Приказ о положении о защите персональных данных образец: Приказ об утверждении положения о персональных данных. Образец и бланк 2021 года

Содержание

Приказ об утверждении положения о персональных данных, пример

Работодатель издает приказ об утверждении положения о персональных данных. И этот документ является одной из гарантий защиты персональных данных работника. Фактически это обязанность работодателя. Которую устанавливает статья 87 Трудового кодекса РФ. Положение о персональных данных не что иное, как локальный акт, который устанавливает порядок хранения и использования такие сведений. А приказ вводит Положение в действие.

Пример документа

Акционерное общество “Праймериз”

Приказ № 24 об утверждении Положения о персональных данных

г. Бердск 19 марта 2022 г.

Во исполнение требований главы 14 Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 г. № 152-ФЗ “О персональных данных”,

ПРИКАЗЫВАЮ:

Утвердить Положение о персональных данных работников АО “Праймериз” с 20 марта 2022 года.
Назначить ответственным лицом за получение, обработку и хранение персональных данных сотрудников – начальника отдела кадров АО “Праймериз” Иванову Светлану Игоревну.
Утвердить перечень должностей, допущенных к работе с персональными данными работников АО “Праймериз” (доступ без ограничений):

генеральный директор АО
заместитель генерального директора АО
коммерческий директор АО
начальник отдела кадров АО
ведущий специалист отдела кадров АО
главный бухгалтер АО

4. Ивановой Светлане Игоревне ознакомить всех работников АО с Положением о защите персональных данных работников, с лицами, замещающими должности с допуском к работе с персональными данными заключить Обязательство о неразглашении персональных данных работников.

Приложение:

Положение о персональных данных

Генеральный директор Агонян Агонян В.Д.

Обязателен ли приказ об утверждении положения о персональных данных

На сайте мы разместили много образцов приказов. Как по кадровым вопросам (о приеме на работу, об увольнении), так и об утверждении локальных актов (например, приказ об учетной политике). В принципе, такой документ как приказ об утверждении положения о персональных данных составляется достаточно просто. В отличие от самого положения, которое должно содержать ряд сведений.

Положение о персональных данных – обязательный локальный акт, который должен быть в организации. Порядок обработки, хранения и использования таких данных работодатель устанавливает именно в Положении. Соответственно, отсутствие его в организации может стать основанием административной ответственности. И назначения штрафа трудовой инспекции.

Структура акта о персональных данных

Персональные данные работника работодатель обрабатывает исключительно в рамках трудового договора. Только в целях трудовой деятельности в связи с трудовыми отношениями. И работник в силу ст. 86, 68 ТК РФ обязательно должен быть знаком с Положением о персональных данных. Его работодатель составляет на основании Трудового кодекса и Закона о персональных данных.

Структура документа может выглядеть следующим образом:

Общие положения. Или цель, нормативно-правовая основа документа. Все то, о чем мы говорили выше. Общие принципы (ст. 86 ТК РФ).
Основные понятия. Состав персональных данных работников. Здесь можно указать, какие документы организации содержат персональные данные, общие понятия (Закон о персональных данных).
Обработка персональных данных. Доступ к персональным данным. Здесь указываем условия, ограничиваем доступ к данным. Перечень лиц и уровень доступа лучше отдельно упомянуть в приказе об утверждении Положения. Или в отдельном приказе.
Передача персональных данных. Как внутри организации, так и третьим лицам и государственным органам.
Ответственность за нарушение Положения.

Все общие правила, которые входят в структуру Положения, на сайте рассмотрены с точки зрения актуального законодательства, в том числе трудового.

Как ввести в организации положение

Руководитель организации или лицо, уполномоченное им, издает приказ. Которым утверждает Положение о персональных данных. Именно так документ обретает юридическую силу в стенах организации. Если в организации есть представительный орган работника, учитывается его мнение.

Затем работодатель должен ознакомить каждого работника под роспись с указанным документом. Отсутствие самого Положения или подписи работника – основание привлечь работодателя по ст. 5.27 КоАП РФ.

Ознакомить можно путем получения подписи на отдельном листе, на самом Положении. Или указать в перечне документов, с которыми работник ознакомлен при подписании трудового договора. Возможно, в организации будет журнал ознакомления с локальными актами работодателя. А вот рассылать, например, по электронной почте, не стоит. Трудовой кодекс содержит требование ознакомить с документами под роспись.

Если при подготовке приказа об утверждении положения о персональных данных возникли трудности, можно задать вопросы дежурному юристу сайта.

Кадровый портал – Error

Организация работы и кадровые вопросы в связи с коронавирусомОбразцы основных документов в связи с коронавирусомНерабочие дни в связи с коронавирусом

Образцы заполнения кадровых документовФормы первичных учетных документовСведения о трудовой деятельности (электронная трудовая книжка)Ведение трудовых книжек в бумажном виде

Специальная оценка условий трудаНесчастный случай на производствеОбязательные медосмотры (профосмотры)Инструктажи по охране труда

Обязательные документы при проверкахКалендарь кадровика

Хранение и использование персональных данныхМеры по защите персональных данных работниковОтветственность за нарушения законодательства о персональных данных

Привлечение иностранцевОформление иностранцев

Оформление приема на работуТрудовой договор

График отпусковЗамена отпуска денежной компенсациейОформление ежегодного оплачиваемого отпускаОтпуск по беременности и родамОтпуск по уходу за ребенкомЛьготный (дополнительный) отпуск

График работыПривлечение, оформление и оплатаУчет рабочего времениВыходные и праздничные дни

Правила внутреннего трудового распорядка (ПВТР)Дисциплинарные взысканияПорядок увольнения за нарушение трудовой дисциплины

Заработная платаРайонные коэффициенты и надбавкиМатериальная ответственность работника

Оплата больничного листа (не пилотный проект)Оплата больничного листа (пилотный проект)Заполнение больничного листа работодателемРабота с электронными больничнымиПособие по беременности и родам

Порядок проведения аттестацииОграничения на увольнение из-за непрохождения аттестацииРасходы на подготовку и переподготовку кадров

Основания для увольненияПроцедура увольнения по сокращению

Перейти в telegram-чат

Кадровый портал – Error

Обязательные документы при проверкахКалендарь кадровика

Привлечение иностранцевОформление иностранцев

Оформление приема на работуТрудовой договор

График работыПривлечение, оформление и оплатаУчет рабочего времениВыходные и праздничные дни

Заработная платаРайонные коэффициенты и надбавкиМатериальная ответственность работника

Основания для увольненияПроцедура увольнения по сокращению

Перейти в telegram-чат

Кадровый портал – Error

Обязательные документы при проверкахКалендарь кадровика

Привлечение иностранцевОформление иностранцев

Оформление приема на работуТрудовой договор

График работыПривлечение, оформление и оплатаУчет рабочего времениВыходные и праздничные дни

Заработная платаРайонные коэффициенты и надбавкиМатериальная ответственность работника

Основания для увольненияПроцедура увольнения по сокращению

Перейти в telegram-чат

Образец положения о персональных данных работников

Поэтому многие компании озадачены вопросом о том, как разработать положение о защите персональных данных , если такого документа у них ранее не было.

В статье расскажем, на что нужно обратить особое внимание при его разработке, чтобы не допустить нарушения законодательства. По нему работодатель обязан гарантировать защиту такой информации от противоправного доступа и использования третьими лицами. Положение о работе с персональными данными работников помогает решить эти задачи.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему – обращайтесь в форму онлайн-консультанта справа или звоните по телефонам, представленным на сайте. Это быстро и бесплатно!

Приказ об утверждении положения о персональных данных

Законодательством предусмотрен ряд обязанностей по получению, хранению, передаче и защите персональных данных работников.

Работодателю следует руководствоваться не только положениями ТК РФ и федеральными законами, но и локальным актом, который должен быть в каждой организации. Таким локальным актом является Положение о персональных данных. К персональным данным относятся: фамилия, имя, отчество, возраст; образование, место жительства, семейное положение, национальность, религиозные и политические убеждения, сексуальная ориентация и т.

Что касается сферы трудовых отношений, персональными данными работника считаются только те сведения, которые необходимы работодателю в связи с трудовыми отношениями. Это информация об образовании, специальности, квалификации, состоянии здоровья для занятия определенными видами деятельности , наличии детей, доходах для замещения должностей государственной службы.

Работодатель не имеет права запрашивать у работника информацию, например, о его вероисповедании или национальности, чтобы не нарушать право на неприкосновенность частной жизни. В силу ст. Кроме этого, работодатель должен обеспечивать их защиту от неправомерного использования, утраты в порядке, установленном ТК РФ п. Хранение и обработка персональных данных, как правило, осуществляются одновременно с использованием электронной системы хранения и на бумажных носителях.

Какие данные в конкретной организации подлежат хранению и обработке как персональные, кто имеет доступ к таким данным, каким образом осуществляется их защита от несанкционированного доступа — обо всем этом оговаривается в Положении о персональных данных далее Положение , которое должно быть разработано в каждой организации.

Работников организации необходимо ознакомить с Положением под роспись, а вновь принимаемых на работу лиц следует в силу ст. Работники, участвующие в обработке персональных данных, должны дать обязательство о неразглашении персональных данных. Важно знать! Документы, в которых закрепляются положения об обработке и защите персональных данных, могут проверяться контролирующими органами, в частности сотрудниками Роскомнадзора.

Поэтому рекомендуется работодателю ответственно подойти к их разработке. Порядок утверждения Положения о персональных данных Положение о персональных данных в организации должно быть разработано и утверждено как локальный акт.

Если в организации есть профсоюз, то Положение утверждается с учетом его мнения в порядке, определенном ст. Если оно не содержит согласия с проектом Положения либо содержит предложения по его совершенствованию, работодатель может согласиться с этим, либо обязан в течение трех дней после получения такого мнения провести дополнительные консультации с выборным органом в целях достижения взаимоприемлемого решения. Если согласие не достигнуто, то оформляется протокол разногласий, после чего работодатель имеет право принять Положение.

Но при этом, оно может быть обжаловано выборным органом первичной профсоюзной организации в государственную инспекцию труда или в суд. Также профсоюз имеет право начать процедуру коллективного трудового спора. Если в организации нет профсоюза, а есть иной представительный орган работников, Положение нужно согласовать с этим органом.

Если же нет ни того, ни другого, работодатель утверждает Положение самостоятельно, соблюдая процедуру согласования, установленную локальным нормативным актом организации. Принимаемый локальный акт согласовывается с начальником отдела кадров, главным бухгалтером, юристом или другими работниками.

Положение вводится в действие приказом руководителя организации. Структура Положения о персональных данных Положение должно состоять из следующих разделов: Общие положения: указывается, с какой целью принимается данное Положение и какие вопросы оно регулирует. Основные понятия. Состав персональных данных работников: в данном разделе раскрывается, какие документы в организации содержат персональные данные. Хранение персональных данных: в разделе прописывается порядок и место хранения документов дел в которых содержатся персональные данные.

Обработка персональных данных: в этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника. Передача персональных данных: прописывается порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам. Доступ к персональным данным: в разделе должна содержаться информация о порядке доступа к персональным данным работников.

Доступ подразделяется на внутренний предоставление персональных данных отдельным работникам организации и внешний передача персональных данных представителям других организаций и государственных органов. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных: в этом разделе нужно прописать, кто в организации несет ответственность за нарушение правил хранения и использования персональных данных.

В Положение можно вносить при необходимости дополнительные разделы. Полезная статья?

Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции. Организации, в которые сотрудник может осуществлять перечисления денежных средств страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения , могут получить доступ к персональным данным работника только в случае его письменного разрешения. Другие организации.

Согласно ст. Для обеспечения надлежащей работы с личными данными сотрудников каждая организация разрабатывает Положение о персональных данных работников. Приложение может включать образцы заявлений работников: о согласии с обработкой своих личных данных; о согласии получения дополнительных сведений в отношении работника. Типовой вариант такого документа по указанию руководства может быть разработан: специалистом по кадрам; юристом компании; помощником руководителя.

Положение о защите персональных данных: образец

Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений. Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в КонсультантПлюс. Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Это убережет вас от ошибок и позволит избежать ответственности. Как составить согласие на обработку персональных данных, смотрите в здесь.

Положение о персональных данных и образец приказа об утверждении Положения о персональных данных

Запрашивать специальные данные для обработки можно лишь в строго определенных случаях — в целях медицинского с непременным соблюдением врачебной тайны или страхового обслуживания, для осуществления правосудия, в рамках противодействия терроризму, для защиты жизни или здоровья субъекта. Информация о судимости обрабатывается только при наличии федерального закона, устанавливающего необходимость такой обработки. Кроме того, не возбраняется обрабатывать специальные сведения, если сам субъект дал на это письменное согласие или сделал их общедоступными. Когда персональные данные можно обрабатывать без согласия работника Посмотреть шпаргалку Внимание! Общедоступной считается информация, размещенная владельцем в публичных источниках — газетах, журналах, адресных и телефонных справочниках, социальных сетях. Биометрическими называют сведения о физиологических или биологических особенностях конкретного человека: росте, телосложении, отпечатках пальцев, рисунке радужной оболочки глаза, результатах генетических и иных исследований, позволяющих установить его личность.

Как утвердить положение о персональных данных работников: образец приказа Утвердить положение о защите персональных данных работников можно двумя способами: издать отдельный приказ; предусмотреть на бланке основного документа специальное поле для заверительных реквизитов. Утверждая документ, руководитель организации ставит на нем личную подпись и печать.

Законодательством предусмотрен ряд обязанностей по получению, хранению, передаче и защите персональных данных работников. Работодателю следует руководствоваться не только положениями ТК РФ и федеральными законами, но и локальным актом, который должен быть в каждой организации. Таким локальным актом является Положение о персональных данных. К персональным данным относятся: фамилия, имя, отчество, возраст; образование, место жительства, семейное положение, национальность, религиозные и политические убеждения, сексуальная ориентация и т. Что касается сферы трудовых отношений, персональными данными работника считаются только те сведения, которые необходимы работодателю в связи с трудовыми отношениями. Это информация об образовании, специальности, квалификации, состоянии здоровья для занятия определенными видами деятельности , наличии детей, доходах для замещения должностей государственной службы. Работодатель не имеет права запрашивать у работника информацию, например, о его вероисповедании или национальности, чтобы не нарушать право на неприкосновенность частной жизни.

Положение о защите персональных данных

Это лишь минимальный перечень сведений о себе, которые человек предоставляет при приеме на работу. В процессе сотрудничества к нему добавляются: условия трудового договора и дополнительных соглашений, сведения о постановке на воинский учет, социальные льготы, данные о дисциплинарных взысканиях и поощрениях, отчеты для органов статистики и прочие. Массив полученной информации составляет личное дело работника. Для чего нужно положение о работе с персональными данными Принимая человека на работу, предприятие берет на себя функции оператора по обработке данных.

Перечень ИСПДн утверждается ректором. Порядок защиты персональных данных в ИСПДн, вычислитель- ных сетях и других средствах.

Разработка положения о персональных данных работников

Положение о персональных данных работников – образец 2020 года

Положение об обработке персональных данных: образец 2020

Образец положения о персональных данных работников

Приказ о неразглашении персональных данных образец

Приказ о защите персональных данных работников – образец данного документа представлен в статье далее. Этот приказ устанавливает обязанность ответственных лиц по обеспечению конфиденциальности персональных сведений, а также определяет степень допуска к ним для каждого должностного лица. Персональные данные далее по тексту — ПД работника — это любая информация, которая позволяет третьим лицам идентифицировать его личность. ПД должны быть надежно защищены от несанкционированного доступа — нарушение этого правила влечет за собой наложение на физическое или юридическое лицо, работающее с ними, административного взыскания. Приказ о защите ПД определяет ключевые моменты политики руководства предприятия в области использования конфиденциальных сведений о личности работников, а также устанавливает перечень должностей и занимающих их лиц, в полномочия которых входит сбор, хранение и обработка данных.

ВИДЕО ПО ТЕМЕ: Закон о персональных данных касается каждого

Приказ о защите персональных данных работников – образец

Акция месяца 8 88 Узнайте, как разработать приказ о персональных данных. В статье представлены образцы приказов о работе с информацией конфиденциального характера. При поступлении на работу сотрудник предоставляет работодателю информацию, которая является конфиденциальной.

Такие сведения должны быть надежно защищены. При передаче их третьим лицам работодатель должен получить письменное согласие. Защиту личных данных оформляют документально на основании действующего законодательства. Приказ о защите персональных данных работников образец содержит распоряжение руководителя, которое зафиксировано документально, об утверждении перечня документов, определяющих конкретный порядок работы с персданными сотрудников.

Ответственные лица должны быть ознакомлены с таким приказом под подпись. Нарушение порядка утверждения работы с информацией конфиденциального характера может привести не только к штрафам и взысканиям, но и к уголовной ответственности, когда владельцу информации нанесен серьезнейший материальный или физический ущерб.

После того, как произведено утверждение приказа, порядковый номер документа проставляют в журнале по регистрации распоряжений. Сам документ хранят в кадровой службе или в бухгалтерии. Ответственные лица должны постоянно помнить о том, что данные конфиденциального характера хранят в соответствии с установленными правилами.

Из статьи вы узнаете, какая информация относится к общедоступной, как получить разрешение от сотрудника на обработку. Каким способом уведомить Роскомнадзор, как обеспечить защиту сведений конфиденциального характера и т. Из статьи вы узнаете, какие виды ответственности предусмотрены за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников, нарушение передачи. Порядок хранения, обработки, использования персданных сотрудников устанавливается работодатель с учетом всех требований Трудового кодекса РФ, а также иных федеральных законов на основании ст.

Это значит, что работодатель самостоятельно определяет порядок такой обработки, закрепляет его в локальном нормативном акте. Например, в Положении о работе с данными конфиденциального характера сотрудников. Сотрудники при приеме на работу должны быть ознакомлены с действующим Положением под подпись на основании части третьей ст.

Положение о работе с персданными относится к обязательному документу организации. Отсутствие такого документа влечет административную ответственность на основании ст. После составления Положения его утверждают приказом.

Приказ составляют в произвольной форме. Смотреть полный образец. Из статьи вы узнаете, когда разрешение на обработку персональных данных не требуется и можно ли хранить в отделе кадров копии паспортов. Приказ об обработке персональных данных ответственными лицами выпускает руководитель организации. Этим распоряжением назначают ответственного по работе с информацией конфиденциального характера. Вторым распоряжением утверждают перечень сотрудников, которые будут допущены к персданным.

Ответственные сотрудники несут административную ответственность в случаях, когда третья сторона получает доступ к информации конфиденциального характера без ведома и без разрешения со стороны самого работника, который ее представил. Ознакомление с распоряжением ответственных лиц проводится под подпись.

При нарушении в работе с персданными таких лиц вправе привлечь к административной или уголовной ответственности. Дополнительно оформляют распоряжение об утверждении Положения по работе с информацией конфиденциального характера и документ о назначении ответственного лица, а также перечня лиц, допущенных к работе с закрытой информацией. Все права защищены.

Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ. Файлы для скачивания доступны специалистам по кадрам, которые зарегистрировались на нашем сайте.

Пройдите короткую регистрацию или войдите на сайт под своим логином. Заполните короткую форму регистрации , чтобы продолжить тестирование на сайте. Вас также ждет подарок: мы откроем вам доступ к 3 самым горячим статьям этого месяца от лучших экспертов России. Файлы для скачивания доступны только зарегистрированным пользователям. Идеальный график отпусков подробный путеводитель, как составить документ.

О сайте Контакты Ввести код доступа. А еще Статьи Персональные данные. Приказ о персональных данных. Темы: Персональные данные Хранение документов Положение о персональных данных. В статье:. Приказ об утверждении положения о персональных данных Используйте готовый документ. Приказ о назначении ответственного по работе с персональными данными Используйте готовый документ. Приказ об утверждении перечня сотрудников, допущенных к работе с персональными данными Используйте готовый документ.

Вывод Приказ о защите персональных данных работников образец содержит распоряжение руководителя, которое зафиксировано документально, об утверждении перечня документов, определяющих конкретный порядок работы с персданными сотрудников. Популярные материалы: План проверок ГИТ на год Что делать, если вы нарушили закон о персданных данных Роскомнадзор: проверки в году Изменения в трудовом законодательстве таблица Что делать, если вы нарушили трудовой договор Защита персональных данных: пошаговая инструкция ГПХ с иностранцем: скачать Как подготовить приказ об увольнении.

Правовая база. Налоговый кодекс Гражданский кодекс. Опрос недели. Как вы относитесь к перекурам на работе? Они помогают отвлечься от рутины. Я — против. Это вредно для здоровья и отнимает много времени. Мне все равно, я не курю. Категорически против. Почему одни работают, а другие отдыхают на перекурах. Продукты и услуги партнеров. Адрес электронной почты. Я даю свое согласие на обработку моих персональных данных. Новости по теме. Прослушивать разговоры работников — преступление, но в одном случае это делать можно.

Ужесточат наказание за незаконное использование персданных. Поменялась работа с персональными данными сотрудников. База данных клиентов Сбербанка попала на черный рынок. Изменения в ТК в году. Статьи по теме. Личная карточка учета выдачи СИЗ.

Положение об обработке персональных данных. Закон о персональных данных. Вопросы по теме. Сколько хранить внутренние документы компании, взамен которых приняли новые. Обязательно ли согласие на обработку персональных данных при смене банка? Как индексировать и хранить личные дела сотрудников? Как долго нужно хранить записи по охране труда? Как применяются персональные данные? Получить демодоступ или сразу подписаться. Подписка Рекламодателям Контакты Обратная связь kd action-media.

Политика обработки персональных данных. Мы в соцсетях. У меня есть пароль. Пароль отправлен на почту Ввести. Введите эл. Неверный логин или пароль. Неверный пароль. Введите пароль. Я тут впервые. Зарегистрируйтесь, чтобы прочесть статью. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам.

Если согласны, продолжайте пользоваться сайтом. Если нет — установите специальные настройки в браузере или обратитесь в техподдержку. Дополнительная информация.

Составляем приказ о персональных данных работников

Развитие информационных технологий сделало тему защиты персональных данных одной из наиболее обсуждаемых на самых разных уровнях. Масштабные скандалы с утечками конфиденциальной информации из Белого дома или личных сведений миллионов посетителей международного сайта знакомств прогремели на весь мир. Часто это происходит по незнанию: не все должностные лица понимают, что входит в состав персональных данных. И на это есть вполне понятные причины. В статье мы коротко расскажем о том, какой пакет документов нужно подготовить, а также дадим образец приказа о защите персональных данных работников.

Приказ об утверждении положения о персональных данных — относительно новый кадровый документ, который обязан составлять работодатель во исполнение требований законодательства о защите личной информации. Этот документ позволяет обеспечить порядок в организации документооборота предприятия и осуществлять законную обработку личной информации о сотрудниках. Открыть и скачать онлайн.

