Содержание

Положение о персональных данных | Образец - бланк - форма

Положение о персональных данных – документ, раскрывающий основные положения работы с персональными данными работника, которые необходимы работодателю при трудовых отношениях. Документ разрабатывается на каждом предприятии и должен содержать ряд обязанностей по получению персональных данных, их хранению, передаче и защите полученных персональных данных работников.

Положение о персональных данных должно быть составлено в строгом соответствии с Федеральным законом № 152-ФЗ «О персональных данных». Персональные данные – это абсолютно любая информация, которая прямо или косвенно относится к определенному физическому лицу, конкретно – к работнику конкретного предприятия. Помимо стандартных данных о работнике, к персональным данным могут относиться: политические и религиозные убеждения, информация об образовании, полученной квалификации, наличие детей, состояние здоровья, среднегодовой доход. Структура Положения о персональных данных может быть следующей:

  1. Общие положения (цель принятия данного Положения, вопросы, которые оно регулирует).
  2. Основные понятия и состав персональных данных работников (перечень документов, которые необходимо соблюдать при обработке персональных данных работников).
  3. Обработка персональных данных (условия, которые должны быть соблюдены при обработке персональных данных).
  4. Передача персональных данных (порядок передачи данных работников внутри организации).
  5. Доступ к персональным данным (порядок доступа к данным работников).
  6. Ответственность за нарушение норм, которые регулируют обработку, а так же защиту персональных данных.

Положение о персональных данных, разработанное на конкретном предприятии содержит положения относительно перечня персональных данных, которые подлежат хранению и обработке, перечень лиц, которые имеют доступ к таким данным, а так же определяет каким образом происходит защита персональных данных работников от несанкционированного доступа.

Составляем положение о персональных данных работников

«Положение о персональных данных работников 2021 образец» — весьма популярный запрос в поисковиках. Закон обязывает всех работодателей утвердить этот внутрикорпоративный акт, однако не указывает при этом требований к его форме и структуре. Понятие персональных сведений, действия по их охране, а также правила составления положения рассмотрим ниже.

Фото: Фотобанк Лори

Персональные данные работника и меры по их охране

Ранее определение термина «персональные данные» для трудовой сферы содержалось в ст. 85 ТК РФ. В качестве таковых указывались исключительно сведения, требующиеся и полученные работодателем в связи с трудовой деятельностью субъекта. Сейчас данная норма исключена.

В настоящее время толкование понятия персональных данных содержится в ФЗ «О персональных данных» № 152-ФЗ: это вся информация, относящаяся к физлицу.

Работодатель как субъект, осуществляющий обработку личных сведений, обязан гарантировать защиту такой информации от противоправного доступа и использования.

Примеры документов, включающих персональные данные:

  • карточка сотрудника (форма Т-2) содержит Ф.И.О. лица, сведения о семье, оконченных учебных заведениях;
  • в трудовой книжке указаны стаж, предшествующие места работы;
  • трудовой договор содержит название должности, размер вознаграждения и т.д.

Ст. 86 ТК РФ отмечает, что единственным источником личных сведений может выступать сам сотрудник. Когда такими данными обладает постороннее лицо, получить их допускается при условии, что на это согласен работник.

В ст. 88 ТК РФ содержится общий запрет на распространение данных с указанием ряда исключений, например, если такие действия требуются во избежание угрозы жизни субъекта. Об уголовной ответственности за разглашение сведений, читайте в статье Какая ответственность предусмотрена за разглашение персональных данных по 137 УК РФ?

Грубым нарушением закона является сам факт необеспечения сохранности документации, содержащей персональную информацию, вне зависимости от наступления для лица негативных последствий (определение Челябинского облсуда № 11-1913/2016).

Хотите знать больше об ответственности за нарушения в сфере персональных данных? Система Консультант Плюс предлагает экспертную статью, дающую полную картину.

Нюансы составления положения о работе с персональными данными

В ст. 87 Трудового кодекса и ст. 18.1 закона зафиксирована обязанность работодателя по формулировке и закреплению во внутренних актах порядка обработки, хранения личных данных персонала, перечня шагов по их защите. Указанным документом чаще всего является положение об обработке персональных данных работников.

Закон не предъявляет специфических требований к составлению локального акта. На практике в него включается следующая информация:

  • общие нормы, содержащие предназначение акта, ссылки на нормативную основу его разработки;
  • состав личных сведений, список их носителей;
  • права работника по контролю за обращением с его личной информацией;
  • меры, которые требуется предпринимать организации для защиты сведений, порядок обработки, использования;
  • последовательность действий при передаче персональной информации;
  • список сотрудников, обладающих доступом;
  • санкции за неисполнение правил обращения с рассматриваемыми сведениями.

Положение о персональных данных работников подлежит утверждению приказом руководителя юрлица.

Всем работникам указанный акт предоставляется для ознакомления, для чего может быть заведен специальный журнал с перечнем работающих в компании субъектов, где каждый ставит подпись после прочтения правил.

Образец положения о работе с персональными данными можно скачать по ссылке: Положение о работе с персональными данными (образец-2020). 

***

Работодатель, выступая субъектом, получающим и обрабатывающим личную информацию персонала, обязан принять необходимые меры для ее защиты при обработке, хранении, использовании. Соответствующие меры регламентируются положением о персональных данных, предоставляемым для ознакомления всем работникам.

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Пробный бесплатный доступ к системе на 2 дня.

Образец положения о персональных данных работников 2020

Что такое персональных данные

Федеральный закон от 27.07.2006 №152-ФЗ определяет персональные данные как любую информацию, прямо или косвенно относящуюся к субъекту или позволяющую его идентифицировать (п.1 ст. 3). При этом законодательный акт не содержит разъяснения, какие именно сведения о физическом лице включает в себя данное понятие. В контексте трудовых отношений к ним, как правило, относятся:

  • ФИО;
  • дата рождения;
  • паспортные данные;
  • адрес регистрации и проживания;
  • ИНН;
  • номер СНИЛС;
  • информация об образовании и трудовом стаже.

Это лишь минимальный перечень сведений о себе, которые человек предоставляет при приеме на работу. В процессе сотрудничества к нему добавляются: условия трудового договора и дополнительных соглашений, сведения о постановке на воинский учет, социальные льготы, данные о дисциплинарных взысканиях и поощрениях, отчеты для органов статистики и прочие. Массив полученной информации составляет личное дело работника.

Для чего нужно положение о работе с персональными данными

Принимая человека на работу, предприятие берет на себя функции оператора по обработке данных. Иными словами, работодатель осуществляет сбор, хранение, систематизацию, накопление и обновление информации, касающейся работников. Работа с личными данными ведется как с использованием средств автоматизации, так и без их применения. Обработка конфиденциальных сведений осуществляется не только в период сотрудничества, но и после его завершения, на стадии архивирования. Ст. 22.1 Федерального закона от 22 октября 2004 г. № 125-ФЗ "Об архивном деле в Российской Федерации" обязывает организации хранить личные дела работников в течение 75 лет. На всех этапах обработки личных сведений работодатель обязан предотвращать передачу их третьим лицам при отсутствии на то законных оснований. Комплекс соответствующих мер должен быть задокументирован как положение о работе с персональными данными работников.

Структура положения о персональных данных

Составляя положение о защите персональных данных 2020, рекомендуется придерживаться следующей структуры:

Раздел Содержание
1 Основные положения Цели документа, законы, порядок утверждения
2 Основные понятия Определения понятий, упортребляемых в документе
3 Состав персональных данных работников Перечень личных сведений
4 Обработка данных Условия обработки информации
5 Комплекс документов Перечень документов, содержащих личные сведения
6 Доступ к персональным данным Порядок внешнего и внутреннего доступа к информации
7 Защита персональных данных Комплекс мер для обеспечения безопасности конфиденциальных сведений
8 Права и обязанности работника Права работника в отношении обработки данных, обязанность по своевременному уведомлению об их изменении
9 Ответственность за разглашение информации Разъяснение ответственности за нарушение сохранности информации в соответствии с законодательством

Как ввести в действие положение об обработке и защите персональных данных 2020

На этапе разработки документа его содержание следует согласовать с руководителями отделов, задействованных в обработке данных, и юридической службой. Готовый локальный нормативный акт утверждается приказом руководителя организации. Приказ также издается в случае внесения изменений в текст документа. Если по каким-либо причинам положение о защите личных данных отсутствует на предприятии, необходимо незамедлительно его оформить и довести его содержание до всех работников. Сотрудники, принимаемые на работу, должны прочесть положение до подписания трудового договора. Подтверждение ознакомления с текстом оформляется на усмотрение работодателя. Наиболее удобный способ – ведение журнала ознакомления с локальными нормативными актами. При необходимости работник может сколько угодно раз обращаться за текстом документа. Чтобы упростить данную процедуру, рекомендуется выложить образец положения об обработке персональных данных работника в ресурсы корпоративного электронного доступа.

Образец положения о персональных данных 2020

Скачать

Положение о персональных данных работников 2020: образец с приложениями

Обязательным документом для каждой компании является положение о персональных данных, в котором устанавливаются правила обращения со сведениями о работниках.

Что такое положение о персональных данных работников?

Работа с персональными данными работников регулируется внутренним документом организации – соответствующим Положением. Обязательность его наличия обусловлено требованием ст. 87 ТК .

Все действия, связанные с получением, обработкой, изменением и т.д. данных индивидуального характера, подчиняются нормативам Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее Закон).

Пункт 2 часть 1 статья 18.1 Закона дает понятие персональным данным (далее ПД), к которым относят любую информацию, касающуюся субъекта прямо или косвенно, позволяющего идентифицировать его. Если говорит о работнике, как субъекте ПД, то работодатель использует следующие параметры:

  • фамилия, имя и отчество;
  • информация о рождении: место и дата;
  • данные паспорта;
  • ИНН;
  • СНИЛС;
  • адрес по прописке и фактического проживания;
  • сведения об образовании;
  • информация о стаже работы.

Все данные заносятся в личное дело сотрудника и пополняются в течение трудовой деятельности иной информацией персонального характера. Для организации работы, работодатель должен разработать Положение, в котором закрепить порядок и правила получения, хранения, использования полученных ПД работников.

Для чего необходимо положение о персональных данных работников?

Согласно положений Закона № 152-ФЗ, работодатель при приеме граждан на работу становится оператором обработки их личных данных. Это значит, что он берет на себя ответственность по сбору, хранению, обработке и иных действий в отношении получаемых сведений и вправе осуществлять их при помощи средств автоматизации или без них.

Работодатель обязан хранить личные дела своих сотрудников в соответствии со ст. 22.1 Федерального закона от 22.10.2004 № 125-ФЗ и затем передавать их на хранение в архив. Чтобы не допустить утечку персональных данных, должен быть применен комплексный подход к этой работе. Для чего необходимо составить и утвердить соответствующее Положение.

Структура положения

Каждая организация вправе самостоятельно разработать Положение, законодатель не устанавливает его строгой формы. Обязательным является наличие следующих разделов:

  1. Общие положения.

Раздел должен содержать цели, для которых документ составлен, а также перечисление данных, которые относятся к персональным. Все формулировки можно перенести из ст. 3 Закона.

  1. Основные понятия и состав персональных данных.

Руководствуйтесь при составлении этого раздела ст. 3 Закона. Укажите также документы работников, в которых содержатся их ПД:

  • документы, на основании которых оформляется трудовой контракт;
  • трудовые книжки;
  • личные дела работников;
  • отчетность налоговая, статистическая и т.д.;
  • приказы по организации и их копии.
  1. Обработка персональных данных.

Перечислите все условия, которые необходимо соблюдать при обращении с ПД. Соотнесите их с теми, что указаны в ст. 6 Закона.

