Содержание

Кадровый портал – Error

Организация работы и кадровые вопросы в связи с коронавирусомОбразцы основных документов в связи с коронавирусомНерабочие дни в связи с коронавирусом

Образцы заполнения кадровых документовФормы первичных учетных документовСведения о трудовой деятельности (электронная трудовая книжка)Ведение трудовых книжек в бумажном виде

Специальная оценка условий трудаНесчастный случай на производствеОбязательные медосмотры (профосмотры)Инструктажи по охране труда

Обязательные документы при проверкахКалендарь кадровика

Хранение и использование персональных данныхМеры по защите персональных данных работниковОтветственность за нарушения законодательства о персональных данных

Привлечение иностранцевОформление иностранцев

Оформление приема на работуТрудовой договор

График отпусковЗамена отпуска денежной компенсациейОформление ежегодного оплачиваемого отпускаОтпуск по беременности и родамОтпуск по уходу за ребенкомЛьготный (дополнительный) отпуск

График работыПривлечение, оформление и оплатаУчет рабочего времениВыходные и праздничные дни

Правила внутреннего трудового распорядка (ПВТР)Дисциплинарные взысканияПорядок увольнения за нарушение трудовой дисциплины

Заработная платаРайонные коэффициенты и надбавкиМатериальная ответственность работника

Оплата больничного листа (не пилотный проект)Оплата больничного листа (пилотный проект)Заполнение больничного листа работодателемРабота с электронными больничнымиПособие по беременности и родам

Порядок проведения аттестацииОграничения на увольнение из-за непрохождения аттестацииРасходы на подготовку и переподготовку кадров

Основания для увольненияПроцедура увольнения по сокращению

Перейти в telegram-чат

Кадровый портал – Error

Организация работы и кадровые вопросы в связи с коронавирусомОбразцы основных документов в связи с коронавирусомНерабочие дни в связи с коронавирусом

Образцы заполнения кадровых документовФормы первичных учетных документовСведения о трудовой деятельности (электронная трудовая книжка)Ведение трудовых книжек в бумажном виде

Специальная оценка условий трудаНесчастный случай на производствеОбязательные медосмотры (профосмотры)Инструктажи по охране труда

Обязательные документы при проверкахКалендарь кадровика

Хранение и использование персональных данныхМеры по защите персональных данных работниковОтветственность за нарушения законодательства о персональных данных

Привлечение иностранцевОформление иностранцев

Оформление приема на работуТрудовой договор

График отпусковЗамена отпуска денежной компенсациейОформление ежегодного оплачиваемого отпускаОтпуск по беременности и родамОтпуск по уходу за ребенкомЛьготный (дополнительный) отпуск

График работыПривлечение, оформление и оплатаУчет рабочего времениВыходные и праздничные дни

Правила внутреннего трудового распорядка (ПВТР)Дисциплинарные взысканияПорядок увольнения за нарушение трудовой дисциплины

Заработная платаРайонные коэффициенты и надбавкиМатериальная ответственность работника

Оплата больничного листа (не пилотный проект)Оплата больничного листа (пилотный проект)Заполнение больничного листа работодателемРабота с электронными больничнымиПособие по беременности и родам

Порядок проведения аттестацииОграничения на увольнение из-за непрохождения аттестацииРасходы на подготовку и переподготовку кадров

Основания для увольненияПроцедура увольнения по сокращению

Перейти в telegram-чат

Согласие на обработку персональных данных

Настоящим в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27. 07.2006 года свободно, своей волей и в своем интересе выражаю свое безусловное согласие на обработку моих персональных данных АО “ЕЭТП”, зарегистрированным в соответствии с законодательством РФ по адресу Кожевническая, д. 14, стр. 5, Москва, Россия, 115114 (далее по тексту – Оператор).
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу.

Настоящее Согласие выдано мною на обработку следующих персональных данных: фамилия, имя, отчество, телефон, e-mail, а так же иных предоставляемых мною данных.

Согласие дано Оператору для совершения следующих действий с моими персональными данными с использованием средств автоматизации и/или без использования таких средств: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.
Данное согласие дается Оператору для обработки моих персональных данных в следующих целях:

  • предоставление мне услуг/работ;
  • направление в мой адрес уведомлений, касающихся предоставляемых услуг/работ;
  • подготовка и направление ответов на мои запросы;
  • направление в мой адрес информации, в том числе рекламной, о мероприятиях/товарах/услугах/работах Оператора.