Приказ о защите персональных данных необходим для того, чтобы отрегулировать на предприятии правила по работе с личными документами сотрудников. Сведениями, имеющими персональное значение, является любая информация о работнике организации, включенная в его личные документы. В частности это: дата и место рождения, адрес проживания, образование и опыт работы, состояние здоровья. К личным данным также причисляются вероисповедание, национальность, внешние особенности, финансовое и семейное положение, отношения с законом наличие или отсутствие судимостей , а также некоторые факты из биографии. Открыть и скачать онлайн.

Приказ о персональных данных

На уровне документов взаимоотношения субъекта и оператора выглядят так: субъект дает согласие на обработку персональных данных, а оператор принимает на себя обязательство о неразглашении. Данная схема распространяется и на трудовые отношения, в которых субъектом выступает работник, а оператором — работодатель. Документ предназначен для того, чтобы работодатель мог обозначить ответственность и при выявлении нарушений привлечь к ней работников, которые имеют доступ к личным сведениям коллег. Количество людей, в чьи обязанности входит обработка и неразглашение персональных данных , может различаться. Если в малых организациях все ограничивается лишь главным бухгалтером, то в средних и крупных компаниях сотрудники, работающие с личной информацией, числятся в структурных подразделениях:. Список может быть расширен в зависимости от специфики и структуры организации. Таким образом, в пакет типовых кадровых документов работодателя должна входить форма обязательства о неразглашении персональных данных. Оптимальный срок для подписания этого документа ответственными лицами — в момент приема на работу. Статья о неразглашении персональных данных третьим лицам ст. Необходимость оформления обязательства о неразглашении информации продиктована Постановлением Правительства от

Приказ о защите персональных данных работников

Мировая тенденция развития законодательства в области защиты персональных данных демонстрирует ужесточение норм, регламентирующих наказание за незаконное использование личной информации. Российское право в этом вопросе не стоит особняком и также стремится к усилению контроля над утечкой данных. При организации защиты конфиденциальных сведений на предприятии необходимо опираться на главу 14 ТК РФ и Федеральный закон от Они помогут разобраться, как выглядит корректный образец приказа о положении о защите персональных данных. Прежде чем разбирать образец приказа об утверждении политики обработки персональных данных, стоит разобраться, какая информация относится к ним.

Нажимая на кнопку, вы даете согласие на обработку своих персональных данных. Подписаться на рассылку Рассылка.

К персональным данным относится информация, позволяющая определить конкретное лицо. Федеральным законом от Ответим в статье на вопросы о необходимости издания и содержании приказа о защите данных, а также ответственности работодателя при его отсутствии. Администрацией учреждения должна быть внедрена система защиты информации, касающейся сведений о работниках.

Приказ об утверждении положения о персональных данных

Образец приказа о персональных данных работников

Приказ о защите сведений определяет обязанность ответственных лиц Хотя образец приказа о персональных данных работников года не.

Положение о персональных данных | Образец – бланк – форма

Положение о персональных данных – документ, раскрывающий основные положения работы с персональными данными работника, которые необходимы работодателю при трудовых отношениях. Документ разрабатывается на каждом предприятии и должен содержать ряд обязанностей по получению персональных данных, их хранению, передаче и защите полученных персональных данных работников.

Положение о персональных данных должно быть составлено в строгом соответствии с Федеральным законом № 152-ФЗ «О персональных данных». Персональные данные – это абсолютно любая информация, которая прямо или косвенно относится к определенному физическому лицу, конкретно – к работнику конкретного предприятия. Помимо стандартных данных о работнике, к персональным данным могут относиться: политические и религиозные убеждения, информация об образовании, полученной квалификации, наличие детей, состояние здоровья, среднегодовой доход. Структура Положения о персональных данных может быть следующей:

Общие положения (цель принятия данного Положения, вопросы, которые оно регулирует).
Основные понятия и состав персональных данных работников (перечень документов, которые необходимо соблюдать при обработке персональных данных работников).
Обработка персональных данных (условия, которые должны быть соблюдены при обработке персональных данных).
Передача персональных данных (порядок передачи данных работников внутри организации).
Доступ к персональным данным (порядок доступа к данным работников).
Ответственность за нарушение норм, которые регулируют обработку, а так же защиту персональных данных.

Положение о персональных данных, разработанное на конкретном предприятии содержит положения относительно перечня персональных данных, которые подлежат хранению и обработке, перечень лиц, которые имеют доступ к таким данным, а так же определяет каким образом происходит защита персональных данных работников от несанкционированного доступа.

Шаблон политики конфиденциальности

GDPR – Политика конфиденциальности

Общий регламент по защите данных (GDPR) – это закон ЕС, цель которого – предоставить жителям ЕС больший контроль над своими данными. Согласно этому правилу, организации, которые обрабатывают данные жителей ЕС, должны будут соблюдать правила в отношении данных и конфиденциальности.

Одним из ключевых требований и изменений является то, что вашу Политику конфиденциальности необходимо будет обновить, чтобы отразить требования GDPR. В некоторых случаях вам может потребоваться разослать или опубликовать Уведомление об изменениях в вашей Политике конфиденциальности.

Цель этого поста – познакомить вас с GDPR и показать, как должно выглядеть ваше соглашение о политике конфиденциальности с учетом GDPR.

Что такое GDPR и почему вы должны его соблюдать?

GDPR – это новый закон о безопасности данных и конфиденциальности, разработанный Европейским парламентом и Советом для защиты прав граждан ЕС на данные. Это постановление коснется компаний (включая веб-сайты, мобильные и настольные приложения и т. Д.), Которые проводят деловые операции с гражданами ЕС.

25 мая 2018 года GDPR заменил существующий закон о защите данных, то есть Директиву о защите данных, которая действует с 1998 года. Если ваша компания собирает или обрабатывает данные граждан ЕС, вы обязаны соблюдать это постановление. Несоблюдение требований может привести к крупным штрафам до 20 миллионов евро или четырех процентов годового дохода, в зависимости от того, что больше.

Одна из ключевых целей и требований GDPR – информировать граждан ЕС о том, как предприятия собирают, используют, передают, защищают и обрабатывают их личные данные.

Согласно GDPR, вы должны сообщать своим клиентам, почему вы обрабатываете их данные и как долго вы будете их хранить. Вы должны просто и ясно сказать им, как вы используете их данные.

Один из самых простых способов оставаться прозрачным и информировать своих пользователей – это политика конфиденциальности .

Политика конфиденциальности, соответствующая GDPR

Согласно GDPR, вы должны будете составить исчерпывающую, но простую Политику конфиденциальности и сделать ее доступной для ваших пользователей.

До GDPR было принято и ожидалось, что большинство политик конфиденциальности содержит следующую информацию:

Какую личную информацию вы собираете
Как вы его собираете
Что вы используете для
Как обеспечить безопасность
Передаете ли вы его третьим лицам
Любые элементы управления, которые есть у пользователей над любым из этих

Однако теперь GDPR предъявляет повышенные требования к тому, что должна содержать ваша Политика конфиденциальности .

Давайте взглянем на некоторые обновления и положения GDPR, которые должны быть в вашей Политике конфиденциальности.

Кто ваш контролер данных и контактная информация

Если вы контролируете личную информацию своих клиентов или обрабатываете ее для другой компании, сообщите об этом своим клиентам. Расскажите им, кто вы и какова ваша роль, когда дело касается их данных.

В этом примере Slack – облачная компания – информирует своих пользователей о том, что ее ирландская компания контролирует и обрабатывает информацию авторизованных пользователей о клиентах за пределами США и Канады.В нем также упоминается, что его американская компания контролирует и обрабатывает информацию авторизованных пользователей о клиентах в США и Канаде.

Вот как Towergate делает это в своем Уведомлении о справедливой обработке. Вы можете включить аналогичный пункт в свою Политику конфиденциальности:

Towergate четко сообщает своим пользователям, что контролирует их данные. Любая информация, предоставляемая пользователями, хранится в Towergate.

Кто ваш DPO и контактная информация

Не в каждой компании требуется наличие сотрудника по защите данных (DPO) в соответствии с GDPR.

Однако, если да, вам нужно будет включить информацию об этом в свою Политику конфиденциальности, а также контактную информацию DPO.

GitHub имеет таблицу в своем Заявлении о конфиденциальности в разделе Разрешение жалоб , в котором приводится контактная информация DPO.

Используете ли вы данные для автоматического принятия решений

Если вы используете автоматизированное принятие решений (например, для кредитного рейтинга или профилирования пользователей) для предоставления услуг / продуктов вашим пользователям, сообщите об этом.

Вот как это делает Towergate:

Информировать пользователей о 8 правах, которыми они обладают в соответствии с GDPR

GDPR требует, чтобы вы сообщили своим пользователям об их 8 правах в соответствии с GDPR, а именно:

Право на получение информации
Право доступа
Право на исправление
Право на стирание
Право на ограничение обработки
Право на переносимость данных
Право на объект
Права, связанные с автоматизированным принятием решений и профилированием

Вы можете указать эти права в одном длинном пункте в своей Политике конфиденциальности, как это делает Direct Travel здесь, в своей Политике:

Или вы можете указать каждое право в отдельном пункте с более персонализированной информацией.

Вот пример пункта от uSwitch, который касается прав пользователей в соответствии с GDPR:

uSwitch сообщает своим клиентам об их праве прекратить обработку своей личной информации в маркетинговых целях. Это право может быть реализовано пользователем, установив или сняв отметку в полях в формах при сборе их данных или позже по электронной почте.

Вот как GameStop уведомляет своих пользователей об их праве доступа через их Политику конфиденциальности:

Обратите внимание, что очень важно правильно обрабатывать запросы доступа к конфиденциальности.

В своей Политике конфиденциальности Twitter есть пункт о переносимости, в котором объясняется, что пользователи могут следовать набору связанных инструкций, чтобы загрузить информацию, которой они поделились через веб-сайт.

Twitter также имеет отдельный пункт для доступа и исправления личных данных, который инструктирует пользователей, как исправить свои личные данные непосредственно через страницу настроек учетной записи.

Если каждое из 8 прав указано где-то в вашей Политике конфиденциальности, у вас есть варианты того, как это сделать.

Независимо от того, передаете ли вы данные за границу

Если вы передаете данные за границу, вам нужно будет указать это в своем соглашении о политике конфиденциальности. Также упомяните о любых «гарантиях конфиденциальности», которым подпадает ваш бизнес.

Debenhams иллюстрирует это следующим образом:

Debenhams информирует своих пользователей о том, что он передает пользовательские данные третьей стороне, расположенной за пределами Европейской экономической зоны (ЕЭЗ). Он также сообщает своим клиентам, что будет соблюдать Закон о защите данных 1998 года при таких передачах.

Какова ваша правовая основа для обработки данных

GDPR требует, чтобы вы предоставили правовое основание для обработки персональных данных клиентов. Существует 6 правовых основ, а именно:

Субъект данных дал согласие на обработку
Обработка необходима для выполнения контракта между двумя сторонами
Обработка необходима для выполнения юридического обязательства
Обработка необходима для защиты жизненно важных интересов субъекта данных
Обработка необходима для защиты общественных интересов или осуществления официальных полномочий
Обработка необходима в законных интересах, если не нарушаются основные права и свободы

Причина номер 6 – это обычное правовое основание, так как то, что считается «законным интересом», очень широко.

