Образец положение о защите персональных данных: Положение о работе с персональными данными: образец 2021

Содержание

Положение о порядке обработки персональных данных. Образец | HR-elearning

Положение о порядке обработки персональных данных.

1. Общие положения

Общие положения базируются на соответствующих нормах Конституции РФ (Российской Федерации), а также общепризнанных принципах и нормах международного права и международных договорах РФ, которые в соответствии с ч. 4 ст. 15 Конституции РФ являются составной частью российской правовой системы.
Так, в соответствии с частью первой ст. 23 Конституции РФ каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

1.1. Цель разработки
Целью является защита персональных данных от несанкционированного доступа.
1.2. Основания для разработки:
1.2.1. Конституция РФ ст. 24.
В ст. 24 Конституции РФ закреплено, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ч. 1), а органы государственной власти и местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом (ч. 2)
1.2.2. Трудовой Кодекс Российской Федерации (ТК РФ):
– статья 85. Понятие персональных данных работника. Обработка персональных данных работника.
– статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты.
– статья 87. Хранения и использование персональных данных работников.
– статья 88. Передача персональных данных работника.
– статья 89. права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя.
– статья 90. ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.
1.2.3. Федеральный закон от 20.02.95 № 24-ФЗ «Об информации, информатизации и защите информации» (СЗ РФ, 1995, № 8, ст. 609) в качестве одной из целей защиты информации закрепил защиту конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах (ст. 20).
1.2.4. Закон об электронной цифровой подписи (10.01.2002 г. № 1 – ФЗ)
1.2.5. Подзаконный акт – постановление Правительства РСФСР от 05.12.1991 г. № 35 «О перечне сведений, которые не могут составлять коммерческую тайну.
1.3. Порядок утверждения, ввода в действие и внесения изменений:
1.3.1. Утверждается работодателем,
1.3.2. Изменения вносятся приказом.

2. Понятие и состав персональных данных

2.1. Понятие персональных данных
Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.(Статья 85 ТК РФ.)
Обработка персональных данных работника – получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
2.2. Состав персональных данных
2.2.1. Паспорт или иной документ, удостоверяющий личность;
2.2.2. Трудовую книжку;
2.2.3. Страховое свидетельство государственного пенсионного страхования;
2. 2.4. Документы воинского учета;
2.2.5. Документ об образовании, о квалификации или о наличии специальных знаний или специальной подготовки;
2.2.6. Дополнительные документы (справка о доходах с предыдущего места работы, справка из органов государственной налоговой службы о предоставлении сведений об имущественном положении, медицинское заключение о состоянии здоровья и др.)
2.2.7. Автобиографические данные:
2.2.8. Сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющих идентифицировать его личность. ( ст.2, № 24 ФЗ от 20.02.95.).
2.2.9. Сведения о заработной плате.

3. Сбор, обработка и хранение персональных данных
3. 1. Порядок получения персональных данных
3.1.1. Все персональные данные работника следует получить у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. (Ст. 86 ТК РФ п. 3.)
3.1.2. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. (Ст. 86 ТК РФ п. 4.)
3.1.3. Работодатель не имеет права получить и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом. (Ст. 86 ТК РФ п. 5.)
3.2. Порядок обработки, передачи и хранения персональной информации
3.2.1. В соответствии со ст.86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника должны соблюдать следующие общие требования:

– Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении на службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
– При определении объема и содержания, обрабатываемых персональных данных работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами;
– При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
– Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом;
– работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
– работники не должны отказываться от своих прав на сохранение и защиту тайны;
– работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работника.

3.2.2. При передаче персональных данных работника работодатель должен соблюдать следующие требования (статья 88 ТК РФ):
– не сообщать данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
– не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
– предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правильно соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
– осуществлять передачу персональных данных работника в пределах одной организации в соответствии с локальным нормативным актом организации, с которым работник должен быть ознакомлен под расписку;
– разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
– не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
– передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

3.2.3. Порядок хранения и использования персональных данных работников в организации устанавливается работодателем с соблюдение Трудового кодекса.
При этом в целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на :
– полную информацию об их персональных данных и обработке этих данных;
– свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
– определение своих представителей для защиты своих персональных данных;
– доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
– требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
– требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
– требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
– обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

3. 3. Ответственность за разглашение
3. 3.1. Все лица, непосредственно имеющие отношение к персональной базе данных,
должны подписывать обязательство о неразглашении (смотри приложение).
3.3.2. Статья 90 ТК РФ устанавливает ответственность лиц, виновных в нарушении норм,
регулирующих получение, обработку и защиту персональных данных работника,
которые должны нести дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
3.3.3. Статья 5. 27 кодекса РФ «Об административных правонарушениях» от 30. 12. 2001
№ 195 – ФЗ устанавливает ответственность должностных лиц:
– за нарушение законодательства о труде и об охране труда – наложение административного штрафа в размере от 5 до 50 минимальных размеров оплаты труда;
– за нарушение законодательства о труде и об охране труда лицом, ранее подвергнутым административному наказанию за аналогичное административное правонарушение- дисквалификация на срок от одного года до трех лет.
3.3.4. Статья 5. 39 Кодекса устанавливает ответственность должностных лиц:
– за неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное представление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации – наложение административного штрафа в размере от 5 до 10 минимальных размеров оплаты труда.

4. Доступ
4. 1. Внутренний доступ.
4.1.1. Работодатель.
4.1.2. Заместители по направлениям деятельности.
4.1.3. Руководители структурных подразделений имеют доступ к данным своих сотрудников. При переводах – начальники отделов могут посмотреть личное дело переводимого сотрудника.
4.1.4. Сотрудник организации – носитель этих данных (ст. 62 ТК РФ).
Выдача трудовой книжки и копий документов, связанных с работой (Статья 62. )
– По письменному заявлению работника работодатель обязан не позднее трех дней со дня подачи этого заявления выдать работнику копии документов, связанных с работой (копии приказа о приеме на работу, приказов о переводах на другую работу, приказ об увольнении с работы; выписки из трудовой книжки; справки о заработной плате, периоде работы у данного работодателя и другое). Копии документов, связанных с работой, должны быть заверены надлежащим образом и представляться работнику безвозмездно.
– При прекращении трудового договора работодатель обязан выдать работнику в день увольнения (последний день работы) трудовую книжку и по письменному заявлению работника копии документов, связанных с работой.
– В случае, если в день увольнения работника выдать трудовую книжку невозможно в связи с отсутствием работника либо его отказом от получения трудовой книжки на руки, работодатель направляет работнику уведомление о необходимости явиться за трудовой книжкой либо дать согласие на отправление ее по почте. Со дня направления уведомления работодатель освобождается от ответственности за задержку выдачи трудовой книжки.
4.1.5. Другие сотрудники организации
Не имеют доступа к персональным данным сотрудников организации, только с письменного согласия

4. 2. Внешний доступ
4.2.1. Надзорно-контрольные органы.
4.2.2. – Страховые компании;
– Кредитные организации (банки) – с согласия сотрудника;
– Негосударственные пенсионные фонды;
– Благотворительные фонды (только с письменного заявления).
4.2.3. Вышестоящие организации, акционеры.
– Учредители;
– Главный бухгалтер вышестоящей организации своего структурного подразделения;
4.2.4. Другие организации и предприятия.
С письменного разрешения сотрудника, нотариально заверенного, или
привезенного собственноручно.( гл. 14 ТК РФ).
4.2.5. Родственники, члены семьи.
С письменного разрешения сотрудника, нотариально заверенного, или
привезенного собственноручно.( гл. 14 ТК РФ).

5. Защита персональных данных

5. 1. Внутренняя защита
5. 1. 1. Защита данных на бумажных носителях (несгораемые сейфы).
5. 1. 2. Защита информации на электронных носителях
– Коды;
– Пароли;
– Доступы.
5. 2. Внешняя защита
– Дневная охрана;
– Ночная охрана;
– Переговорные устройства;
– Сигнализация;
– КТС – кнопка тревожной сигнализации,
– Вневедомственная охрана ОВО СВАО;
– Пожарная сигнализация;
– Пропускная система для сотрудников.

Приказ о защите персональных данных работников

Персональные данные работников, согласно Федеральному закону «О персональных данных» от 27.07.2006 №152-ФЗ и ст. 86-88 ТК РФ должны обрабатываться с соблюдением особых мер безопасности. С целью утверждения документа, оговаривающего порядок сбора, обработки и уничтожения персональных данных работников в организации издается приказ о защите персональных данных работников.

Файлы в .DOC:Бланк приказа о защите персональных данных работниковОбразец приказа о защите персональных данных работников

Что входит в понятие персональных данных

Устраиваясь на работу, будущий сотрудник организации предоставляет ей набор данных о себе, в число которых входят сведения, необходимые работодателю для оценки уровня квалификации работника.

В соответствии с ФЗ «О персональных данных» к персональным данным относятся:

паспортные данные;
сведения об имеющемся образовании, наличии водительской лицензии,

сведения о трудовом стаже и другая информация из трудовой книжки, сведения, указанные в страховом полисе;
сведения об имущественном, социальном положении;
данные о состоянии здоровья работника, в том числе психического.

Получение персональных данных работника оформляется с помощью согласия на обработку персональных данных. Организация, получая в свое распоряжение персональные данные работника, становится оператором персональных данных.

Основные операции с персональными данными

Получив персональные данные в установленном законом порядке, оператор приобретает право:

хранить их;
обрабатывать, например, собирая статистику;
передавать третьей стороне, например, также для сбора статистики;
уничтожать.

Положение о персональных данных

Наиболее распространенным документов, с помощью которого организация регламентирует операции с персональными данными и принципы их защиты, является положение о персональных данных.

Положение разрабатывается с учетом требования Закона и персональных данных и утверждается приказом руководителя организации.

Структура приказа

Если организация использует фирменный бланк, то приказ оформляется на нем. Если же бланка нет, то в «шапке» приказа потребуется отразить основные данные об организации:

наименование;
юридический адрес;
ИНН/КПП.

Унифицированной формы приказа о защите персональных данных работников нет. Организации следует ориентироваться на принятые в ней правила составления организационно-распорядительных документов по основной деятельности.

На нашем сайте имеются шаблон и бланк приказа, которые также можно использовать в делопроизводстве.

В бланк потребуется внести следующие данные:

в преамбуле приказа потребуется указать сведения о федеральных и локальных нормативных актах, на основании которых осуществляется защита персональных данных работников;

в текст приказа необходимо будет внести название документа, определяющего порядок защиты персональных данных работников, дату вступления документа в действие;
также в тексте приказа потребуется указать лиц, ответственных за доведение приказа до работников;
под текстом приказа потребуется указать должность и ФИО руководителя, подписывающего приказ.

