а также полную конфиденциальность персональных данных.

Согласно статье 24 GDPR, контролеры данных должны:

• Учитывайте цель, характер, контекст и объем любых действий по обработке данных.
• Учитывайте вероятность любого серьезного риска для свобод и прав любых физических лиц.
• Внедрить соответствующие организационные и технические меры и меры безопасности, демонстрирующие, что действия по обработке данных были выполнены в соответствии с регламентом GDPR.
• Проверьте и при необходимости обновите эти меры.

Контроллеры данных должны платить сбор за защиту данных, который взимает сотрудник по защите данных, если они не освобождены.

Является ли ваша компания контроллером данных?

Ответьте на эти вопросы, чтобы определить, является ли ваша организация контролером данных в соответствии с GDPR.

1. Ваша организация решила собирать и обрабатывать персональные данные пользователей?
2. Ваша организация определила цель обработки данных?
3. Ваша организация решила, какие персональные данные следует собирать?
4. Будет ли ваша организация получать коммерческую выгоду от обработки данных (помимо оплаты услуг контроллера)?
5. Являются ли субъекты данных вашими сотрудниками?
6. Ваша организация приняла решение о заинтересованных пользователях как часть или благодаря обработке?
7. Применяете ли вы профессиональное суждение при обработке персональных данных?
8. Есть ли у вас прямая связь с субъектами данных?
9. Вы отвечаете исключительно за то, как обрабатываются данные?
10. Вы привлекали обработчиков данных на аутсорсинг для обработки данных?

Шарнирные контроллеры

Статья 26(1) GDPR гласит, что контролеры данных могут определять цели и средства обработки данных индивидуально или совместно с другой стороной в качестве совместных контролеров данных.

Согласно GDPR, совместные контролеры имеют общую цель и совместно согласовывают цель и средства обработки данных. Однако это не будет применяться, если одни и те же данные используются по разным причинам.

Является ли ваша компания совместным контролером?

Ответьте на эти вопросы, чтобы определить, является ли ваша организация совместным контролером в соответствии с GDPR:

1. Есть ли у вас общая цель с другими компаниями по обработке данных?
2. Вы обрабатываете данные по той же причине, что и другой контроллер данных?
3. Используете ли вы для обработки тот же набор персональных данных, что и другой контролер данных? Например, это может означать использование одной и той же базы данных.
4. Вы планируете обработку данных с помощью другого контроллера данных?

Обязанности совместных контролеров данных GDPR

Совместные контролеры должны договориться между собой, кто берет на себя основную ответственность. Они в равной степени несут ответственность за любые нарушения безопасности, и любые штрафы будут соответственно разделены.

Примеры контроллеров данных

Пример 1

Кабинет врача использует автоматизированную компьютерную систему в зоне ожидания, чтобы сообщать пациентам, когда им идти в консультационный кабинет.

Автоматизированная система работает с использованием цифрового экрана, на котором отображается имя пациента и номер кабинета. Он также может использовать громкоговоритель для любых пациентов с нарушениями зрения, чтобы объявить эту информацию.

Врачебный кабинет будет контроллером данных для персональных данных, обрабатываемых в связи с этой системой уведомления, поскольку он контролирует цели и средства обработки данных.

Пример 2

Фирма нанимает бухгалтера для ведения бухгалтерского учета.Действуя от имени своего клиента, бухгалтер классифицируется как контролер данных в отношении любых личных данных, включенных в учетные записи.

Это связано с тем, что бухгалтеры и другие поставщики профессиональных услуг должны работать в соответствии с определенными профессиональными стандартами и обязаны нести ответственность за любые личные данные, для обработки которых они наняты.

Например, если бухгалтер обнаружит какое-либо злоупотребление служебным положением при заполнении счетов фирмы, можно ожидать, что он сообщит об этом нарушении в полицию или другие органы.

Если они будут вынуждены предпринять это действие, они будут действовать не в соответствии с инструкциями своего клиента, а в соответствии со своими профессиональными обязательствами и, следовательно, в качестве контролера данных.