Обычно эта информация содержится в разделе «Как мы используем информацию, которую собираем», как в этом примере из Trello:

Trello также имеет пункт, специально посвященный Юридическим основаниям для обработки (для пользователей из ЕЭЗ) :

Ваша правовая база, вероятно, будет включать законные интересы, такие как обеспечение поддержки клиентов, обслуживание клиентов и другие общие деловые интересы. Укажите это в своей Политике конфиденциальности, чтобы пользователи знали, зачем вам нужно собирать их данные.

Как получить согласие

Если вы используете согласие в качестве законного основания для сбора личной информации, рекомендуется использовать флажки и переходы по ссылкам. Это поможет убедиться, что вы получите адекватное утвердительное согласие. Вы должны запросить и получить четкое согласие в случаях, когда собранная информация носит очень конфиденциальный характер, например данные о состоянии здоровья или религиозной принадлежности.

Вот несколько примеров, демонстрирующих, как получить согласие пользователя.

Sainsbury’s использует флажок, чтобы запрашивать согласие пользователей, а также дает ссылку на страницу с положениями и условиями.Он также запрашивает разрешение на отправку другой информации пользователю с помощью простого переключателя да / нет.

Сеть защиты данных отображает Условия использования веб-сайта на прокручиваемой странице с флажком для получения согласия пользователя, расположенным непосредственно под ним. Он использует интуитивно понятную кнопку с галочкой / крестиком для запроса согласия пользователя на отправку им электронных писем. Он также предоставляет ссылку на свою Политику конфиденциальности на той же странице.

Это также работает для приложений.Вот как приложение Adobe ID использует переход по щелчку мыши, чтобы побудить пользователей согласиться с его Политикой конфиденциальности при регистрации:

Заключение

Хотя у вас, вероятно, уже есть Политика конфиденциальности для вашего бизнеса, веб-сайта или приложения, GDPR призывает вас пересмотреть ее и обновить, чтобы сделать ее более информативной, краткой и с некоторой конкретной информацией, которая ранее не требовалась.

Вам также необходимо сделать запросы на согласие более надежными с помощью флажков, кнопок «Согласен» и открытого текста, окружающего эти функции, который информирует пользователей, с чем именно они соглашаются.

Образец шаблона политики конфиденциальности GDPR

Одна из важнейших концепций Общего регламента ЕС по защите данных (GDPR) – это прозрачность . Физические лица владеют своими личными данными. Как компания, занимающаяся обработкой этих персональных данных, вы должны раскрывать все , что вы с ними делаете. Вот почему так важно иметь политику конфиденциальности .

Политика конфиденциальности обязательна согласно многим законам о конфиденциальности.Согласно GDPR, это один из важнейших документов вашей компании. Это единственный способ продемонстрировать своим клиентам и властям, что вы серьезно относитесь к защите данных.

Политика конфиденциальности GDPR иногда называется Заявлением о конфиденциальности GDPR или Уведомлением о конфиденциальности GDPR.

Давайте посмотрим, что требует закон, и как вы можете адаптировать свою Политику конфиденциальности к контексту вашего бизнеса.

Почему важна политика конфиденциальности GDPR?

Персональные данные – это большой бизнес.Такие компании, как Google и Facebook, имеют доходы больше, чем в некоторых странах. Они заработали состояние, обрабатывая личные данные людей.

GDPR устанавливает правила о том, как личные данные должны обрабатываться в ЕС. Он также предоставляет права отдельным лицам в отношении их личных данных. Без законов о конфиденциальности, таких как GDPR, люди потеряли бы контроль над информацией, которую о них собирают предприятия и правительства.

Политика конфиденциальности – это возможность вашей компании показать своим клиентам, что вам можно доверять их личные данные.Это также шанс по-настоящему понять, сколько личных данных контролирует ваша компания, и соответствуют ли ваши методы защиты данных юридическим требованиям.

Ваша компания, возможно, уже разработала Политику конфиденциальности в соответствии с одним из многих других законов, которые требуют ее, например:

GDPR другой. Его требования более строгие, чем , чем любой из вышеперечисленных законов, и всего, что вы создали для их соблюдения, скорее всего, будет недостаточно в соответствии с GDPR.

Важные разделы политики конфиденциальности GDPR

GDPR устанавливает особые требования к информации, которую вы должны предоставить в своей Политике конфиденциальности. В основном они изложены в статьях 13 и 14.

Важно помнить, что это общедоступный документ, а , а не , написан специально для ваших клиентов. Он должен быть нацелен на всех , чьи персональные данные вы можете обрабатывать, включая потенциальных клиентов и посетителей вашего веб-сайта .

Давайте посмотрим, что вам нужно включить.

Введение

Вы должны начать свою Политику конфиденциальности с краткого объяснения того, кто ваша компания и какова ваша Политика конфиденциальности.

Укажите дату, с которой Политика конфиденциальности вступает в силу («дата вступления в силу , »).

Вот как Visa Global начинает свою Политику конфиденциальности:

Вы должны указать юридическое название и юридический адрес вашей компании.

Вот как это делает MembersFirst:

Если у вас есть сотрудник по защите данных (DPO) и / или представитель в ЕС, вы также должны указать их контактные данные.

Выше вы заметили, что MembersFirst называет себя «контролером данных». Для целей GDPR ваша компания, вероятно, также является «контроллером данных» – если она принимает решений, о , как и , почему обрабатываются персональные данные .

Определения

В соответствии со статьей 12 GDPR ваша Политика конфиденциальности должна быть написана на ясном и доступном языке .Поэтому вам следует по возможности избегать использования юридической терминологии.

Однако в некоторых случаях этого можно избежать. Поэтому вам следует включить в свою Политику конфиденциальности раздел, в котором вы даете определения ключевых терминов.

Некоторые компании дают свои определения непосредственно из статьи 4 GDPR. Это подход AEG:

На самом деле это не так уж и полезно для читателя. Возможно, определение « субъекта данных » как « идентифицируемое физическое лицо […], кого можно прямо или косвенно идентифицировать, в частности, по идентификатору “мало что дает для прояснения того, что этот термин на самом деле означает для непрофессионала.

Вот еще один пример из Edgbaston Park Hotel. Его определения более доступны и понятны .

Здесь вы можете увидеть разницу между написанием легальным языком и написанием обычным голосом, который намного легче понять.

Принципы обработки персональных данных

Статья 5 GDPR содержит шесть принципов, в соответствии с которыми должны обрабатываться все персональные данные.

Это:

Законность , справедливость , и прозрачность : соблюдать закон; обрабатывать личные данные только так, как люди разумно ожидают; всегда открыто рассказывайте о своих методах защиты данных.
Ограничение цели : обычно вы должны обрабатывать личные данные только по конкретной причине, по которой вы их собрали, и ничего больше.
Минимизация данных : не обрабатывайте больше данных, чем вам нужно.
Точность : убедитесь, что все личные данные, которые вы храните, достоверны и точны.
Ограничение хранения : не храните личные данные дольше, чем необходимо.
Целостность и конфиденциальность : всегда безопасно обрабатывать личные данные.

Некоторые компании предпочитают изложить эти принципы в своей Политике конфиденциальности, просто указав в списке и заявив о своем соответствии им. Это подход, принятый CRG:

Другие используют более персонализированный подход , перечисляя конкретные принципы своей компании и связывая их с принципами GDPR.Вот пример Международного института окружающей среды и развития:

Типы обрабатываемых вами персональных данных

Определение « персональных данных » в GDPR очень широко. Скорее всего, ваша компания обрабатывает много данных.

Поскольку все, от IP-адресов до файлов cookie , представляет собой личные данные, ваш веб-сайт может обрабатывать личные данные людей, которые никогда даже не свяжутся с вашей компанией.В своей Политике конфиденциальности вы должны указать абсолютно ясно, , примерно , каждый тип личных данных, с которыми вы имеете дело, и почему вам это нужно.

Многие компании разбивают эту часть своей Политики конфиденциальности на подразделы, такие как «данные, которые вы нам предоставляете», «данные, собранные нашим веб-сайтом» и т. Д.

Вот пример из Clearcast:

Затем вы можете дополнительно разбить эту информацию на более детализированных категорий . Вот как это делает Synthorx:

Будьте как можно более подробными и конкретными при раскрытии типов персональных данных, которые вы собираете и обрабатываете.Постарайтесь раскрыть эту информацию так, чтобы ваши пользователи могли ее понять.

Как вы обрабатываете личные данные

В соответствии с принципами « ограничение цели » и « минимизация данных » у вас всегда должна быть уважительная причина для обработки любых личных данных, которыми вы владеете.

Вы должны указать наши цели для обработки персональных данных в своей Политике конфиденциальности.

Вот выдержка из соответствующей части Политики конфиденциальности The Independent:

Это также может быть пункт, в котором описывается, «как» и «почему» используются данные, при условии, что пользователи проинформированы о том, что именно вы делаете с собираемыми вами данными.

Правовая основа

GDPR позволяет обрабатывать личные данные только на одной из шести юридических (или «законных») оснований. Вам не разрешается обрабатывать личные данные, если вы не установили для этого хорошее , юридическое обоснование .

Правовыми основаниями для обработки персональных данных являются:

Согласие : вы получили их разрешение в соответствии с GDPR
Договор : вам необходимо обработать свои личные данные для выполнения договора
Юридическое обязательство : вы нарушите закон, если не обработаете их личные данные
Жизненно важные интересы : их жизнь (или чья-то жизнь) зависит от того, как вы обрабатываете их личные данные
Общедоступная задача : вам необходимо обработать их личные данные для выполнения задачи, отвечающей общественным интересам
Законные интересы : обработка их личных данных отвечает вашим интересам, и вы выполнили оценку законных интересов

Ваша Политика конфиденциальности должна содержать подробную информацию о ваших юридических основаниях для обработки.

Некоторые компании связывают свою правовую базу с типами персональных данных, которые они обрабатывают, и причинами их обработки. Вот как это делает Pint of Science:

Если вы полагаетесь на « законные интересы », вам необходимо указать, каковы ваши законные интересы.

Если вы используете « согласие » в качестве законного основания, вы должны включить ссылку на право ваших пользователей отозвать согласие . Вот как это делает Sharp:

Если ваша правовая основа – « контракт », вам необходимо сообщить людям, что произойдет, если они не предоставят вам личные данные, необходимые для выполнения контракта.Вот как это делает бюджет:

Убедитесь, что вы знаете, каково ваше правовое основание (или есть), и сообщите об этом.

Хранение личных данных

Принцип « ограничения хранения » требует, чтобы вы не хранили личные данные дольше, чем это необходимо. В вашей Политике конфиденциальности необходимо указать , как долго вы будете хранить различные типы персональных данных, которые вы собираете.

Это не всегда будет конкретный период (т.е. одна неделя, два месяца и т. д.). Это может определяться продолжительностью времени, в течение которого вам нужны данные (например, пока человек не закроет свою учетную запись).

Вот часть соответствующего раздела в Политике конфиденциальности Big Yellow Storage:

Если вы храните разные типы данных в течение разных периодов времени, раскрывайте это как можно более конкретно.

Кому вы предоставляете личные данные

Вам разрешено делиться личными данными в соответствии с GDPR, если вы прозрачны в этом отношении и у вас есть действующее правовое основание для этого.Подробная информация об этом должна быть указана в вашей Политике конфиденциальности.

Вот часть соответствующего раздела Политики конфиденциальности First Table:

Обратите внимание, что GDPR не требует, чтобы вы перечисляли имен каждой компании, с которой вы делитесь данными, только общие типов компаний (например, процессоры платежей, почтовые перевозчики и т. Д.).