Положение об обработке персональных данных

Дополнительная информация

Положение об обработке персональных данных

ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящее Положение об обработке персональных данных (далее – Положение, настоящее Положение) разработано ООО “ЛАНИТ-Интеграция” (далее также – Оператор) и применяется в соответствии с п. 2 ч. 1 ст. 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
  Настоящее Положение определяет политику Оператора в отношении обработки персональных данных.
  Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
  Настоящее Положение и изменения к нему утверждаются руководителем Оператора и вводятся приказом Оператора.
2. В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» под персональными данными клиентов, физических лиц понимается любая информация, относящаяся к прямо или косвенно определённому или определяемому на основании такой информации клиенту, физическому лицу (далее – персональные данные).
3. ООО “ЛАНИТ-Интеграция” является оператором, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных.
4. Целью обработки персональных данных является:
  - обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
  - оказание Оператором физическим и юридическим лицам услуг, связанных с хозяйственной деятельностью Оператора, включая контакты Оператора с такими лицами, в том числе по электронной почте, по телефону, по адресу, предоставленным соответствующим лицом;
  - направление консультаций, ответов обратившимся лицам с помощью средств связи и указанных ими контрактных данных;
  - продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (допускается только при условии предварительного согласия субъекта персональных данных).
5. Обработка организована Оператором на принципах:
  - законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
  - достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
  - обработки только персональных данных, которые отвечают целям их обработки;
  - соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
  - недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
  - обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
  - хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
6. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и настоящим Положением.
7. Персональные данные обрабатываются с использованием и без использования средств автоматизации.
8. В соответствии с поставленными целями и задачами Оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных.
  1. Ответственный за организацию обработки персональных данных получает указания непосредственно от исполнительного органа Оператора и подотчетен ему.
  2. Ответственный за организацию обработки персональных данных вправе оформлять и подписывать уведомление, предусмотренное ч. 1 и 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
9. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему.
10. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
11. При осуществлении сбора персональных данных с использованием информационно-телекоммуникационных сетей Оператор обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
12. Условия обработки персональных данных Оператором. Обработка персональных данных допускается в следующих случаях:
  - обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  - обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
  - обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  - обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  - обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  - обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», при условии обязательного обезличивания персональных данных;
  - осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
  - осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
13. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении в порядке, предусмотренном Положением о хранении персональных данных у Оператора.
14. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
15. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.
ОБЕСПЕЧЕНИЕ ОПЕРАТОРОМ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту расположения Оператора в рабочее время Оператора.
4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
5. В случае представления интересов субъекта персональных данных представителем полномочия представителя подтверждаются доверенностью, оформленной в установленном порядке.
6. В случаях предоставления субъектом персональных данных письменного согласия на использование персональных данных для такого согласия достаточно простой письменной формы.
7. Оператор гарантирует безопасность и конфиденциальность используемых персональных данных.
8. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.
ПОЛУЧЕНИЯ, ОБРАБОТКА, ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. У Оператора устанавливается следующий порядок получения персональных данных:
  1. При обращении за получением услуг Оператора клиент указывает установленные соответствующими формами данные.
  2. Оператор не получает и не обрабатывает персональные данные клиента о его расовой принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, если законом не предусмотрено иное.
  3. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации Организация вправе получать и обрабатывать данные о частной жизни клиента только с его письменного согласия.
2. В случае принятия клиентом оферты, размещённой на сайте Оператора, либо заключения другого договора с Оператором обработка персональных данных клиента осуществляется для исполнения соответствующего договора, вступившего в силу вследствие принятия условий оферты клиентом либо заключения другого договора соответственно.
3. Также Оператор вправе обрабатывать персональные данные клиентов, обратившихся к Оператору физических лиц только с их согласия на использование персональных данных.
4. Согласие клиента на обработку персональных данных не требуется в следующих случаях:
  - персональные данные являются общедоступными;
  - обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Организации;
  - по требованию полномочных государственных органов – в случаях, предусмотренных федеральным законом;
  - обработка персональных данных в целях исполнения договора, заключённого с Оператором;
  - обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  - обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов клиента, если получение его согласия невозможно.
5. Оператор обеспечивает безопасное хранение персональных данных, в том числе:
  1. Хранение, комплектование, учет и использование содержащих персональные данные документов организуется в форме обособленного архива Оператора.
  2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Персональные данные передаются с соблюдением следующих требований:
  - запрещается сообщать персональные данные третьей стороне без письменного согласия клиента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни, здоровью клиента, а также в других случаях, предусмотренных законами;
  - не сообщать персональные данные в коммерческих целях без письменного согласия субъекта таких данных;
  - предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
  - разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
  - не запрашивать информацию о состоянии здоровья клиента, за исключением тех сведений, которые относятся к вопросу о возможности выполнения клиентом обязательств по договору с Оператором;
  - передавать персональные данные клиента его представителям в порядке, установленном Федеральным законом от 27. 07.2006 № 152-ФЗ «О персональных данных».
ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
1. Право доступа к персональным данным имеют:
  - руководитель Оператора;
  - работающие с определённым клиентом работники Оператора;
  - работники бухгалтерии;
  - работники, осуществляющие техническое обеспечение деятельности Оператора.
2. Клиенты в целях обеспечения защиты персональных данных имеют следующие права:
  - на полную информацию об их персональных данных и обработке этих данных;
  - на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
  - на определение своих представителей для защиты своих персональных данных;
  - на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Федерального закона от 27. 07.2006 № 152-ФЗ «О персональных данных».
3. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с разрешения руководителя.
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
2. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.

Примеры положений о конфиденциальности и защите данных: 224 образца

Конфиденциальность и защита данных a) Сотрудник дает согласие на то, что Компания, Дочерние и аффилированные компании хранят и обрабатывают информацию о Сотруднике для юридических, кадровых, административных и управленческих целей и, в частности, хранение и обработка: (i) медицинских записей и любых медицинских отчетов для отслеживания отпусков по болезни и выплат по болезни, для администрирования пособий и принятия решений относительно его пригодности к работе или необходимости корректировок на рабочем месте; (ii) информация, необходимая для проведения проверок эффективности, дисциплинарных процедур и процедур рассмотрения жалоб, внутренних расследований и рассмотрения отчетов (которые могут быть отправлены анонимно) в соответствии с любой процедурой информирования о нарушениях; (iii) любую информацию, относящуюся к уголовному делу, в котором он участвовал; и (iv) соблюдать юридические требования и обязательства перед третьими сторонами («Персональные данные»).

Сотрудник соглашается с тем, что Компания может предоставлять Личные данные дочерним и аффилированным компаниям, тем, кто предоставляет продукты или услуги Компании, дочерним и аффилированным компаниям (например, консультантам и администраторам заработной платы), регулирующим органам, потенциальным или будущим работодателям, правительственным или квази -государственные организации, текущие или потенциальные инвесторы и потенциальные покупатели Компании, Дочерних компаний, Аффилированных лиц или бизнеса, в котором работает Сотрудник. (б) Сотрудник дает согласие на передачу Персональных данных Компании и любой Дочерней или Аффилированной компании, учрежденной за пределами Европейской экономической зоны, в частности в США.Сотрудник признает, что в этих странах могут отсутствовать законы, обеспечивающие надлежащую защиту его конфиденциальности. Сотрудник подтверждает, что он понимает, что все сообщения (по телефону, электронной почте или любым другим способом), которые передаются, осуществляются или принимаются с использованием собственности Компании, любой Дочерней или Аффилированной компании, или в помещениях Компании или любой Дочерней или Аффилированной компании, будут рассматриваться как связанные с работой и периодически перехватываются, записываются и отслеживаются без дополнительного уведомления.

Сотрудник подтверждает, что он не считает такие сообщения частными, и соглашается на такой перехват, запись и мониторинг. Перехват, запись и мониторинг сообщений предназначены для защиты деловых интересов Компании и ее дочерних и зависимых компаний (например, но без ограничений, в целях контроля качества, безопасности связи и ИТ-систем, требований к ведению учета и доказательствам). , обнаружение и предотвращение …

Стандартные статьи

GDPR

СТАНДАРТНЫЕ ПОЛОЖЕНИЯ, ПРИМЕНЯЕМЫЕ К СОГЛАШЕНИЯМ СНГ, РЕГУЛИРУЕМЫЕ GDPR

Экспортер данных, который представляет собой (а) Участника согласно определению в Соглашении о членстве в CIS SecureSuite (б) Участника, который приобрел членство в CIS SecureSuite посредством заказа на покупку или с помощью опции «Купить сейчас», как термин «Участник». определены в Условиях членства в CIS SecureSuite, которые включены в такой заказ на покупку или вариант «Купить сейчас»; или (c) Поставщик, как это определено в Лицензионном соглашении с поставщиком CIS Controls (перечисленные выше соглашения вместе именуются «Соглашения CIS», каждое – «Соглашение CIS»).

Center for Internet Security, Inc.
31 Tech Valley Drive, East Greenbush, NY 12061 США
Тел. 01 (518) 266-3460; факс 01 (518) 283-3216 электронная почта:…
(данные импортер )

каждая «партия»; вместе «стороны»,
СОГЛАСИЛИСЬ с тем, что следующие договорные положения (Положения) включены посредством ссылки в Соглашение о СНГ, заключенное сторонами, с целью обеспечения адекватных гарантий в отношении защиты частной жизни и основных прав и свобод человека. физических лиц для передачи экспортером данных импортеру данных персональных данных, указанных в Приложении 1.

Пункт 1

Определения

Для целей пунктов:
(а) «личные данные», «особые категории данных», «процесс / обработка», «контролер», «обработчик», «субъект данных» и «надзорный орган» должны иметь то же значение, что и в Директиве 95/46 / ЕС Европейского парламента и Совета от 24 октября 1995 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных;
(b) «экспортер данных» означает контролера, который передает персональные данные;
(c) «импортер данных» означает обработчик, который соглашается получать от экспортера данных персональные данные, предназначенные для обработки от его имени после передачи в соответствии с его инструкциями и условиями пунктов, и который не подлежит третьему система страны, обеспечивающая адекватную защиту по смыслу статьи 25 (1) Директивы 95/46 / ЕС;
(d) «субпроцессор» означает любого обработчика, нанятого импортером данных или любым другим субпроцессором импортера данных, который соглашается получать от импортера данных или от любого другого субпроцессора личные данные импортера данных. предназначена исключительно для обработки, которая будет осуществляться от имени экспортера данных после передачи в соответствии с его инструкциями, условиями пунктов и условиями письменного субподряда;
(e) «применимый закон о защите данных» означает законодательство, защищающее основные права и свободы людей и, в частности, их право на неприкосновенность частной жизни в отношении обработки персональных данных, применимое к контроллеру данных в государстве-члене ЕС, в котором установлен экспортер данных;
(f) «технические и организационные меры безопасности» означают меры, направленные на защиту персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных по сети, и против всех других незаконных форм обработки.

