Отзыв согласия на обработку персональных данных – образец 2021

Когда требуется отзыв данных

Как правило, необходимость отменить согласие на использование личных сведений возникает, когда речь идет о передаче их третьим лицам. Например, сотрудник по каким-либо причинам больше не желает, чтобы информация о нем размещалась на сайте компании или употреблялась в рекламных материалах. В другом случае соискатель на вакантную должность может передумать участвовать в конкурсе и запретить передачу данных в службу безопасности. Нередко клиент какой-либо организации хочет отказаться от получения рассылки смс или электронных писем. Наиболее злободневной ситуацией является предоставление коллекторам личных сведений о заемщике банка. Один из способов, которым можно попытаться себя обезопасить, — отозвать разрешение на обработку персональных данных.

Что говорит закон

Возможность и порядок отзыва согласия на обработку персональных данных описаны в Федеральном законе от 27.

07.2006 № 152-ФЗ «О персональных данных». Рассмотрим, какие наступают последствия отзыва согласия на обработку персональных данных.

После получения заявления о запрете использования личных сведений оператор обязан прекратить работу с данными и, если это возможно, обеспечить их уничтожение. Срок, в который оператор должен выполнить настоящее обязательство, в соответствии с п. 5 ст. 21 закона № 152-ФЗ, не превышает тридцати дней. Но Федеральный закон накладывает определенные ограничения на отзыв разрешения на обработку информации. Например, оператор, невзирая на получение отзыва разрешения, обрабатывает и передает данные, если это необходимо для свершения правосудия (п. 2 ч. 2 ст. 11 152-ФЗ) или защиты жизни (здоровья) субъекта (п. 6 ч. 2 ст. 11 152-ФЗ). Кроме того, работа с информацией продолжается независимо от отмены разрешения для обеспечения пенсионных выплат, уплаты налогов, обязательного медицинского и социального страхования.

Как написать заявление об отзыве персональных данных

Для того чтобы отозвать разрешение на использование персональных данных, достаточно направить оператору соответствующее заявление – это единственный способ, как отозвать персональные данные, предусмотренный законом.

Заявление пишется в свободной форме, рекомендуется указать в нем следующие моменты:

• полное наименование организации;
• юридический адрес, а также фактический адрес отделения, если речь идет о банке;
• данные заявителя: ФИО, паспортные данные, адрес регистрации;
• ссылка на законодательные акты.

Лучше всего подавать заявление лично, в двух экземплярах. Один экземпляр, с отметкой о регистрации входящей документации, остается на руках у заявителя. Если заявление направляется в банк, к нему следует приложить ксерокопию паспорта и кредитного договора.

Образец отзыва согласия на обработку персональных данных у работодателя в 2020 г.

Как организовать уничтожение персональных данных

После того, как оператору от владельца поступит отзыв согласия на обработку, у него есть определенное время для того чтобы организоваться и уничтожить сведения об их владельце. Уничтожение персональных данных – это такие действия оператора, в результате которых материальные носители с этими сведениями либо полностью уничтожаются (бумага) либо, если сведения хранятся на машинах, они стираются чтобы было невозможно восстановить исходники (см.

подпункты 3, 8 статьи 3 Федерального закона от 27.07.2006 N 152-ФЗ).

Срок уничтожения

Время для исполнения	Основание для ликвидации	Ссылка на норму Федерального закона от 27.07.2006 № 152-ФЗ
7 рабочих дней	При представлении субъектом ПД или его представителем сведений, подтверждающих, что данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки	часть 1 стать 14, часть 3 статьи 20
10 рабочих дней	При выявлении незаконной обработки ПД, если невозможно обеспечить ее правомерность	часть 3 статьи 21
30 рабочих дней	При достижении цели обработки ПД	часть 4 статьи 21
30 рабочих дней	При отзыве субъектом ПД согласия, если их сохранение более не требуется для целей обработки	часть 5 статьи 21

Нюансы

В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного таблице выше, оператор обязан заблокировать эти сведения и в срок не превышающий 6 месяцев уничтожить их, если иной срок не установлен иным законом (см.

часть 6 стать 21 Федерального закона от 27.07.2006 № 152-ФЗ).

Последние инициативы

1 августа 2020 года Минкомсвязи подготовило проект изменений в Федеральный закон от 27.07.2006 № 152-ФЗ. Нововведения касаются порядка уточнения требований к уничтожению персональных данных. Так, статья 21 Федерального закона от 27.07.2006 N 152-ФЗ устанавливает обязательство оператора по устранению нарушений закона, допущенных при обработке ПД, в том числе, по уничтожению ПД. Однако, указанная норма не содержит требований к уничтожению самих данных.

В целях устранения указанной коллизии Минкомсвязи предложило дополнить стать 21 частью 7 следующего содержания:

“Уничтожение персональных данных в случаях, предусмотренных настоящей статьей, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.”.

По мнению чиновников, изменение направлено на устранение коллизии в отношении уничтожения персональных данных, и на исключение возможности разносторонней трактовки понимания действий, подтверждающих со стороны оператора факт уничтожения персональных данных.

Как организовать работу с персональными данными на предприятии, видео

Заявление об отзыве согласия на обработку персональных данных

Заявление на отзыв согласия на обработку персональных данных (далее “Заявление”) это официальный документ, которым лицо отзывает ранее данное согласие на обработку его персональных

(личных) данных. Указанное Заявление может быть направлено работодателю, банковскому (финансовому) учреждению, государственному органу и каким-либо другим лицам, которым ранее лицо передало свои персональные данные для обработки.

Право на отзыв ранее выданного согласия на обработку персональных данных предусмотрено законом и может быть реализовано в любой момент, когда (1) цели обработки персональных данных достигнуты (к примеру, данные передавались работодателю для трудоустройства, однако трудовой договор в последствие был расторгнут), или (2) выявлен факт неправомерной обработки таких данных (к примеру, банковское учреждение передало личные данные клиента коллекторской фирме), или (3) обрабатываемые данные более не являются актуальными и точными, а также в связи с наступлением иных обстоятельств, предусмотренных действующим законодательством.

Структура предложенного шаблона предлагает указать получателя, которому будет адресовано такое Заявление, основания и дату ранее выданного согласия на обработку персональных данных, а также идентификационные данные заявителя (т.е. субъекта персональных данных, который отзывает ранее выданное согласие). Кроме этого, в тексте данного Заявления нужно четко определить какие именно персональные данные ранее были переданы в обработку.

Как использовать документ

Заявление в обязательном порядке должно быть распечатано, подписано отправителем и направлено по адресу местонахождения или места постоянного проживания получателя.

Согласно общему правилу Заявление направляется заказным письмом с тем, чтоб у отправителя было подтверждение даты и времени получения данного Заявления получателем.

От момента получения такого Заявление оператор (т.е. лицо, которое осуществляет обработку персональных данных заявителя) должен

(1) немедленно уничтожить такие персональные данные, или (2) если уничтожение невозможно, провести их блокировку, или (3) уведомить заявителя о законных (правомерных) основаниях для продолжения обработки таких персональных данных.

Применимое законодательство

Настоящее Заявление на отзыв согласия на обработку персональных данных подготовлено в соответствие с положениями Главы 14 Трудового кодекса Российской Федерации и нормами Федерального закона “О защите персональных данных”.

Как изменить шаблон

Вы заполняете форму. Документ создается у вас на глазах по мере того, как вы отвечаете на вопросы.

По завершению вы получите его в форматах

Word и PDF. Вы можете изменять его и использовать его повторно.

Как отозвать согласие на обработку персональных данных

Отзыв согласия на обработку персональных данных позволяет наложить запрет на работу оператора с личными сведениями о человеке. Как запретить обработку индивидуальной информации и в каких случаях запрет невозможен, расскажем в статье.

Когда можно отозвать согласие

Порядок работы с личными сведениями установлен законом «О персональных данных» от 27.07.2006 № 152-ФЗ. Из ст. 3 закона следует, что к индивидуальным данным лица относится любая информация о нем, позволяющая его идентифицировать.

В том числе к таким сведениям можно отнести:

• Ф. И. О.;
• адрес проживания;
• паспортные данные;
• сведения о месте рождения;
• прочие данные.

Полного перечня сведений закон не содержит, соответственно, в каждом конкретном случае необходимо анализировать, можно с помощью получаемой от человека информации его идентифицировать или нет. Часто отдельные данные не являются персональными, поскольку понять, кому конкретно они принадлежат, невозможно. Однако если совокупность сведений позволяет узнать, к какому человеку они относятся, то это персональные данные.

Работа с личной информацией осуществляется на основании письменного согласия гражданина, чьи сведения будут обрабатываться. Установленного бланка нет, каждая организация самостоятельно разрабатывает форму соглашения на обработку личных материалов, которое подписывает гражданин. Только после подписания субъектом такого бланка учреждение имеет право начать работу с информацией о клиенте.

Согласие на обработку может быть получено в электронном виде с применением простой электронной подписи.

Гражданин имеет право отозвать свое согласие на обработку личных сведений в любое время (п. 2 ст. 9 закона № 152-ФЗ). Причем законодатель не связывает отзыв персональных данных с какими-либо условиями или событиями. Из чего следует, что отказ от обработки персональных данных не требует обоснований.

Когда отзыв согласия не имеет значения для оператора персональных данных

Между тем оператор может продолжить работу с личными инфоматериалами субъекта даже при отзыве последним своего согласия. Перечень случаев, когда у него есть такое право, прописан в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ. В частности, использовать информацию о человеке могут:

• суды при участии гражданина в судопроизводстве;
• приставы при исполнении судебного акта;
• государственные органы при исполнении своих полномочий;
• стороны гражданско-правовых договоров, заключенных с субъектом персональных данных;
• любые субъекты при необходимости защиты жизни или здоровья носителя персональной информации;
• журналисты, если работа с личной информацией связана с их профессиональной деятельностью;
• субъекты, участвующие в реализации международных договоров;
• органы статистики, если личные данные обезличиваются.

Порядок отзыва индивидуальных данных

Поскольку с выдачей разрешения на работу с личной информацией граждане сталкиваются очень часто, закономерен вопрос, как отозвать согласие на обработку персональных данных.

Поэтапный порядок в законодательстве не прописан. Поскольку разрешение на обработку сведений дается письменно, то и отзывать согласие нужно, подав оператору письменное заявление.

Отказ от согласия на обработку персональных данных готовится в свободной форме. Передать заявление в учреждение можно:

1. Лично в канцелярию или приемную организации. В этом случае необходимо подготовить два экземпляра документа. На одном из них организация при приеме поставит отметку о получении.
2. Почтовой корреспонденцией (заказным письмом с уведомлением). В этом случае подтверждать получение будет уведомление, вернувшееся отправителю.
3. В электронной форме. Например, если отзывается согласие на использование личной информации, которую пользователь передал оператору через интернет (например, на сайте).

Подтвердить дату получения оператором обращения очень важно, так как с этого момента будет отсчитываться период, в течение которого оператор по обработке индивидуальных сведений должен будет прекратить работу с заявленной информацией.

Образец заявления на отзыв

Заявление на отзыв персональных данных составляется следующим образом:

1. В правом верхнем столбце указывается наименование получателя и его адрес, данные отправителя.
2. Ниже посередине — название документа.
3. С красной строки — основной текст.
4. В конце документа — дата и подпись.

Образец отзыва персональных данных из банка может выглядеть так:

Руководителю Центрально-Черноземного банка ПАО «Банк»

Воронеж, ул. 9 Января, 28

от Держаева Виктора Петровича

Воронеж, ул. Комарова, 28, 15

Заявление

Я, Держаев В. П., паспорт серия 0000 № 000 000, выдан РОВД Советского района г. Воронежа __ __ ___, в соответствии со ст. 9 закона № 152-ФЗ отзываю согласие на обработку персональных данных, данное мной при заключении кредитного договора № 377-2010 от __ __ ____.

Держаев В.  П. /Держаев/

Дата: __ __ ____

Последствия отзыва

Согласно п. 5 ст. 21 закона № 152-ФЗ, если человек отозвал согласие на работу со своей индивидуальной информацией, оператор обязан прекратить это делать. На это ему дается 30 дней со дня получения обращения. В этот же срок оператор должен уничтожить или обеспечить уничтожение информации.

Однако закон разъясняет, что если дальнейшая работа с индивидуальными сведениями о человеке необходима для достижения целей, предусмотренных законодательством, то хранение информации может быть продолжено.

Например, выполнить требование субъекта персональных данных об отзыве согласия на их обработку не могут банки.

Так, в соответствии с п. 4 ст. 7 закона «О противодействии легализации (отмыванию) доходов…» от 07.08.2001 № 115-ФЗ банковские организации должны сохранять личную информацию о клиентах не менее 5 лет со дня прекращения отношений. Соответственно, если разрешение на работу с индивидуальными сведениями было отозвано, операции с информацией должны быть прекращены, но сами материалы не уничтожаются и могут быть выданы по запросу суда, прокуратуры и иных уполномоченных учреждений (апелляционное определение Московского городского суда от 14. 06.2019 по делу № 33-25479).

Итоги

Таким образом, отозвать свои индивидуальные сведения из обработки тем или иным учреждением несложно. Однако законодательство в некоторых случаях разрешает работу с такими инфоматериалами и без согласия гражданина.

Еще больше про защиту персональных данных – в онлайн-курсе Центра обучения “Клерка”. На него как раз сейчас скидка.

Вам надо по-другому работать с наличкой. Кого прижмут налоговики и банки? Забирайте запись, пожалуй, лучшего вебинара «Клерка»: «Как будут контролировать наличку по 115-ФЗ». 

Только сегодня можно забрать запись со скидкой 60%. Программу вебинара смотрите здесь

Образец Заявление об отзыве согласия на обработку персональных данных

ПАО «Банк»

(Либо иное юридическое лицо)

Адрес: 113000, г. Москува, ул. Жукова, 5

Телефон/факс: +7(495)111-11-00

Электронная почта: [email protected]

 

Заявитель: Фамилия Имя Отчество 01.01.1990г.р.

Адрес: 111000, г . Москва, ул. Ленина, 7

телефон: +7 999 111-11-11

Электронная почта: [email protected]

 

Заявление

об отзыве согласия на обработку персональных данных

 

__.__.20__г., между  Фамилия Имя Отчество 01.01.1980г.р. (далее Заемщик), с одной стороны и ПАО «Банк», в лице _________________________ (далее Банк) с другой стороны, был заключен Кредитный договор № _____________.