  1. Передача персональных данных.

Определите правила передачи и получения ПД как внутри организации, так и третьим лицам. Здесь же укажите, как и где они хранятся (обычно это отдел кадров и бухгалтерия, где сведения о работниках хранятся в бумажном и электронном виде).

  1. Доступ к персональным данным.

Доступ к ПД сотрудников строго ограничен кругом лиц, которые используют их в процессе осуществления своих должностных полномочий. Перечислите должности, кто вправе получать и обрабатывать такие сведения, и их действия с ПД.

  1. Ответственность за нарушение норм в отношении обработки и защиты персональных данных.

Закрепите меру ответственности за работниками в случае нарушений правил данного Положения. Степень ответственности избирается в соответствии со ст. 90 ТК РФ.

Положение о персональных данных вводится в действие на основании приказа руководителя.

Обязательным является ознакомление с текстом Положения всех сотрудников организации, в том числе вновь принимаемых (ч. 2 ст. 22, ст. 68 ТК). Подтверждается этот факт одним из способов:

  • личной подписью в трудовом договоре, где содержится отсылка на действующее Положение;
  • личной подписью в листе ознакомления к Положению или журнале ознакомлений с приказами и распоряжениями.

При несоблюдении порядка обращения с персональными данными, если отсутствует Положения или не ознакомлен сотрудник с ним, руководитель может быть привлечен к административной ответственности в соответствии со ст. 5.27 КоАП.

Скачать образец положения о персональных данных работников 2020 года

Защита персональных данных работников в 2021 году

Содержание статьи:

Защита персональных данных работников, образец положения о которой можно скачать по ссылке, попадает в сферу действия нескольких законодательных актов. Каждый из них регламентирует права граждан, которые воспринимаются как субъекты персональных данных. Законы предусматривают не только однозначность трактовки ряда терминов, но и определяют круг обязанностей должностных лиц и сотрудников, а также предусматривают несение ответственности за нарушение правил хранения и использования персональных сведений о работниках предприятия, учреждения и т.д.

Как закон защищает персональные данные работников?

Конституция Российской Федерации – основополагающий документ, гарантирующий неприкосновенность частной жизни. Поскольку персональные сведения о человеке – это часть его личной жизни, то этот главный федеральный закон призван защищать их от посягательств третьих лиц.

Персональные сведения о работниках частных предприятий или государственных учреждений подпадают под защиту Трудового кодекса Российской Федерации. Один из его разделов – глава 14 – содержит нормы и положения, регламентирующие порядок получения, обработки и хранения данной информации. Здесь же предусмотрена и ответственность за несанкционированное использование персональных данных сотрудников.

Личные сведения о государственных служащих, помимо трудового законодательства, регулируются нормами дополнительных документов в сфере госслужбы, которые определяют условия получения, обработки, хранения и передачи третьим лицам персональных данных сотрудника. Если используются автоматизированные системы сбора и хранения, то следует учесть также нормы Постановления №758 от 17.11.2007.

Проблемы, которые касаются работы с персональными данными сотрудников

Единого положения, которое бы исчерпывающим образом регулировало все вопросы, связанные с персональными данными сотрудников, нет. В этом и заключается основная проблема для работодателей, которые вынуждены обрабатывать и хранить сведения с учётом норм и положений нескольких правовых актов. Не разработана до сих пор и терминологическая основа, отсутствует единый подход к пониманию, что является персональными данными, а что нет. Порядок обработки и хранения зачастую в каждой организации свой, так как единый порядок не разработан до сих пор.

Поскольку запрос персональных данных в любом случае должен быть мотивирован целями их дальнейшего использования, то для большинства работодателей справедливыми оказываются следующие мотивы сбора и обработки персональных сведений о сотрудниках:

• определение профпригодности работника;
• подбор должности в соответствии с полученным образованием и практическим опытом;
• обучение сотрудников;
• обеспечение законных интересов на период действия трудового соглашения;
• контроль эффективности эксплуатации имущества организации;
• обеспечение безопасности во время работы;
• проверка качества выполненной работы.

Основополагающими принципами обработки личных данных являются добровольность и законность. При этом должен соблюдаться принцип равенства персонала и быть исключена возможность дискриминации отдельных членов коллектива.

Эти требования провозглашены на федеральном уровне, поэтому в обязательном порядке транслируются в локальных документах учреждения, определяющих внутреннюю работу с персональными данными персонала. При разработке корпоративных документов следует избегать противоречия с действующим в этой сфере законодательством. При этом не стоит забывать и о специфике деятельности самого предприятия.

Скачать образец положения о защите персональных данных работника в редакции 2021 года

Нужна помощь юриста?
Узнайте, как решить именно Вашу проблему - позвоните прямо сейчас:

Консультация бесплатна!

Положение о персональных данных в 2019 году: пример

Положение о персональных данных работников – образец 2019 года вы найдете в этой статье. Какой текст положения с учетом всех требований законодательства? Приведем пример. 

Персональные данные сотрудников – любая информация, необходимая администрации в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

В бухгалтерии и кадровой службе хранятся документы, в которых персональные данные сотрудников, – ведомости по зарплате, личные карточки, личные дела и другие. Все персональные данные сотрудника можно получить только от него самого.

См. “Образец согласия на обработку персональных данных на 2019 год“.

Положение о персональных данных: структура

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в положении о работе с персональными данными сотрудников. Положение утверждает директор. Ознакомьте сотрудников с документом под подпись (ст. 8, п. 8 ч. 1 ст. 86, 87 ТК, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).

С целью обеспечения выполнения требований к порядку обработки персональных данных работников и защите этих сведений работодатель может разработать и утвердить Положение о работе с персональными данными работников. Оно также может именоваться, например, Положением об обработке персональных данных работников, Положением о защите персональных данных или даже Положением о персональных данных работников.

Положение о персональных данных относится к тем локальным актам, которые обязательно должны быть в организации. Работодатель должен локальным нормативным актом (Положением о персональных данных) определить порядок хранения, обработки и использования персональных данных. Отсутствие Положения может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства. Такой вывод также подтверждается судебной практикой (см. Постановление ФАС Московского округа от 26.10.2006 N КА-А40/10220-06 по делу № А40-20745/06-148-194).

Структуру и содержание Положения о защите персональных данных работников (образец приведем ниже) работодатель определяет для себя самостоятельно.

При разработке Положения о персональных данных работодатель должен учитывать, в частности, следующие принципы:

  • обработка персональных данных работников производится только в целях соблюдения законодательства РФ, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  • все персональные данные работников нужно получать у него самого. Если какие-либо персональные данные работника можно получить только у третьей стороны, работник заранее должен быть уведомлен об этом, а от него должно быть получено письменное согласие;
  • работодатель должен за свой счет обеспечивать защиту персональных данных работников от неправомерного их использования или утраты;
  • работодатель должен под роспись ознакомить работников с порядком обработки их персональных данных, а также с их правами и обязанностями в этой области.

Образец положения о персональных данных 2019

СКАЧАТЬ ОБРАЗЕЦ ПОЛОЖЕНИЯ О ПЕРСОНАЛЬНЫХ ДАННЫХ 2019 

Далее приведем возможный текст положения о защите персональных данных в 2019 году:

Общество с ограниченной ответственностью «Стелла»

(ООО Стелла»)

 

УТВЕРЖДАЮ

Директор

ООО «Стелла»

__________ А.С. Пушкин

9 июля 2019 года

 

ПОЛОЖЕНИЕ

О работе с персональными данными работников

 

9 июля 2019 года Москва

 

 1. Общие положения 

1.1. Положение о работе с персональными данными работников  ООО «Стелла» разработано в соответствии с Трудовым кодексом РФ, Законом от 27 июля 2006 г. № 152-ФЗ и нормативно-правовыми актами, действующими на территории РФ.

1.2. Настоящее Положение определяет порядок работы (сбора, обработки, использования, хранения и т. д.) с персональными данными работников и гарантии конфиденциальности сведений о работнике, предоставленных работником работодателю.

1.3. Настоящее Положение вступает в силу с 9  июля 2018 года.

 2. Получение и обработка персональных данных работников 

2.1. Персональные данные работника работодатель получает непосредственно от работника.
Работодатель вправе получать персональные данные работника от третьих лиц только при наличии письменного согласия работника или в иных случаях, прямо предусмотренных в законодательстве.

2.2. При поступлении на работу работник заполняет анкету, в которой указывает следующие сведения о себе:
– пол;
– дату рождения;
– семейное положение;
– отношение к воинской обязанности;
– местожительство и домашний телефон;
– образование, специальность;
– предыдущее(ие) место(а) работы;
– иные сведения, с которыми работник считает нужным ознакомить работодателя.

2.3. Работодатель не вправе требовать от работника представления информации о политических и религиозных убеждениях и о его частной жизни.

2.4. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами.

2.5. При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в разумный срок, не превышающий 14 дней.

2.6. По мере необходимости работодатель истребует у работника дополнительные сведения. Работник представляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.

2.7. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, относящаяся к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за ведение личных дел – бухгалтер организации.

 3. Хранение персональных данных работников 

3.1. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, которая относится к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за комплектование личных дел – бухгалтер организации.

3.2. Личные дела и личные карточки хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела и личные карточки находятся в отделе бухгалтерии в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. В конце рабочего дня все личные дела и личные карточки сдаются в отдел бухгалтерии.

3.3. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются заместителем руководителя организации и сообщаются индивидуально работникам, имеющим доступ к персональным данным работников.

3.4. Изменение паролей заместителем руководителя организации происходит не реже одного раза в два месяца.

3.5. В целях повышения безопасности по обработке, передаче и хранению персональных данных работников в информационных системах проводится их обезличивание. Для обезличивания персональных данных применяется метод введения идентификаторов, то есть замена части сведений персональных данных идентификаторами с созданием таблиц соответствия идентификаторов исходным данным.

3.6. Доступ к персональным данным работника имеют руководитель организации, его заместитель, главный бухгалтер, а также непосредственный руководитель работника. Специалисты отдела бухгалтерии – к тем данным, которые необходимы для выполнения конкретных функций. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения руководителя организации или его заместителя.

3.7. Копировать и делать выписки из персональных данных работника разрешается исключительно в служебных целях с письменного разрешения руководителя организации, его заместителя и главного бухгалтера.

 4. Использование персональных данных работников 

4.1. Персональные данные работника используются для целей, связанных с выполнением работником трудовых функций.

4.2. Работодатель использует персональные данные, в частности, для решения вопросов продвижения работника по службе, очередности предоставления ежегодного отпуска, установления размера зарплаты. На основании персональных данных работника решается вопрос о допуске его к информации, составляющей служебную или коммерческую тайну.

4.3. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного поступления. Работодатель также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных работника невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения.

 5. Передача персональных данных работников 

5.1. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом.

5.2. Работодатель не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

5.3. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим Положением на получение информации, относящейся к персональным данным работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело работника.

5.4. Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом РФ, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.

5.5. Работодатель обеспечивает ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

 6. Гарантии конфиденциальности персональных данных работников 

6.1. Информация, относящаяся к персональным данным работника, является служебной тайной и охраняется законом.

6.2. Работник вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.

6.3. В случае разглашения персональных данных работника без его согласия он вправе требовать от работодателя разъяснений.

Работники  должны быть под подпись ознакомлены с Положением о персональных данных. Факт ознакомления с указанным Положением может фиксироваться как в тексте самого трудового договора (путем перечисления локальных нормативных актов, с которыми работник ознакомлен до подписания договора), так и в отдельном документе (в самом Положении на листе ознакомления с ним).

Приводим для примера лист ознакомления работников с Положением о персональных данных

Ф.И.О. работника

Дата ознакомления

Усиков Сергей Иванович

Усиков

Конструктор политики конфиденциальности и обработки персональных данных

2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу httpsː//thismywebsite·com.