Пункт 2

Реквизиты перевода

Детали передачи и, в частности, особые категории персональных данных, где это применимо, указаны в Приложении 1, которое является неотъемлемой частью Условий.

Статья 3

Статья о стороннем выгодоприобретателе

1. Субъект данных может применить к экспортеру данных положения настоящего пункта, пункта 4 (b) – (i), пункта 5 (a) – (e) и (g) – (j), пункта 6 (1) и (2), пункт 7, пункт 8 (2) и пункты 9–12 в качестве стороннего выгодоприобретателя.
2. Субъект данных может применить к импортеру данных положения настоящего пункта, пункта 5 (a) – (e) и (g), пункта 6, пункта 7, пункта 8 (2) и пунктов 9–12, в случаях, когда экспортер данных фактически исчез или прекратил свое существование по закону, если какое-либо юридическое лицо-преемник не приняло на себя все юридические обязательства экспортера данных по контракту или в силу закона, в результате чего он берет на себя права и обязанности в отношении данных экспортер, и в этом случае субъект данных может принудить их к исполнению против такого лица.
3. Субъект данных может принудить субпроцессора к этому Пункту, Пункту 5 (a) – (e) и (g), Пункту 6, Пункту 7, Пункту 8 (2) и Пунктам 9-12, в случаях если и экспортер данных, и импортер данных фактически исчезли или прекратили свое существование по закону или стали неплатежеспособными, если какое-либо юридическое лицо-преемник не приняло на себя все юридические обязательства экспортера данных по контракту или в силу закона, в результате чего оно берет на себя права и обязанности экспортера данных, и в этом случае субъект данных может применить их к такому лицу.Такая ответственность субпроцессора перед третьими сторонами ограничивается его собственными операциями по обработке в соответствии с Пунктами.
4. Стороны не возражают против того, чтобы субъект данных был представлен ассоциацией или другим органом, если субъект данных явно этого желает и если это разрешено национальным законодательством.

Статья 4

Обязанности экспортера данных

Экспортер данных соглашается и гарантирует:
(a) что обработка, включая саму передачу, персональных данных осуществлялась и будет продолжаться в соответствии с соответствующими положениями применимого закона о защите данных (и, если применимо, был уведомлен в соответствующие органы государства-члена, в котором учрежден экспортер данных) и не нарушает соответствующие положения этого государства;
(b), что он проинструктировал и в течение всего срока оказания услуг по обработке персональных данных проинструктирует импортера данных обрабатывать персональные данные, переданные только от имени экспортера данных и в соответствии с применимым законом о защите данных и положениями;
(c) что импортер данных предоставит достаточные гарантии в отношении технических и организационных мер безопасности, указанных в Приложении 2 к настоящему контракту;
(d), что после оценки требований применимого закона о защите данных меры безопасности подходят для защиты персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных по сети и от всех других незаконных форм обработки, и что эти меры обеспечивают уровень безопасности, соответствующий рискам, связанным с обработкой, и характеру данных, подлежащих защите, с учетом современного уровня техники и стоимость их выполнения;
(e) что он обеспечит соблюдение мер безопасности;
(f), что, если передача включает особые категории данных, субъект данных был проинформирован или будет проинформирован до или как можно скорее после передачи, что его данные могут быть переданы в третью страну, не обеспечивающую надлежащей защиты. в смысле Директивы 95/46 / ЕС;
(g) направить любое уведомление, полученное от импортера данных или любого субпроцессора в соответствии с Пунктом 5 (b) и Пунктом 8 (3), в орган надзора за защитой данных, если экспортер данных решит продолжить передачу или отменить приостановка;
(h) предоставлять субъектам данных по запросу копию Условий, за исключением Приложения 2, и краткое описание мер безопасности, а также копию любого контракта на услуги дополнительной обработки, который должно быть выполнено в соответствии с Пунктами, если Пункты или договор не содержат коммерческую информацию, и в этом случае он может удалить такую коммерческую информацию;
(i) что в случае дополнительной обработки обработка данных выполняется в соответствии с пунктом 11 подпроцессором, обеспечивающим, по крайней мере, такой же уровень защиты личных данных и прав субъекта данных, что и импортер данных в соответствии с Пунктами; и
(j), что он обеспечит соответствие Пунктам 4 (a) – (i).

Статья 5

Обязанности импортера данных

Импортер данных соглашается и гарантирует:
(a) обрабатывать персональные данные только от имени экспортера данных и в соответствии с его инструкциями и положениями; если он не может обеспечить такое соответствие по каким-либо причинам, он соглашается незамедлительно проинформировать экспортера данных о своей неспособности соблюдать, и в этом случае экспортер данных имеет право приостановить передачу данных и / или расторгнуть договор;
(b) что у него нет оснований полагать, что применимое к нему законодательство не позволяет ему выполнять инструкции, полученные от экспортера данных, и его обязательства по контракту, и что в случае изменения этого законодательства, которое может иметь существенное неблагоприятное воздействие на гарантии и обязательства, предусмотренные Пунктами, он незамедлительно уведомит об изменении экспортера данных, как только он узнает, и в этом случае экспортер данных имеет право приостановить передачу данных и / или прекратить договор;
(c) что он реализовал технические и организационные меры безопасности, указанные в Приложении 2, перед обработкой переданных персональных данных;
(d), что он незамедлительно уведомит экспортера данных о:
(i) любом юридически обязательном запросе на раскрытие персональных данных правоохранительным органом, если иное не запрещено, например, о запрете в соответствии с уголовным законодательством на сохранение конфиденциальности правоохранительное расследование;
(ii) любой случайный или несанкционированный доступ; и
(iii) любой запрос, полученный непосредственно от субъектов данных без ответа на этот запрос, если только у них не было на это иных полномочий;

(e) оперативно и надлежащим образом реагировать на все запросы экспортера данных, касающиеся обработки персональных данных, подлежащих передаче, и соблюдать рекомендации надзорного органа в отношении обработки переданных данных;
(f) по запросу экспортера данных предоставить свои средства обработки данных для аудита деятельности по обработке, охватываемой Пунктами, которая должна выполняться экспортером данных или инспекционным органом, состоящим из независимых членов и имеющим требуемая профессиональная квалификация, связанная обязательством конфиденциальности, выбранная экспортером данных, где это применимо, по согласованию с надзорным органом;
(g) предоставлять субъекту данных по запросу копию Пунктов или любого существующего контракта на дополнительную обработку, если только Пункты или контракт не содержат коммерческую информацию, и в этом случае он может удалить такую коммерческую информацию, за исключением Приложения 2, которое должно быть заменено кратким описанием мер безопасности в тех случаях, когда субъект данных не может получить копию от экспортера данных;
(h) что в случае дополнительной обработки он ранее проинформировал экспортера данных и получил его предварительное письменное согласие;
(i) что услуги обработки, предоставляемые субпроцессором, будут выполняться в соответствии с Пунктом 11;
(j) незамедлительно отправлять копию любого соглашения с субпроцессором, которое он заключает в соответствии с Пунктами, экспортеру данных.

Статья 6

Ответственность

1. Стороны соглашаются, что любой субъект данных, которому был причинен ущерб в результате любого нарушения обязательств, указанных в пункте 3 или в пункте 11, любой стороной или субпроцессором, имеет право получить компенсацию от экспортера данных за понесенный ущерб.
2. Если субъект данных не может предъявить иск о компенсации в соответствии с параграфом 1 экспортеру данных в результате нарушения импортером данных или его субпроцессором любого из своих обязательств, упомянутых в пункте 3 или в пункте 11, поскольку экспортер данных фактически исчез или прекратил свое существование по закону или стал неплатежеспособным, импортер данных соглашается с тем, что субъект данных может подать иск против импортера данных, как если бы он был экспортером данных, если только какой-либо преемник субъект принял на себя все юридические обязательства экспортера данных по договору или в силу закона, и в этом случае субъект данных может реализовать свои права в отношении такого лица.
Импортер данных не может полагаться на нарушение субпроцессором своих обязательств, чтобы избежать своих собственных обязательств.
3. Если субъект данных не может подать иск против экспортера данных или импортера данных, упомянутых в параграфах 1 и 2, в результате нарушения субпроцессором любого из своих обязательств, упомянутых в параграфе 3 или в пункте 11, поскольку и экспортер данных, и импортер данных фактически исчезли или перестали существовать по закону или стали неплатежеспособными, субпроцессор соглашается с тем, что субъект данных может подать иск против субпроцессора данных в отношении его собственные операции обработки в соответствии с Пунктами, как если бы он был экспортером данных или импортером данных, за исключением случаев, когда какое-либо юридическое лицо-преемник взяло на себя все юридические обязательства экспортера данных или импортера данных по контракту или в силу закона, и в этом случае субъект данных может реализовать свои права в отношении такого лица. Ответственность субпроцессора ограничивается его собственными операциями по обработке в соответствии с Пунктами.

Пункт 7

Посредничество и юрисдикция

1. Импортер данных соглашается с тем, что, если субъект данных будет ссылаться на права стороннего бенефициара и / или потребовать компенсацию за ущерб в соответствии с Пунктами, импортер данных примет решение субъекта данных:
(a) передать спор перед посредничеством, независимым лицом или, если применимо, надзорным органом;
(b) передать спор в суды государства-члена, в котором учрежден экспортер данных.

2. Стороны соглашаются, что выбор, сделанный субъектом данных, не нанесет ущерба его материальным или процессуальным правам на поиск средств правовой защиты в соответствии с другими положениями национального или международного права.

Статья 8

Взаимодействие с надзорными органами

1. Экспортер данных соглашается передать копию этого контракта в надзорный орган, если он этого требует или если такой депозит требуется в соответствии с применимым законодательством о защите данных.
2. Стороны соглашаются, что надзорный орган имеет право проводить аудит импортера данных и любого субпроцессора, который имеет тот же объем и подчиняется тем же условиям, которые применяются к аудиту данных. экспортер в соответствии с действующим законодательством о защите данных.
3. Импортер данных должен незамедлительно проинформировать экспортера данных о существовании применимого к нему законодательства или любого субпроцессора, препятствующего проведению аудита импортера данных или любого субпроцессора в соответствии с параграфом 2. В таком в случае, если экспортер данных имеет право принять меры, предусмотренные в пункте 5 (b).