Поставщики специализированных услуг, которые обрабатывают данные в соответствии со своими профессиональными обязанностями, всегда будут действовать в качестве контроллера данных. По этой причине им не разрешается передавать или делиться обязательствами контроллера данных со своим клиентом.

Процессоры данных

Обработчиком данных может быть компания или любое другое юридическое или физическое лицо. Несмотря на то, что обработчики данных принимают свои собственные оперативные решения, они будут действовать от имени и под руководством соответствующего контроллера данных.

Согласно статье 29 GDPR, обработчик данных должен обрабатывать персональные данные только в соответствии с инструкциями контроллера данных, если только это не требуется по закону.

Отдельные пользователи могут подавать иски о компенсации и возмещении убытков как контролерам данных, так и обработчикам данных.Если обработчик данных пойдет против инструкций контроллера данных, он будет нести ответственность за любую утечку данных. Поэтому обработчики данных всегда должны обеспечивать соблюдение рекомендаций GDPR.

Классифицируются ли сотрудники как обработчики данных?

Сотрудники контроллера данных не классифицируются как обработчики данных. Пока физическое лицо действует в рамках своих трудовых обязанностей, оно выступает в качестве агента контроллера данных.

Другими словами, GDPR классифицирует их как часть контролера, а не как отдельную сторону, с которой заключен контракт на обработку данных от имени контролера данных.

Является ли ваша компания обработчиком данных?

Ответьте на эти вопросы, чтобы определить, является ли ваша организация процессором в соответствии с GDPR:

1. Обрабатываете ли вы персональные данные для кого-то еще и по их указанию?
2. Были ли предоставлены вам персональные данные третьей стороной или вам были даны инструкции о том, какие данные необходимо собирать?
3. Вы не решили собирать личные данные от физических лиц и не решали, какие данные следует собирать.
4. Вы не определяете законную основу для сбора или использования этих данных.
5. Вы не решаете, для чего будут использоваться данные.
6. Вы не решаете, как долго данные будут храниться.
7. Вы реализуете решения по обработке данных в рамках контракта с другой компанией?
8. Вас не интересует общая цель или результат обработки.

Обязанности обработчика данных GDPR

Обработчики данных не имеют того же уровня юридических обязательств, что и контролеры в соответствии с GDPR. Процессоры не должны платить сбор за защиту данных.

Но у них есть собственный набор обязательств в соответствии с GDPR, и они могут быть объектом мер, принимаемых надзорными органами, такими как ICO, за любые нарушения.

В соответствии с , статьей 28 GDPR, если какие-либо действия по обработке данных выполняются по указанию контроллера, обработчик данных должен принять соответствующие организационные и технические меры для соблюдения рекомендаций, изложенных в GDPR.

Обработчики несут ответственность за обеспечение защиты прав субъекта данных, поэтому у них должны быть свои собственные меры безопасности.

Если GDPR обнаружит какие-либо утечки данных, в соответствии со статьей 83 , сотрудник по защите данных наложит штраф в соответствии со степенью ответственности обработчика и контролера с учетом всех реализованных технических и организационных мер. контроллерами и процессорами.

Пример процессора данных

Тренажерный зал проводит специальную рекламную акцию и нанимает типографию для изготовления приглашений. Тренажерный зал предоставляет типографии имена и адреса своих нынешних членов из своей базы данных.Типография использует эту информацию для рассылки приглашений.

Тренажерный зал считается контролером личной информации, которая используется для отправки приглашений. Тренажерный зал определил цель обработки персональных данных (для отправки адресных приглашений на рекламное мероприятие) и средства обработки данных (слияние персональных данных по электронной почте с использованием контактных данных субъектов данных).

Типография обрабатывает персональные данные только в соответствии с инструкциями спортзала и, следовательно, является обработчиком данных, а не контролером данных.

Что такое субпроцессор в соответствии с GDPR?

Когда обработчик данных решает передать часть или всю обработку данных в субподряд третьей стороне, это лицо или организация обычно именуется «подобработчиком».

В GDPR указано, что обработчик должен иметь предварительное письменное разрешение, когда его обработчик от контроллера данных намеревается передать обработку персональных данных третьей стороне (субобработчику).