2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.

2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.

2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта httpsː//thismywebsite·com.

2.9. Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее - персональные данные, разрешенные для распространения).

2.10. Пользователь – любой посетитель веб-сайта httpsː//thismywebsite·com.

2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.12. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

2.14. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.

Act Now Training

ЗАЯВЛЕНИЕ О COVID-19
ФИЛЬТР
ВСЕ КУРСЫ Расширенный сертификат в практике GDPRСертификат практикаFOIЗакон о свободе информации 2000: Руководство AZ Сертификат практикующего специалиста GDPRКак обрабатывать запрос на доступ к субъектуЗакон о защите данных 2018Генеральный регламент защиты данных ======= ВСЕ ОНЛАЙН-КУРСЫ ======= Интернет - Получение коммуникационных данных: замена веб-семинара RIPAOnline - AI и машинное обучение: что нужно знать каждому DPO WebinarOnline - Веб-семинар CCTV и GDPROnline - Проведение интервью PACEOnline - Cookies, PECR и Consent WebinarOnline - Этика данных: Практическое руководство для DPOs - ВебинарOnline Веб-семинар по оценке воздействия на защиту - Интернет-правила, касающиеся экологической информации - Интернет-семинар по свободе информации, контрактам и коммерческой конфиденциальности - В сети Интернет - FOI: контракты и коммерческая конфиденциальность в Интернете - Сертификат практикующего специалиста FOISAOnline - Закон о свободе информации (Шотландия): Руководство AZ GuideOnline - Свобода информации (Шотландия): Закон о свободе информации 2000 года A -Z GuideOnline - Свобода информации Исключения в Интернете - Веб-семинар по обновлению информации о свободе информации - Веб-семинар по GDPR и обработчикам данных - Веб-семинар по GDPR и надзору за сотрудниками Онлайн - Веб-семинар по GDPR и обмену информацией онлайн - Обновление GDPR онлайн - Веб-семинар по обновлению GDPROnline - GDPR, PECR и маркетинг Нарушения личных данных Онлайн - Обработка запросов на доступ к темам Веб-семинарOnline - Как быть сотрудником по защите данных в Интернете - Как проводить маркетинг в соответствии с GDPR и PECROnline - Как проводить оценку воздействия защиты данных в Интернете - Как управлять записями для GDPROnline - Как обрабатывать Subject Access RequestOnline - Введение в управление кибербезопасностьюOnline - Введение в веб-семинар EIROnline - Введение в веб-семинар по свободе информации ine - RIPA и скрытые источники человеческого интеллекта (CHIS) WebinarOnline - RIPA и направленное наблюдение (DS) WebinarOnline - RIPA и веб-семинар социальных сетейOnline - RIPA, социальные сети и CHISOnline - SIROs и IAOs A-ZOnline - SIROs и IAOs WebinarOnline Дроны и LawOnline - Закон о защите данных 2018 Online - Общее положение о защите данных
ЛЮБАЯ ТЕМАGDPRFOICYBERCCPARIPA
ЛЮБОЕ МЕСТОПОЛОЖЕНИЕ- АНГЛИЯБирмингемБристольКембриджЛидсЛондонМанчестер- ШОТЛАНДИЯEdinburghGlasgow- WALESCardiff- СЕВЕРНАЯ ИРЛАНДИЯБелфаст- СШАЧикагоЛос-АнджелесНью-ЙоркСан-ФранцискоВашингтон- ЕВРОПАБрюссельФранкфурт-на-Майне 9000-ДАЙН-ЛИНИЙ 900DLE-EAST 900 ОЧИСТИТЬ ФИЛЬТРЫ

Типовые положения Европейского союза - соответствие требованиям Microsoft

  • 5 минут на чтение

В этой статье

Обзор типовых положений Европейского Союза

Закон о защите данных Европейского союза (ЕС) регулирует передачу личных данных клиентов из ЕС в страны за пределами Европейской экономической зоны (ЕЭЗ), в которую входят все страны ЕС, а также Исландия, Лихтенштейн и Норвегия.На практическом уровне соблюдение законов ЕС о защите данных также означает, что клиентам требуется меньше разрешений от отдельных органов власти для передачи личных данных за пределы ЕС, поскольку большинству стран-членов ЕС не требуется дополнительное разрешение, если передача основана на соглашении, которое соответствует с Типовыми положениями.

Типовые положения Microsoft и Европейского союза

Общие правила защиты данных (GDPR) Европейского союза (ЕС) регулируют передачу персональных данных клиентов в страны за пределами Европейской экономической зоны (ЕЭЗ), в которую входят все страны ЕС, а также Исландия, Лихтенштейн и Норвегия.Microsoft предлагает клиентам Стандартные договорные положения ЕС (SCC) (также известные как Типовые положения ЕС), которые предоставляют конкретные гарантии в отношении передачи персональных данных для услуг, входящих в объем. Типовые положения ЕС используются в соглашениях между поставщиками услуг (такими как Microsoft) и их клиентами, чтобы гарантировать, что любые личные данные, покидающие ЕЭЗ, будут передаваться в соответствии с GDPR.

В июле 2020 года Суд Европейского Союза (CJEU) признал недействительной Рамочную программу обмена конфиденциальной информацией между ЕС и США для передачи персональных данных из ЕС в США.Тем не менее, Типовые положения ЕС по-прежнему обеспечивают действующий механизм передачи персональных данных из ЕС и ЕЭЗ, а также из Швейцарии и Великобритании. Microsoft делает Типовые положения ЕС доступными для клиентов, как описано в Дополнительном соглашении по защите данных (DPA) Условия использования Microsoft Online Services (OST).

Облачные платформы и услуги Майкрософт

  • Azure и Azure для государственных организаций
  • Службы Azure DevOps
  • Динамика 365
  • Intune: часть облачной службы дополнительного продукта Intune и управления мобильными устройствами для Office 365
  • Безопасность приложений Microsoft Cloud
  • Microsoft Defender для конечных точек для следующих частей облачных служб: обнаружение конечных точек и реагирование, автоматическое расследование и исправление, оценка безопасности.
  • Microsoft Professional Services: Premier и On Premises для Azure, Dynamics 365, Intune, а также для средних и корпоративных клиентов Microsoft 365 для бизнеса
  • Office 365
  • Power Automate (ранее Microsoft Flow) облачная служба либо как отдельная служба, либо как включенная в фирменный план или пакет Office 365 или Dynamics 365 или пакет
  • Облачная служба
  • PowerApps либо как отдельная служба, либо как включенная в фирменный план или пакет Office 365 или Dynamics 365
  • Облачная служба Power BI либо как отдельная служба, либо как включенная в фирменный план или пакет Office 365

Office 365 и типовые положения Европейского союза

Облачная среда Office 365

Microsoft Office 365 - это многопользовательская гипермасштабируемая облачная платформа и интегрированный опыт приложений и услуг, доступных клиентам в нескольких регионах по всему миру.Большинство служб Office 365 позволяют клиентам указать регион, в котором находятся их данные о клиентах. Microsoft может реплицировать данные клиентов в другие регионы в пределах той же географической области (например, США) для обеспечения отказоустойчивости, но Microsoft не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие облачные среды Office 365:

  • Office 365 (коммерческий) : коммерческая общедоступная облачная служба Office 365, доступная во всем мире.
  • Office 365 Government Community Cloud (GCC) : облачная служба Office 365 GCC доступна федеральным, государственным, местным и племенным правительствам США, а также подрядчикам, которые хранят или обрабатывают данные от имени правительства США.
  • Облако сообщества Office 365 для государственных учреждений - высокое (GCC High) : облачная служба Office 365 GCC High разработана в соответствии с требованиями к безопасности Министерства обороны (DoD), уровень 4 контролирует и поддерживает строго регулируемую федеральную и оборонную информацию.Эта среда используется федеральными агентствами, оборонно-промышленной базой (DIB) и государственными подрядчиками.
  • Office 365 DoD (DoD) : облачная служба Office 365 DoD разработана в соответствии с требованиями DoD Security Requirements Guidelines уровня 5 и поддерживает строгие федеральные и оборонные нормы. Эта среда предназначена исключительно для использования Министерством обороны США.

Используйте этот раздел, чтобы помочь выполнить свои обязательства по соблюдению нормативных требований в регулируемых отраслях и на мировых рынках.Чтобы узнать, какие службы доступны в каких регионах, см. Информацию о международной доступности и статью Где хранятся ваши данные о клиентах Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. В статье Office 365 для государственных организаций.

Ваша организация несет полную ответственность за соблюдение всех применимых законов и нормативных актов. Информация, представленная в этом разделе, не является юридической консультацией, и вам следует проконсультироваться с юридическими консультантами по любым вопросам, касающимся соблюдения нормативных требований в вашей организации.

Применимость Office 365 и дополнительные услуги

Используйте следующую таблицу, чтобы определить применимость ваших служб и подписки Office 365:

Применяемость Услуги в объеме
Коммерческий Advanced Threat Protection, Azure Active Directory, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, Microsoft To-Do для Интернета, MyAnalytics, надстройка Office 365 Advanced Compliance, Office 365 Cloud App Security, группы Office 365, Office 365 Security & Compliance Center, Office 365 Video, Office Online, Office Pro Plus, OneDrive для бизнеса, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, StaffHub, Stream, Sway, Yammer Enterprise

Аудиты, отчеты и сертификаты

Microsoft постоянно оценивает стандарты ЕС и по мере необходимости обновляет свои услуги.

Часто задаваемые вопросы

Почему так важно соблюдать Типовые положения?

Поставщик услуг, который по договору обязуется соблюдать Типовые положения, дает своим клиентам уверенность в том, что личные данные будут передаваться и обрабатываться в соответствии с законодательством ЕС о защите данных. Использование Типовых положений также означает, что клиентам необходимо получать меньше разрешений от отдельных органов по защите данных для передачи личных данных за пределы ЕС.

Где я могу увидеть информацию о соответствии для служб Microsoft?

Соответствие является договорным обязательством.Стандартные договорные положения Microsoft доступны для всех клиентов облачных сервисов в Условиях использования веб-служб; о других услугах см. в вашем существующем соглашении с Microsoft.

Что такое «субпроцессор»?

Субпроцессор - это лицо, которое обрабатывает персональные данные в соответствии с инструкциями контроллера данных, а также условиями Типовых положений ЕС и субподряда. Заказчики Microsoft - в частности, независимые поставщики программного обеспечения (ISV) - иногда сами являются обработчиками данных.В этих случаях Microsoft является подпроцессором.

С чего начать усилия моей организации по обеспечению соблюдения нормативных требований?

Вы можете заключить соглашение, например Условия использования веб-служб, или изучить возможность внесения поправок в существующее соглашение, чтобы включить Стандартные договорные положения.

ресурса

Как написать уведомление о конфиденциальности данных GDPR - бесплатный шаблон

Закон о защите данных в Великобритании изменился в результате Brexit.Вы можете найти самое последнее руководство здесь .


Согласно GDPR (Общий регламент по защите данных), организации должны предоставлять физическим лицам определенную информацию через заявление о конфиденциальности или уведомление о конфиденциальности.

Но что такое уведомление о конфиденциальности данных и что оно должно содержать? В этом блоге мы объясняем все, что вам нужно знать, вместе с примером заявления GDPR.


Что такое уведомление о конфиденциальности?

Уведомление о конфиденциальности - это один из нескольких документов, необходимых для соответствия GDPR.

Но хотя многие из этих документов являются строго внутренними, для клиентов и других заинтересованных сторон предоставляется уведомление о конфиденциальности, в котором объясняется, как организация обрабатывает их личные данные.