Пункт 9

Применимое право

Положения регулируются законодательством государства-члена, в котором учрежден экспортер данных.

Пункт 10

Изменение договора

Стороны обязуются не изменять и не изменять Условия. Это не препятствует сторонам при необходимости добавлять статьи по вопросам, связанным с бизнесом, при условии, что они не противоречат этой статье.

Пункт 11

Дополнительная обработка

1. Импортер данных не должен передавать на субподряд какие-либо операции по обработке данных, выполняемые от имени экспортера данных в соответствии с Условиями, без предварительного письменного согласия экспортера данных.Если импортер данных передает свои обязательства в соответствии с Пунктами на субподряд, с согласия экспортера данных, он должен делать это только посредством письменного соглашения с субпроцессором, которое налагает на субпроцессор те же обязательства, что и импортер данных по пп. Если субпроцессор не выполняет свои обязательства по защите данных по такому письменному соглашению, импортер данных остается полностью ответственным перед экспортером данных за выполнение обязательств субпроцессора по такому соглашению.
2. Предварительный письменный договор между импортером данных и субпроцессором также должен предусматривать положение о третьей стороне-бенефициаре, как указано в пункте 3, для случаев, когда субъект данных не может подать иск о компенсации, упомянутом в пункт 1 статьи 6 против экспортера данных или импортера данных, потому что они фактически исчезли или перестали существовать по закону или стали неплатежеспособными, и ни одно юридическое лицо-преемник не приняло на себя все юридические обязательства экспортера данных или импортера данных по контракту или путем действие закона. Такая ответственность субпроцессора перед третьими сторонами ограничивается его собственными операциями по обработке в соответствии с Пунктами.
3. Положения, касающиеся аспектов защиты данных для дополнительной обработки контракта, упомянутого в параграфе 1, регулируются законодательством государства-члена, в котором учрежден экспортер данных.
4. Экспортер данных должен вести список соглашений о дополнительной обработке, заключенных в соответствии с Пунктами и уведомленных импортером данных в соответствии с Пунктом 5 (j), который должен обновляться не реже одного раза в год.Список должен быть доступен в надзорном органе по защите данных экспортера данных.

Пункт 12

Обязательство после прекращения оказания услуг по обработке персональных данных

1. Стороны соглашаются, что после прекращения оказания услуг по обработке данных импортер данных и субпроцессор должны, по выбору экспортера данных, вернуть все переданные персональные данные и их копии в данные. экспортер или должен уничтожить все личные данные и подтвердить экспортеру данных, что он сделал это, если только законодательство, наложенное на импортера данных, не препятствует ему вернуть или уничтожить все или часть переданных личных данных.В этом случае импортер данных гарантирует, что он будет гарантировать конфиденциальность переданных личных данных и больше не будет активно обрабатывать переданные личные данные.
2. Импортер данных и субпроцессор гарантируют, что по запросу экспортера данных и / или надзорного органа он предоставит свои средства обработки данных для аудита мер, указанных в параграфе 1.

Приложение 1

к Стандартным договорным статьям.
Это Приложение является частью Условий.

Экспортер данных

Экспортер данных выполняет одно из следующих действий:
(a) приобретает членство в CIS SecureSuite; или
(b) заключает лицензионное соглашение с поставщиком CIS Controls с CIS, позволяющее экспортеру данных использовать CIS Controls для консультирования или других коммерческих целей.

Импортер данных

Импортером данных является (просьба кратко указать деятельность, имеющую отношение к передаче):
Center for Internet Security, Inc., является некоммерческой организацией, предоставляющей продукты и услуги в области кибербезопасности, включая членство в CIS SecureSuite и CIS Controls.Импортер данных принял и будет обрабатывать персональные данные, указанные для целей предоставления экспортеру данных членства в CIS SecureSuite или лицензии CIS Controls Supporter.

Субъекты данных

Передаваемые персональные данные относятся к следующим категориям субъектов данных (укажите):

• Сотрудники экспортера данных
• Должностные лица и / или владельцы экспортера данных

Категории данных

Передаваемые личные данные относятся к следующим категориям данных (укажите):
• Компания или личное имя
• IP-адрес
• Адрес электронной почты
• Почтовый адрес

Операции обработки

Переданные персональные данные будут подвергаться следующим основным процессам обработки:

Членство в SecureSuite

Данные, полученные в процессе регистрации SecureSuite и действий по контролю профиля, хранятся в базе данных, в которой все личные данные хранятся в одной таблице. Управление доступом для базового элемента управления осуществляется с помощью определенных разрешений и доступа на основе ролей. Исправление и изменение таких данных осуществляется по усмотрению экспортера данных; обновления выполняются через интерфейс SecureSuite по ссылке «Редактировать мою информацию».
Услуга покупки членства доступна через функцию «купи сейчас» на странице регистрации. Если новая организация подтверждается первоначальным запросом на услугу подписки, связь между размещенной функцией «купить сейчас» подтверждается и связывается с базой данных продаж для идентификации и регистрации продажи.Этот контакт инициируется между базой данных продаж и системой управления взаимоотношениями с корпоративными клиентами (CRM), CRM предоставит SecureSuite имя, фамилию, адрес электронной почты и информацию о компании, а покупателю будет отправлено подтверждение по электронной почте для настройки учетной записи и предоставление других персональных данных.
Процедура входа в систему будет использовать таблицу пользователей для подтверждения доступа на основе процесса аутентификации на основе пароля, запись IP-адреса текущего экспортера данных сохраняется при каждом входе в одну и ту же таблицу пользователей.
Данные также находятся в резервной копии; Процедуры резервного копирования выполняются постепенно, ежедневно, а полное резервное копирование – еженедельно.

Лицензии поставщика средств управления CIS

Информация будет включена в лицензионный документ, который будет храниться в системе CIS, и информация будет храниться в базе данных Salesforce, чтобы можно было связаться с Data Exporter относительно изменений лицензии по мере необходимости.
Данные также находятся в резервной копии; процедуры резервного копирования выполняются поэтапно на ежедневной основе, а полное резервное копирование – еженедельно

Приложение 2

к стандартным договорным положениям
Описание технических и организационных мер безопасности, реализованных импортером данных в соответствии с пунктами 4 (d) и 5 (c):

Структура документации по безопасности – это набор определенных процессов для управления и контроля конкретных требований конфиденциальности, относящихся к международным законам о конфиденциальности данных, которые действуют для всех систем, содержащих, поддерживающих, хранящих или обрабатывающих персональные данные.

Распространены и постоянно обновляются процедурные процессы и информирование о требованиях к “конфиденциальности по дизайну” и обучению осведомленности о конфиденциальности. Они обеспечивают основу для внедрения и управления проектами с упором на контроль изменений, которые будут подвергаться анализу задействованных систем и выполнению оценок воздействия на защиту данных, как на начальном этапе, чтобы установить подход с управлением рисками, так и на постоянной основе для требований к изменениям.

Имеются процессы управления инцидентами и уведомления о реагировании для управления расширенными требованиями к уведомлению.

Данные, предоставленные экспортером данных, должны храниться в течение срока членства Участника или срока действия лицензии Поддержки СНГ, в зависимости от обстоятельств. После прекращения или истечения срока членства в SecureSuite или лицензии поставщика данных экспортера данных информация экспортера данных удаляется из баз данных CIS, за исключением информации, которая требуется для аудита и юридических целей. По запросу Data Exporter или любого из его сотрудников личные данные должны быть удалены из базы данных CIS в течение 30 дней с момента получения такого запроса.

Что нужно включить в договор?

Подробно

Какие подробности об обработке должен включать контракт?

Статья 28 (3) гласит, что договор (или другой правовой акт) должен включать следующие сведения об обработке:

предмет и продолжительность обработки;
характер и цель обработки;
вид персональных данных и категории субъектов данных; и
обязанности и права контролера.

Таким образом, контроллеру необходимо с самого начала четко представлять объем обработки, которую он передает по контракту.

Каковы минимальные требуемые сроки?

Статья 28 (3) также устанавливает следующие конкретные условия или пункты, которые должны быть включены в договор:

Обработка только по задокументированным инструкциям контроллера.
Долг доверия.
Соответствующие меры безопасности.
Использование подпроцессоров.
Права субъектов данных.
Помощь контроллеру.
Положения о завершении контракта.
Аудиты и проверки.

Это необходимый минимум, но контроллер и процессор могут согласиться дополнить их своими условиями. Каждый из этих терминов подробнее рассматривается ниже.

Обработка только в соответствии с задокументированными инструкциями контроллера

В соответствии со статьей 28 (3) (а) в контракте должно быть сказано, что обработчик может обрабатывать персональные данные только в соответствии с задокументированными инструкциями контролера (в том числе при осуществлении международной передачи персональных данных), если иное не требуется законодательством Великобритании. .

Контракт может включать детали инструкций, указанных в Статье 28 (3), или эти инструкции могут быть предоставлены отдельно.

Инструкция может быть оформлена в любой письменной форме, включая электронную почту. Инструкция должна иметь возможность сохранения, чтобы была запись инструкции.

В этом условии контракта должно быть четко указано, что именно контролер, а не обработчик, имеет полный контроль над тем, что происходит с личными данными.

Если процессор действует вне инструкций контроллера таким образом, что он решает цель и средства обработки, в том числе для соблюдения установленных законом обязательств, то он будет считаться контроллером в отношении этой обработки и будет иметь та же ответственность, что и контролер.

Долг доверия

В соответствии со статьей 28 (3) (b) в контракте должно быть сказано, что обработчик должен получить обязательство о конфиденциальности от любого, кому он позволяет обрабатывать персональные данные, если только это лицо уже не несет такую обязанность по закону.

Это условие контракта должно распространяться на сотрудников обработчика, а также любых временных работников и работников агентств, которые имеют доступ к личным данным.

Соответствующие меры безопасности

В соответствии со статьей 28 (3) (c) контракт должен обязывать обработчика принять все меры безопасности, необходимые для выполнения требований статьи 32 о безопасности обработки.

Как контролеры, так и обработчики данных обязаны в соответствии со статьей 32 принимать соответствующие технические и организационные меры для обеспечения безопасности любых обрабатываемых ими персональных данных, которые могут включать, при необходимости:

шифрование и псевдонимизация;
способность обеспечивать постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем обработки и услуг;
возможность восстановления доступа к персональным данным в случае инцидента; и
процессов для регулярного тестирования и оценки эффективности мер.

Соблюдение утвержденного кодекса поведения или схемы сертификации может использоваться как способ демонстрации соблюдения обязательств по безопасности. Кодексы поведения и сертификации также могут помочь переработчикам продемонстрировать достаточные гарантии того, что их обработка будет соответствовать GDPR Великобритании.