 

При заключении кредитного договора мною предоставлено Банку согласие на обработку персональных данных.

 

Согласно Федерального Закона РФ N 152-ФЗ “О персональных данных”, под обработкой Оператором персональных данных понимается, в том числе, использование и уточнение данных.

 

В соответствии с п. 2, ст. 9 ФЗ “О персональных данных”, согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

 

Настоящим заявляю отзыв права на использование моих персональных данных, в частности:

1) Моих личных мобильных и домашних номеров телефонов,

2) Всех контактных телефонов и данных третьих лиц указанных, мною в кредитной документации,

3) Адреса проживания моих родственников,

4) Адреса и наименования моего работодателя.

 

Обращаю внимание, что отзыв права на использование моих персональных данных в отдельной части не нарушает Ваши права или права третьих лиц, поскольку контакты банк со мною может осуществлять через почтовую связь.

 

Отмечаю, что при заключении договора мои родственники и прочие контактные лица не давали права на использование их персональных данных. В связи с чем, любые звонки и обращения к этим лицам – неправомерны и повлекут их самостоятельное обращение в компетентные органы.

 

Руководствуясь Федеральным Законом РФ N 152-ФЗ “О персональных данных”: С момента получения данного Заявления прошу Банк и его представителей прекратить обработку моих персональных данных в указанной части.

 

О принятом решении прошу сообщить письменно.

 

В случае, если Банк неправомерно передал мои персональные данные третьему лицу, требую самостоятельного уведомления Вами этой организации об отзыве персональных данных и возможных юридических последствиях, связанных с нарушением Федерального законодательства РФ «О персональных данных».

 

__.__.20__г.

 

_____________/_______________________

Отзыв согласия на обработку персональных данных — образец 2021

Что входит в персданные

Сюда относятся не только данные из документов, но и любая информация о человеке:

• Ф.И.О.;
• паспортные данные;
• место и дата рождения;
• национальность;
• место жительства;
• любые контакты: номер телефона, е-мейл, соцсети;
• номера СНИЛС и ИНН;
• образование;
• профессия, место работы, размер зарплаты;
• описание внешности (вес, цвет волос, ДНК).

Сюда же относится даже специфическая информация, которая характеризует человека: привычки и увлечения, вера в бога, философские убеждения.

Зачем отзывают персональные данные

Мы передаем личные данные, когда устраиваемся на работу, берем кредит, оформляем какие-либо документы или справки. Указать электронную почту в интернете, чтобы получать информационную рассылку, тоже будет предоставлением личных данных.

Чтобы использовать такую информацию, требуется запросить официальное согласие на хранение и обработку. Когда, отправляя персданные через сайт в интернете, мы проставляем галочку в пункте «Согласен с политикой конфиденциальности сайта и пользовательским соглашением», мы позволяем хранить и обрабатывать свои данные.

Согласие на использование можно отозвать, направив оператору — лицу, обрабатывающему данные, — заявление. Отозвать разрешение на обработку персональных данных возможно в любой момент по желанию обладателя данных. Такая мера потребуется, чтобы:

• избежать передачи сведений о себе третьим лицам, например, такой запрет сделает невозможным передачу данных о гражданине от банка коллекторскому агентству;
• перестать получать информационную рассылку;
• личная информация не использовалась в рекламных целях, например, в разделе «наши клиенты».

Отзывая разрешение, гражданин не обязан объяснять причину.

Как регулируются правила по персданным

Основной закон — № 152-ФЗ «О персональных данных» от 27.07.2006. Он устанавливает последствия отзыва согласия на обработку персональных данных:

• прекращение использования сведений, которыми располагает оператор, в любой форме;
• уничтожение данных, если это возможно. То есть уничтожаются носители, фиксирующие личную информацию.

Предпринять эти меры оператор должен в течение тридцати дней с момента получения заявления от обладателя информации.

Когда нельзя отозвать согласие

Закон устанавливает и случаи, когда данные продолжают использоваться, несмотря на заявление:

• обрабатываются данные лица, участвующего в судебном процессе;
• использование необходимо для выплаты лицу пенсий, социальных пособий, предоставления ему социальных или медицинских услуг;
• для заключения или исполнения договора, выгодоприобретателем по которому является обладатель персданных;
• обработка необходима для сохранения жизни или здоровья их обладателя.

Как написать заявление об отзыве персональных данных

Порядок отзыва согласия на обработку персональных данных не предполагает сложной процедуры. Достаточно подать заявление с требованием зафиксировать, что оно получено.

Заявление не имеет законодательно установленной формы и допустимо в том виде, в котором сочтет нужным заявитель. Главное — отразить в тексте информацию:

• наименование оператора, обрабатывающего данные заявителя, которому заявление адресовано;
• данные заявителя;
• четко и однозначно выраженный запрет на использование данных;
• перечень данных, обрабатывать которые нельзя, если гражданин не хочет, чтобы запрет был наложен не на всю информацию о нем, а на какие-то ее части;
• ссылку на положение федерального закона.

Заявление подают в печатном виде или пишут от руки, позаботившись о его читабельности. Направляют по почте письмом с уведомлением о вручении либо передают лично. В этом случае необходимо иметь второй экземпляр, на котором сотрудник, ответственный за прием входящей корреспонденции, поставит отметку о приеме документа.

Об авторе статьи

Гольцова Полина

юрист, специалист по госзакупкам

В 2011 году окончила УрГЮА (ИПиП), в 2013 — РАНХиГС по программе «Управление государственными и муниципальными закупками». С 2013 по 2018 года занималась юридическим сопровождением закупок бюджетных учреждений федерального и регионального уровней.

Другие статьи автора на gosuchetnik.ru

Отзыв согласия на обработку персональных данных образец

Отзыв согласия на обработку персональных данных возможен на основании Федерального закона 152-ФЗ. Свои личные данные работник передает работодателю сознательно, доверяя ему обработку и хранение сведений. Работник может составить заявление на отзыв персональных данных, на основании которого работодатель обязан прекратить обработку сведений о заявителе.

Доверяя работодателю свои личные данные, работник составляет согласие на обработку, которое, например, может принимать форму заявления, скачать образец заявления о согласии можно бесплатно здесь.

Как отозвать согласие на обработку персональных данных?

Если по какой-либо причине работник желает отозвать персональные сведений и запретить работодателю обрабатывать их, то нужно письменно заявить об этом с помощью заявления, в котором сотрудник, ссылаясь на указанный выше закон, просит прекратить обработку данных.

В п.2 ст.9 закона 152-ФЗ указано право субъекта отозвать свои личные данные. При этом обработка будет возможна только в особых случаях, когда не требуется согласие работника, данные случаи прописаны в том же законе в пунктах 2-11 ст. 6, ст.10 и 11.

Рассматриваемое заявление может составляться любым субъектом, ранее передавшем сведения о себе другому лицу. Например, работник передает личные данные работодателю при приеме на работу, субъект может передать персональные сведения в банк при совершения банковских операций.

В статье ниже приведен образец заявления на отзыв персональных данных в банк и работодателю от работника.

Как написать заявления об отзыве правильно — образец

В бланке заявления указывается отзыв ранее поданного согласия на обработку личных сведений, подаваемых в форме документов. В числе таких сведений могут быть данные о ФИО, рождении, поле, адресе, паспортных реквизитах, образовании и иные данные личного характера.

Оформляя отзыв, необходимо указать, к кому он обращен — к тому лицу, которому ранее было подано согласие на обработку, например, руководитель организации работодателя, или руководитель банка.

Далее нужно указать, от кого составляется заявление об отзыве. Если документ подается работодателю, то можно указать ограниченные сведения о себе, например, ФИО, должность. Если же заявление, отзывающее согласие на персональные данные, составляется для банка, то следует привести полные сведения о себе, которые помимо ФИО, включают также адрес регистрации и реквизиты паспорта.

Документ можно озаглавить, как «заявление об отзыве согласия на..» или просто «отзыв согласия на..».

Текст всегда составляется от первого лица — от лица заявителя, чьи персональные данные нужно отозвать. Если лицо, чьи личные данные подлежат отзыву, несовершеннолетнее или недееспособное, то заявление составляется законным представителем, это может быть любой родитель, опекун, попечитель.

В тексте дается ссылка на п.2 ст.9 Закона 152-ФЗ, где закреплено право на отзыв согласия на обработку личных данных. Также высказывается непосредственно просьба завершить обработку поданные ранее сведений персонального характера. Обычно в течение нескольких дней с момента подачи заявления обработка прекращается.

Составленный бланк заявления обязательно заверяется подписью заявителя, указывается дата оформления документа. Далее бланк передается адресату удобным способом. Лучше всего это сделать лично, так отзыв дойдет до адресата быстрее. Если личная подача не возможна, то отзыв можно направить почтой, используя при этом письмо с описью вложения и уведомлением о вручении. Уведомление будет подтверждать факт подачи отзыва.

Пример заявления об отзыве

Заявление об отзыве персональных данных в банк образец — скачать.

Отзыв согласия на обработку персональных данных образец для работодателя от работника — скачать.

Об отзыве согласия на обработку персональных данных. Налоги & бухучет, № 92, Ноябрь, 2013

Об отзыве согласия на обработку персональных данных

Письмо Министерства юстиции Украины от 26.04.2013 г. № 5543-0-33-13/6.1

 

В ответ на <…> письмо <…> об отзыве согласия на обработку персональных данных сообщаем следующее.

Пунктом 11 части второй статьи 8 Закона Украины «О защите персональных данных» (далее — Закон) предусмотрено право субъекта персональных данных отзывать согласие на обработку персональных данных.

Ввиду того, что в соответствии со статьей 11 Закона согласие является только одним из оснований обработки персональных данных, отзыв согласия возможен лишь в случае обработки персональных данных в соответствии с пунктом 1 части первой статьи 11 Закона.

Согласно статье 2 Закона согласием на обработку персональных данных является добровольное волеизъявление физического лица (при условии его осведомленности) относительно предоставления разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки, выраженное в письменной форме или в форме, позволяющей сделать вывод о его предоставлении, а владельцем персональных данных является физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных, устанавливает состав этих данных и процедуры их обработки, если иное не определено законом. Таким образом отзыв согласия на обработку персональных данных должен быть адресован лишь владельцу персональных данных.

Также необходимо отметить, что предоставление согласия на обработку персональных данных по своей правовой природе является сделкой в смысле статьи 202 Гражданского кодекса Украины. В то же время статьей 214 Гражданского кодекса Украины установлено, что отказ от сделки совершается в той же форме, в которой была совершена сделка.

Отзыв согласия возможен только в отношении будущей обработки персональных данных, но не тех данных, которые уже были обработаны. Решения и процессы, осуществленные в ходе обработки персональных данных, не могут быть аннулированы.

Однако у владельца персональных данных после получения отзыва согласия субъекта персональных данных больше не существует правовых оснований для хранения персональных данных, если сроки хранения таких данных не определены законодательством (статья 15 Закона).

Учитывая вышеизложенное, правоотношения по отзыву согласия на обработку персональных данных являются полностью урегулированными в законодательстве Украины и, следовательно, нет необходимости в разработке нового нормативно-правового акта в этой сфере, более того даже отсутствуют и правовые основания для его разработки.

Отдельно обращаем <…> внимание, что статьей 58 Конституции Украины определено, что законы и другие нормативно-правовые акты не имеют обратного действия во времени.

 

Заместитель Министра — руководитель аппарата А. Седов

Можно ли отозвать согласие на обработку персональных данных? Ознакомьтесь с мнением Минюста

 

Минюст изложил свое видение порядка отзыва согласия на обработку персональных данных. Это очень актуально, ведь он законодательно не урегулирован. Давайте же рассмотрим выводы данного письма.

Когда допускается отзыв? Чиновники напомнили, что субъект персональных данных (или, другими словами, физлицо, чьи персональные данные обрабатываются) вправе отозвать согласие на обработку своих персональных данных. Это право предоставлено ему п. 11 ч. 2 ст. 8 Закона Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI (далее — Закон № 2297). Напомним, что данный пункт появился в Законе № 2297 лишь в преддверии 2013 года (с данными изменениями вы могли ознакомиться в газете «Налоги и бухгалтерский учет», 2013, № 1-2, с. 7). При этом, до того, как это произошло, многие субъекты хозяйствования фиксировали в своих документах, что полученные ими согласия на обработку персональных данных являются безотзывными. К сожалению, эта практика встречается и сейчас. В связи с этим сообщаем: подобные действия являются незаконными. Даже если зафиксировать в форме согласия, что оно является безотзывным, таковым оно не станет. Данное условие будет недействительным (по причине его противоречия закону). А отозвать согласие физлицо сможет непосредственно на основании п. 11 ч. 2 ст. 8 Закона № 2297.

Но заметьте: сделать это получится не всегда. Минюст справедливо указал, что такой отзыв допускается только в том случае, если персональные данные обрабатывались на основании согласия соответствующего субъекта (п. 1 ч. 1 ст. 11 Закона № 2297). В остальных случаях отозвать согласие на обработку персональных данных не получится: к примеру, если они обрабатываются на основании закона или при совершении сделки.

Данный вывод порождает вопрос: как быть, если согласие на обработку персональных данных не требовалось, но все-таки было получено для подстраховки? К примеру, в рамках трудовых отношений. Напомним, что в Госслужбе по вопросам защиты персональных данных (далее — ГСЗПД) согласны с тем, что в этом случае получать согласие не нужно*. Как установлено п. 2 ч. 1 ст. 11 Закона № 2297, такие персональные данные обрабатываются на основании закона — в частности, Кодекса законов о труде Украины.

* Прочитать об этом можно на официальном сайте ГСЗПД по следующему адресу: http://zpd.gov.ua/dszpd/uk/publish/article/52224;jsessionid=30131F3DD52220FA28B3C8CFF6806C43.