Для этого есть две причины. Во-первых, это предотвращает путаницу в том, как используются личные данные, и обеспечивает уровень доверия между организацией и отдельным лицом.

Во-вторых, это дает людям больше контроля, когда организация собирает их личные данные.Если их что-то не устраивает, они могут запросить это через DSAR (запрос доступа к данным) и попросить организацию приостановить эту обработку.


Как написать уведомление о конфиденциальности

Статья 30 GDPR объясняет, что соответствующий документ должен содержать следующие данные:

1) Контактные данные

Первое, что нужно включить в ваше уведомление о конфиденциальности, - это имя, адрес, адрес электронной почты и номер телефона вашей организации.

Если вы назначили представителя DPO (сотрудника по защите данных) или представителя в ЕС, вы также должны указать их контактные данные.

2) Типы персональных данных, которые вы обрабатываете

Определение личных данных намного шире, чем вы думаете, поэтому вы должны убедиться, что включили все необходимое - и в конкретных деталях.

Например, вместо того, чтобы просто говорить «финансовая информация», укажите, какие это номера счетов, номера кредитных карт и т. Д.

Вам также следует указать, где вы получили информацию, если она не была предоставлена ​​непосредственно субъектом данных.

Чтобы получить представление о том, как это может выглядеть, взгляните на наш шаблон уведомления о конфиденциальности:

Как можно точнее укажите тип информации, которую вы собираете, и то, как вы ее получили.

3) Законное основание для обработки персональных данных

Согласно GDPR, организации могут обрабатывать персональные данные только при наличии для этого законных оснований.В вашей политике конфиденциальности следует указать, на какую из них вы полагаетесь для каждой цели обработки.

Если вы полагаетесь на законные интересы, вы должны их описать. Аналогичным образом, если вы полагаетесь на согласие, вы должны указать, что его можно отозвать в любой момент.

Помните, что существуют особые правила, когда речь идет об обработке особых категорий персональных данных.

4) Как вы обрабатываете личные данные

Вы должны объяснить, будете ли вы передавать личные данные третьим лицам.

Мы предлагаем также указать, как вы будете защищать общие данные, особенно если третья сторона находится за пределами ЕС.

Вы можете указать, будут ли данные передаваться организациям за пределами ЕС.

5) Как долго вы будете хранить их данные

GDPR гласит, что вы можете хранить личные данные только до тех пор, пока применима правовая основа для обработки.

В большинстве случаев это легко определить.Например, данные, обработанные для выполнения контрактов, должны храниться до тех пор, пока организация выполняет задачу, к которой применяется контракт.

Аналогичным образом, организации должны хранить любые данные, обрабатываемые на основании юридических обязательств, общественных задач или жизненно важных интересов, до тех пор, пока эта деятельность актуальна.

С согласием и законными интересами дела обстоят сложнее, поскольку нет четкого момента, когда они перестают действовать.

Поэтому мы рекомендуем пересматривать свои методы хранения данных не реже одного раза в два года.

6) Права субъекта данных

GDPR дает физическим лицам восемь прав субъектов данных, которые вы должны перечислить и пояснить в своем уведомлении о конфиденциальности:

  • Право на получение информации : организации должны сообщать людям, какие их данные собираются, как они используются, как долго они будут храниться и будут ли они переданы третьим лицам.
  • Право доступа : люди имеют право запрашивать копию информации, которую организация хранит о них.
  • Право на исправление : физические лица имеют право исправлять неточные или неполные данные.
  • Право на забвение : при определенных обстоятельствах люди могут попросить организации стереть любые личные данные, которые хранятся на них.
  • Право на переносимость : физические лица могут потребовать от организации передать любые данные, которые она хранит, другой компании.
  • Право на ограничение обработки : отдельные лица могут потребовать от организации ограничить способ использования личных данных.
  • Право на возражение : физические лица имеют право оспаривать определенные виды обработки, такие как прямой маркетинг.
  • Права, связанные с автоматическим принятием решений, включая профилирование. : отдельные лица могут попросить организации предоставить копию своей автоматизированной обработки, если они считают, что данные обрабатываются незаконно. Вам также следует напомнить людям, что они могут пользоваться своими правами, и объяснить, как они могут это сделать.

Создайте собственное уведомление о конфиденциальности в соответствии с GDPR с помощью нашего шаблона.


Зачем вам нужно уведомление о конфиденциальности

Уведомления о конфиденциальности являются юридическим требованием в соответствии с GDPR, гарантируя, что люди знают, как обрабатываются их личные данные.

Однако они также могут принести пользу организациям несколькими способами.

Например, политика конфиденциальности предоставляет документальное подтверждение ваших действий по обработке данных. Это поможет вам оправдать вашу обработку, если кто-то подаст жалобу в надзорный орган.

Политики и процедуры

GDPR также могут помочь вам выиграть бизнес, поскольку они доказывают, что у вас есть соответствующие меры защиты информации.


Уведомление о конфиденциальности - это то же самое, что и политика конфиденциальности?

Хотя они охватывают многие из тех же тем, не следует путать уведомления о конфиденциальности с политикой конфиденциальности.

В контексте GDPR уведомление о конфиденциальности - это общедоступный документ, созданный для субъектов данных.

В отличие от этого, политика конфиденциальности GDPR - это внутренний документ, который объясняет обязательства и методы организации по соблюдению своих нормативных требований.


Когда следует предоставлять уведомление о конфиденциальности GDPR?

Контроллеры данных должны предоставлять уведомление о конфиденциальности всякий раз, когда они получают личную информацию субъектов данных.

В этом нет необходимости только тогда, когда:

  • Субъект данных уже имеет информацию, указанную в уведомлении о конфиденциальности;
  • Предоставление такой информации было бы невозможным или потребовало бы непропорциональных усилий;
  • Организация обязана получать информацию по закону; или
  • Персональные данные должны оставаться конфиденциальными, при условии соблюдения профессиональной тайны.

Когда организация получает личную информацию от третьей стороны, она должна предоставить уведомление о конфиденциальности в течение месяца.

Это должно быть сделано при первом общении организации с субъектом данных или когда личные данные впервые передаются другому получателю.

Самый простой способ разместить уведомление о конфиденциальности - это разместить его на своем веб-сайте и дать на него ссылку, когда это необходимо.

Если у вас нет веб-сайта, сделайте физическую копию своей политики конфиденциальности.


Составление уведомления о конфиденциальности

Ваша политика конфиденциальности должна быть написана ясным и понятным языком, понятным субъектам данных.

Это особенно важно, когда вы обрабатываете личные данные детей, так как существует множество концепций, которые вам придется объяснить более подробно.

Как правило, политика конфиденциальности должна быть написана активным голосом и избегать ненужной юридической и технической терминологии.

Точно так же вам следует избегать таких определителей, как «может», «мог бы», «некоторые» и «часто», поскольку они намеренно расплывчаты. Заявление о том, что вы «можете» что-то сделать, не помогает субъекту данных понять, при каких обстоятельствах это произойдет.

Наконец, полис должен быть бесплатным и легкодоступным. Не скрывайте его в ссылке внизу формы, где его вряд ли увидят.

Вместо этого вы должны предоставить им политику в письменной форме или дать ссылку на нее при запросе их личных данных.


Не гадайте в своем уведомлении о конфиденциальности

Вам нужны дополнительные советы о том, как задокументировать соответствие GDPR? В таком случае наш настраиваемый шаблон уведомления о конфиденциальности идеально подходит.

Наш шаблон уведомления о конфиденциальности содержит аннотации, чтобы гарантировать соответствие требованиям GDPR.

Этот шаблон GDPR, написанный экспертами по защите данных, поможет вам создать уведомление о конфиденциальности в соответствии с требованиями Регламента всего за несколько минут.

Версия этого блога была первоначально опубликована 8 ноября 2018 года.


Рекомендуемая литература:

Шаблон политики конфиденциальности

GDPR - создайте свою собственную политику конфиденциальности для GDPR

В мае 2018 года вступил в силу один из самых строгих и всеобъемлющих законов о защите данных в мире - Общий регламент ЕС по защите данных (GDPR). Соблюдение GDPR потребовало от многих предприятий тщательного пересмотра своих процедур и практик.

Одна из самых важных задач для вашего бизнеса в соответствии с GDPR - это создание политики конфиденциальности (иногда называемой Уведомлением о конфиденциальности). Если у вас уже есть такая политика, вам нужно обновить ее , чтобы убедиться, что она соответствует новым требованиям GDPR.

Что такое Политика конфиденциальности GDPR?

Политика защиты данных предоставляет каждому, кто взаимодействует с вашим бизнесом, полную картину:

  • Какие персональные данные собирает ваша компания
  • Как и почему вы используете личные данные
  • Какие права имеют человек в отношении собираемых вами персональных данных.

Ваша Политика защиты данных должна быть написана на ясном и простом языке и легко доступна на вашем веб-сайте.

Компании, которым нужна политика конфиденциальности GDPR

Отчасти GDPR так важен, потому что он применим ко многим компаниям. Это , а не только компании из ЕС , которые должны соответствовать требованиям - это любая компания (или частное лицо, или благотворительная организация), которая хочет вести бизнес в ЕС, где бы она ни находилась.

GDPR распространяется на всех лиц, предоставляющих товары или услуги физическим лицам в ЕС или отслеживающих поведение таких лиц .Неважно, получаете ли вы прибыль или нет. Очевидно, это относится к компаниям, у которых есть магазины электронной коммерции или социальные сети. Но закон также может применяться к любому, кто эксплуатирует:

  • Мобильное приложение
  • Страница Facebook
  • Приложение SaaS

Действия, подпадающие под действие Политики конфиденциальности GDPR

Два очень важных термина в GDPR - это « обработка » и « персональных данных ». Обработкой персональных данных занимается практически каждая организация.

«Персональные данные» определены в статье 4 (1) GDPR как любая информация, относящаяся к идентифицируемому лицу. Самый очевидный пример - имя человека. Их физический адрес или адрес электронной почты также могут быть личными данными.

Есть также более неясные типы информации, которые ЕС считает персональными данными. Например:

  • Данные, собранные с помощью файлов cookie
  • IP-адрес
  • Данные GPS о местоположении

Если технически возможно использовать эту информацию для идентификации кого-либо, вы должны исходить из того, что это личные данные в соответствии с законом.

Затем есть «обработка», которая относится к « любой операции или набору операций », выполняемых с личными данными. Практически все, что угодно, может считаться обработкой в ​​соответствии с GDPR, при условии, что это хотя бы частично автоматизировано или является частью файловой системы.

  • Показываете таргетированных объявлений на вашем сайте? Использование отслеживающих файлов cookie обрабатывает личную информацию.
  • Составление списка рассылки ? Это обработка личных данных - независимо от того, используются они для маркетинга или нет.
  • Принятие покупок через интернет-магазин? Я уверен, вы видите, к чему это идет ...

Что включить в политику конфиденциальности GDPR

Возможно, в вашей компании уже действует такая политика. Это требуется по ряду других законов, включая CalOPPA Калифорнии, PIPEDA Канады и предыдущий закон ЕС о конфиденциальности - Директиву о защите данных.

Но GDPR вводит около новых требований . Все, что вы создали для соблюдения любого другого закона, скорее всего, будет недостаточно.

Вот что вам нужно указать в своей Политике конфиденциальности GDPR.

Контактная информация

GDPR требует, чтобы вы опубликовали имя и контактные данные контроллера данных . «Контроллер данных» - еще один ключевой термин GDPR. Это относится к любому, кто « определяет цели и означает » обработки личных данных.