Настоящее согласие действует до момента его отзыва путем направления соответствующего уведомления на электронный адрес [email protected]. В случае отзыва мною согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без моего согласия при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.06.2006 г.

УрТАТиС :: Абитуриентам

 

Заселение в общежитие

Списки граждан, которым предоставлено общежитие (Космонавтов, 14)

Списки граждан, которым предоставлено общежитие (Удельная, 5)

 


 

Выписка из приказа о зачислении в состав студентов по программам ПССЗ (очное)

Выписка из приказа о зачислении в состав студентов по программам ПКРС (очное)

Выписка из приказа о зачислении в состав слушателей по АППП (очное)

Выписка из приказа о зачислении на старшие курсы (ППКРС)

Выписка из приказа о зачислении на старшие курсы (ППССЗ) 

 

 


 

Уважаемые абитуриенты!

Подать заявление и необходимые документы для приёма в ГАПОУ СО «Уральский техникум автомобильного транспорта и сервиса» можно:


– онлайн:

через «Личный кабинет абитуриента»


– по электронной почте:

Для подачи документов по электронной почте необходимо скачать бланки заявления о приеме, анкеты поступающего, согласия на персональную обработку данных (для несовершеннолетних поступающих согласие родителей (законных представителей) обязательно), заполнить, подписать и отсканировать.
Ссылки на бланки и образцы заполнения приведены ниже. 

Также необходимо отсканировать паспорт – страницы 2-3 и 5-12 (только заполненные), аттестат и приложения к нему, СНИЛС.

Сканы всех вышеперечисленных документов отправить на  электронный адрес [email protected].


– лично по адресам:

г. Екатеринбург, пр. Космонавтов, д. 14, кабинет № 118
г. Екатеринбург, ул. Удельная, д. 5, кабинет № 10

Часы работы: Пн-Пт с 09:00 до 17:00, перерыв с 12:00 до 13:00

Телефон: +7 (343) 305-14-15


– через операторов почтовой связи общего пользования:

По адресу: 620017,  г. Екатеринбург, пр. Космонавтов, 14, приёмная комиссия 

При направлении документов по почте к заявлению о приеме приложить ксерокопии документов, удостоверяющих его личность и гражданство, ксерокопию документа государственного образца об образовании, согласие на обработку персональных данных, а также иных документов, предусмотренных Правилами приема в ГАПОУ СО «Уральский техникум автомобильного транспорта и сервиса» в 2021 году.

Документы, направленные по почте, принимаются при их поступлении в техникум не позднее сроков, установленных пунктом 6 настоящими Правилами приёма (с последующим предоставлением оригиналов документов).


Для зачисления необходимо предоставить оригинал документа об образовании (аттестат) не позднее установленного «Правилами приема в 2021 году» срока (пункт 6) 


Рейтинговые списки 2021-2022 гг.



Документы, бланки и образцы заполнения:

Правила приёма в 2021 г.

Контрольные цифры приёма

Перечень документов для поступления

Перечень документов для лиц с ОВЗ и инвалидности

Перечень документов для детей-сирот и детей, оставшихся без попечения родителей

Заявление о приеме в техникум    (образец заполнения)

Анкета поступающего    (образец заполнения)

Согласие на обработку ПДн 1 – студент    (образец заполнения)

Согласие на обработку спец. категорий ПДн 1 – студент    (образец заполнения)

Согласие на обработку ПДн 1 – родитель (законный представитель)    (образец заполнения)

Согласие на обработку спец.категорий ПДн 1 – родитель (законный представитель)    (образец заполнения)

Заявление о предоставлении общежития (при необходимости)    (образец заполнения)

Количество  мест: 30  для проживания в общежитиях по адресам:
– г. Екатеринбург, ул. Удельная, 5;
– г. Екатеринбург, пр. Космонавтов, 14. 

Перечень государств, с которыми заключены Договора о признании документов об образовании

Противопоказания по профессиям, специальностям автотранспортного профиля


 

Приёмная комиссия 2021 г.