Подробнее – Руководство ICO

Для получения дополнительной информации ознакомьтесь с нашим руководством по безопасности в соответствии с GDPR Великобритании.

Использование субпроцессоров

В соответствии со статьей 28 (3) (d) в контракте должно быть указано, что:

процессор не должен задействовать другой процессор (подпроцессор) без предварительного специального или общего письменного разрешения контроллера;
, если подпроцессор используется с общего письменного разрешения контроллера, процессор должен сообщить контроллеру о любых предполагаемых изменениях и дать ему возможность возразить против них;
, если обработчик нанимает субпроцессора, он должен заключить договор, налагающий те же обязательства по защите данных статьи 28 (3) на этот субпроцессор. Это должно включать в себя то, что субпроцессор предоставит достаточные гарантии для реализации соответствующих технических и организационных мер таким образом, чтобы обработка соответствовала требованиям GDPR Великобритании. Формулировка этих обязательств не обязательно должна точно отражать те, которые изложены в контракте между контролером и обработчиком, но должны обеспечивать эквивалентный уровень защиты личных данных; и
процессор несет ответственность перед контроллером за соблюдение субпроцессором своих обязательств по защите данных.

Для получения дополнительной информации о процессе назначения субпроцессоров, пожалуйста, прочтите наше руководство по контроллерам и процессорам.

Права субъектов данных

В соответствии со Статьей 28 (3) (e) контракт должен предусматривать, что обработчик данных принимает «соответствующие технические и организационные меры», чтобы помочь контролеру отвечать на запросы отдельных лиц об осуществлении своих прав.

Это положение проистекает из главы III GDPR Великобритании, в которой описывается, как контролер должен позволять субъектам данных осуществлять различные права и отвечать на запросы об этом, такие как запросы на доступ субъектов, запросы на исправление или удаление личных данных и возражения против обработки.Для получения дополнительной информации ознакомьтесь с нашим руководством по правам физических лиц.

Вспомогательный контроллер

В соответствии со Статьей 28 (3) (f) в контракте должно быть сказано, что, принимая во внимание характер обработки и доступную информацию, обработчик должен помогать контролеру в выполнении его обязательств по:

хранить личные данные в безопасности;
уведомить об утечке личных данных в ICO;
уведомлять субъектов данных о нарушениях личных данных;
при необходимости проводит оценку воздействия на защиту данных (DPIA); и
проконсультируйтесь с ICO, если DPIA указывает на высокий риск, который невозможно уменьшить.

Мы рекомендуем, чтобы в контракте было как можно более четко указано, как процессор поможет контроллеру выполнять свои обязательства.

Положения об окончании контракта

В соответствии со статьей 28 (3) (g) в контракте должно быть сказано, что в конце контракта переработчик должен:

по выбору контролера удалить или вернуть контроллеру все персональные данные, которые он для него обрабатывал; и
удаляет существующие копии личных данных, если закон Великобритании не требует их хранения.

Следует отметить, что удаление личных данных должно производиться безопасным способом в соответствии с требованиями безопасности статьи 32. Для получения дополнительной информации, пожалуйста, прочтите наше руководство по безопасности.

Контракт должен включать эти условия, чтобы гарантировать постоянную защиту личных данных после окончания контракта. Это отражает тот факт, что в конечном итоге контролер должен решать, что должно происходить с обрабатываемыми персональными данными после завершения обработки.

Мы понимаем практическую реальность того, что данные в резервных копиях или архивах могут быть недоступны сразу после расторжения контракта. При наличии соответствующих мер предосторожности, таких как немедленное прекращение использования данных, может быть допустимо, чтобы данные не удалялись немедленно, если период хранения является подходящим, и данные впоследствии удаляются как можно скорее, например, при следующем запуске обработчиком данных. цикл удаления / уничтожения.

Аудиты и проверки

В соответствии со статьей 28 (3) (h) контракт должен требовать:

процессор для предоставления контроллеру всей информации, необходимой для подтверждения выполнения обязательств статьи 28; и
процессор, чтобы разрешить и способствовать аудитам и инспекциям, проводимым контролером или аудитором, назначенным контролером.

Это положение обязывает процессор иметь возможность продемонстрировать контроллеру соблюдение всей статьи 28. Например, обработчик может сделать это, предоставив контроллеру необходимую информацию или представив аудит или инспекцию.

GDPR Великобритании не требует, чтобы договор включал положение, требующее, чтобы обработчик вел записи обработки, которую он выполняет для контролера, хотя такие записи были бы полезны для обработчика, чтобы продемонстрировать соблюдение статьи 28.Однако требования к обработчикам вести записи о своей деятельности по обработке изложены в Статье 30 (2). Подробнее об этом см. В нашем руководстве по контроллерам и процессорам.

Можно ли использовать стандартные условия договора (СУК)?

GDPR Великобритании позволяет ICO выпускать стандартные положения для включения в контракты между контроллерами и обработчиками. Эти пункты могут предоставить простой способ обеспечить соответствие контрактов между контроллерами и обработчиками GDPR Великобритании. Они также могут быть частью схемы сертификации, чтобы продемонстрировать соответствующую обработку, когда схемы были утверждены.

Датское агентство по защите данных приняло SCC, одобренные EDPB. Если вы используете эти SCC в контракте с переработчиком (без поправок), контракт должен соответствовать требованиям статьи 28.

Образец шаблона политики конфиденциальности – TermsFeed

Создайте политику конфиденциальности всего за несколько минут

Наш шаблон Политики конфиденциальности позволяет вам начать работу с соглашением о Политике конфиденциальности. Этот шаблон Политики конфиденциальности можно загрузить и использовать бесплатно.

A Политика конфиденциальности – это юридический документ, в котором вы указываете, собираете ли вы личные данные своих пользователей, какие личные данные вы собираете, что вы делаете с этими данными, а также другую важную информацию о вашей политике конфиденциальности.

В этой статье мы обсудим несколько законов, требующих соблюдения Политики конфиденциальности, а также то, какой контент вам нужно будет добавить в Политику конфиденциальности при ее создании.

Политика конфиденциальности требуется по закону, если вы собираете личные данные.Персональные данные – это любые данные или информация, которые можно считать личными (идентифицирующими физическое лицо), например:

Адрес электронной почты
Имя и фамилия
Адрес для выставления счетов и доставки
Информация о кредитной карте

Что такое Политика конфиденциальности

Политика конфиденциальности – это юридическое заявление, в котором указывается, что владелец бизнеса делает с личными данными, полученными от пользователей, а также как эти данные обрабатываются и для каких целей.

В 1968 году Совет Европы провел исследования угрозы расширения Интернета, поскольку они были озабочены влиянием технологий на права человека. Это привело к разработке политик, которые должны были быть разработаны для защиты личных данных.

Это знаменует начало того, что мы теперь знаем как «Политика конфиденциальности». Хотя название «Политика конфиденциальности» относится к юридическому соглашению, концепции конфиденциальности и защиты пользовательских данных тесно связаны.

Это соглашение может также называться

Заявление о конфиденциальности
Уведомление о конфиденциальности
Информация о конфиденциальности
Конфиденциальность Страница

Политику конфиденциальности можно использовать как для вашего веб-сайта, так и для мобильного приложения , если она адаптирована для включения платформ, на которых работает ваш бизнес.

Требования к политике конфиденциальности могут отличаться от страны к стране в зависимости от законодательства. Однако большинство законов о конфиденциальности определяют следующие важные моменты, которые компания должна соблюдать при работе с личными данными:

Уведомление – Сборщики данных должны четко раскрывать, что они делают с личной информацией пользователей, прежде чем собирать ее.
Выбор – Компании, собирающие данные, должны уважать выбор пользователей в отношении того, какую информацию они хотят предоставлять.
Access – Пользователи должны иметь возможность просматривать, обновлять или запрашивать удаление личных данных, собранных компанией.
Безопасность – Компании несут полную ответственность за точность и безопасность (надежное хранение вдали от посторонних глаз и рук) собранной личной информации.

Кому нужна политика конфиденциальности

Любая организация (компания или физическое лицо), которая собирает или использует личную информацию от пользователей, нуждается в Политике конфиденциальности.

Политика конфиденциальности требуется независимо от типа платформы, на которой работает ваш бизнес, или от отрасли, в которой вы работаете:

Основы политики конфиденциальности

В EU , GDPR требует, чтобы компании, работающие с гражданами ЕС, имели Политику конфиденциальности.

Этот закон вступил в силу в начале 2018 года и затронул предприятия по всему миру. Для этого не только требуется Политика конфиденциальности, но и есть требования к тому, что должно быть включено в Политику конфиденциальности, и как она должна быть написана и отображена.

Как правило, если вы соблюдаете требования Политики конфиденциальности GDPR, вы по умолчанию будете соблюдать большинство других законов о конфиденциальности по всему миру. Это потому, что GDPR настолько надежен и содержит строгие требования.

В U.S. законодательство о конфиденциальности варьируется от штата к штату. Некоторые федеральные законы регулируют данные пользователей при определенных обстоятельствах.

Вот несколько примеров законов о конфиденциальности в США:

Закон Грэмма-Лича-Блайли – Этот закон обязывает организации делать четкие и точные заявления о своих методах сбора информации, а также ограничивает использование и обмен финансовыми данными.
Закон о защите конфиденциальности детей в Интернете (COPPA) – Этот закон специально предназначен для предприятий, которые собирают информацию о детях в возрасте до 13 лет.
Закон о переносимости и подотчетности медицинского страхования (HIPAA) – этот закон также применяется к онлайн-услугам здравоохранения.
Закон штата Калифорния о защите конфиденциальности в Интернете (CalOPPA). Этот закон о конфиденциальности распространяется на всех, кто собирает личную информацию от жителей Калифорнии.
Закон о защите личной информации учащихся в Интернете (SOPIPA) – этот закон применяется, если вы собираете личные данные учащихся.
Закон об удалении контента – этот закон применяется, если вы собираете данные от несовершеннолетних (младше 18 лет).

Обратите внимание, что в США существует ряд других законов о конфиденциальности, поэтому ознакомьтесь с законами вашего штата и штата, в котором вы ведете бизнес.

В Канада есть Закон о защите личной информации и электронных документов (PIPEDA).

Этот закон устанавливает приемлемые стандарты для ограничения и организации сбора, использования и раскрытия личных данных коммерческими учреждениями.Это означает, что организации могут собирать, использовать и раскрывать этот процент информации для целей, которые разумный человек сочтет подходящими в данных обстоятельствах.