После получения официального разрешения от контроллеров данных обработчик данных будет нести полную ответственность перед контроллером данных за работу подпроцессора.

Что должно быть включено в соглашение между процессором и субпроцессором?

При составлении договора между обработчиком и субобработчиком он должен содержать те же обязательства по защите данных, которые изначально были изложены в договоре между обработчиком данных и контролером данных.

Это обычно называют «компенсационным контрактом».

Согласно статье 28(3) GDPR договор между обработчиком и его субобработчиком должен содержать следующую информацию:

• Предмет персональных данных и срок их обработки.
• Точная цель и характер обработки данных.
• Обязанность обработчика данных обеспечивать безопасность данных и предупреждать контроллера данных в случае утечки данных.

Чтобы ознакомиться с рекомендациями ICO по контрактам между процессорами и подрядчиками, нажмите здесь.

Соглашение об обработке данных: 7 элементов, которые должны быть у каждого DPA, соответствующего GDPR [Обновлено]

Если вы хотите знать, как написать законное соглашение об обработке данных (DPA), вы попали по адресу.В этом сообщении блога мы познакомим вас со всеми важными элементами DPA в соответствии с Общим регламентом по защите данных (GDPR).

Вы также можете скачать этот пост в виде контрольного списка для печати! Используйте его, чтобы проверить, соответствует ли ваш DPA строгим требованиям GDPR.

GDPR налагает множество обязательств на тех, кто хочет собирать и использовать личные данные о пользователях. Одним из наиболее важных является DPA с каждой стороной, имеющей доступ к этим данным. DPA или положение об обработке данных по заказу — это юридически обязывающий документ, подписанный между контролером и обработчиком данных.Он регулирует особенности обработки данных, такие как:

• Объем и цель обработки
• Отношения между этими актерами
• Обязательства каждой стороны в соответствии с положением

Когда вам нужен DPA?

Всякий раз, когда обработчик данных выполняет какую-либо обработку от вашего имени, вам необходимо иметь письменный договор.

Это означает, что вам нужен DPA, например, при использовании платформ управления взаимоотношениями с клиентами (CRM), платформ данных о клиентах (CDP), аналитики и многих других типов инструментов, предназначенных для анализа поведения пользователей.

Контракт важен для того, чтобы обе стороны понимали свою роль в обработке персональных данных пользователей и свои вытекающие из этого обязательства. Это гарантирует, что цепочка ответственности понятна каждому участнику процесса.

В этом нет ничего нового. Подписание такого рода документов требуется многими другими правилами конфиденциальности данных, включая Британский закон о защите данных и предшественницу GDPR, Директиву о защите данных 95/46/EC.

Тем не менее, в соответствии с GDPR требования контракта шире.Они также помогают продемонстрировать соблюдение требований каждой стороной в случае проверки органами по защите данных.

По данным Управления Комиссара по информации Великобритании:

Контракты между контролерами и обработчиками гарантируют, что они оба понимают свои обязанности, ответственность и обязательства. Они помогают им соблюдать GDPR и помогают контролерам продемонстрировать их соответствие GDPR. Использование контрактов контролерами и обработчиками может также повысить уверенность субъектов данных в обработке их персональных данных.

Должен ли DPA быть отдельным документом?

Нет никаких юридических ограничений, согласно которым DPA не может быть частью обычного контракта между процессором и контроллером. Однако, учитывая сложность задачи, хорошо создать отдельный документ или приложение к основному договору.

Что должно быть включено в DPA?

GDPR дает некоторые общие рекомендации о том, что следует включать в DPA. Основываясь на регламенте, а также на собственном опыте и знаниях, мы подготовили список элементов, которые должны быть в каждом соглашении об обработке данных.

Важное примечание! Информация, содержащаяся в этой статье, предназначена только для информационных целей и не должна рассматриваться как юридическая консультация.