Адрес: г. Екатеринбург, пр. Космонавтов, 14, каб. 118
Проезд:
    трамвай: 2, 5, 7, 8, 14, 16, 22, 25
    троллейбус: 3, 5, 12, 17
    автобус: 57, 059
    остановка: “Техническое училище”
Телефон: +7 (343) 305-14-15, доб. 229
Электронная почта: [email protected]
Время работы:
    Пн-Пт: с 9:00 до 17:00
    перерыв с 12:10 до 13:00
    Сб-Вс: выходной


Адрес: г. Екатеринбург, ул.Удельная, 5, каб. 10
Проезд:
    автобус: 48,64
    остановка: “Широкая речка”
Телефон: +7 (343) 305-14-15, доб. 252
Электронная почта: [email protected]
Время работы:
    Пн-Пт: с 9:00 до 17:00
    перерыв с 12:10 до 13:00
    Сб-Вс: выходной

 

 


Список профессий/специальностей

15.02.08 Технология машиностроения

23.01.03 Автомеханик

23.01.03 Техническое обслуживание и ремонт автомобильного транспорта

23.01.06 Машинист дорожных и строительных машин

23.01.07 Машинист крана (крановщик)

23.02.01 Организация перевозок и управление на транспорте (по видам)

38.01.02 Коммерция (по отраслям)

38.01.02 Коммерция (по отраслям) – заочное

38.02.03 Операционная деятельность в логистике

46. 02.01 Документационное обеспечение управления и архивоведение

18161 Сборщик из древесины

18874 Столяр


 

Обработка персональных данных юридического лица | Субъект персональных данных

Иногда при анализе норм, регламентирующих правила обработки персональных данных, возникает вопрос о персональных данных юридического лица. Вопрос наличия согласия на их обработку может стать принципиальным при заключении различных гражданско-правовых договоров.

Имеет ли юридическое лицо персональные данные

Законодательство очень конкретно подводит под понятие «персональные данные» только ту информацию, которая прямо или косвенно относится к конкретному гражданину, физическому лицу, и позволяет прямо его идентифицировать. Такое понимание содержится в Федеральном законе «О персональных данных». К ПД может быть отнесена абсолютно любая информация – от паспортных данных до адреса электронной почты.

Применительно к юридическому лицу перечень идентифицирующих его сведений является исчерпывающим, практически все они, кроме места жительства и паспортных данных руководителя, учредителя и доверенного лица, осуществляющего юридически значимые действия по регистрации, содержатся в ЕГРЮЛ.

Таким образом, в рамках выполнения своей функции по регистрации юридического лица налоговая инспекция получает персональные данные физического, при этом гражданин не подписывает согласия на обработку и понимает, что в определенных ситуациях эти сведения могут быть предоставлены третьим лицам. Фактически они не являются ПД именно юридического лица, но в отношении них режим конфиденциальности определяется нормами закона «О регистрации», такие сведения могут быть предоставлены только в установленных им случаях.

Вся остальная информация юридического лица, не являющаяся общедоступной, имеет иной статус конфиденциальности, она может охраняться нормами законодательства, регулирующими коммерческую тайну.

Передача персональных данных юридическим лицом на обработку другим лицам

Концепция персональных данных выросла из американской модели «прайвеси», или права на приватность, и Декларации прав человека, на базе его информационных прав. К ним относятся:

  • право на получение нужных ему данных, например, от государственных органов;
  • право на защиту сведений своей частной жизни от других лиц.

Соответственно, ключевым является определение «частной жизни», которой не может быть у юридического лица.

Но, трактуя термин «персональные данные юридического лица» шире, к ним можно отнести те сведения о гражданах, которые компания получает в ходе своей деятельности и так или иначе обрабатывает. В ряде случаев такие данные передаются для обработки иным юридическим лицам. Примером может быть осуществление онлайн-платежей, когда данные плательщика получают платежная система, банк и оператор – интернет-магазин или другое лицо. 

Аналогичная ситуация возникает при передаче банком данных страховой компании при оформлении кредитного договора. Иной случай связан с передачей сведений фирме, оказывающей услуги по аутсорсингу бухгалтерии или кадрового документооборота. Во всех случаях гражданин дает свое согласие на обработку персональных данных одному юридическому лицу, а осуществляется она вторым или третьим, о чем гражданин не информируется.

Третьим случаем будет хранение сведений на облачных ресурсах. Фактически информация находится в распоряжении третьих лиц, при этом ситуация не всегда регламентируется в договорных взаимоотношениях между сторонами, заказывающими и предоставляющими услуги. Это актуально особенно в тех случаях, когда владелец облака технически не оборудовал свою информационную систему необходимыми средствами защиты персональных данных в соответствии с законодательством.