Так, например, магазин электронной коммерции является контроллером данных. Чтобы вы могли совершить покупку, магазин должен выбрать способ обработки ваших личных данных, например.грамм. попросив вас ввести свой адрес доставки на его веб-сайте. Он также должен решить цель обработки ваших личных данных - отправить вам ваш продукт.

Поскольку ваш бизнес каким-то образом решает, как и почему обрабатываются личные данные, он квалифицируется как контроллер данных . Даже решение сделать что-то вроде , собирая IP-адреса для запуска аналитики веб-сайта, делает вас контролером данных.

Независимо от того, являетесь ли вы контроллером данных или кем-то другим, сообщите людям об этом, указав контактные данные контроллера данных в своей Политике конфиденциальности.

Вот как это делают Пейтон и Бирн:

Нет необходимости включать термин «контроллер данных» в этот пункт. Вот еще один пример из Snap Surveys:

Если у вас есть сотрудник по защите данных (DPO), вы также должны указать его контактные данные в своей Политике конфиденциальности.

Только определенные организации должны назначать DPO. DPO следит за практикой защиты данных в организации и выступает в качестве основного контактного лица для запросов о защите данных.Статьи 37-39 GDPR предоставляют дополнительную информацию о DPO.

Вот как NHS England предоставляет контактные данные своего DPO:

Категории персональных данных

Подумайте обо всех различных способах обработки персональных данных вашей компанией. Например, при совершении покупок в интернет-магазине , вот несколько способов обработки личных данных клиента:

  • Их IP-адрес - это , записанное как в файлы журналов.
  • Файлы cookie - это , размещенные на своем компьютере .
  • Их действий отслеживаются аналитическим программным обеспечением.
  • Они предоставляют свое имя, адрес электронной почты, адрес доставки и данные платежной карты при совершении покупки.

И это потенциально только первые пять минут взаимоотношений клиента с бизнесом.

Ваша Политика конфиденциальности GDPR должна раскрывать , какие типы личных данных вы собираете от людей напрямую, (статья 13) и косвенно, (из других источников) (статья 14).Это касается не только ваших клиентов. Вы, вероятно, собираете личные данные и от других людей. Ваша Политика защиты данных - это общедоступный документ, доступный каждому.

Вот пример от Electrolux:

Electrolux действительно охватывает здесь все. Трудно представить, как влажность воздуха или жесткость воды клиента могут считаться личными данными. Но когда объединяется с другой информацией , это действительно кое-что раскрывает о человеке.

Это хороший пример компании, которая тщательно продумала все типы данных, которые она собирает, и отлично раскрывает их.

Зачем и как вы обрабатываете личные данные

У вас должна быть цель для каждой части личных данных, которые вы собираете. Если он вам не нужен - не собирайте.

Звучит как здравый смысл, но в течение многих лет некоторые компании собирали столько личных данных, сколько могли - через журналы сервера, отслеживающие файлы cookie или ненужные детали регистрации (например, спрашивая пол, когда они подписываются на ваш информационный бюллетень по электронной почте)..

В вашей Политике конфиденциальности необходимо объяснить ваши цели для обработки различных типов персональных данных, которые вы собираете.

Вот отрывок из статьи Amazon Europe, в которой это раскрывается:

Ваша юридическая база

Согласно GDPR, у вас должна быть правовая основа для всей обработки данных, которую вы выполняете. В статье 6 GDPR перечислены шесть правовых оснований. Если ничего из этого не применимо, обработка чьих-либо личных данных не допускается.

  • Согласие - Вы получили разрешение человека способом, совместимым с GDPR >. Например, они дали вам свой адрес электронной почты и попросили добавить их в свой список рассылки.
  • Договор - у вас есть договор с человеком или вы собираетесь его заключить, и вам необходимо обработать его личные данные для выполнения своих обязательств. Например, человек купил один из ваших продуктов, и вам нужно сообщить его адрес транспортной компании.
  • Юридическое обязательство - Вам необходимо обработать личные данные человека в соответствии с законом. Например, суд приказал вам предоставить информацию.
  • Жизненно важные интересы - Если вы не будете обрабатывать личные данные определенным образом, жизнь человека окажется под угрозой. Например, передача медицинских карт человека хирургу, если человек не может дать свое согласие.
  • Общественная задача - Определенные организации могут обрабатывать личные данные в общественных интересах в определенном официальном качестве.Например, водопроводной или электроэнергетической компании, выполняющей общественные работы, может потребоваться сохранить список адресов.
  • Законные интересы - Вы обрабатываете личные данные в соответствии с вашими или чьими-то интересами. Это законно, этично, необходимо и соответствует разумным ожиданиям человека. Вы выполнили Оценка законных интересов . Например, ресторан, который ведет список клиентов, которым запрещен вход в помещения.

Вам нужно будет тщательно обдумать свою правовую основу для каждого средства обработки данных и объяснить это своим клиентам.

Вот пример кадровой компании Яна Вильямса:

Если вы полагаетесь на законных интересов , вам также необходимо предоставить подробную информацию о вашей оценке законных интересов.

Если вы полагаетесь на договор или юридическое обязательство , вам необходимо сообщить клиентам, что может произойти, если они не предоставят необходимые личные данные.

Вот пример из Writeupp:

Обратите внимание, что такое ограничение услуг неприемлемо, если вы полагаетесь на согласие.

Третьи стороны

Персональные данные передаются очень часто. Важно, чтобы ваши клиенты могли отслеживать, что произойдет с их личными данными после того, как вы их соберете.

Обычно ваши личные данные могут быть переданы в Интернете третьим лицам, например:

  • Аналитические услуги
  • Сторонние рекламодатели
  • Платежные системы
  • Почтовики
  • Компании прямого маркетинга

Вам необходимо раскрыть только категорий (типов) третьих лиц, с которыми вы делитесь личными данными, в своей Политике защиты данных.

Вот часть этого раздела Политики данных Facebook:

Международные переводы

Передача данных за пределы ЕС разрешена в соответствии с GDPR, но при определенных условиях. В Политике конфиденциальности GDPR вам необходимо учесть несколько оснований.

Вам необходимо раскрыть:

  • Передаете ли вы личные данные в третью страну за пределами ЕС.
  • Считает ли третья страна Европейской комиссией соответствующие стандарты защиты данных .
  • Если третья страна не была сочтена «адекватной», подробности о гарантиях , правилах или соображениях, которые у вас есть в соответствии со статьями 46, 47 или 49.

Давайте посмотрим, как M Squared подходит к этому:

Компания обеспечивает безопасность международной передачи личных данных тремя способами.

  • Решения об адекватности - Некоторые страны считаются безопасными по умолчанию. Вы можете передавать им данные так же, как вы можете передавать данные в пределах одной страны или всего ЕС.Вы можете просмотреть список стран здесь.
  • Особые контракты - Если страны не включены в утвержденный список, Европейская комиссия предоставляет типовые контракты, которые можно использовать для обеспечения юридически обязательного уровня защиты данных.
  • Privacy Shield - Соединенные Штаты не входят в утвержденный Европейской комиссией список. Однако компании из США могут подписаться на программу обмена конфиденциальной информацией между ЕС и США, которая позволит им участвовать в международной передаче данных.

Периоды хранения данных

В вашей Политике защиты данных должно быть указано , как долго вы будете хранить различные типы персональных данных, которыми вы владеете, или, по крайней мере, метод, который вы используете для определения этого.

Один из ключевых принципов GDPR - « ограничение хранения ». Вы должны хранить личные данные только до тех пор, пока они вам действительно нужны. Это может быть несколько лет, например, в случае некоторой банковской информации или отчетов о встречах, или несколько дней в случае определенных данных журнала веб-сервера .

Независимо от того, какой у вас период хранения для определенного типа личных данных, вы должны иметь возможность обосновать его , и вам необходимо раскрыть его .

Вот пример от Nestle:

В некоторых случаях невозможно указать срок хранения в днях или годах, поскольку продолжительность будет варьироваться в зависимости от характера отношений клиента с компанией. Это нормально, если вы, , объясните это .

Bosch также предоставляет подробную информацию о различных периодах хранения файлов cookie:

Права на данные

Один из способов, с помощью которых GDPR достигает своей цели по предоставлению людям большего контроля над своими личными данными, - это через восемь прав на данные, которые он предоставляет.Они изложены в статье 3 GDPR.

Некоторые из этих прав требуют конкретных действий , которые должны быть выполнены контроллером данных по запросу. Например, в соответствии с правом доступа клиент может обратиться к вам за копией любых личных данных, которые вы им храните. Или в соответствии с правом на удаление они могут запросить у вас удаление определенных личных данных.

Ваша Политика защиты данных должна сообщать людям, каковы их права, и как они могут получить доступ к ним или воспользоваться ими.

Вот пример некоторых прав, как объяснил Crunch:

Вам также необходимо сообщить людям, что они могут подать жалобу в орган по защите данных, если они недовольны тем, как вы обрабатываете их личные данные.

Вот пример из Resolver:

Если ваша компания автоматически принимает определенные важные решения, вам необходимо объяснить это своим клиентам. Правила автоматического принятия решений разъясняются в статье 22 и пункте 71 GDPR.

Вот как Чабб объясняет это:

Краткое изложение вашей политики конфиденциальности GDPR

GDPR требует от вас предоставить информацию практически о обо всем, что вы делаете с личными данными людей. Это может быть непростой задачей, но вы должны выполнять ее в соответствии с законом. Это также поможет убедиться, что вы придерживаетесь наилучших возможных методов защиты данных.

Ваша политика защиты данных должна включать:

  • Контактные данные для вашей компании и DPO (если есть)
  • Категории из персональных данных , которые вы собираете
  • Информация о том, почему вы обрабатываете личные данные (ваши цели )
  • Ваши Правовые основы для обработки персональных данных
    • Если вы полагаетесь на законные интересы, подробности вашей оценки законных интересов
    • Если вы полагаетесь на договор или юридические обязательства, подробности того, что произойдет, если люди не предоставят эти личные данные
  • Категории из третьих лиц , с которыми вы делитесь личными данными
  • Реквизиты любых международных переводов личных данных
  • Как долго вы храните личные данные
  • прав человек имеют на свои персональные данные.
    • Объясните, как вы можете помочь людям реализовать эти права
    • Объясните, проводите ли вы автоматическое принятие решений

6 простых руководств по пункту PDPA для соглашений о личных данных

В Сингапуре личные данные защищены в соответствии с пунктом PDPA. Этот закон содержит различные правила, регулирующие сбор, использование, раскрытие и хранение личных данных физических лиц.

6 Простых руководств по пункту PDPA для соглашений о личных данных

В сегодняшнем мире цифровых технологий организации обычно собирают огромное количество данных, которые отправляют люди - будь то для расширения предложений продуктов или для информирования своих клиентов по теме, представляющей личный интерес.Лица, предоставляющие эти персональные данные, имеют право рассчитывать на этичное управление. Поскольку организации могут использовать эти данные разными способами - будь то для генерации потенциальных клиентов или целевого маркетинга на основе профилей - для них важно обеспечить их законное использование.

В Сингапуре личные данные защищены Законом о защите личных данных 2012 г. (PDPA). Этот закон содержит различные правила, регулирующие сбор, использование, раскрытие и хранение личных данных физических лиц.

Для малого и среднего бизнеса повышение осведомленности о вашем продукте или услуге имеет жизненно важное значение для роста. Но с PDPA вам нужно будет учитывать его различные положения, чтобы не нарушать конфиденциальность клиентов (или потенциальных клиентов). Это может показаться помехой, но мало кто понимает, что PDPA может быть замаскированным благословением. Фактически это дает компаниям возможность развеять опасения по поводу неправильного управления данными, что, в свою очередь, помогает укрепить доверие клиентов.