1) Общие положения

В этой части договора вы указываете термины, используемые в документе. Среди прочего, вы должны определить:

• Предмет соглашения – как правило, это все виды деятельности, связанные с договорными отношениями между партнерами.
• Объем, характер и продолжительность обработки данных – как будут использоваться персональные данные и какая сторона будет нести ответственность за соблюдение процесса. Эта ответственность обычно лежит на контролере данных (вы).
• Субъекты обработки данных – чьи данные вы хотите обработать, напр. детей, банковских клиентов, пациентов или просто посетителей сайта. Субъекты данных могут относиться к нескольким категориям.
• Тип данных, которые вы хотите обработать – различные категории данных, которые вы хотите обработать.Это может быть, например. технические характеристики браузера, поведенческие данные о действиях на сайте или IP-адреса.

передовая практика

Контролер должен информировать обработчика данных, если они собирают специальные категории данных, поскольку существуют дополнительные ограничения на обработку определенных типов данных. Если вы хотите узнать больше о категориях личных данных, прочитайте этот пост в блоге.

• Хранение данных — Хотя GDPR не запрещает компаниям хранить персональные данные пользователей за пределами ЕС, он устанавливает ограничения на такую ​​передачу (см.: Глава 5).Обработчик не должен отправлять данные за границу без предварительного согласия. Если данные должны храниться за границей, вам необходимо описать, как обработчик данных должен обращаться с ними, чтобы соответствовать стандартам защиты, установленным GDPR. Так как инструкции должны быть подробными, их стоит включить в отдельный пункт или даже приложение к договору.

• Условия расторжения договора — Здесь вы должны указать, что все данные о ваших пользователях должны быть удалены из баз данных процессора после расторжения договора.Вы также должны указать, когда у вас есть право расторгнуть соглашение — например, если обработчик не проинформирует вас об утечке данных или внесет несанкционированные изменения в процедуры обработки данных.

2) Права и обязанности контролеров данных (вас)

Вы также должны перечислить свои обязанности в качестве контролера данных и включить следующие положения:

• Вы несете ответственность за организацию законной обработки данных и соблюдение прав субъектов данных, включая сбор согласия и запросов субъектов данных.
• Вы несете ответственность за выдачу инструкций по обработке данных, т.е. назначение сотрудников в качестве контактного лица.

Чтобы узнать больше о том, что GDPR говорит о роли контроллера данных, прочитайте статью 24.

3) Обязанности обработчиков данных

Статьи 28–36 GDPR устанавливают обязанности обработчиков данных. Среди прочего они:

• Должен обеспечивать адекватную информационную безопасность
• Не следует привлекать подпроцессоров без вашего предварительного согласия 
• Должен сотрудничать с властями в случае запроса
• Должны сообщать вам об утечках данных, как только им станет о них известно
• Может потребоваться назначение сотрудника по защите данных
• Должен дать вам возможность проводить проверки для проверки их соответствия
• Должен вести учет всех действий по обработке
• Должен соответствовать правилам трансграничной передачи данных ЕС
• Должен помочь вам соблюдать права субъектов данных, включая обработку запросов субъектов данных
• Должен помочь вам справиться с последствиями утечки данных
• Необходимо удалить или вернуть все личные данные в конце контракта, если требуется
• Должен сообщить вам, если ваши инструкции по обработке нарушают GDPR

передовая практика

DPA не должен оставлять места для неправильного толкования.Чтобы избежать серых зон, не забудьте:

• Установите временные рамки, в течение которых обработчик данных должен обрабатывать запросы данных и в течение которых обработчик данных должен информировать вас об утечке данных
• Раскройте контактную информацию вашего сотрудника по защите данных 
• Укажите, планируете ли вы проводить аудит обработчика и как часто, и кто покроет связанные с этим расходы

Таким образом, вы убедитесь, что нет слабых звеньев, и обработчик данных точно знает, что вы от них ожидаете.

Положения этой части контракта должны быть адаптированы к конкретным потребностям организации и отраслевым требованиям. Если вы хотите более подробно изучить обязанности обработчика данных, посетите эту страницу.

4) Технические и организационные меры

Этот пункт договора относится к системам и процедурам, которые обработчики данных внедряют для обеспечения безопасности персональных данных, облегчения соблюдения закона и предотвращения утечки данных.