Однако обязательно ознакомьтесь с Условиями использования компаний, с которыми у вас есть Соглашение об обработке данных.Некоторые из них, например Google, требуют, чтобы вы их конкретно называли.

Вот как Discover France выполняет требования Google по раскрытию информации:

В пункте прямо указано, что «данные Google Analytics передаются в Google», что позволяет пользователям Discover France узнать, что третья сторона (Google) получает некоторые из их личных данных.

Международная передача персональных данных

Если вы передаете личные данные из ЕС в страну, не входящую в ЕС (например, если ваш веб-сервер находится в США или вы используете процессор данных из Австралии), вам необходимо объяснить это в своей Политике конфиденциальности. .

Есть только определенные причины, по которым вы можете передавать личные данные за пределы ЕС. К ним относятся:

Страна, не входящая в ЕС, в которую вы передаете личные данные, была признана Европейской Комиссией с уровнем защиты данных « адекватный »;

«Соответствующие» страны включают Канаду и Новую Зеландию. США включены, но только , если компания из США является частью структуры Privacy Shield.

У вас есть договор с получателем, который содержит стандартные положения о защите данных;
Вы передаете личные данные в пределах международной компании (или группы компаний, работающих вместе) в соответствии с обязательными корпоративными правилами;
В крайнем случае и с некоторыми другими условиями, у вас есть согласие человека на передачу его данных .

В этом разделе вашей Политики конфиденциальности необходимо объяснить, какой из этих механизмов вы используете для международных переводов.

VIDA Diagnostics использует стандартные договорные положения для облегчения своих международных переводов. Вот как VIDA объясняет это в своей Политике конфиденциальности:

Belmond использует другой подход, охватывая все аспекты своей Политики конфиденциальности:

Права на данные

GDPR предоставляет физическим лицам восемь прав на их личные данные.При соблюдении определенных условий вы должны обеспечить соблюдение этих прав, когда вас об этом попросят.

Эти права:

Право на получение информации
Право доступа
Право на исправление
Право на стирание (известное как «право на забвение»)
Право на ограничение обработки
Право на переносимость данных
Объект
Права в отношении автоматизированного принятия решений

Скорее всего, не все права распространяются на вашу компанию, но вы должны быть с ними знакомы в любом случае.

Ваша Политика конфиденциальности должна предоставлять информацию об этих индивидуальных правах, а также предоставлять метод , с помощью которого люди могут их реализовать. Это может быть веб-форма или просто адрес электронной почты.

Вот как Оксфордский университет предоставляет информацию о некоторых из этих прав:

И вот как люди могут связаться с университетом в связи с этими правами:

Кембриджский университет, с другой стороны, облегчает право доступа через онлайн-форму :

Запросы, касающиеся других прав, можно выполнить по электронной почте:

Вы также должны проинформировать своих пользователей об их праве подать жалобу в орган по защите данных, например, в Управление комиссара по информации (ICO) в Великобритании или в Комиссию по защите данных (DPC) в Ирландии.

Вот как это делает благотворительная организация Make-A-Wish:

Изменения в вашей политике конфиденциальности

Вы должны сообщить людям, что вам может потребоваться внести изменения в вашу Политику конфиденциальности, и сообщить им, как вы будете информировать их об этом.

Вот пример из Power to Change:

Рекомендуется сообщить пользователям, что им следует регулярно просматривать вашу Политику конфиденциальности, чтобы быть в курсе любых несущественных изменений и видеть текущие способы обработки их информации.

Часто задаваемые вопросы: Политика конфиденциальности GDPR

Вот список часто задаваемых вопросов, которые могут оказаться полезными.

Если вы подпадаете под юрисдикцию GDPR , у вас должна быть Политика конфиденциальности, соответствующая GDPR.

GDPR применяется к вам, если вы:

Находятся в ЕС, или
Предлагать товары и услуги физическим лицам, находящимся в ЕС, или
Наблюдать за поведением лиц, находящихся в ЕС

Даже если вы не подпадаете под действие GDPR, сделать вашу Политику конфиденциальности соответствующей GDPR – это разумная идея .GDPR в настоящее время является самым строгим законом о конфиденциальности в мире, и другие законы начинают его отражать.

По мере принятия новых законов о конфиденциальности и ужесточения существующих законов вы будете на шаг впереди в соблюдении требований, если приведете свою Политику конфиденциальности в соответствие с GDPR.

Помимо стандартных положений Политики конфиденциальности, GDPR имеет некоторые особые требования, включая следующие:

Ваша Политика конфиденциальности должна быть написана ясным и легким для понимания языком
Вы должны указать свое правовое основание для обработки личной информации
Вы должны раскрыть права пользователя, предоставленные GDPR
Вы должны сообщить пользователям, как долго вы храните их личную информацию на
Международные передачи данных должны быть рассмотрены подробно, с перечислением мер безопасности

Типичные обновления Политики конфиденциальности для удовлетворения требований GDPR включают следующее:

Упрощение языка и форматирования вашей Политики конфиденциальности для облегчения чтения и понимания
Получение согласия в соответствии с GDPR на вашу Политику конфиденциальности, если вы этого не делали
Включая дополнительные пункты и информацию, такую как права пользователя GDPR, вашу правовую основу для обработки личной информации, способы защиты любых международных передач данных, которыми вы участвуете, а также контактную информацию вашего сотрудника по защите данных и представителя в ЕС, если применимо

Добавьте ссылку на свою Политику конфиденциальности GDPR в нижнем колонтитуле своего веб-сайта .Это соответствует требованию GDPR о том, что ваша Политика конфиденциальности должна быть легко и свободно доступна.

Вам также потребуется добавить ссылку на вашу Политику конфиденциальности GDPR везде, где вы собираете личную информацию . Например:

Формы регистрации аккаунта
Формы подписки на рассылку новостей по электронной почте
Электронная почта
Контактные формы
Экраны оплаты / кассы электронной торговли
Списки мобильных приложений в магазинах приложений
В мобильных приложениях в меню, например в меню «О программе» или «Юридические сведения».

Заставьте пользователей согласиться с вашей Политикой конфиденциальности GDPR, установив неотмеченный флажок рядом с заявлением, в котором говорится что-то похожее на «». Установив этот флажок, вы подтверждаете, что прочитали и согласны с условиями Политики конфиденциальности. “

Когда пользователь щелкает поле и переходит к вашему веб-сайту или мобильному приложению, вы получаете согласие с вашей Политикой конфиденциальности в соответствии с GDPR.

Отображение вашей политики конфиденциальности GDPR

Ваша Политика конфиденциальности не является контрактом . Вы можете выполнять некоторую обработку данных в соответствии с контрактом или с согласия ваших пользователей. Но у них действительно нет выбора, соглашаться ли они с самой Политикой конфиденциальности.

Таким образом, хотя вам может не потребоваться, чтобы ваши клиенты «соглашались» с вашей Политикой конфиденциальности так же, как они могли бы согласиться с вашими Положениями и условиями или Политикой возврата и возмещения средств, вам следует попытаться убедиться, что они прочитали .Вы также можете попросить их подтвердить, что они это сделали.

Итак, ваша Политика конфиденциальности должна быть заметна и доступна всем, кто взаимодействует с вашим бизнесом.

Вот несколько способов сделать так, чтобы его заметили

на вашем сайте

Вам следует разместить ссылку на вашу Политику конфиденциальности в нижнем колонтитуле, который сохраняется на каждой странице вашего веб-сайта. Вы можете разместить его вместе с другими политиками, такими как Условия использования или Политика допустимого использования .

Вот как это делает The Times:

Если вы управляете магазином электронной коммерции , вы должны убедиться, что ваши клиенты могут прочитать вашу Политику конфиденциальности в момент, когда они совершают покупку . Вот пример из Amazon UK:

Всякий раз, когда вы просите у своих пользователей согласие , вы также должны обратить их внимание на вашу Политику конфиденциальности. Вот как это делает Profile Editions при запросе согласия на прямой маркетинг :

Убедитесь, что ваша Политика конфиденциальности постоянно доступна, чтобы ваши пользователи могли просматривать ее в любое время.Включите его в места, где вы собираете личную информацию (например, адреса электронной почты или платежную информацию), как напоминание, которое ваши пользователи могут проверить, чтобы узнать, как вы будете использовать эту личную информацию.

В вашем мобильном приложении

Если у вашей компании есть мобильное приложение, важно, чтобы ваши пользователи могли получить доступ к вашей Политике конфиденциальности из внутри приложения .

Например, приложение Just Eat предоставляет ссылку на свою Политику конфиденциальности в меню «Справка»:

Меню «Настройки» или «Правовая информация» – это другие области, в которых пользователи должны искать политику конфиденциальности.

Если ваши пользователи могут создать учетную запись в вашем приложении, важно представить вашу Политику конфиденциальности в момент сбора их информации. Вот как это делает Facebook (обратите внимание, что Facebook называет свою Политику конфиденциальности «Политикой данных»):

В ваших сообщениях

Каждый раз, когда вы отправляете автоматическое письмо , вы должны ссылаться на свою Политику конфиденциальности в нижнем колонтитуле. Это особенно важно, если вы отправляете прямые маркетинговые сообщения.

Вот пример из Waitrose:

Краткое изложение вашей политики конфиденциальности GDPR

Написание Политики конфиденциальности – одно из важнейших юридических обязательств в соответствии с GDPR. Чтобы убедиться, что он соответствует строгим стандартам ЕС, убедитесь, что вы указали:

Введение , объясняющее назначение документа
Дата вступления в силу Политики конфиденциальности (или дата ее последнего обновления)
Название вашей компании и контактные данные
Имя и контактные данные для важных ролей (DPO, Представитель ЕС и т. Д.)
Защита ваших данных Принципы
типов обрабатываемых вами персональных данных
Как и почему вы обрабатываете личные данные
Ваша правовая база для каждого акта обработки
Как долго вы храните личные данные
Типы третьих лиц , которым вы делитесь персональными данными
Подробная информация о любых переводах в страны, не входящие в ЕС
Уведомление о способах передачи изменений Политики конфиденциальности

Скачать шаблон политики конфиденциальности GDPR

Загрузите наш шаблон политики конфиденциальности GDPR в виде файла PDF, DOCX или документа Google.

Этот бесплатный загружаемый шаблон включает следующие разделы:

Определения
Принципы обработки персональных данных
Какие персональные данные мы собираем и обрабатываем
Как мы используем личные данные
Правовая основа для сбора и обработки персональных данных
Сохранение личных данных
Права на защиту данных

Как написать уведомление о конфиденциальности данных GDPR – бесплатный шаблон

Закон о защите данных в Великобритании изменился в результате Brexit.Вы можете найти последние инструкции здесь .

Согласно GDPR (Общий регламент по защите данных), организации должны предоставлять людям определенную информацию через заявление о конфиденциальности или уведомление о конфиденциальности.

Но что такое уведомление о конфиденциальности данных и что оно должно содержать? В этом блоге мы объясняем все, что вам нужно знать, вместе с примером заявления GDPR.

Что такое уведомление о конфиденциальности?

Уведомление о конфиденциальности – это один из нескольких документов, необходимых для соответствия GDPR.

Но поскольку многие из этих документов являются строго внутренними, для клиентов и других заинтересованных сторон предоставляется уведомление о конфиденциальности, в котором объясняется, как организация обрабатывает их личные данные.