Комиссар Канады по вопросам конфиденциальности получает и рассматривает жалобы на организации. Его цель – решать вопросы конфиденциальности посредством соблюдения требований, а не посредством принуждения. Помимо обработки жалоб, он также пропагандирует важность осведомленности и проводит исследования по вопросам конфиденциальности.

В Австралия Закон о конфиденциальности требует от австралийских компаний наличия Политики конфиденциальности.

Перед тем, как составить проект этого соглашения для своего бизнеса, рассмотрите основные требования для большинства онлайн-предприятий, которые имеют дело с личными данными пользователей (включая приложения SaaS или приложения Facebook):

Конфиденциальность ваших пользователей защищена
Вы несете полную ответственность за защиту конфиденциальности своих пользователей.
Что вы соблюдаете действующие законы о конфиденциальности

Что включить в политику конфиденциальности

Загрузите наш шаблон Политики конфиденциальности, нажав здесь.Это бесплатно.

Пользователи должны точно знать, какие личные данные вы от них собираете.

В вашей Политике конфиденциальности также должно быть указано , почему вы собираете такие данные. Вот некоторые распространенные примеры использования данных:

Чтобы помочь разработать новые услуги или улучшить существующие услуги
Для отправки пользователям электронных писем о специальных предложениях, новых услугах или другой информации, которая может быть им интересна.
Чтобы персонализировать их сеансы на вашем веб-сайте, чтобы лучше соответствовать их интересам, например предлагать им релевантный, индивидуально подобранный контент

Вот несколько примеров общих разделов Политики конфиденциальности:

Сбор и использование информации Раздел является наиболее важным разделом всего соглашения, в котором вам необходимо сообщить пользователям, какую личную информацию вы собираете и как вы ее используете.
Вот как Asana, инструмент управления проектами, информирует пользователей о том, что инструмент собирает личную информацию:
Далее политика информирует пользователей о том, какую информацию они могут предоставлять и как (став участником, подключаясь через Facebook, Twitter и т. Д.):
Политика конфиденциальности The Guardian включает короткое, небрежно написанное введение, которое обычно информирует пользователей о том, что он делает с собираемыми данными:
Во введении также указаны четыре основные причины, по которым компания собирает личную информацию:

A Раздел раскрытия данных журнала должен информировать пользователей о том, что определенные данные собираются автоматически из веб-браузера, который используют пользователи, и через веб-сервер, который вы используете: IP-адреса, типы браузеров (Firefox, Chrome и т. Д.)), версии браузеров и различные страницы, которые посещают пользователи.
Buffer включает подпункт о данных журнала в свой пункт о личной информации, которая автоматически получается от его пользователей:

A Cookies Раскрытие должно информировать пользователей о том, что вы можете хранить файлы cookie на их компьютерах, когда они посещают ваш веб-сайт. Это применимо, даже если вы используете Google Analytics (который будет хранить файлы cookie) или любую другую третью сторону, которая будет хранить файлы cookie.
Лучше всего сделать это, разместив уведомление о согласии на использование файлов cookie, указав использование файлов cookie в своей Политике конфиденциальности и даже имея отдельную Политику использования файлов cookie.

A Ссылки на другие сайты В разделе должно быть указано, что ваш веб-сайт может ссылаться на другие веб-сайты, находящиеся вне вашего контроля или собственности, т.е. на новостной веб-сайт, и что пользователям рекомендуется ознакомиться с Политикой конфиденциальности каждого веб-сайта, который они посещают.
A Пункт Do Not Track.
A Security Раскрытие в политике может дать пользователям уверенность в том, что их личные данные хорошо защищены, но вы также можете отметить, что ни один метод не является 100% безопасным.
«Безопасность вашей Личной информации важна для нас, но помните, что ни один метод передачи через Интернет или метод электронного хранения не является на 100% безопасным. Хотя мы стремимся использовать коммерчески приемлемые средства для защиты вашей Личной информации, мы не может гарантировать его абсолютную безопасность.”
Примером элементов доверия могут быть сертификаты SSL. Обязательно используйте SSL-сертификаты, если у вас есть интернет-магазин.

Вот список вопросов, которые помогут вам при составлении собственной Политики конфиденциальности:

Какую личную информацию вы собираете?
Какая личная информация собирается автоматически, например, через веб-сервер (Apache, nginx и т. д.)?
Какие третьи стороны собирают личную информацию от ваших пользователей?
Как вы используете эту личную информацию?
Вы отправляете рекламные электронные письма (информационные бюллетени)? Если да, могут ли пользователи отказаться? Если да, то как?

Если у вас уже есть Политика конфиденциальности для своего веб-сайта и вы запускаете мобильное приложение , вам необходимо сначала подумать, какие новые типы личных данных вы будете собирать с помощью мобильного приложения .Затем обновите свое соглашение, включив в него новые изменения: то, что вы собираете с веб-сайта и из мобильного приложения.

Вы всегда должны сообщать пользователям о любых обновлениях или изменениях в вашей Политике конфиденциальности.

Сообщите, если какие-либо третьи стороны участвуют в сборе личной информации от вашего имени, т.е. вы используете MailChimp для сбора адресов электронной почты для отправки еженедельных обновлений вашим участникам.

Как обеспечить соблюдение Политики конфиденциальности

Всегда используйте метод clickwrap, чтобы убедить пользователей согласиться с вашими условиями.

С помощью clickwrap пользователь информируется о юридических соглашениях и должен предпринять некоторые действия, демонстрирующие его четкое согласие с условиями. Рекомендуется использовать флажки, например, на странице регистрации Adobe ID:

Часто задаваемые вопросы: Политика конфиденциальности

Вот список часто задаваемых вопросов, которые могут оказаться полезными.

Вам нужна Политика конфиденциальности, потому что законы о конфиденциальности во всем мире требуют ее, если вы собираете личную информацию.Многие сторонние компании также требуют Политики конфиденциальности, чтобы пользоваться своими услугами.

Даже если вы не собираете личную информацию, у вас все равно должна быть Политика конфиденциальности. Это потому, что люди и власти ожидают его увидеть. Без него, даже если он просто говорит, что вы не собираете личную информацию, , вы можете сочтиться ненадежным для общественности и в конечном итоге подвергнуться допросу со стороны властей.

У вас должна быть Политика конфиденциальности, даже если вы не собираете личную информацию, потому что и широкая общественность, и власти ожидают увидеть ее .

Без Политики конфиденциальности вам может потребоваться объяснить свои методы обеспечения конфиденциальности юридическим органам, чтобы доказать, что вы не нарушаете законы о конфиденциальности. Вы также можете потерять доверие общественности из-за того, что не понимаете, каковы ваши методы обеспечения конфиденциальности.

Даже если вы не собираете личную информацию, вы должны опубликовать Политику конфиденциальности, в которой говорится именно об этом.

Стандартная информация, которую должна включать каждая Политика конфиденциальности, следующая:

Какую личную информацию вы собираете
Как вы это собираете
Зачем вы это собираете / Как вы это используете
Как долго вы храните личную информацию
Как это сделать
Передаете ли вы его третьим лицам
Любые права, которыми обладают ваши пользователи в отношении сбора, использования или хранения их личной информации.
Ваша контактная информация

Обратите внимание, что некоторые законы о конфиденциальности требуют дополнительной информации, если вы подпадаете под действие закона.Некоторая из этой дополнительной информации включает:

Как вы обрабатываете личную информацию несовершеннолетних / детей
Используете ли вы файлы cookie, которые собирают личную информацию?
Если вы переносите данные в другие страны
Продаете ли вы личную информацию и как пользователи могут отказаться от этой информации.
Как пользователи могут осуществлять свои права в соответствии с определенными законами

Вы всегда должны размещать ссылку на вашу Политику конфиденциальности в нижнем колонтитуле вашего веб-сайта.Здесь люди знают, что это нужно искать, и это обычная лучшая практика.

Вам также следует разместить ссылку на Политику конфиденциальности в местах, где вы запрашиваете сбор личной информации .

Например:

Формы подписки на рассылку новостей по электронной почте
Контактные формы
Формы регистрации аккаунта
страницы оформления заказа для электронной торговли

Для мобильных приложений применяется та же концепция. Добавьте ссылку на свою Политику конфиденциальности в меню вашего приложения, например в меню «О программе» или «Юридическая информация».Также добавьте ссылку на другие области вашего приложения, где вы запрашиваете личную информацию.

Сделайте вашу Политику конфиденциальности обязательной , попросив ваших пользователей установить флажок рядом с заявлением , в котором говорится что-то похожее на « Я прочитал и согласен с условиями Политики конфиденциальности. »

Вы также можете попросить пользователей щелкнуть кнопку, которая говорит что-то вроде «Я согласен» рядом с утверждением, подобным приведенному выше, если вы не хотите использовать флажок.

Как правило, вам необходимо обновить свою Политику конфиденциальности , когда какая-либо из ваших политик конфиденциальности изменится .

Обычно вы обновляете свою Политику конфиденциальности, если вы:

Собирайте новые типы личной информации, которую вы не использовали для сбора
Новый способ сбора личной информации
Начните использовать личную информацию так, как вы ее раньше не использовали
Изменить срок хранения личной информации
Начать делиться личной информацией с новым третьим лицом

Не забудьте обновить дату вступления в силу вашей Политики конфиденциальности, указав дату, когда вы вносите обновления.Отправляйте уведомления своим пользователям о любых существенных изменениях, например, по электронной почте или всплывающее сообщение на веб-сайте.

Обратите внимание, что некоторые законы о конфиденциальности (например, CCPA) требуют, чтобы вы обновляли свою Политику конфиденциальности каждые 12 месяцев.

Примеры соглашений о политике конфиденциальности

Загрузите шаблон Политики конфиденциальности, нажав здесь. Это бесплатно.

Давайте взглянем на некоторые реальные политики конфиденциальности от реальных предприятий.

GitHub

GitHub ссылается на свое Заявление о конфиденциальности в нижнем колонтитуле каждой веб-страницы:

Заявление о конфиденциальности включает в себя « короткую версию » того, что представляет собой политика конфиденциальности GitHub.

Возможно, самая важная часть Заявления о конфиденциальности GitHub – это раздел Summary . Предоставляется ссылка на каждый раздел, а также краткий обзор информации, содержащейся в этом разделе:

Dropbox

Dropbox использует встроенный метод для своего мобильного приложения iOS, чтобы сделать свою Политику конфиденциальности доступной для пользователей.