Согласно статье 32 Регламента:

Принимая во внимание уровень техники, затраты на внедрение и характер, объем, контекст и цели обработки, а также риск различной вероятности и серьезности для прав и свобод физических лиц, контролер и обработчик должны принять соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, включая, в частности, при необходимости:

• Псевдонимизация и шифрование личных данных
• Способность обеспечивать постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем обработки и услуг
• Возможность своевременного восстановления доступности и доступа к персональным данным в случае физического или технического инцидента
• Процесс регулярного тестирования, анализа и оценки эффективности технических и организационных мер по обеспечению безопасности обработки

В договоре должно быть указано, что обработчик данных должен принять все необходимые технические и организационные меры до начала обработки персональных данных пользователей.В конце концов, одной из ключевых ролей DPA является обеспечение того, чтобы процессоры предоставляли достаточные гарантии защиты данных.

Учитывая сложность этих мероприятий, их лучше включить в отдельное приложение к договору (см.: Приложение 1).

5) Субдоговорные отношения

Этот раздел проливает больше света на отношения между основным обработчиком данных и подпроцессорами (сторонами, обрабатывающими данные от имени обработчика). Вот что включить в эту часть соглашения:

• Обработчик данных должен получить письменное согласие контроллера данных на привлечение подпроцессоров.
• Контракт между обработчиком и подпроцессором должен обеспечивать уровень защиты данных, сравнимый с тем, который обеспечивается DPA.
• Контроллер данных должен нести ответственность за регулярную проверку соблюдения субобработчиками (например, не реже одного раза в 12 месяцев).

Также для ясности неплохо перечислить субпроцессоров в отдельном приложении к договору (см. раздел «Приложение 2»).

6) Заключительные положения

Это стандартная часть каждого контракта.Упомяните здесь, что:

• Любые изменения в контракте должны быть приняты обеими сторонами
• DPA заменяет все другие соглашения между обработчиком данных и контроллером данных

Это не оставит места для неправильного толкования в случае, если положения других соглашений противоречат требованиям DPA.

7) Приложения

DPA не был бы полным без приложений, подробно описывающих договорные отношения. Вот что вы должны включить в них:

Приложение 1 – Технические и организационные меры

Это приложение дополняет пункты DPA, касающиеся технических и организационных мер.Здесь обработчик данных должен доказать свою «способность обеспечивать постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем и услуг обработки » и установить «процесс регулярного тестирования, оценки и оценки эффективности технические и организационные меры по обеспечению безопасности обработки» . Обе цитаты являются выдержками из статьи 32 GDPR.

Ниже приведен список областей, имеющих решающее значение для соблюдения GDPR:

Конфиденциальность

Среди прочего процессор должен описывать:

• Структура дата-центра, где планируют хранить персональные данные
• Протоколы контроля информационной безопасности
• Физический доступ в офис и применяемые меры безопасности
• Удаленный доступ в офис
• Контроль доступа для приложений (программное обеспечение)

Целостность

В этой части договора обработчик данных должен доказать, что личные данные не могут быть прочитаны, скопированы, изменены или удалены какой-либо неуполномоченной стороной во время передачи данных.

Доступность и отказоустойчивость

В этом разделе приложения обработчик должен представить свою политику резервного копирования и меры, используемые для обеспечения избыточности данных, возможности восстановления и высокой доступности.

Процедуры периодического обзора

Здесь обработчик данных должен подробно описать основу для периодической оценки технических и организационных мер из предыдущих частей приложения.

Приложение 2 – Список подпроцессоров

Здесь нет ничего сложного — в этот список должны быть включены все подобработчики данных, а также адреса их штаб-квартир.

Соглашение об обработке данных в соответствии с GDPR 

Мы надеемся, что эта запись в блоге даст вам хорошее представление о том, как должно выглядеть соглашение об обработке данных. Но мы знаем, что это сложный вопрос, и у вас могут остаться вопросы без ответа. Если это так, обязательно ознакомьтесь с некоторыми дополнительными источниками информации о составлении DPA, включая это чрезвычайно информативное руководство Управления Комиссара по информации Великобритании.