Для этого есть две причины. Во-первых, это предотвращает путаницу в том, как используются личные данные, и обеспечивает уровень доверия между организацией и отдельным лицом.

Во-вторых, это дает людям больше контроля, когда организация собирает их личные данные.Если их что-то не устраивает, они могут запросить это через DSAR (запрос доступа к данным) и попросить организацию приостановить эту обработку.

Как написать уведомление о конфиденциальности

Статья 30 GDPR объясняет, что соответствующий документ должен включать следующие данные:

1) Контактные данные

Первое, что нужно указать в уведомлении о конфиденциальности, – это имя, адрес, адрес электронной почты и номер телефона вашей организации.

Если вы назначили представителя DPO (сотрудника по защите данных) или представителя в ЕС, вы также должны указать их контактные данные.

2) Типы персональных данных, которые вы обрабатываете

Определение личных данных намного шире, чем вы думаете, поэтому вы должны убедиться, что включили все необходимое – и в конкретных деталях.

Например, вместо того, чтобы просто говорить «финансовая информация», укажите, какие это номера счетов, номера кредитных карт и т. Д.

Вам также следует указать, где вы получили информацию, если она не была предоставлена непосредственно субъектом данных.

Чтобы получить представление о том, как это может выглядеть, взгляните на наш шаблон уведомления о конфиденциальности:

Как можно точнее укажите тип информации, которую вы собираете, и то, как вы ее получили.

3) Законное основание для обработки персональных данных

Согласно GDPR, организации могут обрабатывать персональные данные только при наличии для этого законных оснований.В вашей политике конфиденциальности следует указать, на какую из них вы полагаетесь для каждой цели обработки.

Если вы полагаетесь на законные интересы, вы должны их описать. Аналогичным образом, если вы полагаетесь на согласие, вы должны указать, что его можно отозвать в любой момент.

Помните, что существуют особые правила, когда дело касается обработки особых категорий персональных данных.

4) Как вы обрабатываете личные данные

Вы должны объяснить, будете ли вы передавать личные данные третьим лицам.

Мы предлагаем также указать, как вы будете защищать общие данные, особенно если третья сторона находится за пределами ЕС.

Вы можете указать, будут ли данные передаваться организациям за пределами ЕС.

5) Как долго вы будете хранить их данные

GDPR гласит, что вы можете хранить личные данные только до тех пор, пока применима правовая основа для обработки.

В большинстве случаев это легко определить.Например, данные, обработанные для выполнения контрактов, должны храниться до тех пор, пока организация выполняет задачу, к которой применяется контракт.

Аналогичным образом, организации должны хранить любые данные, обрабатываемые на основании юридических обязательств, общественных задач или жизненных интересов, пока эти действия актуальны.

С согласием и законными интересами дела обстоят сложнее, поскольку нет четкого момента, когда они перестают действовать.

Таким образом, мы рекомендуем пересматривать свои методы хранения данных не реже одного раза в два года.

6) Права субъекта данных

GDPR дает физическим лицам восемь прав субъектов данных, которые вы должны перечислить и пояснить в своем уведомлении о конфиденциальности:

Право на получение информации : организации должны сообщать людям, какие их данные собираются, как они используются, как долго они будут храниться и будут ли они переданы третьим лицам.
Право доступа : люди имеют право запросить копию информации, которую организация хранит о них.
Право на исправление : физические лица имеют право исправлять неточные или неполные данные.
Право на забвение : при определенных обстоятельствах люди могут попросить организации стереть любые личные данные, которые хранятся на них.
Право на переносимость : физические лица могут потребовать от организации передать любые данные, которые она хранит, другой компании.
Право на ограничение обработки : отдельные лица могут потребовать от организации ограничить способ использования личных данных.
Право на возражение : физические лица имеют право оспаривать определенные виды обработки, такие как прямой маркетинг.
Права, связанные с автоматическим принятием решений, включая профилирование. : отдельные лица могут попросить организации предоставить копию своей автоматизированной обработки, если они считают, что данные обрабатываются незаконно. Вам также следует напомнить людям, что они могут пользоваться своими правами, и объяснить, как они могут это сделать.

Создайте собственное уведомление о конфиденциальности в соответствии с GDPR с помощью нашего шаблона.

Зачем вам нужно уведомление о конфиденциальности

Уведомления о конфиденциальности являются юридическим требованием в соответствии с GDPR, гарантирующим, что люди знают, как обрабатываются их личные данные.

Однако они также могут принести пользу организациям несколькими способами.

Например, политика конфиденциальности предоставляет документальное подтверждение ваших действий по обработке данных. Это поможет вам оправдать вашу обработку, если кто-то подаст жалобу в надзорный орган.

Политики и процедуры

GDPR также могут помочь вам выиграть бизнес, поскольку они доказывают, что у вас есть соответствующие меры защиты информации.

Уведомление о конфиденциальности – это то же самое, что и политика конфиденциальности?

Хотя они охватывают многие из тех же тем, не следует путать уведомления о конфиденциальности с политиками конфиденциальности.

В контексте GDPR уведомление о конфиденциальности – это общедоступный документ, созданный для субъектов данных.

В отличие от этого, политика конфиденциальности GDPR – это внутренний документ, который объясняет обязательства и методы организации по соблюдению их нормативных требований.

Когда следует предоставлять уведомление о конфиденциальности GDPR?

Контроллеры данных должны предоставлять уведомление о конфиденциальности всякий раз, когда они получают личную информацию субъектов данных.

В этом нет необходимости только тогда, когда:

Субъект данных уже имеет информацию, указанную в уведомлении о конфиденциальности;
Предоставление такой информации было бы невозможным или потребовало бы непропорциональных усилий;
Организация обязана получать информацию; или
Персональные данные должны оставаться конфиденциальными при условии соблюдения профессиональной тайны.

Когда организация получает личную информацию от третьей стороны, она должна предоставить уведомление о конфиденциальности в течение месяца.

Это должно быть сделано в первый раз, когда организация связывается с субъектом данных или когда личные данные впервые передаются другому получателю.

Самый простой способ предоставить уведомление о конфиденциальности – это разместить его на своем веб-сайте и дать на него ссылку, когда это необходимо.

Если у вас нет веб-сайта, сделайте физическую копию своей политики конфиденциальности.

Составление уведомления о конфиденциальности

Ваша политика конфиденциальности должна быть написана ясным и понятным языком, понятным субъектам данных.

Это особенно важно, когда вы обрабатываете личные данные детей, так как существует множество концепций, которые вам придется объяснить более подробно.

Как правило, политика конфиденциальности должна быть написана активным голосом и избегать ненужной юридической и технической терминологии.

Точно так же вам следует избегать таких определителей, как «может», «мог бы», «некоторые» и «часто», поскольку они намеренно расплывчаты. Заявление о том, что вы «можете» что-то сделать, не помогает субъекту данных понять, при каких обстоятельствах это произойдет.

Наконец, полис должен быть бесплатным и легкодоступным. Не прячьте его в ссылке внизу формы, где его вряд ли увидят.

Вместо этого вы должны предоставить им политику в письменной форме или дать ссылку на нее при запросе их личных данных.

Не делайте догадок в своем уведомлении о конфиденциальности

Вам нужны дополнительные советы о том, как задокументировать соответствие GDPR? В таком случае наш настраиваемый шаблон уведомления о конфиденциальности идеально подходит.

Наш шаблон уведомления о конфиденциальности содержит аннотации, чтобы гарантировать соответствие требованиям GDPR.

Написанный экспертами по защите данных, этот шаблон GDPR поможет вам создать уведомление о конфиденциальности в соответствии с требованиями Регламента всего за несколько минут.

Версия этого блога была первоначально опубликована 8 ноября 2018 г.

Рекомендуемая литература:

Шаблон политики конфиденциальности

GDPR (Великобритания и США)

Для соблюдения Общего регламента защиты данных (GDPR) вам потребуется политика конфиденциальности GDPR .

Без политики конфиденциальности GDPR (также обычно называемой уведомлением о конфиденциальности GDPR или заявлением о конфиденциальности GDPR) вы рискуете наложить штрафы за несоблюдение, которые могут вывести вас из бизнеса.

Прочтите, чтобы узнать, что такое GDPR, если вам нужно соблюдать, почему политика конфиденциальности является обязательной в соответствии с GDPR и что включает политика конфиденциальности GDPR.

Загрузите наш бесплатный шаблон политики конфиденциальности GDPR, чтобы легко начать свой собственный путь соблюдения GDPR.

Оглавление

Что такое GDPR?
Нужно ли мне соблюдать GDPR?
Что такое политика конфиденциальности GDPR?
Как сделать мою политику конфиденциальности совместимой с GDPR?
Примеры политики конфиденциальности GDPR
Как написать политику конфиденциальности GDPR

1.Что такое GDPR?

GDPR – это закон о конфиденциальности данных, действующий с 25 мая 2018 года. Принятый ЕС, но затрагивающий компании по всему миру, GDPR дает пользователям больше прав на личную информацию, которой они делятся с предприятиями, и наказывает компании, которые халатно относятся к эти данные.

GDPR направлен на защиту прав пользователей на данные в Европейской экономической зоне (ЕЭЗ). В ЕЭЗ входят ЕС, Исландия, Лихтенштейн и Норвегия. Кроме того, GDPR распространяется на пользователей в Швейцарии.

Понимание основ GDPR имеет решающее значение для любого веб-сайта или бизнеса, который собирает личные данные от граждан ЕЭЗ, поскольку закон в равной степени применяется к компаниям в США, как и к компаниям в ЕЭЗ.

Штрафы за несоблюдение требований составляют до 23 миллионов долларов, или 4% от вашего годового глобального оборота, в зависимости от серьезности вашего нарушения.

2. Нужно ли мне соблюдать GDPR?

Поскольку GDPR применяется к компаниям по всему миру, вы можете подпадать под действие этого строгого закона о конфиденциальности.Требуется ли вам соблюдать GDPR, будет зависеть от ваших ответов на два вопроса:

1. Собираю ли я личную информацию от пользователей?

Личная информация включает имена, адреса электронной почты, данные кредитной карты, данные устройства и другую информацию, которая может быть связана с конкретным человеком. Если вы используете файлы cookie, собираете онлайн-платежи, разрешаете учетные записи пользователей или отправляете сообщения посетителям сайта по электронной почте, вы собираете личную информацию.

2. Есть ли у меня или планирую иметь пользователей в ЕЭЗ?

Если в настоящее время у вас есть пользователи в ЕС, Исландии, Лихтенштейне, Норвегии или Швейцарии, и вы собираете личную информацию, вы должны соблюдать GDPR.

Имейте в виду, что если вы в настоящее время отвечаете «нет» на один из двух вопросов выше, но планируете собирать личную информацию от пользователей из ЕЭЗ в будущем, вам необходимо как можно скорее подготовиться к соблюдению GDPR.

Малые предприятия также обязаны соблюдать GDPR, если они собирают личную информацию от пользователей из ЕЭЗ. Если вы владелец малого бизнеса, настройте наш шаблон политики конфиденциальности для малого бизнеса в соответствии с требованиями GDPR.

Нужна ли мне политика конфиденциальности для соответствия GDPR?

Чтобы соответствовать GDPR, вам нужна политика конфиденциальности.

Руководящие принципы

GDPR сосредоточены на прозрачности, поэтому компании должны четко объяснять, как они собирают, передают и обрабатывают пользовательские данные, в политике конфиденциальности.