Но если вы еще не забыли: в прошлом позиция чиновников по этому вопросу была противоположной. По этой причине, если перед обработкой персональных данных работников вы все же заручались их согласием, то по идее они также вправе его отозвать. Правда, никаких правовых последствий для вас это не повлечет. Во-первых, подобные действия не приведут к запрету обработки соответствующих персональных данных — ведь, как мы уже говорили, разрешение на такую обработку предоставлено законом (п. 2 ч. 1 ст. 11 Закона № 2297). Во-вторых, не придется подавать и заявление на перерегистрацию соответствующих баз, так как в настоящее время базы персональных данных работников вообще не регистрируются (ч. 2 ст. 9 Закона № 2297).

Кому адресовать отказ? В письме указано, что его нужно адресовать владельцу персональных данных (а не их распорядителю). В целом, это логично — ведь именно ему в свое время предоставлялось и согласие. Распорядитель же обрабатывает эти данные исключительно от имени владельца — причем в объеме, ограниченном договором.

Кроме того, заметьте: если согласие на обработку персональных данных было предоставлено филиалу, представительству или структурному подразделению юрлица, то отказ, судя по всему, придется также адресовать юрлицу. Это связано с тем, что указанные подразделения в понимании ст. 2 Закона № 2297 не являются владельцами персональных данных. Но напомним, что, по мнению Минюста, они могут выступать распорядителями (см. разъяснение от 21.12.2011 г.).

В какой форме совершать отзыв? Признаемся, подход чиновников в данной части нас удивил. По их мнению, предоставление согласия на обработку персональных данных является сделкой (ч. 1 ст. 202 Гражданского кодекса Украины, далее — ГКУ). Поэтому отказ от нее (в данном случае отзыв согласия на обработку персональных данных) должен совершаться в той же форме, в какой была совершена такая сделка (ч. 3 ст. 214 ГКУ).

По нашему мнению, этот подход не совсем верен. Дело в том, что ставить знак «равно» между согласием на обработку персональных данных и сделкой ошибочно. Ведь, вспомним: сделкой является действие лица, направленное на приобретение, изменение или прекращение гражданских прав и обязанностей. В свою очередь, в рассматриваемом случае этого не происходит*.

* Конечно, при предоставлении согласия на обработку персональных данных затрагиваются личные неимущественные права физлица. Но заметьте: речь ведь не идет об их приобретении, изменении или прекращении.

Более логично руководствоваться следующим подходом. Никто не будет спорить с тем, что правовая природа согласия и отзыва идентична (разве что направлены они в противоположные стороны). При этом напомним, что согласие может быть предоставлено как в письменной форме, так и в любой другой форме, позволяющей сделать вывод о его предоставлении (ст. 2 Закона № 2297). В связи с этим считаем: поскольку какие-либо другие требования отсутствуют, при отзыве стоит ориентироваться на это же правило. Причем независимо от того, в какой форме предоставлялось согласие.

Отзыв действует на будущее. Здесь все логично. Минюст указал, что отзыв согласия возможен лишь в отношении будущей обработки персональных данных. В свою очередь, на данные, которые были уже обработаны, такой отзыв не распространяется. Так что решения и процессы, которые уже осуществлены при обработке персональных данных, не могут быть аннулированы.

Судьба персональных данных после отзыва. Чиновники сообщили, что после отзыва согласия основания на обработку персональных данных исчезают. От себя же добавим: данная информация должна быть уничтожена. Свидетельством чему служит п. 1 ч. 2 ст. 15 Закона № 2297. Причем обратите внимание на несколько нюансов.

Во-первых, уничтожать персональные данные нужно таким образом, чтобы исключить возможность их дальнейшего восстановления.

Во-вторых, уничтожать подобные сведения придется не всегда. Если законодательство устанавливает более длительный срок их хранения, то ориентироваться нужно в первую очередь на него. Судя по выводам Минюста, даже в том случае, если персональные данные обрабатывались на основании согласия.

В качестве итога к данному комментарию напомним: с 1 января в законодательстве о защите персональных данных «заработают» масштабные изменения. В частности, на смену ГСЗПД придет уполномоченный ВРУ по правам человека, а процедура регистрации баз персональных данных будет заменена уведомлением (читайте об этом в газете «Налоги и бухгалтерский учет», 2013, № 62, с. 17). В то же время в основаниях для обработки персональных данных существенных перемен не предвидится. Это же касается получения согласия на обработку и его отзыва.

 

Виталий Смердов

Согласие | ICO

Кратко

• GDPR Великобритании устанавливает высокие стандарты согласия. Но зачастую согласие не требуется. Если согласие затруднено, ищите другое законное основание.
• Согласие означает предоставление людям реального выбора и контроля. Подлинное согласие должно возлагать ответственность на людей, укреплять доверие и вовлеченность, а также повышать вашу репутацию.
• Проверьте свои методы получения согласия и существующие согласия. Обновите свое согласие, если оно не соответствует стандарту GDPR Великобритании.
• Согласие требует положительного согласия. Не используйте предварительно отмеченные флажки или какие-либо другие методы согласия по умолчанию.
• Явное согласие требует очень четкого и конкретного заявления о согласии.
• Храните запросы на согласие отдельно от других положений и условий.
• Будьте конкретны и «детализированы», чтобы вы получали отдельное согласие на отдельные вещи. Расплывчатого или полного согласия недостаточно.
• Будьте ясны и кратки.
• Назовите любых сторонних контроллеров, которые будут полагаться на согласие.
• Упростите людям отзыв согласия и расскажите им, как это сделать.
• Храните доказательства согласия – кто, когда, как и что вы рассказывали людям.
• Следите за согласием и обновляйте его, если что-то изменится.
• Избегайте согласия на обработку предварительного условия услуги.
• Государственные органы и работодатели должны будут проявить особую осторожность, чтобы продемонстрировать, что согласие дается свободно, и должны избегать чрезмерной зависимости от согласия.

Контрольные списки

Запрос согласия

☐ Мы проверили, что согласие является наиболее подходящим законным основанием для обработки.

☐ Мы сделали запрос о согласии заметным и отдельным от наших условий.

☐ Мы просим людей дать положительный ответ.

☐ Мы не используем предварительно отмеченные флажки или какие-либо другие формы согласия по умолчанию.

☐ Мы используем ясный, простой язык, который легко понять.

☐ Мы указываем, зачем нам нужны данные и что мы собираемся с ними делать.

☐ Мы предоставляем отдельные отдельные («гранулярные») варианты для раздельного согласия на разные цели и типы обработки.

☐ Мы указываем нашу организацию и всех сторонних контролеров, которые будут полагаться на согласие.

☐ Мы говорим людям, что они могут отозвать свое согласие.

☐ Мы гарантируем, что люди могут отказать в согласии без ущерба.

☐ Мы не делаем согласие предварительным условием оказания услуги.

☐ Если мы предлагаем онлайн-услуги непосредственно детям, мы запрашиваем согласие только в том случае, если у нас есть меры по проверке возраста (и меры согласия родителей для детей младшего возраста).

Согласие на запись

☐ Мы ведем учет того, когда и как мы получили согласие от лица.

☐ Мы ведем запись именно того, что им сказали в то время.

Управляющее согласие

☐ Мы регулярно проверяем согласия, чтобы убедиться, что отношения, обработка и цели не изменились.

☐ У нас есть процессы обновления согласия через определенные промежутки времени, включая любое согласие родителей.

☐ Мы считаем целесообразным использование панелей мониторинга конфиденциальности или других инструментов управления предпочтениями.

☐ Мы упрощаем физическим лицам отзыв согласия в любое время и рассказываем, как это сделать.

☐ В случае отзыва согласия мы принимаем меры в кратчайшие сроки.

☐ Мы не наказываем лиц, желающих отозвать согласие.

Вкратце

Почему важно согласие?

GDPR Великобритании устанавливает высокий стандарт согласия, который должен быть недвусмысленным и включать четкие позитивные действия (согласие).

Он специально запрещает предварительно отмеченные поля согласия.Это также требует отдельных («детализированных») вариантов согласия для отдельных операций обработки. Согласие должно быть отдельным от других положений и условий и, как правило, не должно быть предварительным условием для подписки на службу.

Вы должны вести четкие записи, чтобы продемонстрировать согласие.

GDPR Великобритании дает особое право отозвать согласие. Вам необходимо рассказать людям об их праве на отзыв и предложить простые способы отзыва согласия в любое время.

Государственным органам, работодателям и другим организациям, наделенным властью, может быть труднее продемонстрировать действительное свободно данное согласие.

Вам необходимо просмотреть существующие согласия и механизмы вашего согласия, чтобы убедиться, что они соответствуют стандарту GDPR Великобритании. Если они это сделают, нет необходимости получать новое согласие.

Согласие является одним из законных оснований для обработки, и явное согласие также может узаконить использование данных специальной категории. Согласие также может иметь значение, когда физическое лицо реализовало свое право на ограничение, а явное согласие может узаконить автоматизированное принятие решений и передачу данных за границу.

Подлинное согласие должно держать людей под контролем, укреплять доверие и вовлеченность, а также повышать вашу репутацию.

Использование ненадлежащего или недействительного согласия может подорвать доверие и нанести вред вашей репутации и привести к большим штрафам.

Когда уместно согласие?

Согласие является одним из законных оснований для обработки, но есть альтернативы. Согласие по своей сути не лучше и не важнее этих альтернатив. Если согласие затруднено, вам следует подумать об использовании альтернативы.

Согласие уместно, если вы можете предложить людям реальный выбор и контроль над тем, как вы используете их данные, и хотите укрепить их доверие и заинтересованность.Но если вы не можете предложить настоящий выбор, согласие неуместно. Если вы по-прежнему обрабатываете личные данные без согласия, запрос согласия вводит в заблуждение и по своей сути несправедлив.

Если вы сделаете согласие предварительным условием оказания услуги, вряд ли это будет наиболее подходящим законным основанием.

Государственные органы, работодатели и другие организации, обладающие властью над людьми, не должны полагаться на согласие, если они не уверены, что могут продемонстрировать, что оно дается свободно.

Что такое действительное согласие?

Согласие должно быть дано свободно; это означает предоставление людям постоянного выбора и контроля над тем, как вы используете их данные.

Согласие должно быть очевидным и требовать положительных действий для выбора. Запросы на согласие должны быть заметными, не связанными с другими условиями, краткими, легкими для понимания и удобными для пользователя.

Согласие должно конкретно охватывать имя контролера, цели обработки и типы обработки.

Явное согласие должно быть прямо подтверждено словами, а не какими-либо другими позитивными действиями.

Срок действия согласия не установлен. Как долго это продлится, будет зависеть от контекста. При необходимости вы должны просмотреть и обновить согласие.

Как мы должны получать, записывать и обрабатывать согласие?

Сделайте свой запрос о согласии заметным, кратким, отдельным от других положений и условий и легким для понимания. Включают:

• название вашей организации;
• имя любых сторонних контроллеров, которые будут полагаться на согласие;
• зачем вам данные;
• что ты будешь с ним делать; и
• , что физические лица могут отозвать согласие в любое время.

Вы должны попросить людей активно включиться. Не используйте предварительно отмеченные флажки, поля отказа или другие настройки по умолчанию. По возможности предоставляйте отдельные («гранулярные») варианты согласия на разные цели и разные типы обработки.

Вести записи для подтверждения согласия – кто дал согласие, когда, как и что им было сказано.

Сделайте так, чтобы люди могли отозвать согласие в любое время по их выбору. Рассмотрите возможность использования инструментов управления предпочтениями.

Постоянно проверяйте согласие и обновляйте его, если что-то изменится.Встраивайте регулярные проверки согласия в свои бизнес-процессы.

Подробнее – Руководство ICO

Мы подготовили более подробное руководство по согласию.

Мы разработали интерактивный инструмент руководства, чтобы дать индивидуальное руководство, на основании которого законная основа может быть наиболее подходящей для вашей деятельности по обработке.

Подробнее – Европейский совет по защите данных

Европейский совет по защите данных (EDPB), который заменил Рабочую группу по статье 29 (WP29), включает представителей органов по защите данных каждого государства-члена ЕС.Он принимает рекомендации по соблюдению требований версии GDPR для ЕС.

WP29 приняла Руководство по согласию, которое было одобрено EDPB.

Рекомендации

EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании. Однако они могут по-прежнему давать полезные советы по определенным вопросам.

Заявление о конфиденциальности данных участника

– Genuity Science

Последнее обновление 10 августа 2021 г.

Код документа: LDP-FRM-002 Версия 3.0

Примечание. Для всех Персональных данных ЕС / ЕЭЗ, собираемых Genuity Science, ссылка на «Genuity Science» ниже означает Genuity Science (Ireland) Limited. Genuity Science (Ireland) Limited является контролером всех Персональных данных, собираемых Genuity Science (Ireland) Limited и / или ее аффилированными лицами в ЕС / ЕЭЗ.

Эта информация разделена на следующие 5 разделов

• Раздел A: Сбор и использование ваших данных
• Раздел B: Защита ваших данных
• Раздел C: Хранение ваших данных
• Раздел D: Ваши права в соответствии с законами о защите данных
• Раздел E: Запросы / Жалобы

Раздел A: Сбор и использование ваших данных

КАКИЕ ДАННЫЕ СОБИРАЕТ GENUITY SCIENCE?

Когда вы добровольно принимаете участие в одном из наших исследований, с вашего согласия исследовательская группа собирает следующие данные:

• информацию о здоровье и образе жизни.
• для некоторых исследований изучите специальные оценки, такие как спирометрия; физические измерения, такие как рост, вес и артериальное давление; и
• , если у вас есть заболевание, ваша медицинская бригада с вашего разрешения предоставит нам информацию из ваших медицинских записей.

Из вашей медицинской документации будет взята только информация, необходимая для решения вопроса исследования.

Данные, которые мы собираем, никогда не будут включать ваше имя, адрес, дату рождения или другую информацию, которая напрямую идентифицирует вас.

Во время наших исследований мы также возьмем у вас биологический образец, например кровь или слюну. В некоторых исследованиях мы также можем запросить доступ к небольшой части образца ткани, который был ранее получен от вас. Мы используем такие методы, как полногеномное секвенирование, при котором считывается каждая буква вашей ДНК (т.е. ваши «геномные инструкции»), чтобы мы могли считывать ваши геномные данные из этих биологических образцов.

ПОЧЕМУ GENUITY SCIENCE СОБИРАЕТ ВАШИ ДАННЫЕ?