Таким образом, юридическое лицо, исходя из норм закона не имеющее собственных персональных данных, осуществляет некоторые правомочия в отношении данных граждан. В ряде случаев оно распоряжается ими неосмотрительно, должным образом не производя их защиту при передаче и даже не включая информацию о такой возможности в согласие на обработку.

Персональные данные юридического лица в договорах на их обработку

Следует учитывать, что если сведения, переданные гражданином фирме, будут распространены ее контрагентами, наибольшую ответственность понесет именно то лицо, в пользу которого было подписано согласие. Ответственность может быть:

  • гражданско-правовой, в виде взыскания убытков или морального вреда. Сейчас часты иски с такими требованиями при передаче банками информации о гражданах коллекторским агентствам;
  • административной, в виде штрафа, например, за нарушение оговоренных в уведомлении, подаваемом оператором в Роскомнадзор, целей обработки. Штрафы в России пока невысоки. В Европе за нарушение норм нового Регламента защиты данных на компанию может быть наложен штраф в размере до 20 миллионов евро или до 4 % от годового мирового оборота компании за предыдущий финансовый год;
  • уголовной, наступающей, когда неправомерный сбор или распространение данных причинили существенный ущерб.

Во избежание этих рисков в договоры с контрагентами обязательно нужно вносить нормы об ответственности за ненадлежащую обработку персональных данных. Следовательно, система защиты должна выглядеть следующим образом:

1.изучение системы технической защиты информации контрагента в случае, если передаваемые данные имеют существенный объем или повышенную ценность (медицинская информация, финансовые сведения). При необходимости заключение с провайдером облачных услуг соглашения об усилении степени защиты;

2.включение в согласие на обработку персональных данных всех контрагентов, которым предполагается передавать сведения. Об этой необходимости говорит судебная практика;

3.внедрение в компании режима защиты коммерческой тайны. Отнесение к ней персональных данных, имеющихся в распоряжении фирмы, как сотрудников, так и клиентов;

4.включение в договоры с контрагентами нормы о сохранности коммерческой тайны и штрафов за любое неправомерное ее использование.

Юридическое лицо не имеет собственных персональных данных, но оно пользуется информацией, доверенной ему гражданами. Контроль за переданными оператору персональных данных сведениями должен осуществляться и на уровне построения систем информационной безопасности, и на уровне выстраивания взаимоотношений с лицами, которым сведения предоставляются в целях обработки.

Что это значит для общения с клиентами

25 мая 2018 г. все в общении с клиентами изменится. В этот день вступает в силу новый Общий регламент Европейского союза по защите данных (GDPR), который имеет серьезные последствия для того, как компании общаются со своими клиентами.

Насколько серьезно? До 20 миллионов евро или 4% от глобального оборота вашей компании (т. е. выручки) за несоблюдение требований.

Читайте дальше, чтобы узнать, что GDPR означает для общения с клиентами.

Что такое GDPR?

В течение 20 лет Европейский союз был лидером в установлении четких правовых требований в отношении того, как организации должны обращаться с персональными данными. Его Директива о защите данных 1995 г. обязала каждое государство-член создать собственное законодательство и инфраструктуру для регулирования сбора, хранения и доступа к данным, хранящимся об отдельных гражданах.

При той степени защиты данных, которую обеспечивает директива, у нее есть два существенных недостатка:

  • Каждое государство ЕС реализовало директиву по-своему. Удовлетворение требованиям защиты данных одного государства-члена не гарантирует соблюдение эквивалентных законов в других государствах.
  • Применяется только к организациям из ЕС. Директива не распространяется на организации, работающие за пределами Европейского Союза.

GDPR — это новый регламент, который решает эти вопросы и вносит ряд других изменений, учитывающих, как мир изменился с 1995 года.

Возможно, самое важное изменение касается тех, кто теперь должен соблюдать законы ЕС о защите данных.

Влияет ли GDPR на мой бизнес?

Если вы собираете, храните или иным образом управляете данными лиц, проживающих в Европейском Союзе, GDPR влияет на вас. Неважно, в какой точке мира вы находитесь. Даже если у вас нет юридического лица или присутствия в ЕС, GDPR применяется к вашей компании, если вы обрабатываете персональные данные людей, которые там живут. Итак, если вы управляете контакт-центром, который поддерживает отношения с клиентами, например, резидентами ЕС, можно с уверенностью предположить, что ваш бизнес подпадает под действие нового правила.