Узнайте 10 элементов, которые должны быть в каждой политике конфиденциальности, соответствующей GDPR >>
Соответствует ли Google Analytics GDPR? 10 вещей, которые следует учитывать >>
Узнайте, как получить согласие и собрать данные в соответствии с рекомендациями CNIL и GDPR >>
Узнайте, как темные шаблоны противоречат GDPR и CCPA >>

Статья 9 Общего регламента ЕС по защите данных (EU-GDPR).Конфиденциальность/Конфиденциальность по плану.

=> Статья: 4 => Содержание: 51, 52, 53, 54, 55, 56 => административный штраф: ст. 83 (5) лит а

1. Обработка персональных данных, раскрывающих расовую или этническую принадлежность, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица данные о здоровье или данные о сексуальной жизни или сексуальной ориентации физического лица запрещаются . => Статья: 6, 36 => Концерт: 35, 91 => Досье: Анонимизация

НОВИНКА : Практическое руководство PrivazyPlan ® разъясняет все обязательства по защите данных и помогает соблюдать требования. Нажмите здесь! 2. Параграф 1 не применяется, если применяется одно из следующих условий:

(a) субъект данных дал явное согласие на обработку этих персональных данных для одной или нескольких указанных целей, за исключением случаев, когда это предусмотрено законодательством Союза или государства-члена запрет, указанный в пункте 1, не может быть снят субъектом данных; => Статья: 22 => Досье: согласие, предложение открытия, разрешение, цель (обязательство)

9 (b) Обработка необходима для целей проведения обязательства и осуществление конкретных прав контролера или субъекта данных в сфере занятости и социального обеспечения и законодательства о социальной защите в той мере, в какой это разрешено законодательством Союза или государства-члена или коллективным договором в соответствии с законодательством государства-члена, предусматривающим соответствующие гарантии основных прав и интересов субъекта данных; => Досье: Гарантия защиты данных, Вступительная статья (c) обработка жизненно важных данных физического лица или другого субъекта необходима для защиты жизненно важных данных физического лица или другого субъекта данных субъект физически или юридически неспособен дать согласие; => Досье: Согласие, Разрешение (d) обработка осуществляется фондом в рамках его законной деятельности или в других целях -коммерческая организация с политической, философской, религиозной или профсоюзной целью и при условии, что обработка относится исключительно к членам или бывшим членам организации или к лицам, которые имеют с ней регулярные контакты в связи с ее целями и что персональные данные не разглашаются за пределы этого органа без согласия субъектов данных; => Досье: разрешение, гарантия защиты данных, согласия, раскрытие (f) Обработка необходима для создания, упражнений или обороны судебных исков или всякий раз, когда суды действуют в своем судебном качестве; => досье: разрешение 13 (g) Обработка необходима по причинам существенного общественного интереса , на основе закона союза или государства-члена, которое должно быть пропорционально для преследуемой цели уважать сущность права на защиту данных и предусматривать подходящие и конкретные меры для защиты основных прав и интересов субъекта данных; => Артикул: 22 => Досье: Вступительная статья способность работника, медицинский диагноз, предоставление медицинской или социальной помощи или лечения или управление системами и услугами здравоохранения или социальной помощи на основании законодательства Союза или государства-члена или в соответствии с договором с медицинским работником и при условии условия и гарантии, указанные в пункте 3; => Досье: Вступительная статья (i) обработка данных необходима для защиты общественного интереса от таких трансграничных угроз, как защита общественного интереса для здоровья или обеспечения высоких стандартов качества и безопасности медицинской помощи, лекарственных средств или медицинских устройств на основе законодательства Союза или государства-члена, которое предусматривает подходящие и конкретные меры для защиты прав и свобод субъекта данных, в частности профессиональная тайна; => Досье: профессиональная тайна, вступительная статья со статьей 89(1) на основе законодательства Союза или государства-члена, которое должно быть соразмерно преследуемой цели, уважать сущность права на защиту данных и предусматривать подходящие и конкретные меры для защиты основных прав и интересов субъекта данных. РубрикаРазное Добавить комментарий Отменить ответ Ваш адрес email не будет опубликован. Обязательные поля помечены * Комментарий * Имя * Email * Сайт