Genuity Science собирает ваши данные, чтобы попытаться выявить сходства между различными заболеваниями, чтобы максимизировать открытия, которые могут привести к открытиям лекарств и более эффективному использованию существующих лекарств.

Мы объединяем ваши данные с данными тысяч других участников (с похожими заболеваниями и без каких-либо заболеваний) в нашей базе данных, чтобы изучить сходства и различия в данных и их отношение к здоровью. Затем исследователи ищут закономерности, которые могут дать подсказки о причинах состояния здоровья, или закономерности, которые могут помочь нам лучше понять состояние или найти новый способ его лечения.

ПОЛУЧИТЕ ЛИ ВЫ ОТЗЫВЫ ОТ GENUITY SCIENCE ПО ВАШИМ ДАННЫМ?

За исключением нашей Программы редких заболеваний, все участники присоединяются к исследованиям Genuity Science с четким пониманием (как описано в информационном буклете для пациентов и форме согласия), что не будет никакой обратной связи по какой-либо индивидуальной информации, которая может быть обнаружена о вас от используя ваши данные.

Вы имеете право на получение копии любой части или всех ваших персональных данных, обрабатываемых Genuity Science, по запросу, которые будут предоставлены вам в соответствии с законами о защите данных.

Чтобы запросить доступ к своим данным, вам необходимо связаться с исследовательским центром / клиникой, где вы подписались на наше исследование, поскольку Genuity Science не знает вашу личность.

Раздел B: Защита ваших данных

КТО КОНТРОЛЛЕР ВАШИМИ ДАННЫМИ?

Genuity Science является контролером всех обезличенных или закодированных (псевдонимизированных) медицинских данных о здоровье, образе жизни и геномных данных («Закодированные данные»), собранных в рамках наших исследований.

Учреждение, в котором вы участвовали в исследовании, является контролером данных любой личной информации, относящейся к участникам исследования, которая остается в исследовательском центре, и учреждение продолжает оставаться контролером данных всех медицинских файлов.

КТО МОЖЕТ ДОСТУПИТЬ К ВАШИМ ДАННЫМ?

Genuity Science контролирует весь доступ к базе данных Genuity Science, в которой хранятся ваши закодированные данные. Исследователи Genuity Science, коммерческие партнеры Genuity Science (например, фармацевтические или биотехнологические компании) и авторизованные партнеры по исследованиям могут получить доступ к вашим закодированным данным для коммерческих и академических исследовательских проектов.

За исключением Genuity Science, только наши коммерческие партнеры и авторизованные исследовательские группы могут получить доступ к данным исследования следующим образом:

• Genuity Science может предоставить вашему доктору-исследователю и университетам, с которыми он связан, копию вашего документа. закодированные данные о здоровье и образе жизни для использования в собственных учебных и исследовательских целях.
• Вы можете согласиться разрешить Genuity Science также предоставить копию ваших геномных данных вашему доктору-исследователю.
• Эти группы могут использовать ваши данные только таким образом, который согласуется с основанием, на котором вы согласились принять участие в исследовании Genuity Science, как описано в Информационном буклете для пациентов и Форме информированного согласия, которые будут предоставлены вам перед тем, как вы примете участие в исследовании. участие в исследовании.Для любого другого использования потребуется ваше отдельное согласие.
• Прежде чем коммерческие партнеры Genuity Science или уполномоченные исследовательские группы смогут получить доступ к избранным наборам данных из данных исследования, Genuity Science заключает юридические соглашения с этими третьими сторонами, которые строго контролируют их деятельность и запрещают им попытки повторно идентифицировать участников. Эти группы могут получить доступ только к выбранным наборам данных, содержащим только обезличенную информацию, необходимую для их конкретного и утвержденного исследования.У них нет доступа к вашему имени, дате рождения или другим подобным идентификаторам, которые позволили бы любому, имеющему доступ к набору данных, установить вашу личность. Они никогда не смогут загрузить ваши личные данные из Genuity Science.

КАК GENUITY SCIENCE ОБЕСПЕЧИВАЕТ БЕЗОПАСНОСТЬ ВАШИХ ДАННЫХ?

Обеспечение безопасности ваших данных является приоритетом Genuity Science. Всем образцам и информации об исследовании присваиваются случайные идентификационные номера исследования в клинике / исследовательском центре в процессе, называемом псевдонимизацией.Этот процесс используется для маскировки вашей личности и кодирования ваших данных.

У нас есть надежный уровень технических и организационных мер для защиты ваших данных от незаконного или несанкционированного уничтожения, потери, изменения, раскрытия, приобретения или доступа. Мы гарантируем, что все личные данные, контролируемые нами, надежно хранятся в Европе с использованием самых высоких мер безопасности.

Только ваш врач, их исследовательская группа или исследовательский персонал Genuity Science в исследовательском центре имеют доступ к непосредственно идентифицируемым личным данным, таким как ваше имя и дата рождения.Они хранят эту информацию, чтобы облегчить запрос о выходе из исследования.

В Genuity Science мы никогда не получаем никаких прямо идентифицируемых личных данных, таких как ваше имя, дата рождения или адрес. Все ваши данные в базе данных Genuity Science обезличены и закодированы. Мониторы исследования Genuity Science связываются с вашим врачом и исследовательской группой на месте исследования, чтобы убедиться, что исследование проводится правильно, соблюдая утвержденные организацией этические условия и обеспечивая правильное согласие.Мониторы исследования никогда не удаляют какие-либо идентифицируемые данные, такие как ваше имя и дата рождения, из исследовательской клиники / места исследования.

Наши коммерческие партнеры и утвержденные исследователи имеют ограниченный доступ только к избранным обезличенным наборам данных, которые содержат только ту информацию, которая им необходима для их конкретного и утвержденного исследования. Кроме того, ваши данные могут быть прочитаны или проанализированы этими исследователями только при выполнении юридического соглашения. Этим исследователям запрещено пытаться идентифицировать отдельного участника по данным в базе данных.

БУДУТ ПЕРЕДАЧИ ВАШИ ДАННЫЕ ЗА ПРЕДЕЛАМИ ЕВРОПЕЙСКОГО ЭКОНОМИЧЕСКОГО ЗОНА (ЕЭЗ)?

Некоторые из наших коммерческих партнеров и уполномоченных исследовательских групп могут находиться за пределами ЕЭЗ. Эти утвержденные третьи стороны могут удаленно получать доступ и читать избранные обезличенные наборы данных для решения конкретного вопроса исследования, но никогда не загружают какие-либо данные. Это называется передачей данных, даже если на самом деле никакие данные не перемещаются за пределы нашей базы данных.

У нас есть технические и организационные меры для защиты ваших личных обезличенных данных и обеспечения их передачи в соответствии с требованиями закона о защите данных ЕС.Это может включать использование соглашений о передаче данных в форме, одобренной Европейской комиссией (известные как стандартные договорные положения), или использование других механизмов, признанных законами ЕС о защите данных как обеспечивающие защиту личных данных, передаваемых за пределы ЕЭЗ.

Мы не разрешаем доступ к каким-либо данным в маркетинговых или страховых целях.

Раздел C: Совместное использование ваших данных

Как долго GENUITY SCIENCE ХРАНИТ ВАШИ ДАННЫЕ?

По мере развития науки мы продолжим анализировать данные в нашей базе данных в течение многих лет.По этой причине ваши медицинские данные, данные об образе жизни и биологические данные, полученные в ходе исследования, будут сохранены на время научного исследования в соответствии с соответствующими законами о защите данных в Ирландии и Европейском союзе ( «ЕС» ), включая Общий регламент по защите данных (« GDPR »), вместе именуемый в этой брошюре « Ирландский Закон о защите данных ». Эти данные будут обрабатываться только для целей, указанных в информационном буклете для пациента, который вы получите на сайте исследования.

НА КАКУЮ «ПРАВОВУЮ ОСНОВУ» ЗАКОНОВ ЕС О ЗАЩИТЕ ДАННЫХ НАУКА GENUITY НАУКА ИСПОЛЬЗУЕТ СБОР И ИСПОЛЬЗОВАНИЕ ВАШИХ ДАННЫХ?

В соответствии с ирландскими законами о защите данных, мы будем обрабатывать, хранить и использовать ваши данные только в соответствии с основанием, на котором вы присоединились к исследованию Genuity Science, как описано в информационных материалах и форме согласия, которую вы получаете по адресу сайт исследования.

Поскольку информация или данные, которые Genuity Science собирает для этого исследования, относятся к вашему здоровью, в соответствии с ирландским законодательством о защите данных они известны как «конфиденциальные личные данные».В соответствии с ирландскими законами о защите данных ваше явное согласие является законным основанием, на котором Genuity Science будет обрабатывать ваши персональные данные в первую очередь.

В случае, если вы воспользуетесь своим правом отозвать свое согласие на участие в этом исследовании, Genuity Science может потребоваться продолжить обработку ваших данных на основе законных интересов Genuity Science (и ее коммерческих и академических партнеров по исследованиям) с целью научных исследований, так как удаление ваших данных серьезно ухудшит цель исследования.Дополнительная информация о вашем праве на отказ изложена в разделе «Что происходит с вашими данными, если вы отказываетесь от участия в исследовании»?

Что произойдет с вашими данными, если вы откажетесь от участия в исследовании?

Вы можете отказаться от участия в исследовании Genuity Science в любое время. Вам нужно будет связаться с клиникой, в которой вы подписались на исследование, чтобы воспользоваться своим правом на отказ, поскольку Genuity Science не знает вашу личность и не может сопоставить ваше имя с закодированными данными, которые хранятся Genuity Science.Однако имейте в виду, что время выхода из исследования Genuity Science и то, были ли ваши данные включены в «замораживание данных», будут влиять на то, нужно ли Genuity Science продолжать обрабатывать ваши данные.

«Замораживание данных» означает, что все данные, собранные до определенного момента времени, фактически «замораживаются», чтобы создать фиксированную точку отсчета для нашего исследования. Каждый раз, когда Genuity Science выполняет новое замораживание данных, предыдущие архивируются.

В случае вашего запроса на отзыв вашего согласия, ваша форма информированного согласия будет храниться в клинике для юридических, нормативных и аудиторских целей.

Отказ до того, как ваши данные будут включены в замораживание данных:

• Если вы отправите запрос на выход из этого исследования до того, как ваши данные будут включены в замораживание данных, Genuity Science незамедлительно удалит любые ваши данные, хранящиеся в Genuity. Науки и уничтожьте свой биологический образец, чтобы его больше нельзя было использовать.

Отказ после того, как ваши данные были включены в замораживание данных:

• Если вы отправите запрос на отказ от этого исследования после того, как ваши данные были включены в замораживание данных, Genuity Science незамедлительно уничтожит ваш биологический образец, чтобы его больше нельзя использовать, но, хотя ваши данные не могут быть удалены из каких-либо замораживаний данных, в которые они уже были включены, они не будут включены в какие-либо будущие замораживания данных.После выполнения следующего замораживания данных предыдущее замораживание данных архивируется.
• Genuity Science также незамедлительно уничтожит ссылку или код, связывающий ваши закодированные данные, хранящиеся в Genuity Science, с вашим именем, адресом и датой рождения, указанными вашим доктором-исследователем. Это означает, что ваши закодированные данные, хранящиеся в Genuity Science, больше не могут быть декодированы.
• Ваши данные не могут быть изъяты из опубликованных результатов или выводов

Раздел D: Ваши права в соответствии с ирландским законодательством о защите данных

КАКОВЫ ВАШИ ПРАВА В соответствии с ирландским законодательством о защите данных?

Право на отказ:

Вы можете отказаться от участия в исследовании Genuity Science в любое время.Вам нужно будет связаться с клиникой, в которой вы подписались на исследование, чтобы воспользоваться своим правом на отказ, поскольку Genuity Science не знает вашу личность и не может сопоставить ваше имя с закодированными данными, которые хранятся Genuity Science. См. Раздел «Что произойдет с вашими данными, если вы откажетесь от участия в исследовании?» выше для более подробной информации.

Другие права субъектов данных:

Все ваши права на управление обработкой ваших персональных данных в соответствии с ирландским законодательством о защите данных могут быть реализованы в любое время, связавшись с исследовательской клиникой, в которой вы подписались на исследование Genuity Science.Поскольку Genuity Science не знает вашу личность и не может соотнести ваше имя с вашими закодированными данными, клиника свяжется с сотрудником по защите данных Genuity Science («DPO») от вашего имени, чтобы обеспечить постоянную защиту вашей личности и права на конфиденциальность.

Ваши права в соответствии с ирландскими законами о защите данных на ограничение и управление обработкой ваших личных данных Genuity Science в контексте этого исследования осуществляются, прежде всего, благодаря вашей способности отказаться от участия в этом исследовании, как указано в разделе ЧТО ПРОИСХОДИТ С ВАШИМИ ДАННЫМИ, ЕСЛИ ВЫ ВЫКЛЮЧАЕТЕ ИЗ ИССЛЕДОВАНИЯ?

После того, как ваши закодированные данные были включены в базу данных Genuity Science, право на забвение больше не применяется, если удаление закодированных данных сделало бы невозможным или серьезно затруднило бы научные исследования.Однако, как и в процессе вывода, если вы воспользуетесь своим правом на забвение до того, как ваши данные будут введены в систему замораживания данных, все ваши личные данные и образцы будут удалены или уничтожены. Ваша форма информированного согласия будет сохранена для юридических, нормативных и аудиторских целей.

Если ваши персональные данные обрабатываются на основе законных интересов Genuity Science (и ее партнеров по коммерческим и академическим исследованиям), вы имеете право в любое время возразить против такой обработки.Ваше право возражать против обработки ваших персональных данных будет оцениваться DPO Genuity Science в индивидуальном порядке в соответствии с ирландскими законами о защите данных с учетом ваших личных обстоятельств и таких факторов, как достоверность научного исследования.

Вы имеете право на получение копии любой части или всех ваших персональных данных, обрабатываемых Genuity Science, по запросу, которые будут предоставлены вам в соответствии с ирландскими законами о защите данных.

По причинам, указанным выше, чтобы запросить копию или исправить ошибки в ваших личных данных, вам нужно будет связаться с клиникой, в которой вы подписались на наше исследование, которая свяжется с Genuity Science от вашего имени.