Ниже приведены 6 простых руководств по пункту PDPA для соглашений о персональных данных

Также прочтите: 12 кратких объяснений преимуществ защиты данных для успеха бизнеса

Лица, предоставляющие эти персональные данные, имеют право ожидать его этическое управление.
  1. Организация может привлечь другую организацию для оказания услуг, связанных с обработкой личных данных (например, хостинг или хранение данных, обработка заработной платы и т. Д.). В этом Руководстве организация, закупающая услуги, будет называться «Заказчик», а организация, предоставляющая услуги, будет называться «Подрядчик». Заказчик и Подрядчик обычно заключают письменное соглашение с изложением предоставляемых услуг и обязательств сторон («Соглашение об оказании услуг»).
  2. В этом руководстве представлены образцы положений о защите данных, которые Заказчики могут включать в свои соглашения о предоставлении услуг с подрядчиками для общего ознакомления. Примеры условий должны быть адаптированы к конкретным обстоятельствам и потребностям Заказчика. Например, образцы положений могут быть изменены с учетом операционных и деловых требований Заказчика, контекста Соглашения о предоставлении услуг и других пунктов Соглашения о предоставлении услуг, касающихся аналогичных или связанных вопросов (например,грамм. положения о конфиденциальности). Пожалуйста, прочтите пояснительные примечания в следующем разделе этого Руководства, прежде чем использовать примеры предложений.
  3. Подрядчик, который обрабатывает личные данные от имени и для целей Заказчика, скорее всего, будет считаться посредником данных Заказчика в соответствии с Законом о защите личных данных 2012 г. («PDPA»). Если Подрядчик обрабатывает персональные данные в качестве посредника данных в соответствии с письменным контрактом, Подрядчик не будет подпадать под обязательства, изложенные в частях III – VI пункта PDPA («Обязательства по защите данных»), за исключением обязательств, связанных с на защиту и хранение личных данных.
  4. Заказчик будет нести ответственность за любое действие или бездействие Подрядчика в процессе обработки персональных данных от имени Заказчика, если такое действие или бездействие составляет нарушение любого Обязательства по защите данных. Привлекая Подрядчиков для обработки персональных данных от их имени и для своих целей, Заказчики должны обеспечить, чтобы их Соглашения об оказании услуг с Подрядчиками налагали достаточные обязательства на Подрядчиков, чтобы обеспечить собственное соблюдение Заказчиком положения PDPA.
  5. Для получения дополнительной информации об обязательствах по защите данных, пожалуйста, обратитесь к частям с III по VI пункта PDPA и в рекомендациях, выпущенных Комиссией по защите личных данных («Комиссия»). В частности, Консультативное руководство Комиссии по ключевым концепциям в пункте PDPA («Руководство по ключевым концепциям») подробно описывает ключевые термины в пункте PDPA, относящиеся к посредникам данных, и объясняет общие вопросы, связанные с различными обязательствами, которые организации должны выполнять в соответствии с Пункт НДПА.Обратите внимание, однако, что каждое рекомендательное руководство всегда следует читать вместе с любыми другими соответствующими рекомендациями, которые Комиссия издала или может время от времени выпускать.
  6. Использование примеров положений не означает, что вы соблюдаете положения PDPA или любого другого закона. Вам следует обратиться за профессиональной юридической консультацией, если вы не уверены в своем правовом положении или обязательствах по закону или вам требуется помощь в составлении любого Соглашения о предоставлении услуг (включая использование примеров положений).
Организации могут использовать эти данные разными способами - будь то для генерации потенциальных клиентов или целевого маркетинга на основе профилей - для них важно обеспечить их законное использование.

Также прочтите: Как обучение защите данных может помочь в сохранении работы

Privacy Ninja обеспечивает ГАРАНТИРОВАННОЕ качество и результаты для следующих услуг:
DPO-As-A-Service (внешняя подписка DPO) Обучение соблюдению PDPA
PDPA Аудит соответствия
Консультации по цифровой трансформации
Защита данных Трастовые знаки Сертификация Готовность Консультации
Программное обеспечение защиты данных PDPA
Оценка уязвимостей и тестирование на проникновение (VAPT)
Аудит смарт-контрактов

«Мне нравится» и подписаться:
Facebook
LinkedIn
Twitter
YouTube
Podcast Принимает новые стандартные договорные положения о передаче данных

4 июня Европейская комиссия утвердила новые стандартные договорные положения, разрешающие передачу личных данных из Европейского Союза в другие страны, например, США.

Они заменят старые стандартные договорные положения, принятые в 2010 году. Новые положения отражают изменения, внесенные новым законом ЕС о конфиденциальности, Общим регламентом защиты данных (GDPR) от 2018 года. GDPR ограничивает типы персональных данных, которые могут быть переданы легально.

Транснациональные работодатели в США должны полностью понимать свои новые обязанности по соблюдению законодательства и документации, особенно при выполнении таких функций, как ведение документации; оценка эффективности; возмещение расходов; и инициативы по разнообразию, равенству и инклюзивности.Передача данных может включать в себя кадровые записи, обзоры производительности, данные о льготах сотрудников и журналы пользователей.

По существующим контрактам предприятия должны выполнить до 27 декабря 2022 г.

Любые новые контракты должны использовать новые стандартные договорные положения после 21 сентября 2021 года. По истечении этого срока, если работодатели с работниками в ЕС передают данные без надлежащей правовой защиты, они могут столкнуться с штрафами или судебными исками.

«Административные штрафы за нарушение GDPR могут достигать 4 процентов от годового валового дохода для всей корпоративной группы.Хотя штраф такого размера маловероятен, регуляторы ЕС по защите данных активно применяют GDPR и налагают денежные штрафы », - сказал Филип Гордон, адвокат Littler в Денвере.

Нарушение работы может быть еще одним последствием, которого хотят работодатели. чтобы избежать.

Регулирующие органы "имеют право предписывать приостановку потоков данных за пределами ЕС. Такой порядок может нанести серьезный ущерб американской транснациональной компании, которая централизует и управляет всеми данными о сотрудниках в глобальном масштабе в информационной системе управления персоналом, хранящейся на сервере в Соединенных Штатах, - пояснил Гордон.

Действия

Марк Фрэнсис, поверенный Holland & Knight из Нью-Йорка, рекомендовал работодателям предпринять следующие шаги:

  • Укажите все существующие контракты, которые необходимо будет изменить, чтобы включить новые положения к 27 декабря. 2022.
  • Рассмотрите сценарии, которые ранее не учитывались в старых статьях, чтобы определить, когда необходимы новые статьи.
  • Взаимодействуйте с деловыми партнерами для выполнения новых положений.
  • Обновите внутренние политики и процедуры, чтобы учесть усиленные меры защиты, требуемые положениями.

Имейте для этого прагматичный план и не пытайтесь делать слишком много сразу.

«Это может включать в себя использование технологических платформ конфиденциальности и систем или реестров данных для точного определения соответствующих передач данных; определение приоритетов действий на основе риска; а затем применение прагматических подходов, которые не являются слишком обременительными, слишком дорогостоящими или требуют постоянного обслуживания», - сказал Фрэнсис.

Обращаясь к законам ЕС о конфиденциальности, не упускайте из виду новые законы о конфиденциальности в других странах, таких как Япония и Бразилия.«Мы часто советуем компаниям мыслить более целостным образом», - сказал Фрэнсис.

Ежегодный тренинг по вопросам конфиденциальности может быть полезен для сотрудников, которые работают с личной информацией жителей ЕС.

[Хотите узнать больше? Присоединяйтесь к нам на Ежегодной конференции и выставке SHRM 2021 , которая состоится 9-12 сентября в Лас-Вегасе и виртуально.]

Основное обновление

Обновление документов и процессов может потребовать много времени и проблем для работодателей. .

«Многие организации имеют сотни или тысячи контрактов, которые необходимо будет оценить и обновить», - сказал Фрэнсис. «Новые стандартные договорные положения применяются к деловым отношениям, которые не были охвачены старой версией, например, когда клиент из США использует поставщика услуг в ЕС, поэтому это не так просто, как просто заменить старые условия на новые условия. "

Соглашения между работодателями и третьими сторонами должны быть точными и включать все категории передаваемых личных данных и все цели, для которых эти данные будут использоваться.По словам Гордона, все юридические лица, которые экспортируют и импортируют личные данные из ЕС, должны быть сторонами соглашения.

"Когда многонациональный работодатель не завершает всестороннее и тщательное сопоставление трансграничных передач данных до подготовки новых стандартных договорных положений для исполнения, он рискует заключить соглашение, которое не охватывает все передачи данных и все цели обработки. и, следовательно, подвергает работодателя риску правоприменения », - пояснил он.

Новые стандартные договорные положения требуют, чтобы компании оценивали законы страны, в которой находится импортер данных, и определяли, что эти законы не будут препятствовать способности импортера данных выполнять свои договорные обязательства.

«Новые стандартные договорные положения также требуют, чтобы эта оценка была задокументирована и предоставлена ​​регулирующим органам ЕС по защите данных по запросу», - сказал Гордон. «Многим транснациональным компаниям США придется во многом полагаться на внешних юристов для подготовки необходимой оценки».

Новые стандартные договорные положения требуют, чтобы компании предоставляли сотрудникам больше информации о передаче данных, чем они делали ранее в соответствии с GDPR. «Многонациональные работодатели, работники которых находятся в ЕС, могут быть обязаны пересмотреть и распространить уведомления об обработке данных, которые они ранее предоставили сотрудникам», - подтвердил Гордон.

Новые пункты «особенно важны для компаний США, потому что другой популярный вариант, известный как Рамочная программа по защите конфиденциальности между США и ЕС, в июле 2020 года был признан недействительным Судом ЕС», - заявил Фрэнсис.

Лия Шеперд - внештатный писатель из Колумбии, штат Мэриленд,

Стандартные договорные положения GDPR | ActiveCampaign

Стандартные договорные положения GDPR (далее - «SCC»), указанные ниже, действуют между Контроллером из ЕЭЗ и Обработчиком данных, не входящим в ЕЭЗ.Если вы подписали Дополнение по обработке данных («DPA») к условиям обслуживания ActiveCampaign и желаете выполнить SCC, вы можете получить доступ к исполняемой версии SCC в настройках конфиденциальности вашей учетной записи ActiveCampaign. Приведенный ниже шаблон предоставлен исключительно для удобства, чтобы дать текущим и потенциальным клиентам возможность ознакомиться с этими условиями до их исполнения. Приведенный ниже шаблон не является юридически обязательным для вас или ActiveCampaign. Чтобы войти в версию привязки SCC, вы должны сначала выполнить DPA с ActiveCampaign (который также доступен для выполнения на платформе ActiveCampaign), поскольку SCC изменяют условия DPA.Вы также должны выполнить SCC, используя ссылку, указанную в настройках конфиденциальности вашей учетной записи ActiveCampaign.

Обратите внимание: не всем клиентам, подписавшим DPA, необходимо подписывать SCC. ActiveCampaign не может сделать это за вас, поэтому, если вы не уверены, требуются ли вам SCC, ваши юрисконсульты смогут помочь вам в принятии такого решения.

Если вы являетесь торговым посредником, аффилированным лицом или агентством ActiveCampaign, обратитесь в службу поддержки ActiveCampaign для заключения соглашения с конкретным партнером.

ПРИЛОЖЕНИЕ 2 к Дополнению по обработке данных ActiveCampaign Стандартные договорные условия (обработчики)

Для целей статьи 26 (2) Директивы 95/46 / EC о передаче персональных данных обработчикам, установленным в третьих странах, которые не обеспечивают адекватный уровень защиты данных, экспортер данных и импортер данных, указанные на страницах подписей к этим пунктам, каждая из которых является «стороной», вместе «стороны», СОГЛАСИЛИСЬ о нижеследующих договорных положениях (пунктах), чтобы указать соответствующие гарантии в отношении защиты частной жизни и основных прав и свобод людей для передачи экспортером данных импортеру данных личных данных, указанных в Приложении 1.