Три статьи GDPR касаются требования уведомления о конфиденциальности:

Статья 12. Информация о сборе, хранении и передаче данных должна предоставляться пользователям в письменной форме.
Статья 13 – Если вы собираете данные пользователей, вам необходимо предоставить им определенную информацию, такую как ваши контактные данные и цели обработки данных.
Статья 14. Если данные не собираются напрямую от пользователя, вам необходимо предоставить подробную информацию о соответствующих партнерах, аффилированных лицах или третьих лицах.

Согласно GDPR Recital 58, эти статьи могут быть удовлетворены путем предоставления информации о конфиденциальности данных в электронной форме через ваш веб-сайт.

То есть вы можете удовлетворить трем требованиям GDPR, разместив на своем веб-сайте правильную политику конфиденциальности. Если вы создали свой веб-сайт с помощью WordPress, ваша политика конфиденциальности WordPress должна соответствовать требованиям GDPR.

Наличие политики конфиденциальности также является требованием в соответствии с Законом Калифорнии о защите конфиденциальности в Интернете (CalOPPA) и Законом Калифорнии о конфиденциальности потребителей (CCPA), и ваша политика конфиденциальности может быть легко написана в соответствии с этими законами, а также GDPR.

Законы о конфиденциальности и безопасности данных во всем мире требуют соблюдения политики конфиденциальности. Чтобы соответствовать GDPR, ваша политика конфиденциальности должна включать определенную информацию и соответствовать определенным требованиям.

Если вы работаете в Германии, Австрии или Швейцарии, по закону на вашем веб-сайте должны быть размещены импрессум, а также политика конфиденциальности.Многие затронутые компании предпочитают объединить эти два аспекта.

3. Что такое политика конфиденциальности GDPR?

Политика конфиденциальности GDPR – это уведомление на вашем веб-сайте, в котором четко объясняется, как вы обрабатываете личные данные пользователей из ЕЭЗ.

Ваша политика конфиденциальности GDPR не должна быть отделена от вашей обычной политики конфиденциальности. Фактически, «политика конфиденциальности GDPR» относится только к политике конфиденциальности, которая включает в себя необходимые элементы управления и информацию для удовлетворения требований GDPR.

4. Как сделать мою политику конфиденциальности совместимой с GDPR?

Чтобы соответствовать GDPR, ваша политика конфиденциальности должна быть прозрачной по языку и содержанию и содержать конкретные положения, касающиеся того, как вы собираете, передаете и обрабатываете данные.

Ваше уведомление о конфиденциальности должно быть понятно среднему читателю и должно давать ему четкое представление о том, как вы обрабатываете его данные и какие права они имеют в отношении их личной информации.

Требования к политике конфиденциальности GDPR

Два основных требования к вашей политике конфиденциальности GDPR заключаются в том, что она должна быть прозрачной и ориентированной на пользователя.

Согласно статье 12 GDPR, информация об обработке данных должна быть представлена:

… в краткой, прозрачной, понятной и легко доступной форме с использованием ясного и понятного языка.

Несмотря на то, что использование технических терминов в политике конфиденциальности неизбежно, информация должна быть краткой и не должна быть скрыта плотными абзацами. Сложный текст и ненужный мелкий шрифт недопустим.

Официальные принципы прозрачности GDPR объясняют, что соответствующая политика конфиденциальности должна быть интуитивно понятной, с логическими меню и интерактивной навигацией.

Чтобы понять важность прозрачности, взгляните на недавний штраф Google GDPR.Технический гигант был наказан за распространение важной информации во многих своих политиках и введение пользователей в заблуждение.

Прозрачная политика конфиденциальности GDPR изначально ориентирована на пользователя и включает простой язык, соответствующие визуальные элементы и удобную для навигации структуру.

Ваша политика GDPR должна быть написана таким образом, чтобы помочь пользователям сделать осознанный выбор в отношении обмена своими личными данными.

Что включать в политику конфиденциальности GDPR

Политика конфиденциальности, соответствующая GDPR, не только прозрачна и ориентирована на пользователя, но и должна содержать несколько конкретных положений.

Уведомление о конфиденциальности GDPR должно содержать следующие разделы:

Соответствующие контактные данные

В вашей политике конфиденциальности необходимо указать контактные данные следующих лиц:

Контроллеры данных : Контроллеры данных определяют, как и почему собираются личные данные. Если вы собираете личные данные через свой веб-сайт, такие как данные для входа или платежные реквизиты, вы являетесь контроллером данных.
Обработчики данных : Обработчики данных обрабатывают пользовательские данные от имени контроллера данных.Например, если вы собираете платежные реквизиты через страницу оформления заказа на своем веб-сайте, вы можете быть контроллером данных, но сторонняя служба обработки платежей (например, Stripe или PayPal) может быть обработчиком данных.
Представители ЕС (если применимо): если вы обрабатываете большие объемы данных или конфиденциальную личную информацию, вам может потребоваться назначить представителя ЕС (также известного как представитель ЕС по данным) для представления ваших интересов в ЕЭЗ.
Сотрудники по защите данных (если применимо): вам нужен сотрудник по защите данных (DPO), если вы являетесь государственным органом или ваш бизнес обрабатывает большие объемы данных в качестве основной функции.DPO выступает в качестве ответственного за безопасность и следит за соблюдением требований GDPR в вашей компании.

Если вы используете несколько обработчиков данных, мы рекомендуем напрямую ссылаться на их политики конфиденциальности в рамках вашей собственной политики конфиденциальности, а не указывать их уникальные контактные данные.

Основа обработки данных

Статья 6 GDPR устанавливает следующие шесть правовых оснований, на которых данные могут быть законно обработаны:

С согласия субъекта данных
В целях соблюдения законных интересов GDPR
На исполнение договора
Для выполнения юридических обязательств
Для защиты жизненно важных интересов субъекта данных
В интересах общества

Стандартная политика конфиденциальности GDPR должна указывать, какая из этих баз применяется к каждой операции обработки данных.Как видно из приведенного ниже примера, компании должны четко объяснить, как они обрабатывают информацию о пользователях.

Наш бесплатный шаблон включает в себя раздел выше, который знакомит с политикой данных, основанной на различных бизнес-целях.

С согласия субъекта данных является одной из наиболее распространенных баз сбора данных для веб-сайтов. Мы настоятельно рекомендуем вам изучить примеры согласия GDPR других компаний, чтобы узнать, как получить законное согласие.

Автоматизированное принятие решений и / или автопрофилирование

Статья 22 GDPR объясняет, что люди имеют право не подвергаться решению, принимаемому исключительно путем автоматизированной обработки (без какого-либо участия человека).Это уникальное требование GDPR, поскольку указание такой деятельности по принятию решений ранее не требовалось никаким законом о конфиденциальности.

Если вы внедряете автоматизированную систему профилирования, важно указать в своей политике конфиденциальности, как и почему вы принимаете этот тип решений или профилируете.

Кому можно передавать данные

GDPR требует, чтобы компании сообщали, кто участвует в обработке данных. Вам необходимо указать все категории третьих лиц, партнеров и аффилированных лиц, с которыми могут быть переданы данные.

Как показано выше, если такой обмен данными может происходить в рамках слияния или поглощения, вам также необходимо указать это.

В какие страны можно передавать данные

В вашей политике конфиденциальности необходимо указать, в какие страны передаются данные и какие системы обеспечивают такую международную передачу.

Если используются файлы cookie и другие технологии отслеживания

Согласно GDPR, информация, собранная с помощью файлов cookie и других технологий отслеживания (таких как пиксельные теги), считается персональными данными.

Знание, что такое файлы cookie и как вы их используете, имеет решающее значение для соблюдения GDPR.

Таким образом, файлы cookie должны быть указаны как метод сбора данных и обрабатываться так же, как и другие методы.

Как долго могут храниться данные

GDPR требует, чтобы вы указали, как долго данные будут храниться, и советует указать причину этих периодов времени.

Какие права есть у пользователей в соответствии с GDPR Статьи 12–22 GDPR

устанавливают восемь основных прав субъектов данных:

Право на получение информации
Право на доступ
Право на исправление (исправление)
Право на стирание (забыть)
Право на ограничение обработки
Право на данные переносимость
Право на объект
Право не подвергаться автоматизированному принятию решений

Ваша политика конфиденциальности должна включать раздел, в котором перечислены основные права, предоставляемые GDPR.

Как пользователи могут действовать в соответствии с этими правами

Список прав субъектов данных должен включать указания о том, как пользователи могут действовать в соответствии с этими правами. Политика конфиденциальности GDPR должна давать указания, информацию и соответствующие ссылки, чтобы помочь пользователям, которые хотят действовать в соответствии с любым из прав, перечисленных выше.

4. Примеры политики конфиденциальности GDPR

Теперь, когда вы знаете, что должна содержать политика конфиденциальности GDPR, давайте посмотрим, как известные компании достигли этого.

Все это хорошие примеры политик конфиденциальности GDPR, но помните, что они не являются шаблонами для соблюдения GDPR. Копирование положений другой компании без изменений запутает пользователей и приведет к юридическим проблемам.

Пример № 1: Управление уполномоченного по информации (ICO) Политика конфиденциальности GDPR

ICO Великобритании имеет модельный пример политики конфиденциальности GDPR с навигационным списком слева, чтобы пользователи были легко доступны.

Как видите, политика конфиденциальности ICO четко перечисляет права пользователей в соответствии с GDPR, включает краткое объяснение каждого из них и даже предоставляет ссылки для пользователей, чтобы узнать, как они могут действовать в соответствии со своими правами.

Пример № 2: Политика конфиденциальности Etsy GDPR

Политика конфиденциальности

Etsy была написана с учетом требований GDPR. Он следует стандартному макету шаблона электронной коммерции и начинается с удобного для навигации меню.

Контактная информация уполномоченного по защите данных Etsy отображается на видном месте, так же как и сведения об уполномоченном по защите данных.

Если пользователи скептически относятся к методам сбора данных Etsy – или если у них есть жалобы, – они точно знают, к кому обратиться.

Пример № 3: Политика конфиденциальности LinkedIn GDPR

Политика конфиденциальности LinkedIn

– еще один хороший пример заявления о конфиденциальности GDPR. Помимо объяснения всей необходимой информации, политика предоставляет краткие резюме для удобства чтения.

Сетевой сайт также включает видеоверсию своей политики конфиденциальности. Хотя это перебор для малого бизнеса, стоит отметить усилия, которые известные компании предпринимают, чтобы сделать свою политику доступной и соответствующей требованиям GDPR.

Пример № 4: Политика конфиденциальности Quickbooks GDPR

Политика конфиденциальности

Quickbooks – еще один отличный пример заявления о конфиденциальности GDPR, ориентированного на пользователя. Он предлагает различные средства контроля через свой центр GDPR и включает ссылки на свою политику конфиденциальности и другие соответствующие документы.

Наличие специальной страницы конфиденциальности GDPR на вашем сайте позволяет вам размещать вместе все соответствующие политики, такие как ваши условия использования, политика файлов cookie и отказ от ответственности. Хотя GDPR требует только уведомления о конфиденциальности, эти другие политики обеспечивают важную правовую защиту.

5. Как написать политику конфиденциальности GDPR

Теперь вы должны хорошо понимать, что такое заявление о конфиденциальности, а также все ключевые положения и характеристики, которые оно должно включать, чтобы соответствовать GDPR.

Чтобы написать политику конфиденциальности GDPR, просто загрузите наш бесплатный шаблон политики конфиденциальности GDPR (соответствующий требованиям Великобритании и США) и настройте каждый раздел для своего веб-сайта и конкретных потребностей вашего бизнеса.