Обработка Genuity Science включает профилирование собираемых данных. Genuity Science использует профилирование для анализа влияния образа жизни человека на здоровье и применяет этот анализ ко всем собираемым данным. Однако Genuity Science не принимает никаких автоматизированных решений на основе этого профилирования.

Все участники соглашаются присоединиться к исследованиям Genuity Science при четком понимании того, что никакой информации, которая была обнаружена о вас в результате использования или анализа ваших личных данных, не будет.

Раздел E: Запросы / жалобы

ЧТО ДЕЛАТЬ, ЕСЛИ У ВАС ЕСТЬ ЗАПРОС ИЛИ ЖАЛОБА НА КАК МЫ СОБИРАЕМ И ИСПОЛЬЗУЕМ ВАШИ ДАННЫЕ?

Свяжитесь с нашим специалистом по защите данных (DPO) с любыми вопросами или проблемами, касающимися подхода Genuity Science к защите данных, которые могут у вас возникнуть. Пожалуйста, напишите DPO, используя адрес электронной почты: [email protected] или по почте: FAO The Data Protection Officer, Genuity Science, Building 4, Cherrywood Business Park Dublin D18 K7W4.

Участники наших исследований имеют право связаться с органом по защите данных Ирландии, Комиссией по защите данных (DPC), если у вас есть какие-либо сомнения по поводу использования Genuity Science личных данных и / или подхода Genuity Science к защите данных.

ЧТО ЕСЛИ GENUITY SCIENCE ВНЕСЕТ ИЗМЕНЕНИЯ В ДАННОЕ ЗАЯВЛЕНИЕ О КОНФИДЕНЦИАЛЬНОСТИ?

Это Заявление о конфиденциальности может время от времени изменяться. Мы храним предыдущие версии наших Заявлений о конфиденциальности в архиве, и они доступны по запросу.

GDPR и исключение для исследований: соображения относительно необходимых мер безопасности для исследовательских биобанков

Хотя GDPR предоставляет ряд прав субъектам данных (и одновременно отнимает их для исследовательских целей), другие инструменты сосредоточены на гарантии, которые должны быть на месте для данных участников исследования. Два исключения – это право на информацию и право доступа.

Право на информацию

Требования к информации в проверенных инструментах обычно связаны с требованиями согласия.Все инструменты, за исключением Руководящих принципов ОЭСР 2007 г., содержат требования в отношении согласия. Из рассмотренных инструментов ясно, что предпочтение отдается конкретному, информированному и письменному согласию, где это возможно. Информация требуется во всех руководствах и должна быть предоставлена ​​простым языком.

Все юридически обязательные инструменты указывают на важность информированного согласия, но не обязательно устанавливают его как обязательное предварительное условие для вторичного исследования. Кроме того, GDPR предоставляет возможность электронного онлайн-согласия в качестве жизнеспособного варианта при условии, что согласие является четким и кратким (Recital 32).В соответствии с GDPR субъект данных должен быть проинформирован (среди прочего) о личности и контактных данных контроллера данных, сотрудника по защите данных, целей, для которых данные будут обрабатываться, получателей данных, продолжительности хранения. и право отозвать согласие, если согласие является законным основанием для обработки (статья 13). Рекомендация Совета Европы 2016 года требует, чтобы участники были проинформированы об условиях, применимых к хранению материалов, включая правила доступа и возможной передачи, а также любые соответствующие условия, регулирующие использование материалов, включая повторный контакт и обратную связь (статья 10).Конвенция Совета Европы 2018 года обязывает субъектов данных сообщать правовую основу и цели предполагаемой обработки, категории обрабатываемых персональных данных, получателей или категории получателей персональных данных, а также их права как субъектов данных (статья 8).

Выдающееся руководство исходит от Всемирной медицинской ассоциации (WMA), которая исторически была одной из первых организаций, разработавших этические правила для исследований. Его инструменты устанавливают профессиональные стандарты для врачей и играют важную роль в регулировании исследований в области здравоохранения во всем мире.Хельсинкская декларация требует, чтобы участники были проинформированы о целях исследования, методах, источниках финансирования, любом возможном конфликте интересов, преимуществах и рисках, институциональной принадлежности исследователей и любой другой соответствующей информации (Принцип 26). Тайбейская декларация WMA направлена ​​на регулирование баз данных о здоровье и биобанков и предоставляет более подробную информацию о требованиях к согласию: участники должны быть проинформированы о цели, рисках и трудностях, хранении и использовании данных и материалов, характере данных или материала. подлежащие сбору, процедуры возврата результатов, включая случайные выводы, правила доступа к базе данных здравоохранения или биобанку, защиту конфиденциальности, механизмы управления, процедуры информирования участников о влиянии анонимности данных, их основных правах и гарантии, установленные в Декларации, и, когда это применимо, коммерческое использование и совместное использование выгод, вопросы интеллектуальной собственности и передача данных или материалов другим учреждениям или третьим странам (статья 12).

С этим обширным правом на информацию связаны положения о праве отзыва согласия и обязанности информировать субъектов данных об этом праве. В статье 7 (3) GDPR говорится, что субъекты данных могут отозвать свое согласие в любое время и что «отозвать согласие должно быть так же легко, как и дать согласие». В Декларации ЮНЕСКО о биоэтике (статья 6 (1)), Тайбэйской декларации (статья 15) и Рекомендации ОЭСР 2017 г. (статья 5 (2)) говорится, что должны существовать процедуры, позволяющие отозвать согласие.CIOMS заявляет, что участники должны быть проинформированы об их праве отозвать свое согласие, должны быть введены процедуры, любой отзыв должен быть оформлен в письменном виде, а дальнейшее использование данных после этого отзыва не разрешается.

Большинство инструментов признают ограничения на отзыв согласия. В Руководстве ОЭСР 2009 г. указано, что во время получения согласия участники должны быть проинформированы об ограничениях отзыва согласия (Принцип 4.G), как и Рекомендация Совета Европы 2016 г. (Статья 13).В частности, это может быть сделано только для идентифицированных генетических данных (Декларация ЮНЕСКО о генетических данных, Рекомендация Совета Европы 2016 г.). Неясно, выходят ли эти ограничения за рамки практического ограничения невозможности удаления анонимных данных. Таким образом, отзыв согласия считается важным как в юридически обязательных, так и в других документах, где законная обработка данных основана на согласии, но ограничения на этот отзыв признаются. В документах, имеющих убедительную ценность, указывается, что участникам следует сообщить об ограничениях на отзыв согласия.

Право на доступ

GDPR, Рекомендация Совета Европы 2018 г., Тайбэйская декларация, Конвенция Овьедо, Декларация ЮНЕСКО о генетических данных и Рекомендация Совета Европы обсуждают право человека на доступ к своим данным, но есть тонкие различия. В соответствии с GDPR субъект данных имеет право на доступ к информации о своих персональных данных, включая подтверждение того, обрабатывает ли контроллер данных их персональные данные и цель, других получателей их персональных данных, в том числе в третьи страны (и действующие меры предосторожности. ), где контроллер данных получил данные, когда данные не были собраны от субъекта данных, и ожидаемый период хранения или критерии для определения срока хранения (статья 15).Статья 15 (3) также дает субъекту данных право на доступ к копии обрабатываемых личных данных. Конвенция Овьедо гласит, что люди «имеют право знать любую собранную информацию о своем здоровье» (статья 10 (2)).

Тайбэйская декларация WMA предусматривает, что люди имеют право запрашивать и получать информацию о своих данных, а также требует, чтобы базы данных здравоохранения принимали меры, чтобы они могли информировать людей о своей деятельности (статья 14).

В Руководстве ОЭСР от 2017 г. говорится, что людям должна быть предоставлена ​​«информация об обработке их личных медицинских данных, включая возможный законный доступ третьих сторон, основные цели обработки, преимущества обработки». Совет Европы также указывает, что управление данными и их использование должны быть доступны «заинтересованным лицам», но это относится к сбору данных в целом, а не к отдельным данным (статья 6 (7)).В Декларации ЮНЕСКО 2006 года говорится, что никому не должно быть отказано в доступе к своим данным «за исключением случаев, когда национальное законодательство ограничивает такой доступ в интересах общественного здравоохранения, общественного порядка или национальной безопасности» (статья 13).

Есть ограничения на это право доступа. GDPR заявляет, что право на доступ не применяется, когда данные являются анонимными, а право на доступ действительно подпадает под одно из возможных национальных отступлений в соответствии со статьей 89 (2). Конвенция Овьедо просто заявляет, что право доступа может быть ограничено в «исключительных» случаях без каких-либо дополнительных разъяснений.В Декларации ЮНЕСКО о генетических данных также говорится, что право на доступ не применяется, когда данные являются анонимными, и что право на доступ может быть ограничено законом в «интересах общественного здравоохранения, общественного порядка или национальной безопасности» (статья 13). .

Некоторые инструменты также касаются обратной связи с участниками, в отличие от доступа к данным. Как правило, там, где это обсуждается, требуется политика обратной связи, но не обязательно, чтобы обратная связь имела место. Обсуждение отзывов о результатах ограничено необязательными документами.В Руководстве OCED 2009 обсуждается «обратная связь» с участниками. Он не требует обратной связи с участниками, только наличие действующей политики (Принцип 4.9) и результатов, по которым может быть получена обратная связь (Принцип 4.14). В аннотациях к Руководству указывается, что участникам должна быть предоставлена ​​информация о типе исследования, которое может проводиться с данными, будут ли они использоваться для коммерческих исследований и будут ли они переданы за границу. В Рекомендации Совета Европы от 2016 г. также указывается, что должна существовать политика в отношении обратной связи с выводами и важности консультирования (статья 17).

Право на исправление и право на удаление

GDPR – единственный, кто обсуждает право на исправление и право на удаление. Ни в одном из других рассмотренных инструментов эти права не обсуждались. Право на удаление может быть связано с правом на отказ от участия в исследовании, поскольку отказ от участия в любом исследовании может включать стирание данных участников, но любое признанное право на удаление будет шире, чем право на отказ. Право на отзыв, возможно, ограничено текущими и будущими исследованиями, тогда как право на удаление будет включать удаление из будущих, текущих и прошлых исследований, включая потенциально опубликованные исследования.

Право на переносимость данных и право на возражение

Статья 20 GDPR дает субъектам данных право переносить свои данные от одного контроллера данных к другому. Рекомендация ОЭСР 2017 года – единственный другой рассмотренный нормативный акт, который предусматривает, что субъектам данных должно быть разрешено запрашивать совместное использование их данных в целях, связанных со здоровьем, и, если это будет отклонено, им должно быть предоставлено правовое основание для такого решения (Раздел 5 (ii) (a) и (b)).

Статья 21 GDPR предоставляет субъектам данных право возражать против обработки их персональных данных, в том числе в исследовательских целях.Еще раз, Рекомендация ОЭСР 2017 года – единственное рассмотренное постановление, которое гласит, что, если согласие не является законным основанием для обработки, люди должны иметь возможность возражать против обработки своей личной информации. Если это не может быть выполнено, им должна быть предоставлена ​​соответствующая правовая основа для принятия решения (Раздел 5 (ii) (a) и (b)).

Меры предосторожности для защиты субъектов данных

Статья 89 (1) GDPR гласит, что меры безопасности «должны обеспечивать наличие технических и организационных мер, в частности, для обеспечения соблюдения принципа минимизации данных».Эти меры «могут включать псевдонимизацию», но не дают никакого представления о том, чем они могут быть.

Если посмотреть на рассмотренные инструменты, то важность четких процедур управления (и, как следствие, прозрачности) имеет важное значение для надзора за использованием и повторным использованием данных. Это особенно важно, когда субъект данных не дал конкретного согласия на использование данных. Это может быть в порядке, предусмотренном законом, требованием институционального надзора, которое может включать одобрение комитета по этике или каким-либо другим органом, требование гарантий или их сочетание.Как показано в Таблице 4, в инструментах обсуждаются три уровня надзора или защиты: законодательная база, институциональный надзор, который включает независимую этическую проверку и обеспечивает другие гарантии.

Таблица 4 Управление, необходимое для вторичного использования

Что делать, если вы получили «Отзыв согласия» в соответствии с GDPR

GDPR (Общий регламент по защите данных) – сложный зверь, из которого, кажется, существует бесконечный запас информации в Интернете, в печати и на различных мероприятиях.Однако чего не хватает, так это практической информации о том, как удовлетворить его требования в оперативном режиме.

Возьмем, к примеру, скромный отзыв согласия на обработку персональных данных. Идея удаления разрешения ясна, но как насчет таких вопросов, как, например, можно ли отклонить этот запрос или как долго вам нужно отвечать? Этой информации не так много, или она часто похоронена в скопированном и вставленном жаргоне.

5 шагов для обработки отзыва согласия

Условия согласованной обработки данных в Статье 7 требуют, чтобы согласие было легко дано и отозвано.Исходя из этого, организации должны иметь план действий на тот момент, когда это произойдет. Взгляните на наш примерный пошаговый список ниже:

1. 1. Оцените отзыв уведомления о согласии и определите, от какого действия по обработке данных / рабочего процесса отзывается согласие. У вас может быть несколько действий / рабочих процессов по обработке данных, каждый со своей собственной или законной основой.
2. 2. Вы можете запросить идентификацию, чтобы убедиться, что вы взаимодействуете с правильным субъектом данных. Это не должно быть запретительным и не должно использоваться для откладывания субъекта данных на большее время.
3. 3. Определить, является ли рассматриваемая деятельность по обработке законной на основе согласия; возможно, обработка является законной на другом основании, таком как договорное обязательство или законные интересы. Обработка из-за договорных обязательств не может привести к отзыву согласия, поскольку это не согласие делает ее законной; аналогично, если обработка выполняется из-за законного интереса, согласие не было дано.
   • – Если законная обработка оправдана законными интересами, как это, вероятно, будет в случае прямого маркетинга, субъект данных имеет право возражать против обработки, а не отозвать свое согласие.В случае прямого маркетинга обработка данных должна быть прекращена, если контролер данных не докажет веские основания для ее обработки.
   • – Если обработка основана на согласии, отзыв согласия лишает контроллеров данных законности для продолжения использования персональных данных указанного субъекта данных в этой деятельности по обработке.
4. 4. После прекращения обработки персональных данных этого субъекта данных вам может потребоваться ввести в действие право субъекта данных на удаление.Если у вас нет других законных оснований для обработки персональных данных субъекта данных, вы обязаны удалить или удалить их, как определено в статье 17. Существует ряд исключений, позволяющих избежать права на удаление, например:
   
   • – Выражение права на свободу слова или информации.
   • – Если продолжение обработки является требованием договорного обязательства, которому подчиняется контролер данных.
   • – Если обработка отвечает интересам общества.
   • – Если обработка отвечает интересам общества в случае общественного здравоохранения.
   • – Обработка для достижения общественных интересов.
   • – Если обработка требуется для установления, исполнения или защиты судебных исков.
5. 5. Сообщите субъекту данных в разумный срок. Отзыв согласия, право на возражение и право на удаление не являются конкретными, когда дело доходит до времени завершения. Однако это не следует рассматривать как необоснованное, и продолжение обработки после отзыва согласия или возражения не должно отрицательно влиять на субъекта данных.