Пункт 1

Определения

(a) «личные данные», «особые категории данных», «процесс / обработка», «контролер», «обработчик», «субъект данных» и «надзорный орган» должны иметь одинаковые означает, как в Директиве 95/46 / ЕС Европейского парламента и Совета от 24 октября 1995 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных;

(b) « экспортер данных» означает контролера, который передает персональные данные;

(c) «импортер данных» означает обработчик, который соглашается получить от экспортера данных персональные данные, предназначенные для обработки от его имени после передачи в соответствии с его инструкциями и условиями пунктов, и который не подлежит системе третьей страны, обеспечивающей адекватную защиту по смыслу статьи 25 (1) Директивы 95/46 / ЕС;

(d) «субпроцессор» означает любой обработчик, привлеченный импортером данных или любым другим субпроцессором импортера данных, который соглашается получать от импортера данных или от любого другого субпроцессора персональные данные импортера данных, предназначенные исключительно для действия по обработке, которые должны выполняться от имени экспортера данных после передачи в соответствии с его инструкциями, условиями пунктов и условиями письменного субподряда;

(e) ' применимый закон о защите данных ' означает законодательство, защищающее основные права и свободы людей и, в частности, их право на неприкосновенность частной жизни в отношении обработки персональных данных, применимых к данным контролер в государстве-члене, в котором учрежден экспортер данных;

(f) «технические и организационные меры безопасности» означают меры, направленные на защиту персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных через сети и против всех других незаконных форм обработки.

Статья 2

Подробная информация о передаче

Подробная информация о передаче и, в частности, особые категории персональных данных, где это применимо, указаны в Приложении 1, которое является неотъемлемой частью Условий.

Статья 3

Пункт о стороннем бенефициаре

  1. Субъект данных может применить к экспортеру данных положения пункта 4 (b) - (i), пункта 5 (a) - (e) и (g) - (j), Пункты 6 (1) и (2), Пункт 7, Пункт 8 (2) и Пункты 9–12 в качестве стороннего выгодоприобретателя.
  2. Субъект данных может применить против импортера данных положения настоящего пункта, пункта 5 (a) - (e) и (g), пункта 6, пункта 7, пункта 8 (2) и пунктов 9–12, в случаях, когда экспортер данных фактически исчез или прекратил свое существование по закону, если какое-либо юридическое лицо-преемник не приняло на себя все юридические обязательства экспортера данных по контракту или в силу закона, в результате чего оно принимает на себя права и обязанности экспортера данных , и в этом случае субъект данных может принудить их к исполнению против такого лица.
  3. Субъект данных может принудить субпроцессора к соблюдению положений настоящего пункта, пункта 5 (a) - (e) и (g), пункта 6, пункта 7, пункта 8 (2) и пунктов 9–12, в случаях, когда оба экспортер данных и импортер данных фактически исчезли, прекратили свое существование по закону или стали неплатежеспособными, если только какое-либо юридическое лицо-преемник не приняло на себя все юридические обязательства экспортера данных по контракту или в силу закона, в результате чего оно берет на себя права и обязанности экспортера данных, и в этом случае субъект данных может применить их к такому лицу.Такая ответственность субпроцессора перед третьими сторонами ограничивается его собственными операциями обработки в соответствии с Пунктами.
  4. Стороны не возражают против того, чтобы субъект данных был представлен ассоциацией или другим органом, если субъект данных явно этого желает и если это разрешено национальным законодательством.

Статья 4

Обязательства экспортера данных

Экспортер данных соглашается и гарантирует:

(a) что обработка, включая саму передачу, персональных данных осуществлялась и будет продолжаться в соответствии с соответствующими положениями применимый закон о защите данных (и, если применимо, был уведомлен в соответствующие органы государства-члена, в котором учрежден экспортер данных) и не нарушает соответствующие положения этого государства;

(b), что он проинструктировал и в течение всего срока оказания услуг по обработке персональных данных будет давать указания импортеру данных обрабатывать персональные данные, переданные только от имени экспортера данных и в соответствии с применимым законом о защите данных и положениями;

(c) импортер данных предоставит достаточные гарантии в отношении технических и организационных мер безопасности, указанных в Приложении 2 к настоящему контракту;

(d), что после оценки требований применимого закона о защите данных меры безопасности подходят для защиты персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передача данных по сети и от всех других незаконных форм обработки, и что эти меры обеспечивают уровень безопасности, соответствующий рискам, связанным с обработкой, и характеру данных, подлежащих защите, с учетом современного состояния и стоимость их реализации;

(e) что он обеспечит соблюдение мер безопасности;

(f) что, если передача включает в себя особые категории данных, субъект данных был проинформирован или будет проинформирован до или как можно скорее после передачи о том, что его данные могут быть переданы в третью страну, не предоставляя адекватных защита в смысле Директивы 95/46 / EC;

(g) направить любое уведомление, полученное от импортера данных или любого субпроцессора в соответствии с Пунктом 5 (b) и Пунктом 8 (3), в орган надзора за защитой данных, если экспортер данных решит продолжить передачу или отменить приостановку ;

(h) предоставлять субъектам данных по запросу копию Условий, за исключением Приложения 2, и краткое описание мер безопасности, а также копию любого контракта на вспомогательные услуги, который должен быть сделано в соответствии с Пунктами, если Пункты или договор не содержат коммерческую информацию, и в этом случае он может удалить такую ​​коммерческую информацию;

(i) что в случае дополнительной обработки обработка данных выполняется в соответствии с пунктом 11 субпроцессором, обеспечивающим, по крайней мере, такой же уровень защиты личных данных и прав субъекта данных, что и импортер данных в соответствии с Статьи; и

(j), что он обеспечит соответствие Пунктам 4 (a) - (i).

Статья 5

Обязательства импортера данных

Импортер данных соглашается и гарантирует:

(a) обрабатывать персональные данные только от имени экспортера данных и в соответствии с его инструкциями и положениями; если он не может обеспечить такое соответствие по каким-либо причинам, он соглашается незамедлительно проинформировать экспортера данных о своей неспособности соблюдать, и в этом случае экспортер данных имеет право приостановить передачу данных и / или расторгнуть договор;

(b) что у него нет оснований полагать, что применимое к нему законодательство не позволяет ему выполнять инструкции, полученные от экспортера данных, и его обязательства по контракту, и что в случае изменения этого законодательства, которое может оказывает существенное неблагоприятное влияние на гарантии и обязательства, предусмотренные Пунктами, он незамедлительно уведомит об изменении экспортера данных, как только он узнает, и в этом случае экспортер данных имеет право приостановить передачу данных и / или прекратить контракт;

(c) что он реализовал технические и организационные меры безопасности, указанные в Приложении 2, перед обработкой переданных персональных данных;

(d), что он незамедлительно уведомит экспортера данных о:

(i) любом юридически обязательном запросе на раскрытие персональных данных правоохранительным органом, если иное не запрещено, например, о запрете в соответствии с уголовным законодательством для сохранения конфиденциальности расследования правоохранительных органов,

(ii) любой случайный или несанкционированный доступ и

(iii) любой запрос, полученный непосредственно от субъектов данных без ответа на этот запрос, если только у них не было иных разрешений на это;

(e) оперативно и надлежащим образом реагировать на все запросы экспортера данных, касающиеся обработки персональных данных, подлежащих передаче, и соблюдать рекомендации надзорного органа в отношении обработки переданных данных;

(f) по запросу экспортера данных предоставить свои средства обработки данных для аудита деятельности по обработке, охватываемой Пунктами, которая должна выполняться экспортером данных или инспекционным органом, состоящим из независимых членов и во владении требуемая профессиональная квалификация, связанная обязательством конфиденциальности, выбранная экспортером данных, где это применимо, по согласованию с надзорным органом;

(g) предоставлять субъекту данных по запросу копию Условий или любого существующего контракта на дополнительную обработку, если Условия или контракт не содержат коммерческую информацию, и в этом случае он может удалить такую ​​коммерческую информацию, за исключением Приложение 2, которое должно быть заменено кратким описанием мер безопасности в тех случаях, когда субъект данных не может получить копию от экспортера данных;

(h) что в случае дополнительной обработки он ранее проинформировал экспортера данных и получил его предварительное письменное согласие;

(i) что услуги обработки, предоставляемые субпроцессором, будут выполняться в соответствии с Пунктом 11;

(j) незамедлительно отправлять копию любого соглашения с субпроцессором, которое он заключает в соответствии с Пунктами, экспортеру данных.

Статья 6

Ответственность

1. Стороны соглашаются, что любой субъект данных, которому был нанесен ущерб в результате любого нарушения обязательств, указанных в Пункте 3 или Пункте 11, любой стороной или субпроцессором, имеет право на получение компенсации от экспортера данных. за причиненный ущерб.

2. Если субъект данных не может предъявить иск о компенсации в соответствии с параграфом 1 экспортеру данных в результате нарушения импортером данных или его субпроцессором любого из своих обязательств, упомянутых в пункте 3, или в пункте 11, поскольку экспортер данных фактически исчез, прекратил свое существование по закону или стал неплатежеспособным, импортер данных соглашается с тем, что субъект данных может подать иск против импортера данных, как если бы он был экспортером данных, за исключением случаев, когда какой-либо правопреемник принял на себя все юридические обязательства экспортера данных по договору или в силу закона, и в этом случае субъект данных может реализовать свои права в отношении такого лица.

Импортер данных не может полагаться на нарушение субпроцессором своих обязательств, чтобы избежать своих собственных обязательств.

3. Если субъект данных не может подать иск против экспортера данных или импортера данных, упомянутых в пунктах 1 и 2, в результате нарушения субпроцессором любого из своих обязательств, указанных в пункте 3, или в пункте 11, поскольку и экспортер данных, и импортер данных фактически исчезли или перестали существовать по закону или стали неплатежеспособными, субпроцессор соглашается, что субъект данных может подать иск против субпроцессора данных в отношении его собственных операций обработки в соответствии с Положения, как если бы он был экспортером данных или импортером данных, если какое-либо юридическое лицо-преемник не приняло на себя все юридические обязательства экспортера данных или импортера данных по контракту или в силу закона, и в этом случае субъект данных может реализовать свои права в отношении таких организация.Ответственность субпроцессора ограничивается его собственными операциями обработки в соответствии с Пунктами.

Статья 7

Посредничество и юрисдикция

1. Импортер данных соглашается с тем, что если субъект данных будет ссылаться на права стороннего бенефициара и / или потребовать компенсацию за ущерб в соответствии с Пунктами, импортер данных примет решение субъекта данных:

(а) передать спор на рассмотрение при посредничестве независимым лицом или, если применимо, надзорным органом;

(b) для передачи спора в суды государства-члена, в котором учрежден экспортер данных.

2. Стороны соглашаются, что выбор, сделанный субъектом данных, не нанесет ущерба его материальным или процессуальным правам на поиск средств правовой защиты в соответствии с другими положениями национального или международного права.

Статья 8

Сотрудничество с надзорными органами

  1. Экспортер данных соглашается передать копию этого контракта надзорному органу, если он этого потребует или если такое депонирование требуется в соответствии с применимым законодательством о защите данных.
  2. Стороны соглашаются, что надзорный орган имеет право проводить аудит импортера данных и любого субпроцессора, который имеет тот же объем и подчиняется тем же условиям, которые применялись бы к аудиту экспортера данных в соответствии с применимый закон о защите данных.
  3. Импортер данных должен незамедлительно проинформировать экспортера данных о существовании применимого к нему законодательства или любого субпроцессора, препятствующего проведению аудита импортера данных или любого субпроцессора в соответствии с параграфом 2.В таком случае экспортер данных имеет право принять меры, предусмотренные в пункте 5 (b).