В приведенном ниже примере из Dropbox вы можете увидеть, как пользователь может перейти в меню « Legal & Privacy » прямо из приложения:

При нажатии на это меню пользователь переходит на другой экран меню, на котором отображается полный список юридических соглашений:

Отсюда пользователь может получить доступ к Политике конфиденциальности прямо из приложения:

eBay

Мобильное приложение eBay ссылается на свое « Mobile Privacy and Legal Notice », а не на стандартную страницу соглашения о политике конфиденциальности.Стандартное соглашение может быть труднее читать на мобильном устройстве, поэтому создание мобильной версии – отличная идея.

Это соглашение содержит краткое и простое изложение основных проблем и проблем, которые могут возникнуть у пользователей, и работает как краткое изложение полной Политики конфиденциальности eBay:

То же соглашение « Mobile Privacy and Legal Notice » встроено в приложение eBay для iOS:

Скачать шаблон политики конфиденциальности

Используйте Генератор политики конфиденциальности, чтобы создать это юридическое соглашение.

Загрузите шаблон политики конфиденциальности в виде файла PDF или загрузите шаблон политики конфиденциальности в виде файла DOCX.

Вы также можете загрузить этот шаблон политики конфиденциальности в виде документа Google.

Этот шаблон доступен для бесплатной загрузки и включает следующие разделы:

Сбор и использование информации
Журнал данных
Файлы cookie
Безопасность
Ссылки на другие сайты
Изменения в Политике конфиденциальности
Свяжитесь с нами

Пример положений о защите данных Пример 1…

www.actnow.org.uk – Закон об информации Обучение и ресурсы для государственного сектора Образец Защита данных < strong> Clauses Ниже приведены примеры положений защиты данных в контрактах. Они предназначены только для обсуждения и информационных целей.Их не следует рассматривать как юридические консультации. Вам следует получить профессиональную юридическую консультацию в отношении ваших конкретных контрактов и обстоятельств. Пример 1 – Полная форма 4. ИНФОРМАЦИЯ И ДАННЫЕ 4.1 Любая информация и данные, предоставленные ………… Компании и используемые Компанией прямо или косвенно при выполнении настоящего Соглашения, должны всегда оставаться в силе. собственность …………. Он должен быть идентифицирован, четко обозначен и зафиксирован Компанией на всех носителях и во всей документации.4.2 Компания принимает все разумные меры предосторожности для сохранения целостности и предотвращения любого повреждения или потери, повреждения или уничтожения ……… данных и информации. 4.3 В случае расторжения настоящего Соглашения Компания должна по указанию ………… и проинструктировать всех своих агентов и субподрядчиков стереть всю информацию и данные, предоставленные …………. И все копии любых часть информации и данных, предоставленных ……………. из систем Компании и магнитных данных. 4.4 Компания соглашается соблюдать и принимать адекватные меры для обеспечения того, чтобы ее сотрудники в любое время соблюдали положения и обязательства, содержащиеся в (с поправками, время от времени вносимыми): 4.4.1. Закон о защите данных 1998 г. 4.4.2 Телекоммуникации ( Защита данных и Конфиденциальность) (Прямой маркетинг) 1998 г. 4.4.3 Положения о дистанционной продаже защиты потребителей 2000 г. 4.5 Все личные данные, полученные Компанией от ………. должны использоваться только для целей настоящего Соглашения и не подлежат дальнейшей обработке или раскрытию без согласия ……………… 4.6 Ничто в настоящем Соглашении не обязывает …………… раскрывать какую-либо информацию Компании, если она считает, что это будет нарушением Защиты данных < / strong> Act 1998 Act Now Training Limited – июнь 2005 г. 1

Общий регламент по защите данных (GDPR)

Общий регламент по защите данных (GDPR) предлагает единообразную общеевропейскую возможность для так называемой «заказной обработки данных», которая представляет собой сбор, обработку или использование персональных данных процессором в соответствии с инструкциями контроллера на основе по контракту.

Соответствующие правила обработки данных по заказу уже применяются, если обработка связана с деятельностью предприятия в ЕС. Это означает, что достаточно, если либо контролер, либо процессор управляет учреждением в ЕС, и обработка происходит в контексте его деятельности. Следует различать обработку и совместный контроль (ст. 26 GDPR), когда обе стороны совместно определяют цели и средства обработки данных и, таким образом, также совместно несут за них ответственность.

Во взаимоотношениях между контроллером и процессором последний может обрабатывать личные данные только на основе задокументированных инструкций контроллера. Обработчик не может привлекать другого обработчика для помощи в выполнении конкретного контракта без предварительного специального или общего письменного разрешения соответствующего контролера. В случае общего разрешения обработчик должен сообщить ему о любых соответствующих изменениях, касающихся обработки.

В большинстве случаев заказная обработка данных осуществляется на основании контракта.Изобразительное искусство. 28 (3) GDPR устанавливает минимальные требования. В контракте, помимо прочего, должно быть указано, какие персональные данные будут обрабатываться, а также объект и цель обработки. Кроме того, у процессора есть дополнительные обязательства. Например, он также должен вести учет операций по обработке, которые включают имена и контактные данные каждого контролера, на который он работает, а также категории обработки, которые выполняются для них. Кроме того, индекс должен включать, если применимо, передачу персональных данных в третьи страны и, если возможно, общее описание технических и организационных мер.При выборе обработчика контролер должен убедиться, что он реализовал достаточные технические и организационные меры для обеспечения того, чтобы обработка соответствовала требованиям Регламента.

По сути, контролер является первым контактным лицом для субъекта данных и несет ответственность за соответствие обработки данных требованиям законодательства. Однако это не означает, что обработчик не несет ответственности. Согласно ст. 82 GDPR, он несет солидарную ответственность с контролером. Однако ответственность обработчика ограничивается в соответствии с параграфом 2 нарушениями конкретных для него обязательств.Обе стороны имеют возможность оправдать себя. Для этого они должны доказать, что не несут никакой ответственности за событие, приведшее к ущербу.

Внешние ссылки

Органы власти

Статья 29 Рабочая группа по защите данных ► Рабочий документ WP 244 – Руководство по ведущему надзорному органу (ссылка)
Статья 29. Рабочая группа по защите данных ► Рабочий документ WP 169 – Мнение по концепциям «контролер» и «процессор» (2010!) (Ссылка)
Европейская комиссия ► Контроллер / процессор (ссылка)
Data Protection Authority UK ► Контракты и обязательства между контроллерами и обработчиками (ссылка)
Управление по защите данных Остров Мэн ► Процессоры (ссылка)
Управление по защите данных Франция ► Общие правила защиты данных: руководство в помощь обработчикам данных (ссылка)
Управление по защите данных Люксембург ► Основы защиты данных: обязанности контроллеров и процессоров (ссылка)
Управление по защите данных Ирландии ► Руководство: Практическое руководство для контроллера данных по контрактам на обработку данных в соответствии с GDPR (ссылка)

Экспертный вклад

Bitkom ► Шаблон приложения к соглашению (ссылка)
GDD ► Шаблон – обработка в соответствии со статьей 28 Общего регламента по защите данных (GDPR) (ссылка)
IAPP ► Обновление соглашений с поставщиками в соответствии с GDPR (Ссылка)
IAPP ► Что не так с проектом руководства ICO по контрактам контроллер-процессор? (Ссылка)
DLA Piper ► Пример приложения о защите данных, касающийся статьи 28 GDPR (Условия обработки данных) и включение стандартных договорных положений о передаче между контроллером и обработчиком персональных данных из ЕЭЗ в третью страну (ссылка)

Соглашение об обработке данных: 7 элементов, которые должен иметь каждый DPA, соответствующий GDPR [Обновлено]

Если вы хотите знать, как составить законное соглашение об обработке данных (DPA), вы находитесь в нужном месте.В этом сообщении блога мы познакомим вас со всеми важными элементами DPA в соответствии с Общим регламентом защиты данных (GDPR).

GDPR налагает множество обязательств на тех, кто хочет собирать и использовать персональные данные о пользователях. Одним из наиболее важных является DPA с каждой стороной, имеющей доступ к этим данным. Пункт DPA или заказной обработки данных – это юридически обязательный документ, подписанный между контролером и обработчиком. Он регулирует особенности обработки данных, например:

Объем и цель обработки
Отношения между этими актерами
Обязательства каждой стороны в соответствии с положением

Когда вам понадобится DPA?

Каждый раз, когда обработчик данных выполняет какую-либо обработку от вашего имени, вам необходимо заключить письменный договор.

Это означает, что вам понадобится DPA, например, когда вы используете платформы управления взаимоотношениями с клиентами (CRM), платформы данных о клиентах (CDP), аналитику и многие другие инструменты, предназначенные для анализа поведения пользователей.

Контракт важен для того, чтобы обе стороны понимали свою роль в обработке персональных данных пользователей и свои обязательства, вытекающие из этого. Это гарантирует, что цепочка ответственности ясна каждому участнику процесса.

В этом нет ничего нового.Подписание такого документа требуется многими другими нормативными актами о конфиденциальности данных, включая Закон о защите данных Великобритании и предшествующий GDPR Директиву о защите данных 95/46 / EC.

При этом в соответствии с GDPR требования к контракту шире. Они также помогают продемонстрировать соответствие каждой стороны в случае проверки органами по защите данных.

По данным Управления комиссара по информации Великобритании:

Контракты между контролерами и обработчиками гарантируют, что они оба понимают свои обязательства, ответственность и ответственность.Они помогают им соблюдать GDPR и помогают диспетчерам продемонстрировать свое соответствие GDPR. Использование контрактов контроллерами и обработчиками также может повысить уверенность субъектов данных в обработке их личных данных.

Должен ли DPA быть отдельным документом?

Нет никаких юридических ограничений, согласно которым DPA не может быть частью обычного контракта между процессором и контролером. Однако, учитывая сложность задачи, хорошо бы создать отдельный документ или приложение к основному договору.

Что должно быть включено в DPA?

GDPR дает некоторые общие рекомендации о том, что включать в DPA. Основываясь на нормах, а также на нашем собственном опыте и знаниях, мы подготовили список элементов, которые должны быть в каждом соглашении об обработке данных.

Важное примечание! Информация, содержащаяся в этой статье, предназначена только для информационных целей и не должна рассматриваться как юридическая консультация.

1) Общие положения

В этой части контракта вы указываете термины, используемые в документе.Среди прочего, вы должны определить:

Предмет соглашения – обычно это все виды деятельности, связанные с договорными отношениями между партнерами.
Объем, характер и продолжительность обработки данных – как личные данные будут использоваться и какая сторона будет нести ответственность за соблюдение процесса. Эта ответственность обычно лежит на контроллере данных (на вас).
Субъекты обработки данных – чьи данные вы хотите обработать, e.грамм. дети, клиенты банков, пациенты или просто посетители веб-сайтов. Субъекты данных могут относиться к нескольким категориям.
Тип данных, которые вы хотите обработать – различные категории данных, которые вы хотите обработать. Это может быть, например, технические характеристики браузера, данные о поведении на веб-сайтах или IP-адресах.