Примечание. GDPR касается обработки персональных данных, тогда как другие правила регулируют то, как вы общаетесь с субъектами данных; эти два вида деятельности не всегда одинаковы. Этот регламент известен как PECR (Регламент конфиденциальности и электронных коммуникаций) и наиболее известен тем, что предусматривает возможность отказа от подписки в маркетинговых электронных письмах. Отказ от подписки на электронную почту не обязательно ограничивает вашу способность обрабатывать личные данные, только вашу способность общаться по электронной почте.

Субъекты данных могут быть не всегда правильными

В приведенных выше шагах мы продемонстрировали четкую разницу между отзывом согласия и правом на возражение.Возможно, вы также заметили, что право на удаление было следствием этих двух факторов, а не тем, о чем напрямую просили. Эти нюансы часто упускаются из виду и, вероятно, будут неправильно поняты и субъектами данных. Важно, чтобы вы не использовали это как способ выиграть время или отвлечь субъекта данных; как контролер данных вы обязаны быть прозрачными и любезными.

В конце концов, субъекты данных или ваши клиенты и контакты будут голосовать ногами и своими кошельками, когда дело доходит до оценки вашей «справедливости» в обращении с их личными данными.То, что вам может показаться разумной деловой практикой, может быть неоправданным и нежелательным в их глазах.

Согласие – окончательная законная основа для обработки личных данных мобильными приложениями? Подумай еще раз. | Дамьян Тодоров | Golden Data

Источник: pexels.com

В связи с продолжающимся применением Регламента 2016/679 («GDPR») и увеличением количества мобильных приложений на наших мобильных устройствах, количество мобильных приложений, обрабатывающих различные личные данные, стало тема все более актуальная.По этой причине многие профессионалы в области конфиденциальности в ЕС сосредотачиваются на различных аспектах функциональности этого программного обеспечения и исследуют, в какой степени наши личные данные обрабатываются в соответствии с GDPR. Безусловно, одним из важнейших соображений при внедрении GDPR и обработке персональных данных является наличие для этого законной основы. Действующая правовая основа является основой для законной обработки персональных данных в соответствии с GDPR, и поэтому действующий критерий обработки всегда является обязательным.Кроме того, использование правильных законных оснований играет огромную роль в достижении максимальной степени соответствия GDPR. Однако в контексте мобильных приложений этот элемент реализации и соблюдения GDPR становится сложным и размытым.

Источник: Google

Согласно заявлениям профессионалов в области конфиденциальности, мобильные приложения обрабатывают личные данные, прежде всего, на основании согласия. Начиная с Директивы о защите данных, согласие является первым из перечисленных критериев легитимности обработки данных.[1] Фактически, основа режима согласия восходит к Директиве о защите данных и с тех пор воспринимается как наиболее применимое условие для обработки персональных данных в соответствии с правилами защиты данных ЕС. Например, в Заключении 02/2013 о приложениях на смарт-устройствах согласие выделено как «основное применимое правовое основание» . [2] Хотя Мнение 02/2013 о приложениях на смарт-устройствах относится к Директиве о защите данных, а не к GDPR, все выводы по этому вопросу остаются полностью применимыми и адекватными, поскольку согласие подтверждается в качестве юридического основания для обработки персональных данных в соответствии с GDPR.Далее, согласно исследованию, проведенному ENISA в 2017 году под названием «Конфиденциальность и защита данных в мобильных приложениях» , согласие снова определяется как самый популярный законный критерий для обработки персональных данных. [3] Позже в Руководстве по защите персональных данных, обрабатываемых мобильными приложениями, предоставленных учреждениями Европейского Союза Европейским надзором по защите данных с 2016 года, указывается и пересматривается только одно условие обработки – опять же согласие.[4] Более того, в Заключении 13/2011 об услугах геолокации на интеллектуальных мобильных устройствах четко указано, что «Учитывая чувствительность обработки (шаблонов) данных о местоположении, предварительное информированное согласие также является основным применимым основанием. для обеспечения законности обработки данных, когда речь идет об обработке местоположений интеллектуального мобильного устройства в контексте услуг информационного общества ». [5] Все упомянутые правовые документы отражают позицию / мнение официальных органов ЕС относительно преобладания согласия как окончательного законного основания для обработки персональных данных с точки зрения мобильных приложений.Чтобы увидеть полную картину, очень важно изучить, как разработчики мобильных приложений в действительности управляют законной обработкой персональных данных.

Источник: pexels.com

Изучение документов о политике конфиденциальности наиболее загружаемых приложений на рынке опровергает тот факт, что согласие на самом деле является наиболее распространенной правовой основой для обработки персональных данных. Например, в соответствии с Политикой конфиденциальности Instagram они обрабатывают личные данные на всех юридических основаниях, перечисленных в статье 6 GDPR.Фактически, поскольку Facebook владеет Instagram, оба приложения используют одну и ту же Политику конфиденциальности. [6] Как уже говорилось, при обработке данных субъекта данных согласие используется «, в некоторых случаях ». [7] Однако Facebook действительно признает и сообщает, что основным правовым основанием для обработки персональных данных является договор между Facebook и пользователями. Еще одно известное мобильное приложение в наши дни – приложение для знакомств Tinder. Изучая Политику конфиденциальности Tinder , мы видим, что основным законным основанием для обработки персональных данных является выполнение договорных обязательств.[8] Согласие указано как вариант в случаях, когда «время от времени мы можем запрашивать ваше согласие на использование вашей информации по определенным причинам». . [9] Еще одним популярным мобильным приложением в наши дни является музыкальное приложение Spotify. Политика конфиденциальности Spotify разъясняет правовые основы, на которые опирается Spotify, чтобы разрешить им обрабатывать ваши личные данные на законных основаниях. [10] Согласие применяется только в 2 из 6 целей обработки. Другими словами, Spotify считает основным критерием обработки персональных данных пользователей выполнение контракта.[11] Еще один пример – приложение для обмена сообщениями WhatsApp и его политика конфиденциальности. В нем четко указано, что WhatsApp «обрабатывает данные по мере необходимости для выполнения наших контрактов с вами». означает, что WhatsApp также использует выполнение контракта в качестве основного законного основания. [12]

Поскольку процитированные официальные документы подразумевают, что согласие является основным законным критерием для обработки личных данных мобильными приложениями, на самом деле, некоторые из основных мобильных приложений на рынке фактически рассчитывают на множество оснований, включая производительность договор.Кроме того, если вы найдете в Google статьи о реализации GDPR и разработке мобильных приложений, вы увидите, что множество авторов (включая профессионалов в области конфиденциальности и разработчиков программного обеспечения) также предлагают согласие в качестве панацеи. Создается впечатление, что несоответствие наблюдается, когда дело доходит до определения основного законного основания для обработки личной информации мобильными приложениями, и по умолчанию не выделяется только одно общее законное основание. Исследования показывают, что огромное количество разработчиков мобильных приложений по умолчанию делают ставку на согласие в качестве общей законной основы с точки зрения обработки персональных данных.[13] Однако, исходя из функциональности мобильного приложения и его функций, трудно определить согласие как единственное законное основание для начала деятельности по предоставлению личной информации. Глобальное обоснование состоит в том, что такой общий подход подрывает основные принципы конфиденциальности и защиты данных, а также любые соответствующие усилия по соблюдению GDPR. Следовательно, приветствуется индивидуальный подход, который необходим для определения подходящего законного основания для каждой цели обработки. Каждый из критериев, перечисленных в статье 6 GDPR, имеет определенные ограничения и область применения, поэтому неразумно охватывать «по умолчанию» весь спектр целей «в целом», особенно в отношении сложных программных продуктов.Использование по умолчанию согласия в качестве общего условия обработки может поставить под угрозу основное понимание конфиденциальности и защиты данных в отношении GDPR.

Почему? В следующих параграфах будут рассмотрены многочисленные соображения, которые определяют согласие как менее благоприятное, чем общее законное основание, на которое можно полагаться в связи с мобильными приложениями.

Источник: pexels.com

Во-первых, согласно GDPR согласие должно соответствовать нескольким условиям, а именно: свободно данное, конкретное, информированное и недвусмысленное указание желаний.[14] Согласие должно быть предоставлено свободно. означает, что требуется реальный выбор субъекта данных, а также возможность отозвать или отозвать согласие. Одна из причин, по которой на согласие не следует рассчитывать, заключается в том, что «, где существует явный дисбаланс между субъектом данных и контролером ». [15] Что ж, с точки зрения мобильных приложений такой дисбаланс вполне возможен, когда контроллеры данных являются заинтересованными сторонами, такими как Instagram, Facebook, Tinder, Google, Spotify и т. Д. Более того, поскольку мобильные приложения имеют характер службы, они попадают в сферу действия другая изображенная ситуация в Recital 43, где «, если выполнение контракта, включая предоставление услуги, зависит от согласия, несмотря на то, что такое согласие не является необходимым для такого исполнения. »Таким образом, разработчики мобильных приложений должны учитывать, в какой степени согласие является наиболее подходящим условием для долгосрочных договоренностей об обработке, как общее правило, и полагаться на него по умолчанию, не исследуя весь спектр целей обработки по отдельности.

Более того, согласие должно быть конкретным , чтобы быть действительным. GDPR предписывает, что «Согласие должно охватывать все действия по обработке данных, выполняемые для той же цели или целей. ”[16] Другими словами, для одной операции обработки требуется отдельное разрешение, а множественность целей означает согласие, предоставленное для всех на гранулярной основе.В контексте мобильных приложений требование согласия на получение информации может быть не такой проблемой, поскольку легко объяснить основные цели обработки персональных данных. Однако технический аспект удовлетворения требования о конкретном согласии может быть обременительным из-за возможного дисбаланса между уровнем UX и степенью соответствия. Это означает, что пользователи должны активно соглашаться для каждой цели. Что касается мобильных приложений, совместимое, но выполнимое решение представляет собой детализированную форму вариантов, которые должны быть предоставлены пользователям для согласования различных целей и различных типов обработки.Позже, требование для указания « недвусмысленно » налагает обязательство по внедрению надлежащего технического решения, чтобы получение согласия было четко указано субъектом данных. Что ж, довольно сложно иметь дело с явным согласием и записывать его. Далее, очень важно найти баланс между правильным представлением формы запроса согласия и тем, чтобы « не мешал использованию услуги, для которой она предоставляется. »[17] Что важно, согласие должно быть получено до начала обработки персональных данных. В начале обработки персональных данных контролеры «» должны иметь возможность продемонстрировать, что субъект данных дал согласие на обработку своих персональных данных. »[18] Таким образом, первое, что должно быть представлено пользователю мобильного приложения, – это меню конфиденциальности или форма с пустыми полями по умолчанию для каждой цели для проверки. Они не только включают согласование целей для обработки, но и дают разрешение на доступ и вмешательство в функции устройства, такие как контакты, микрофон, камера, фотографии, Wi-Fi, сотовые данные и т. д.В связи с этим ENISA объяснила управление разрешениями в контексте управления согласием в отношении законности операций по обработке данных. [19] То, что ENISA определяет как «архитектуру разрешений», является примером решения проблемы конфиденциальности и безопасности в процессе разработки и соответствующих проблем с точки зрения получения согласия пользователя [20]. Как признает ENISA, существует « разрыва между юридическими требованиями и преобразованием этих требований в практические решения, которые разработчики приложений могут реализовать », главной целью является достижение баланса между соответствием и технической реализацией.[21] По этой причине, если юридические требования к согласию устанавливают разрушительный опыт и препятствия для использования услуги, для которой оно предоставляется, пересмотр для общей применимости этой правовой основы по умолчанию является благоразумным.

Затем субъекты данных должны иметь возможность отозвать свое согласие в любое время так же просто, как и первоначально. Как указано: « Отзыв согласия не влияет на законность обработки, основанной на согласии до его отзыва.Прежде чем дать согласие, субъект данных должен быть проинформирован об этом. »[22] Например, если мы отзовем согласие на использование камеры, а также информацию, которая будет предоставлена ​​рекламодателям, очень ожидается, что соответствующее мобильное приложение перестанет работать должным образом. Кроме того, отзыв согласия является частью темы о возможности вмешательства мобильных приложений в отношении принципов, касающихся прав людей. [23] Что касается контроллеров данных, вмешательство имеет решающее значение для того, чтобы « эффективно контролировал процессор данных и используемые ИТ-системы, чтобы повлиять или остановить обработку данных в любое время, » [24], и по этой причине либеральный режим простого отзыва согласия может установить состояние непредсказуемости на протяжении жизненного цикла приложения.

Источник: pexels.com

Другой аспект – это требование к контроллерам данных записывать и иметь возможность в любое время продемонстрировать подтверждение полученного согласия. Это весьма сомнительно для контроллеров, имеющих дело с множеством субъектов данных и развивающуюся деятельность по обработке. [25] Такая дискуссия актуальна в связи с тесной связью детей с мобильными приложениями в наши дни. Поскольку мобильные приложения быстро распространяются на детские смартфоны и планшеты, и, зная, насколько технически одержимы современные дети, является общественным секретом то, что миллионы детей являются пользователями мобильных приложений.Это означает, что контроллеры данных обрабатывают персональные данные детей все время, подпадающие под территориальную сферу действия GDPR. Если согласие является правовым основанием для обработки персональных данных, и детям предлагаются услуги информационного общества, обработка персональных данных детей правомерна только в том случае, если ребенок старше 16 лет, а если он моложе, дополнительное лицо должно предоставить согласие на обработку. Мы можем представить миллионы детей, использующих Facebook, Instagram, Snapchat и Musical.ежедневно, но как их полученное согласие подавать жалобу на это условие? Реально ли гарантировать, что родители разрешили мобильному приложению обрабатывать персональные данные их детей?