Пункт 9

Применимый закон

Положения регулируются законодательством государства-члена, в котором учрежден экспортер данных.

Статья 10

Изменение договора

Стороны обязуются не изменять и не изменять Условия.Это не препятствует сторонам добавлять статьи по вопросам, связанным с бизнесом, где это необходимо, при условии, что они не противоречат этой статье.

Статья 11

Подобработка

  1. Импортер данных не должен заключать субподрядные операции по обработке данных, выполняемых от имени экспортера данных в соответствии с Условиями, без предварительного письменного согласия экспортера данных.Если импортер данных передает свои обязательства в соответствии с Пунктами на субподряд, с согласия экспортера данных, он должен делать это только посредством письменного соглашения с субпроцессором, которое налагает на субпроцессора те же обязательства, что и на импортера данных в соответствии с Статьи. Если субпроцессор не выполняет свои обязательства по защите данных по такому письменному соглашению, импортер данных остается полностью ответственным перед экспортером данных за выполнение обязательств субпроцессора по такому соглашению.
  2. Предварительный письменный договор между импортером данных и субпроцессором также должен предусматривать положение о третьей стороне-бенефициаре, как указано в пункте 3, для случаев, когда субъект данных не может подать иск о компенсации, упомянутой в пункте 1 Пункт 6 против экспортера данных или импортера данных, потому что они фактически исчезли, или перестали существовать по закону, или стали неплатежеспособными, и ни одно юридическое лицо-преемник не взяло на себя все юридические обязательства экспортера данных или импортера данных по контракту или в силу закона .Такая ответственность субпроцессора перед третьими сторонами ограничивается его собственными операциями обработки в соответствии с Пунктами.
  3. Положения, касающиеся аспектов защиты данных для дополнительной обработки контракта, упомянутого в параграфе 1, регулируются законодательством государства-члена, в котором учрежден экспортер данных.
  4. Экспортер данных должен вести список соглашений о дополнительной обработке, заключенных в соответствии с Пунктами и уведомленных импортером данных в соответствии с Пунктом 5 (j), который должен обновляться не реже одного раза в год.Список должен быть доступен в надзорном органе по защите данных экспортера данных.

Статья 12

Обязательство после прекращения оказания услуг по обработке персональных данных

  1. Стороны соглашаются, что после прекращения оказания услуг по обработке данных импортер данных и субпроцессор должны, по выбору экспортера данных, вернуть все переданные персональные данные и их копии экспортеру данных или должны уничтожить все личные данные и подтвердить экспортеру данных, что он это сделал, если только законодательство, наложенное на импортера данных, не препятствует ему вернуть или уничтожить все или часть переданных личных данных.В этом случае импортер данных гарантирует, что он будет гарантировать конфиденциальность переданных личных данных и больше не будет активно обрабатывать переданные личные данные.
  2. Импортер данных и субпроцессор гарантируют, что по запросу экспортера данных и / или надзорного органа он предоставит свои средства обработки данных для аудита мер, указанных в параграфе 1.

В УДОСТОВЕРЕНИЕ ЧЕГО, каждая из нижеподписавшихся компаний поручила подписать и доставить это соглашение своим должным образом уполномоченным представителем.

От имени экспортера данных:

Имя (выписано полностью):

Должность:

Адрес:

Другая информация, необходимая для того, чтобы договор стал обязательным (если таковой имеется) :

Подпись ……………………………………….

(печать организации)

От имени импортера данных:

Имя (полностью выписано):

Должность:

Адрес:

Другая информация, необходимая для того, чтобы договор стал обязательным ( если есть):

Подпись ……………………………………….

(печать организации)

Приложение 1 к Стандартным договорным положениям

Это Приложение является частью Условий и должно быть заполнено и подписано сторонами.

Государства-члены могут дополнить или указать в соответствии со своими национальными процедурами любую дополнительную необходимую информацию, которая должна содержаться в этом Приложении.

См. Подробности, изложенные в Приложении 1 к Дополнению по обработке данных ActiveCampaign

ЭКСПОРТЕР ДАННЫХ

Имя: ____________________

Подпись уполномоченного лица ……………………

ИМПОРТЕР ДАННЫХ

Имя: ____________________

Подпись уполномоченного лица ……………………

Приложение 2 к стандартным договорным положениям

Это Приложение является частью Условий и должно быть заполнено и подписано сторонами.

Описание технических и организационных мер безопасности, реализованных импортером данных в соответствии с Пунктами 4 (d) и 5 ​​(c):

В дополнение к мерам безопасности, изложенным в Разделе 6 Приложения по обработке данных ActiveCampaign , импортер данных будет применять технические и организационные меры безопасности, предназначенные для защиты обработки Персональной информации Клиента и сохранения безопасности, доступности, целостности и конфиденциальности Персональной информации («Меры безопасности , ») в соответствии со своими обязательствами в соответствии с Применимым законодательством. включая, если применимо:

(a) псевдонимизацию и шифрование Персональной информации;

(b) способность обеспечивать постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем обработки и услуг;

(c) возможность своевременно восстановить доступность и доступ к Личной информации в случае физического или технического инцидента; и

(d) процесс регулярного тестирования, оценки и оценки эффективности технических и организационных мер для обеспечения безопасности обработки Персональной информации.

ЭКСПОРТЕР ДАННЫХ

Имя: ____________________

Подпись уполномоченного лица ……………………

ИМПОРТЕР ДАННЫХ

Имя: ____________________

Подпись уполномоченного лица ……………………

Приложение 3 к стандартным договорным положениям

В тех случаях, когда в соответствии с Разделом 5B настоящего Дополнения применяются Типовые положения ЕС «Контроллер-обработчик», то в данном Приложении 3 излагается толкование сторонами их соответствующих обязательств в соответствии с конкретными положениями в рамках Условий, как указано ниже.Если сторона соответствует толкованиям, изложенным в Приложении 3, эта сторона будет считаться другой стороной выполнившей свои обязательства в соответствии с Пунктами. При использовании ниже термины «экспортер данных» и «импортер данных» имеют значение, данное им в Пунктах.

Ничто в приведенных ниже толкованиях не предназначено для изменения или модификации Пунктов или противоречия правам или обязанностям любой из сторон в соответствии с Пунктами, и в случае любого конфликта между толкованиями, приведенными ниже, и Пунктами, Пункты имеют преимущественную силу в пределах такой конфликт.Несмотря на это, стороны прямо соглашаются, что любые претензии, предъявленные в соответствии с Пунктами, будут регулироваться исключительно ограничениями ответственности, изложенными в Соглашении. Во избежание каких-либо сомнений, ни в коем случае ни одна из сторон не может ограничивать свою ответственность в отношении любых прав субъекта данных в соответствии с Пунктами.

Пункт 4 (h): Обязательства экспортера данных в отношении требований о неразглашении

Экспортер данных соглашается с тем, что условия этих пунктов в том виде, в каком они выполнены, представляют собой конфиденциальную информацию импортера данных и не могут быть раскрыты экспортером данных какой-либо третьей стороне без предварительного согласия импортера данных (кроме субъекта данных в соответствии с пунктом 4 (h) или надзорного органа в соответствии с пунктом 8, за исключением любой конфиденциальной или коммерческой информации в соответствии с соответствующими обязательствами сторон в разделах 4 (h) ) и 5 ​​(ж) соответственно)).

Пункт 5 (а): Приостановление передачи данных и прекращение:

  • Стороны признают, что импортер данных может обрабатывать персональные данные только от имени экспортера данных и в соответствии с его инструкциями, предоставленными экспортером данных и Статьи.
  • Стороны признают, что, если импортер данных не может обеспечить такое соответствие по какой-либо причине, он соглашается незамедлительно проинформировать экспортера данных о своей неспособности соблюдать, и в этом случае экспортер данных имеет право приостановить передачу данных.
  • Если экспортер данных намеревается приостановить передачу личных данных, он должен постараться уведомить импортера данных и предоставить импортеру данных разумный период времени для устранения несоответствия («Период исправления»).
  • Если по истечении Периода исправления импортер данных не исправил или не может устранить несоответствие, то экспортер данных может немедленно приостановить или прекратить передачу личных данных. Экспортер данных не обязан предоставлять такое уведомление в случае, если он считает, что существует материальный риск причинения вреда субъектам данных или их личным данным.

Пункт 5 (b): Дополнительные меры:

  • Стороны признают, что экспортер данных несет ответственность за проверку того, достаточны ли меры предосторожности, применяемые импортером данных, для выполнения его обязательств в соответствии с Применимым законодательством, в том числе в отношении обеспечение надлежащих гарантий, необходимых для обеспечения передачи персональных данных с помощью этих пунктов.
  • Импортер данных, насколько ему известно, не получал никаких запросов на предоставление персональных данных резидентов ЕС, обработанных в рамках предоставления Услуг в соответствии с разделом 702 U.S. Закон о слежке за внешней разведкой.
  • Стороны признают, что личные данные, передаваемые между экспортером данных и импортером данных в ходе оказания Услуг, передаются в зашифрованном виде.

Пункт 6: Ответственность

  • Любые претензии, предъявленные в соответствии с Пунктами, регулируются условиями, включая, помимо прочего, исключения и ограничения, изложенные в Соглашении, действующем на дату их исполнения. Положения или иное письменное или электронное соглашение об использовании экспортером данных и покупке продуктов и услуг импортера данных.Ни в коем случае ни одна из сторон не может ограничивать свою ответственность в отношении прав субъектов данных в соответствии с настоящими пунктами.

Пункт 11: Дальнейшая дополнительная обработка

  • Стороны признают, что в соответствии с FAQ II.1 в Статье 29 Документ Рабочей группы WP 176, озаглавленный «Часто задаваемые вопросы для решения некоторых вопросов, возникших после вступления в силу Решения Комиссии ЕС. 2010/87 / EU от 5 февраля 2010 г. о стандартных договорных условиях для передачи персональных данных обработчикам, установленным в третьих странах в соответствии с Директивой 95/46 / EC », экспортер данных может дать общее согласие на дальнейшую дополнительную обработку импортером данных.
  • Соответственно, экспортер данных дает общее согласие импортеру данных в соответствии с Пунктом 11 настоящих Пунктов на привлечение последующих субпроцессоров. Такое согласие зависит от соблюдения импортером данных требований, изложенных ниже, которые в совокупности гарантируют, что последующий субпроцессор будет обеспечивать адекватную защиту персональных данных, которые он обрабатывает:
    • любой последующий субпроцессор должен согласиться в письменной форме: (i) только обрабатывать персональные данные в Европейской экономической зоне или в другой стране, которую Европейская комиссия официально объявила как имеющую «адекватный» уровень защиты в соответствии с требованиями Закона ЕС о защите данных; или (ii) обрабатывать персональные данные на условиях, эквивалентных этим Типовым положениям, в соответствии с утверждением Обязательных корпоративных правил, предоставленным компетентными европейскими органами по защите данных и сфера действия которого распространяется на передачу персональных данных с территорий, на которых учрежден экспортер данных, или при условии соблюдения механизма, обеспечивающего адекватные гарантии передачи персональных данных в соответствии с применимым законодательством, включая Статью 46 Общего регламента защиты данных; и
    • импортер данных должен ограничивать доступ последующего субпроцессора к персональным данным только тем, что строго необходимо для выполнения его субподрядных услуг по обработке данных для импортера данных (что должно соответствовать инструкциям, выданным импортеру данных экспортером данных), а импортер данных будет запретить последующему субпроцессору обрабатывать личные данные для любых других целей.