передовой опыт

Контроллер должен информировать обработчика данных, если они собирают особые категории данных, поскольку существуют дополнительные ограничения на обработку определенных типов данных.Если вы хотите узнать больше о категориях личных данных, прочтите это сообщение в блоге.

Хранение данных – Хотя GDPR не запрещает компаниям хранить личные данные пользователей за пределами ЕС, он устанавливает ограничения для такой передачи (см. Главу 5). Обработчик не должен отправлять данные за границу без предварительного согласия. Если данные должны храниться за границей, вам необходимо описать, как обработчик данных должен обрабатывать их, чтобы соответствовать стандартам защиты, установленным GDPR. Поскольку инструкции должны быть подробными, их стоит включить в отдельный пункт или даже в приложение к контракту.

Условия прекращения действия контракта – Здесь вы должны указать, что все данные о ваших пользователях должны быть удалены из баз данных процессора после прекращения действия контракта. Вы также должны указать, когда у вас есть право расторгнуть соглашение – например, если процессор не сообщает вам о нарушении данных или вносит несанкционированные изменения в процедуры обработки данных.

2) Права и обязанности контролеров данных (вас)

Вы также должны указать свои обязанности в качестве контроллера данных и включить следующие положения:

Вы несете ответственность за установление законной обработки данных и соблюдение прав субъектов данных, включая сбор разрешений и запросов субъектов данных.
Вы несете ответственность за выдачу инструкций по обработке данных, например назначение сотрудников в качестве контактных лиц.

Чтобы узнать больше о том, что GDPR говорит о роли контроллера данных, прочитайте статью 24.

3) Обязанности обработчиков данных

Статьи 28–36 GDPR устанавливают обязанности обработчиков данных. Среди прочего их:

Должен обеспечивать адекватную информационную безопасность
Запрещается привлекать субпроцессоров без вашего предварительного согласия
Должен сотрудничать с властями в случае запроса
Должны сообщать вам об утечках данных, как только они узнают о них
Может потребоваться назначение сотрудника по защите данных
Должен предоставить вам возможность проводить аудит для проверки их соответствия
Должен вести учет всех операций по переработке
Должен соответствовать правилам трансграничной передачи данных ЕС
Должен помочь вам соблюдать права субъектов данных, включая обработку запросов субъектов данных
Должен помочь вам справиться с последствиями утечки данных
Должен удалить или вернуть все личные данные в конце контракта, если требуется
Должен сообщить вам, если ваши инструкции по обработке нарушают GDPR

передовой опыт

DPA не должно оставлять места для неправильного толкования.Чтобы избежать серых зон, не забудьте:

Установите временные рамки, в течение которых процессор данных должен обрабатывать запросы данных и в течение которых процессор данных должен сообщить вам об утечке данных
Раскройте контактные данные своего уполномоченного по защите данных
Укажите, планируете ли вы проводить аудит процессора, и как часто, и кто покроет связанные с этим расходы

Таким образом вы убедитесь, что нет слабых звеньев, а процессор данных точно знает, чего вы от них ждете.

Положения этой части контракта должны быть адаптированы к конкретным потребностям организации и отраслевым требованиям. Если вы хотите более подробно изучить обязанности обработчика данных, посетите эту страницу.

4) Технические и организационные мероприятия

Этот пункт контракта относится к системам и процедурам, которые применяют обработчики данных для обеспечения безопасности личных данных, содействия соблюдению закона и предотвращения утечки данных.

Согласно статье 32 Постановления:

Принимая во внимание уровень техники, затраты на реализацию и характер, объем, контекст и цели обработки, а также риск различной вероятности и серьезности для прав и свобод физических лиц, контролера и обработчика должен применять соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, включая, помимо прочего, при необходимости:

Псевдонимизация и шифрование личных данных
Способность обеспечить постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем обработки и услуг
Возможность своевременно восстановить доступность и доступ к персональным данным в случае физического или технического происшествия
Процесс регулярного тестирования, оценки и оценки эффективности технических и организационных мер по обеспечению безопасности обработки

В контракте должно быть указано, что обработчик данных должен принять все необходимые технические и организационные меры до того, как начнет обработку персональных данных пользователей.В конце концов, одна из ключевых ролей DPA – гарантировать, что процессоры предоставляют достаточные гарантии защиты данных.

Учитывая сложность этих мер, лучше всего включить их в отдельное приложение к контракту (см .: Приложение 1).

5) Субподрядные отношения

Этот раздел проливает больше света на отношения между основным процессором данных и подпроцессорами (сторонами, которые обрабатывают данные от имени процессора). Вот что включить в эту часть соглашения:

Обработчик данных должен получить письменное согласие контроллера данных на привлечение субпроцессоров.
Контракт между процессором и субпроцессором должен обеспечивать уровень защиты данных, сопоставимый с уровнем, обеспечиваемым DPA.
Контроллер данных должен нести ответственность за регулярную проверку соответствия субпроцессоров (например, не реже одного раза в 12 месяцев).

Также, для ясности, неплохо перечислить субпроцессоров в отдельном приложении к контракту (см. Раздел «Приложение 2»).

6) Заключительные положения

Это стандартная часть каждого контракта.Упомяните здесь, что:

Любые изменения в контракте должны быть приняты обеими сторонами
DPA заменяет все другие соглашения между обработчиком данных и контроллером данных

Это не оставляет места для неправильного толкования в случае, если положения других соглашений противоречат требованиям DPA.

7) Приложения

DPA не было бы полным без приложений, в которых подробно излагаются договорные отношения. Вот что в них стоит включить:

Приложение 1 – Технические и организационные меры

Это приложение дополняет пункты DPA, касающиеся технических и организационных мер.Здесь обработчик данных должен доказать свою «способность обеспечивать постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем обработки и услуг » и установить «процесс для регулярного тестирования, оценки и оценки эффективности технические и организационные меры по обеспечению безопасности обработки ». Обе цитаты являются выдержками из статьи 32 GDPR.

Ниже приведен список областей, имеющих решающее значение для соблюдения GDPR:

Конфиденциальность

Среди прочего, процессор должен описать:

Структура дата-центра, в котором планируется хранить персональные данные
Протоколы управления информационной безопасностью
Физический доступ в офис и примененные меры безопасности
Удаленный доступ в офис
Контроль доступа к приложениям (ПО)

Целостность

В этой части контракта обработчик данных должен доказать, что личные данные не могут быть прочитаны, скопированы, изменены или удалены какой-либо неавторизованной стороной во время передачи данных.

Доступность и устойчивость

В этом разделе приложения процессор должен представить свои политики резервного копирования и меры, используемые для обеспечения избыточности, возможности восстановления и высокой доступности данных.

Процедуры периодической проверки

Здесь обработчик данных должен подробно описать схему периодической оценки технических и организационных мер из предыдущих частей приложения.

Приложение 2 – Список подпроцессоров

Здесь нет ничего сложного – в этот список должны быть включены все субпроцессоры данных, а также адреса их штаб-квартир.

Соглашение об обработке данных в соответствии с GDPR

Мы надеемся, что это сообщение в блоге даст вам хорошее представление о том, как должно выглядеть соглашение об обработке данных. Но мы знаем, что это сложная проблема, и у вас все еще могут быть вопросы, на которые нет ответа. Если да, обязательно ознакомьтесь с некоторыми дополнительными источниками информации о составлении DPA, включая это чрезвычайно информативное руководство Управления Комиссара по информации Великобритании.

Изучите 10 элементов, которые должна содержать каждая политика конфиденциальности, соответствующая GDPR >>
Соответствует ли Google Analytics GDPR? 10 вещей, которые следует учитывать >>
Узнайте, как получить согласие и собрать данные в соответствии с руководством CNIL и GDPR >>
Узнайте, как темные шаблоны противоречат GDPR и CCPA >>

Положение о порядке обработки персональных данных. Образец | HR-elearning

Положение о порядке обработки персональных данных.

Приказ о защите персональных данных работников

Что входит в понятие персональных данных

Основные операции с персональными данными

Положение о персональных данных

Структура приказа

Положение об обработке персональных данных

Положение об обработке персональных данных

Примеры положений о конфиденциальности и защите данных: 224 образца

Стандартные статьи

СТАНДАРТНЫЕ ПОЛОЖЕНИЯ, ПРИМЕНЯЕМЫЕ К СОГЛАШЕНИЯМ СНГ, РЕГУЛИРУЕМЫЕ GDPR

Пункт 1

Пункт 2

Статья 3

Статья 4

Статья 5

Статья 6

Пункт 7

Статья 8

Пункт 9

Пункт 10

Пункт 11

Пункт 12

Приложение 1

Экспортер данных

Импортер данных

Субъекты данных

Категории данных

Операции обработки

Членство в SecureSuite

Лицензии поставщика средств управления CIS

Приложение 2

Что нужно включить в договор?

Подробно

Какие подробности об обработке должен включать контракт?

Каковы минимальные требуемые сроки?

Обработка только в соответствии с задокументированными инструкциями контроллера

Долг доверия

Соответствующие меры безопасности

Использование субпроцессоров

Права субъектов данных

Вспомогательный контроллер

Положения об окончании контракта

Аудиты и проверки

Можно ли использовать стандартные условия договора (СУК)?

Образец шаблона политики конфиденциальности – TermsFeed

Что такое Политика конфиденциальности

Кому нужна политика конфиденциальности

Основы политики конфиденциальности

Что включить в политику конфиденциальности

Как обеспечить соблюдение Политики конфиденциальности

Часто задаваемые вопросы: Политика конфиденциальности

Примеры соглашений о политике конфиденциальности

Скачать шаблон политики конфиденциальности

Пример положений о защите данных Пример 1…

Общий регламент по защите данных (GDPR)

Внешние ссылки

Соглашение об обработке данных: 7 элементов, которые должен иметь каждый DPA, соответствующий GDPR [Обновлено]

Когда вам понадобится DPA?

Должен ли DPA быть отдельным документом?

Что должно быть включено в DPA?

1) Общие положения

2) Права и обязанности контролеров данных (вас)

3) Обязанности обработчиков данных

4) Технические и организационные мероприятия

5) Субподрядные отношения

6) Заключительные положения

7) Приложения

Приложение 1 – Технические и организационные меры

Конфиденциальность

Целостность

Доступность и устойчивость

Процедуры периодической проверки

Приложение 2 – Список подпроцессоров

Соглашение об обработке данных в соответствии с GDPR

Добавить комментарий Отменить ответ