Дополнительный спорный аспект связан с международной передачей персональных данных, собранных мобильными приложениями. В наши дни информация циркулирует через Интернет между серверами по всему миру благодаря технологии облачных вычислений. Это означает, что персональные данные пользователей не только передаются в разные страны за пределами ЕЭЗ, но и обрабатываются в этих странах.Поскольку нет никаких решений об адекватности и адекватных мер безопасности, контроллеры (будут) зависеть от отступлений для международной передачи данных в соответствии с GDPR. Чтобы переформулировать, выбор по умолчанию согласия в качестве основного критерия для обработки в целом означает, что контроллеры данных (будут) в первую очередь полагаться на согласие на международную передачу данных. Согласно GDPR для международной передачи данных в третьи страны, в случае приема на работу по согласию, явное соглашение является обязательным для передачи персональных данных в третью страну на законных основаниях.[26] Поскольку «обычное» согласие определяется как «заявление или четкое позитивное действие», необходимо уточнить, какие дополнительные усилия следует предпринять, чтобы получить явное согласие субъектов данных, относящихся к мобильным приложениям, в соответствии с GDPR. . В связи с этим возможным решением является предоставление пользователям специального поля для отметки и / или обозначенной информационной формы, чтобы дать свое явное согласие на обработку их личных данных в третьей стране. Кроме того, пользователи должны иметь возможность давать явное согласие в информативной, справедливой и прозрачной форме.Здесь возникает вопрос об отзыве согласия пользователей на международную передачу данных в любое время. Насколько это возможно и оправдано в наши дни, во времена массовых трансграничных потоков данных?

Для мобильных приложений, которые обрабатывают особые категории персональных данных , как получить обязательное явное согласие является проблемой. [27] Например, приложения для знакомств, обрабатывающие информацию о сексуальной ориентации, или приложения для здоровья, работающие с данными, касающимися здоровья, требуют явного согласия для одной или нескольких указанных целей, указанных субъектом данных.Опять же, технический аспект получения явного согласия может быть проблематичным и разрушительным с точки зрения UX. Однако, если явное согласие для одной или нескольких указанных целей не предоставляется законным образом, обработка конфиденциальных персональных данных может быть незаконной и недействительной, если не применяется другое исключение. [28]

Если переформулировать, согласие оказывается сложным в управлении, хотя на первый взгляд перспективным законным основанием для обработки персональных данных мобильными приложениями. По этой причине и на основании вышеприведенного исследования кажется совершенно неразумным, что мобильные приложения по умолчанию зависят от согласия в качестве общего законного критерия обработки.

Вкратце, , подход точного определения согласия как универсального законного условия обработки на практике может быть довольно проблематичным для разработчиков программного обеспечения для мобильных устройств и профессионалов в области конфиденциальности. Фактически, согласие можно определить как «хрупкую» правовую основу из-за режима «легко получить – легко отозвать». Образно говоря, устанавливает обманчивую стабильность, напоминающую зыбучие пески по законности обработки. Такая правовая нестабильность неизбежно сбивает с толку и раздражает пользователей из-за мешающих пользовательскому опыту технических требований и конструктивных препятствий.Следовательно, ожидается, что это вызовет техническую и финансовую неопределенность в процессе разработки программного обеспечения и монетизации мобильных приложений. Поэтому рекомендуется признать и проанализировать весь спектр критериев легитимации для обработки персональных данных, прежде чем сосредоточиться на согласии как на панацеи по умолчанию.

Заявление о конфиденциальности Вашингтонского университета в Интернете

Настоящее Заявление о конфиденциальности в Интернете применяется к этому веб-сайту, который публикуется учреждением Вашингтонского университета (UW), занимающимся образованием, исследованиями, уходом за пациентами или областью обслуживания.UW обязуется уважать частную жизнь людей. Принимая решение продолжить использование этого веб-сайта UW, вы соглашаетесь на сбор и использование UW личной и неличной информации, как описано в этом Заявлении о конфиденциальности в Интернете. Это Заявление о конфиденциальности в Интернете регулирует только использование и раскрытие информации, собранной через этот веб-сайт.

Сбор информации

UW автоматически собирает следующую информацию:

• Адрес Интернет-протокола (IP) и имя Интернет-домена, который вы использовали для доступа в Интернет;
• URL-адрес веб-сайта, с которого вы напрямую перешли на веб-сайт UW;
• Дата и время посещения веб-сайта UW;
• Страницы, которые вы посетили, включая информацию, запрошенную через ваш браузер, ответ вашего браузера, размер страницы, которую вы получили в ответ на запрос, и маркетинговое электронное письмо или веб-страницу, которая направила вас на страницу, которую вы посетили; и
• Веб-браузер и операционная система, которые вы использовали для доступа к веб-сайту UW.

Кроме того, UW может запросить у вас определенную личную информацию, такую ​​как имя, имя пользователя, адрес электронной почты, почтовый адрес, номера телефонов или данные учетной записи в социальной сети. UW может объединять информацию, полученную в результате вашего посещения этого веб-сайта, с другой информацией в UW.

Использование информации

UW будет использовать ваши персональные данные только на законных основаниях для выполнения законных интересов UW. UW может использовать информацию, полученную во время вашего посещения этого веб-сайта, по адресу:

• Управлять и улучшать взаимодействие с пользователем и предпочтения, связанные с этим веб-сайтом и коммуникациями UW;
• Отслеживайте, как часто люди получают доступ к содержимому UW или читают его;
• Содействовать дальнейшему общению и управлять подпиской на публикации UW;
• Приглашать и / или регистрировать вас (по запросу) на мероприятия, которые могут вас заинтересовать;
• Оптимизируйте и персонализируйте свое онлайн-взаимодействие с UW;
• Выполнять онлайн-запросы на товары или услуги;
• Проводить онлайн-исследования, обучение, тренинги или опросы;
• Выявление аномалий в веб-трафике для защиты личной и служебной информации; и
• Осуществлять законные права UW, защищать от судебных исков или отвечать на повестки, постановления суда или другие судебные процессы.

Для сбора и использования личной информации для любых других целей, кроме описанных в данном документе, требуется дополнительное и более конкретное уведомление или согласие. См. Конкретные примеры на веб-сайте уведомлений о конфиденциальности и форм согласия.

Раскрытие или обмен информацией

UW может использовать сторонних поставщиков услуг и поставщиков для упрощения работы с этим веб-сайтом или услугами, которые предоставляет UW. Эти поставщики и поставщики могут иметь доступ к информации, которую UW собирает для выполнения своих обязательств перед UW.UW является агентством штата и может раскрывать или делиться информацией в соответствии с применимыми законами штата, федеральными или международными законами. Это включает, но не ограничивается Законом штата Вашингтон о публичных записях, пересмотренным Кодексом штата Вашингтон 42.56.

Методы сбора

UW может использовать различные технологии, такие как файлы cookie, апплеты, сценарии, журналы серверов, настраиваемые параметры URL, изображения для отслеживания, информацию и переписку или веб-аналитику для сбора информации.В зависимости от вашего браузера вы можете отключить определенные методы сбора. Это может ограничить вашу возможность использовать некоторые функции этого веб-сайта.

Веб-сайты, не относящиеся к UW

UW может предоставлять ссылки на этом веб-сайте на другие веб-сайты, не относящиеся к UW. UW может также сотрудничать с третьими сторонами для размещения рекламы, связанной с UW, на веб-сайтах, не относящихся к UW. Использование вами веб-сайтов, не относящихся к UW, регулируется положениями и условиями или заявлениями о конфиденциальности поставщиков этих веб-сайтов.

Защита данных

UW стремится защитить информацию с помощью мер, описанных в Заявлении об административной политике UW 2.2 Политики конфиденциальности Университета и 2.6 Методы контроля и управления информационной безопасностью.

Дети и несовершеннолетние

UW сознательно не собирает личную информацию от детей или несовершеннолетних в соответствии с определением Закона о защите конфиденциальности детей в Интернете (COPPA) на своих общих веб-сайтах. Сбор и использование личной информации от детей или несовершеннолетних для других целей подлежат дополнительным и более конкретным условиям уведомления или согласия. См. Конкретные примеры на веб-сайте уведомлений о конфиденциальности и форм согласия.

Удержание

UW хранит ваши данные, по крайней мере, в течение минимально необходимого срока хранения в соответствии с применимыми графиками хранения записей UW или на время ваших отношений с UW.

Дополнительные права в отношении ваших данных

Применимое законодательство может предоставить вам дополнительные права запрашивать доступ или запрашивать удаление, исправление или передачу ваших данных. Например, Общий регламент ЕС по защите данных (EU GDPR) предоставляет определенные права лицам, которые проживали / проживали в Европейском союзе на момент сбора / сбора данных.Если к вашим данным применяется GDPR ЕС, вы можете попросить предоставить ваши данные или запрос, в той степени, в которой это разрешено законом, на исправление или удаление ваших данных. Вы также можете возразить или запросить ограничения на то, как будут обрабатываться ваши данные. Вы можете попросить, чтобы ваши данные были отправлены или переданы другой организации. Наконец, в пределах, разрешенных законом, вы можете без штрафных санкций отозвать свое согласие на обработку определенных данных. Если вы решите отозвать согласие позднее, ваш отзыв не повлияет на законность обработки ваших данных до этого момента.

Вопросы

Если у вас есть вопросы о сборе или использовании информации, вам следует обратиться в подразделение UW, которому вы предоставили свою информацию. Лицо, ответственное за решения об онлайн-сборе, использовании и защите персональных данных, описанных в настоящем документе и подпадающих под действие GDPR ЕС, обозначено на веб-сайте организации как Контроллер GDPR ЕС.

Если ваши вопросы или проблемы, связанные с конфиденциальностью, не будут решены после обращения в подразделение UW, которому вы предоставили данные, вы также можете связаться с:

Ann Nagel
Официальный представитель по вопросам конфиденциальности
Помощник вице-провоста по вопросам конфиденциальности
Сотрудник по защите данных GDPR ЕС
UW Privacy Office
uwprivacy @ uw.edu

Изменения в заявлении о конфиденциальности в Интернете

UW может периодически обновлять это Заявление о конфиденциальности в Интернете. Пересмотренное заявление будет размещено по адресу uw.edu/online/privacy.

Обновлено 25 марта 2019 г. и включает ссылки на Уведомления о конфиденциальности университета и формы согласия.

Обновлено 24 мая 2018 г.

Уведомление о конфиденциальности | State Street Corporation

Дата вступления в силу: июль 2020 г.
Последняя редакция: июль 2021 г.

В State Street мы обязуемся обращаться с вашей личной информацией или личными данными («Личные данные») ответственно и прозрачно.Это Глобальное уведомление о конфиденциальности («Уведомление») предназначено для соблюдения соответствующих требований прозрачности в соответствии с применимыми законами о конфиденциальности или защите данных. В этом Уведомлении объясняется, как State Street Corporation, ее дочерние компании и правопреемники (вместе «мы», «наш», «нас») собирают, используют, передают или иным образом обрабатывают ваши Персональные данные в связи с вашими отношениями с нами. Уведомление распространяется на любые Персональные данные, которые мы можем собирать от вас через наши веб-сайты или приложения, доступ к которым осуществляется с вашего устройства (например,g., мобильный, компьютер) или различными другими автономными средствами, например, когда вы посещаете наши мероприятия или иным образом взаимодействуете с нами, как описано ниже.

Обратите внимание, что в некоторых юрисдикциях могут быть исключения из прав, которые мы описываем ниже, в соответствии с применимыми законами и постановлениями о конфиденциальности. Мы можем время от времени вносить поправки в это Уведомление, чтобы оно соответствовало требованиям законодательства и порядку ведения бизнеса. Регулярно проверяйте эти страницы на наличие последней версии этого Уведомления.

Настоящее Уведомление содержит следующие разделы:

Какие персональные данные мы можем собирать

В соответствии с законами или постановлениями, применимыми к соответствующей юрисдикции, мы можем собирать следующие категории Персональных данных о вас или вашем устройстве:

Категория	Примеры
A. Идентификационная информация	имя, отчество, фамилия, псевдоним пользователя или аналогичный идентификатор, семейное положение, должность, дата рождения, пол, государственный или национальный идентификационный номер (например, водительские права или номер социального страхования), номер паспорта, интернет-протокол , подпись, физические характеристики или описание или другие подобные идентификаторы.Некоторая информация, включенная в эту категорию, может пересекаться с другими категориями.
B. Демографические данные	Возраст, раса, цвет кожи, национальность, гражданство, семейное положение, пол (включая пол).
C. Контактная информация	Платежный адрес, адрес доставки, адрес электронной почты или номера телефонов.
D. Биометрическая информация	Идентификатор или идентифицирующая информация, например отпечатки пальцев, лица и голоса, нажатие клавиш.
E. Контрактная информация	Информация, собираемая в рамках продуктов и услуг, которые мы вам предоставляем.
F. Коммерческая информация	Записи о личной собственности, продуктах или услугах, приобретенных, полученных или рассмотренных, а также другие истории или тенденции покупок или потребления.
G. Финансовая информация	Реквизиты банковского счета и платежной карты.
H. Интернет или другая аналогичная сетевая активность	История просмотров, история поиска, информация о взаимодействии потребителя с веб-сайтом, приложением, рекламой, настройкой часового пояса и местоположением, типами и версиями подключаемых модулей браузера, операционной системой и платформой, а также другими технологиями на устройствах, которые вы используете для доступа наши веб-сайты или приложения.
I. Сенсорные данные	Аудиовизуальная или аналогичная информация.
J. Профессиональная или служебная информация	Образование, текущая работа, трудовой стаж.
K. Выводы, сделанные на основе другой личной информации	Профиль, отражающий домашнее хозяйство человека, лиц, связанных с вашей учетной записью (ами), информацию о ваших отношениях с этими лицами или информацию о ваших деловых отношениях с нами.