В качестве альтернативы воспользуйтесь нашим бесплатным генератором политики конфиденциальности, чтобы создать уведомление о конфиденциальности, соответствующее GDPR, за считанные минуты.Наш конструктор спросит некоторые подробности о вашем бизнесе и поможет вам ответить на сложные вопросы о ваших методах обработки данных и мерах по соблюдению GDPR.

Наш шаблон политики конфиденциальности GDPR, а также наш конструктор политики конфиденциальности подходят для:

Малые предприятия
Сайтов (включая WordPress)
Блоги
Платформы электронной коммерции (например, Shopify, Woocommerce)

Без политики конфиденциальности GDPR ваш бизнес окажется под угрозой. Загрузите и настройте свой собственный шаблон или создайте политику конфиденциальности бесплатно, но не ждите, чтобы соответствовать GDPR.

Не тот шаблон, который вам нужен? Загрузите и отредактируйте один из других наших шаблонов политики конфиденциальности:

Шаблон политики конфиденциальности

GDPR | Работоспособный

Прошло больше года с момента вступления в силу Общего регламента по защите данных (GDPR). Тем не менее, организации все еще находятся в процессе соответствия. Некоторые из них уже оштрафованы на сумму до 56 миллионов евро.

Всем потребуется время, чтобы научиться соблюдать правила GDPR, но каждый ваш шаг приближает вас к полному соблюдению.Итак, если вы еще не создали полную и законную политику конфиденциальности GDPR, вы можете сделать это сейчас с помощью этого загружаемого и редактируемого шаблона политики конфиденциальности GDPR. Этот шаблон поможет вам лучше понять, что вам нужно включить.

Примечание: ваша политика конфиденциальности является юридическим документом, поэтому вам необходимо проконсультироваться со своим юристом, прежде чем доработать и опубликовать ее. Этот шаблон просто дает вам представление о том, как должна выглядеть ваша политика конфиденциальности GDPR, и ни Workable, ни автор не несут никаких обязательств или ответственности, возникающих в результате использования этого шаблона политики GDPR.

Вы можете создать отдельные политики для каждой бизнес-функции, которая обрабатывает личные данные. Сюда входят, например, кадровые, финансовые, кадровые и другие отделы; но вы можете использовать один и тот же шаблон политики конфиденциальности GDPR для каждого из них. Кроме того, если вы занимаетесь набором персонала, ознакомьтесь с нашим полным руководством по GDPR для набора персонала, чтобы узнать, какие действия вам необходимо предпринять, чтобы соответствовать требованиям.

Цель политики GDPR

Здесь вы должны указать полное название и данные своей организации, а также указать цель своей политики.Для GRPR целью было бы четко объяснить, как вы собираете, обрабатываете и храните данные. Кроме того, четко укажите, кто является контролером данных для целей этой политики (возможно, ваша компания). Если вы находитесь за пределами Европейского Союза, вы можете указать сведения о назначенном вами представителе в ЕС или сотруднике по защите данных (DPO) и о том, как с ними можно связаться.

Обработчики данных

Например, если вы пишете политику конфиденциальности для приема на работу, вашим обработчиком данных будет поставщик системы отслеживания кандидатов (ATS).Объясните, как этот обработчик данных обрабатывает личные данные.

Как мы собираем данные

Укажите, какие личные данные вы собираете. Например, вы можете сказать, что собираете имена, IP-адреса и т. Д. Также укажите, какие личные данные вы собираете из других источников (например, из социальных сетей, сторонних сервисов) и каковы эти источники.

Как мы используем данные

Объясните ваши законные основания для обработки данных. Например, это может быть законный интерес или согласие, если мы говорим о найме.Обязательно четко укажите цели обработки данных и возможность автоматического принятия решений или профилирования.

Как мы раскрываем данные

Будьте прозрачны в отношении того, какие другие стороны имеют доступ к собираемым вами личным данным.

Как мы храним данные

Укажите, как вы обеспечиваете безопасность данных, где вы храните данные (в том числе, передаете ли вы их за пределы ЕС и как вы обеспечиваете защиту данных в этом случае) и как долго вы храните данные.

Права субъекта данных

Субъект данных – это лицо, данные которого вы обрабатываете (например, в процессе приема на работу кандидат на работу является субъектом данных). GDPR предоставляет этому человеку несколько прав (включая право доступа, право быть забытым и право на возражение). Объясните все эти права и дайте субъекту данных инструкции о том, как ими пользоваться.

Как пожаловаться

Предоставьте инструкции, как подавать жалобу, и укажите надзорный орган, в котором вы находитесь.

Изменения в политике конфиденциальности

Четко укажите, что вы имеете право изменять эту политику по мере необходимости и как вы будете уведомлять субъектов данных (например, через свой веб-сайт).

Контакт

Просто добавьте адрес электронной почты или номер телефона, по которому люди смогут задать вопросы о вашей политике конфиденциальности.

В качестве примера просмотрите этот пример шаблона политики конфиденциальности GDPR, созданного специально для функции набора персонала. Кроме того, чтобы получить более полное представление о том, как может выглядеть политика конфиденциальности GDPR, см. Собственную политику Workable.

Примеры положений о защите личных данных

Защита личных данных . В данном разделе «GDPR» означает Регламент (ЕС) 2016/679, Общий регламент по защите данных, а также любые имплементирующие законы, правила или постановления, изданные соответствующими надзорными органами. Термины «Контроллер», «Персональные данные», «Субъект данных», «Обработчик» и «Обработка» имеют значения, указанные в статье 4 GDPR. В той мере, в какой этот Консультант обрабатывает любые Персональные данные, регулируемые GDPR, от имени FHI 360 и в отношении которых FHI 360 является Контролером, Консультант должен: (a) действовать только по инструкциям FHI 360 при обработке Персональных данных и вести учет всех операций по обработке; (b) принимать все необходимые технические и организационные меры для защиты от несанкционированной или незаконной обработки или случайной потери, уничтожения или повреждения Персональных данных; (c) обрабатывать Персональные данные в соответствии с GDPR; (d) не делать и не разрешать никаких действий, которые могут привести к нарушению FHI 360 или любого из его филиалов GDPR; (e) немедленно проинформировать FHI 360, если он считает, что выполнение Услуг или соблюдение каких-либо инструкций FHI 360 нарушает или может быть обоснованно рассмотрено как нарушение GDPR; (f) немедленно уведомлять FHI 360 о получении любой жалобы, запроса на доступ к Субъекту данных, уведомления или сообщения, которые прямо или косвенно связаны с обработкой Персональных данных в соответствии с настоящим Соглашением, и оказывать FHI 360 полное содействие и помощь в ответах на такую жалобу, запрос, уведомление или сообщение; (g) незамедлительно и без неоправданной задержки уведомлять FHI 360, когда становится известно о любой несанкционированной потере, повреждении, повреждении, уничтожении, изменении, раскрытии или доступе, а также о несанкционированной или незаконной обработке любых Персональных данных («Нарушение Персональных данных») или любые обстоятельства, которые могут привести к нарушению личных данных, своевременно предоставляя FHI 360 информацию, достаточную для выполнения своего обязательства, если таковое имеется, сообщать о нарушении личных данных в соответствии с GDPR; (h) сотрудничать с FHI 360 и предпринимать коммерчески разумные меры, которые могут быть предприняты FHI 360 для оказания помощи в расследовании, смягчении и устранении любых нарушений личных данных; (i) сотрудничать по запросу FHI 360, чтобы обеспечить выполнение Субъектом данных прав в соответствии с GDPR в отношении Персональных данных, обрабатываемых Консультантом в соответствии с настоящим Соглашением, или для выполнения любых оценок, запросов, уведомлений или расследований. согласно GDPR; (j) разрешать стороннему субпроцессору обрабатывать Перс…

Что такое GDPR? Краткое руководство по соблюдению GDPR в Великобритании

Полные права GDPR для физических лиц: право на получение информации, право доступа, право на исправление, право на удаление, право ограничивать обработку, право на данные. переносимость, право на возражение, а также права на автоматизированное принятие решений и профилирование.

Как и в случае с принципами GDPR, здесь мы подробно останавливаемся только на некоторых правах. Больше можно найти на сайте ICO.

Доступ к вашим данным

Если вы хотите узнать, что компания или организация знает о вас, вам понадобится Subject Access Request (SAR). Ранее эти запросы стоили 10 фунтов стерлингов, но GDPR отменяет их стоимость и позволяет бесплатно запрашивать вашу информацию. Вы не можете запросить чью-либо информацию, хотя кто-то, например юрист, может запросить информацию от имени другого человека.

Когда человек делает SAR, он имеет законное право на получение подтверждения того, что организация обрабатывает его персональные данные, копию этих персональных данных (если не применяются исключения) и любую другую дополнительную информацию, имеющую отношение к запросу. .На запрос должен быть дан ответ в течение одного месяца.

Люди успешно использовали SAR, чтобы узнать, что о них хранят компании, занимающиеся информационными технологиями. Tinder отправил одному человеку 800 страниц информации об использовании его приложения, включая сведения об образовании, возрастные категории людей, которые им были интересны, и место, где происходило каждое совпадение. Другое использование выявило уровни расходов на FIFA и каждый клик, сделанный при совершении покупок на веб-сайте Amazon.

SAR могут быть сделаны в письменной или устной форме – это означает, что организация должна определить, классифицируются ли запрошенные данные как личные данные в соответствии с GDPR.SAR не обязательно должен говорить, что это SAR и может быть направлен любому человеку в организации – их даже можно отправлять через социальные сети, хотя электронная почта будет наиболее распространенным форматом для большинства людей. Помимо запрашиваемой информации, организация должна предоставить подробные сведения о том, почему она обрабатывала личную информацию, как эта информация используется и как долго она должна храниться.

Многие крупные технологические компании имеют свои собственные порталы данных, с которых можно загрузить некоторую информацию.Например, Facebook позволяет своим пользователям загружать все их старые изображения, сообщения и сообщения, в то время как Twitter и Google также позволяют получать доступ к информации, связанной с учетными записями, без необходимости делать SAR. В некоторых случаях эти способы доступа к информации могут не содержать всего, что нужно человеку. Если запрос на доступ к теме сделан и не дает результатов, которые хотел производитель, их можно обжаловать в ICO.

Автоматическая обработка, стирание и переносимость данных

GDPR также поддерживает права человека в отношении автоматизированной обработки данных.В ICO говорится, что люди «имеют право не подвергаться решению», если оно происходит автоматически и оказывает значительное влияние на человека. Есть определенные исключения, но обычно людям необходимо объяснять решение, принятое в отношении них.

Регламент также дает физическим лицам право удалять свои личные данные при определенных обстоятельствах. Это включает в себя случаи, когда в этом больше нет необходимости для цели, с которой оно было собрано, если согласие отозвано, нет законного интереса и если оно было обработано незаконно.

Переносимость данных была одним из самых модных словечек GDPR, но с ним мало что изменилось. Теоретически должна существовать возможность обмена информацией от одной службы к другой. Одним из лучших примеров обмена данными является возможность Facebook автоматически переносить ваши фотографии в учетную запись Google Фото. Он был создан Проектом передачи данных, который включает Apple, Google, Facebook, Twitter и Microsoft.

Нарушения GDPR и штрафы

Одним из важнейших и наиболее обсуждаемых элементов GDPR была способность регулирующих органов накладывать огромные штрафы на предприятия, которые не соблюдают правила.Если организация не обрабатывает данные человека должным образом, она может быть оштрафована.