Как мы собираем ваши персональные данные

Мы собираем ваши Персональные данные различными способами и из разных источников. Например, мы можем собирать ваши Персональные данные:

• Посредством прямого взаимодействия с вами, например, когда вы заполняете форму, отправляете нам письмо или электронное письмо, когда вы звоните нам или лично.
• Напрямую от наших клиентов или их агентов. Например, из документов, которые наши клиенты предоставляют нам, связанных с услугами, для которых они нас привлекают.
• Косвенно от наших клиентов или их агентов. Например, с помощью информации, которую мы получаем от наших клиентов при оказании им услуг.
• Прямо или косвенно из-за активности на наших веб-сайтах или в наших мобильных приложениях. Например, из материалов, отправленных через наш веб-сайт, или автоматически собираемых сведений об использовании веб-сайта.
• От аффилированных лиц и сторонних поставщиков услуг (например, наших партнеров по маркетингу), действующих от нашего имени в связи с предоставляемыми нами услугами.
• Из общедоступных источников, включая социальные сети, в той степени, в которой вы явно решили сделать свой профиль общедоступным.
• На основе автоматизированных технологий или взаимодействий, которые собирают технические данные о вашем оборудовании, действиях и шаблонах просмотра. Эта информация собирается с помощью файлов cookie, журналов сервера или других подобных технологий.

Конфиденциальные личные данные и сведения о судимости

Персональные данные, которые мы собираем от вас, могут включать конфиденциальные Персональные данные.Мы признаем, что в некоторых юрисдикциях приняты законы, требующие более строгой защиты определенных конфиденциальных Персональных данных. Конфиденциальные персональные данные включают категории информации, определенные применимым законодательством о конфиденциальности как требующие особого обращения или защиты. Эта информация может включать, помимо прочего, расовое или этническое происхождение; политические взгляды; религиозные, философские или другие подобные убеждения; членство в профсоюзе, профессии или торговой ассоциации; физическое или психическое здоровье; биометрические данные; или сексуальная ориентация.

Мы не собираем, не используем, не передаем и не обрабатываем иным образом конфиденциальные Персональные данные или сведения о судимости, если это не разрешено законом. Например, мы можем собирать, использовать, передавать или иным образом обрабатывать ваши конфиденциальные Персональные данные или сведения о судимости для проведения проверок «Знай своего клиента» (KYC) в соответствии с применимыми законами о борьбе с отмыванием денег (AML).

Как мы используем ваши персональные данные

Мы используем Персональные данные для следующих целей:

• Для выполнения договорных обязательств.Например, если вы предоставите нам Личные данные для открытия, управления и администрирования своей учетной записи, мы будем использовать эти Личные данные для этой цели.
• Для соблюдения имеющегося у нас юридического обязательства, например, когда мы обязаны отчитываться перед налоговыми органами, выполнять проверки KYC в соответствии с применимыми законами о борьбе с отмыванием денег или предотвращать и обнаруживать финансовые преступления.
• Вы предоставили свое согласие, например, по совместимой причине, описанной вам во время сбора.
• Для цели, совместимой с первоначальной целью, описанной вам во время сбора.
• Для ответа на запросы правоохранительных органов и в соответствии с требованиями действующего законодательства, постановления суда или правительственных постановлений.
• В наших законных интересах, как коммерческая организация, при условии, что мы используем соразмерно и уважаем ваши права на конфиденциальность. Такие законные интересы могут, например, включать:
• Чтобы предоставить вам информацию о продуктах или услугах, которые вы у нас запрашиваете.
• Для предоставления вам уведомлений по электронной почте, регистрации событий, активности в социальных сетях и других уведомлений, касающихся наших продуктов или услуг, или событий или новостей, которые могут вас заинтересовать, в том числе посредством целевых сообщений и рекламы на наших веб-сайтах и ​​в приложениях или через них. а также через сторонние веб-сайты и приложения. Дополнительную информацию см. В разделе «Маркетинговые коммуникации и ваш выбор» ниже.
• Для обеспечения соблюдения наших прав, вытекающих из любых договоров, заключенных между вами или организацией, которую вы представляете, и нами, в том числе в отношении выставления счетов и сборов.
• Для улучшения нашего веб-сайта и предоставления вам индивидуального и персонализированного представления его содержимого.
• или анализ рынка и разработка продукта.
• Аутентифицирует вас как авторизованного пользователя и упрощает общение между нами.
• Для оценки или проведения слияния, разделения, реструктуризации, реорганизации, роспуска или другой продажи или передачи некоторых или всех наших активов, будь то в качестве постоянной проблемы или в рамках банкротства, ликвидации или аналогичного разбирательства, в котором ваша информация хранилась нами входит в число переданных активов.
• Мониторинг и запись звонков и электронных сообщений для (а) обработки и проверки инструкций, (б) расследования и предотвращения мошенничества, (в) для обнаружения, предотвращения, расследования и судебного преследования преступлений, (г) для обеспечения соблюдения или защиты нашей компании, партнеров или аффилированных лиц, напрямую или через третьих лиц, которым они делегируют такие обязанности или права, (e) для соблюдения любых применимых юридических обязательств, (f) для обеспечения качества, бизнес-анализа, обучения и других связанных целей
• Для разумного ведения бизнеса в соответствии с отраслевыми стандартами и применимыми законами, которые могут включать в себя мониторинг и запись звонков и электронных сообщений, ответы на запросы и запросы, предотвращение мошенничества, исследования, а также получение рекомендаций от наших консультантов. как цели управления и управления.

Если вы не предоставите нам свои Персональные данные по запросу, это может помешать нам выполнить перечисленные выше задачи.

Маркетинговые коммуникации и ваш выбор

Мы можем использовать ваши Персональные данные для продвижения к вам. В частности, мы можем собирать, использовать или иным образом обрабатывать ваши Персональные данные и делиться ими с нашими аффилированными лицами и поставщиками услуг, чтобы предоставить вам руководящие материалы, отраслевую информацию, приглашения на мероприятия и вебинары, а также другие сообщения или предложения, которые, по нашему мнению, будут Вас интересует.Мы нацелены и адаптируем такие коммуникации на основе вашего взаимодействия с нами по почте, электронной почте, в Интернете, по телефону, лично или через сторонних партнеров или поставщиков. Если вы не хотите получать от нас эту информацию, измените свои предпочтения, щелкнув ссылку отказа от подписки в любом из наших электронных писем, сообщив об этом своему менеджеру по работе с клиентами или нажав здесь.

Файлы cookie и онлайн-отслеживание

Мы используем файлы cookie на наших веб-сайтах или в приложениях. Файлы cookie – это небольшие файлы, хранящиеся на компьютере, которые предназначены для хранения небольших объемов данных, относящихся к пользователю и веб-сайтам или приложениям, чтобы помочь адаптировать работу этого пользователя.Дополнительные сведения см. В разделе «Раскрытие файлов cookie».

Как мы передаем или раскрываем ваши Персональные данные

Мы можем раскрывать категории ваших Персональных данных, описанные выше, нашим аффилированным лицам, поставщикам услуг и другим третьим лицам для наших деловых целей. Когда мы это сделаем, мы позаботимся о том, чтобы ваши Персональные данные использовались в соответствии с настоящим уведомлением, или заключим договор, который описывает бизнес-цель и требует, чтобы получатель сохранял конфиденциальность этих Персональных данных и не использовал их для каких-либо целей. цель кроме исполнения контракта.

Мы также можем использовать или раскрывать ваши Персональные данные :

• Регулирующим органам, государственным органам, биржам, саморегулируемым организациям или правоохранительным органам.
• Если мы обязаны сделать это по закону или если мы обоснованно считаем, что такое раскрытие информации необходимо или уместно для предотвращения физического вреда или финансовых потерь в связи с расследованием предполагаемой или фактической незаконной деятельности,
• Когда раскрытие информации необходимо для защиты наших прав или соблюдения судебных или нормативных требований, или для преследования наших законных интересов или жизненно важных интересов человека.

Категории третьих лиц, которым мы можем раскрыть ваши Персональные данные

Мы можем раскрывать ваши Персональные данные следующим категориям третьих лиц:

• Наши партнеры
• Поставщики услуг, с которыми мы заключили договор на оказание услуг от нашего имени
• Третьи стороны, которым вы, ваши агенты или компания, которую вы представляете, разрешаете нам раскрывать ваши Персональные данные в связи с продуктами или услугами, которые мы вам предоставляем
• Регулирующие или другие государственные органы
• Биржи или другие саморегулируемые организации
• Правоохранительные органы
• С правопреемником в случае слияния, поглощения или аналогичной операции

Продажа личных данных запрещена

Мы не продаем какие-либо ваши Персональные данные, включая Персональные данные несовершеннолетних в возрасте до 16 лет или в соответствии с применимыми законами или нормативными актами.

Как мы передаем и храним ваши Персональные данные

Мы работаем по всему миру и можем делиться некоторыми вашими Персональными данными с организациями (включая наших аффилированных лиц и наших поставщиков услуг), которые находятся за пределами юрисдикции, в которой были собраны Персональные данные. Поскольку наша штаб-квартира находится в Соединенных Штатах, Персональные данные, собранные в других странах, обычно передаются в Соединенные Штаты для обработки. То есть Персональные данные, собранные в одной юрисдикции, могут передаваться, храниться и обрабатываться за пределами страны происхождения.Для таких переводов у нас есть соответствующие правовые гарантии, в том числе (например) в виде договорных соглашений, основанных на наборах стандартных договорных положений, которые были предварительно одобрены Европейской комиссией (или иным образом согласуются с требованиями соответствующих юрисдикции), чтобы обеспечить адекватную защиту, или в определенных обстоятельствах мы можем полагаться на одно из исключений из правил, которое позволяет нам выполнять эти переводы. Это отражает нашу приверженность защите ваших личных данных независимо от того, где находятся ваши личные данные.Доступ к личным данным, хранящимся или обрабатываемым в иностранной юрисдикции, можно получить в соответствии с законным порядком, принятым в этой юрисдикции.

Как мы защищаем ваши личные данные

Мы стремимся защищать безопасность ваших личных данных. Мы используем разумные технические и организационные меры в соответствии с действующим законодательством для защиты ваших Персональных данных от несанкционированного доступа, незаконной обработки и от случайной потери, уничтожения или повреждения.

Как долго мы храним ваши Персональные данные

Мы будем хранить ваши Персональные данные до тех пор, пока это необходимо для достижения цели, для которой они были собраны, например, для предоставления наших услуг, или в соответствии с требованиями применимых законов или нормативных актов.Этот период может выходить за рамки прекращения наших отношений с вами.

Ваши права и выбор

В зависимости от юрисдикции и с некоторыми исключениями у вас могут быть определенные права в отношении ваших Персональных данных. В этом разделе описаны такие права и способы их реализации.

• Доступ к особой информации
  • Вы можете иметь право потребовать, чтобы мы раскрыли вам определенную информацию о том, как мы используем ваши персональные данные.Как только мы получим и проверим ваш запрос, мы сообщим вам (в зависимости от вашего запроса или если не применяется исключение):
    • Категории Персональных данных, которые мы собрали о вас.
    • Категории источников, из которых были собраны Персональные данные.
    • Наша цель сбора или передачи ваших Персональных данных.
    • Категории третьих лиц, которым мы делимся вашими Персональными данными.
    • Конкретные части Персональных данных, которые мы собрали о вас.
• В случае необходимости мы предоставим определенные фрагменты Персональных данных, которые мы собрали о вас, в структуре, обычно используемой или в машиночитаемом формате, и для их передачи напрямую другому физическому или юридическому лицу (переносимость данных).
• Запросить удаление или удаление ваших Персональных данных при определенных обстоятельствах.
  
• Запросить исправление ваших Персональных данных, если они неточные или неполные
  
• Запросить ограничение или возразить против обработки ваших Персональных данных при определенных обстоятельствах (например, в маркетинговых целях)
  
• Подайте жалобу в местный орган по защите данных
• Отозвать свое согласие

Если мы полагаемся на ваше согласие на использование или передачу ваших Персональных данных, вы имеете право полностью или частично отозвать свое согласие, за некоторыми исключениями, определенными в применимых законах и нормативных актах.Однако обратите внимание, что это не повлияет на законность обработки до ее отзыва.

Уведомление о конфиденциальности потребителей в США

Нажмите здесь, чтобы перейти к Уведомлению о конфиденциальности потребителей в США.

жителей Калифорнии

жителей Калифорнии, пожалуйста, нажмите здесь для получения дополнительной информации.

Австралия

В этом Уведомлении описывается, как следующие организации в Австралии собирают, хранят, используют, хранят и раскрывают «личную информацию» для целей Закона о конфиденциальности 1988 (Cth):

• State Street Bank and Trust Company, Сиднейский филиал (ARBN 062 819 630)
• State Street Global Markets, LLC (ARBN 620 947 613)
• State Street Global Markets International Limited (ARBN 120 116065)
• State Street GlobalLink Asia Pacific (ARBN 626 835 283)
• State Street Australia Limited (ABN 21 002 965 200)
• State Street Capital Pty Limited (ABN 87 083 100 832)
• SS Borrowdale Pty Limited (ABN 48 151 402 292)
• SS Scarborough Pty Limited (ABN 38 151 402 247)

Свяжитесь с нами по адресу privacyoffice @ statestreet.com, если у вас есть какие-либо сомнения относительно точности, обработки или хранения личной информации в соответствии с Законом о конфиденциальности 1988 г. (Cth).

Япония

Для получения дополнительных сведений (включая уполномоченную организацию по защите личной информации в Японии), касающихся предприятий State Street в Японии, щелкните здесь (на английском языке) или здесь (на японском языке).

Как воспользоваться своими правами или свяжитесь с нами

Основным контактным лицом по всем вопросам, возникающим в связи с этим Уведомлением, является наш главный специалист по конфиденциальности или специалист по защите данных.Если вы хотите воспользоваться своими правами или у вас есть вопросы или комментарии по поводу этого Уведомления или о том, как обрабатываются ваши Персональные данные, пожалуйста, свяжитесь с нашим главным сотрудником по вопросам конфиденциальности или сотрудником по защите данных по электронной почте или через наш веб-сайт по телефону:

.