Чтобы лучше понять, как GDPR влияет на вас, вам необходимо определить, является ли ваша компания контролером или процессором. Контроллер — это компания, которая собирает персональные данные и затем решает, что с ними делать. Процессор — это поставщик, который обрабатывает данные от имени контроллера. Например, банк будет контролером, а их агентство прямой почтовой рассылки будет процессором.

Основная ответственность за соблюдение GDPR лежит в основном на контролере, особенно когда речь идет о получении согласия пользователя.Однако процессоры в равной степени несут ответственность за то, как они обрабатывают данные.

Билль о правах данных

Независимо от того, являетесь ли вы контролером или обработчиком, GDPR обязывает вас уделять приоритетное внимание правам резидентов ЕС, связанным с данными. Таким образом, вы можете думать о GDPR как о билле о правах граждан ЕС в отношении их данных. Точно так же, как Билль о правах Конституции США бескомпромиссно поддерживает личность, права, указанные в GDPR, бескомпромиссны.

По данным Управления Комиссара по информации Великобритании, эти права:

  1. Право на получение информации.
  2. Право доступа: организации должны бесплатно предоставлять отдельным лицам доступ к хранящимся у них данным.
  3. Право на исправление: если данные, которые вы храните о ком-либо, неверны, вы должны исправить их и отправить это исправление любым третьим лицам, которым вы предоставили неверные данные.
  4. Право на стирание.
  5. Право на ограничение обработки: отдельные лица контролируют, как и где организации используют их данные.
  6. Право на перенос данных: люди должны иметь возможность экспортировать свои данные в открытый формат, например CSV.
  7. Право на возражение.
  8. права в отношении автоматизированного принятия решений.

Главный принцип заключается в том, что люди могут контролировать сбор, обработку и использование своих данных при принятии решений. Рассмотрим некоторые ключевые права более подробно.

Право на получение информации

Половина американцев не знают, что такое политика конфиденциальности, не говоря уже о том, чтобы найти время, чтобы разобраться в ее формулировках. Возможно, неудивительно, что так много условий обслуживания, включая политику конфиденциальности, кажутся формой лексической уловки.

Право на получение информации в соответствии с GDPR лишает граждан ЕС права на получение информации. В частности, GDPR обязывает организации четко указывать, как они планируют использовать персональные данные. Они должны передавать эту информацию следующим образом:

  • краткий, прозрачный, понятный и легкодоступный
  • написано четким и понятным языком
  • бесплатно

Здесь нет места запутыванию или обману.

Право на стирание

В 2014 году Европейский суд постановил, что люди могут иметь право просить поисковые системы удалить ссылки на контент, содержащий их личную информацию.Известное тогда как право на забвение, оно превратилось в право на стирание и составляет ключевую часть GDPR.

Жители ЕС могут попросить организации удалить их данные и предотвратить их дальнейшую обработку, где:

  • цель сбора данных больше не нужна
  • физическое лицо отзывает согласие
  • обработка данных нарушила одно из других прав, предоставленных GDPR
  • .
  • другое юридическое обязательство требует стирания
  • данные относятся именно к ребенку

В конечном счете, если резидент ЕС запрашивает, чтобы организация удалила его данные, то ответом организации по умолчанию должно быть удаление этих данных.

Однако существуют сценарии, при которых организация может отказать в запросе, но они должны представить свое решение и юридическое основание отказа в течение месяца. Даже тогда это не просто. Речь идет о балансировании прав человека с определенными потребностями организации (подробнее об этом позже). Поскольку каждое государство-член ЕС принимает GDPR через собственное законодательство, в ближайшие несколько лет, вероятно, будут судебные дела, которые проверят эти неясности.

Право на объект

Наряду с правом на получение информации право на возражение является, пожалуй, наиболее важным для операторов контакт-центра. Это дает людям широкие возможности просить организации прекратить обработку их данных. Следующий пример демонстрирует, почему это особенно важно для общения с клиентами.

Допустим, вы управляете контакт-центром веб-сайта с объявлениями о недвижимости. Вы хотите увеличить количество информационных запросов, которые ваши клиенты — т.е.е. риелторы — получите с вашего сайта. Итак, вы создаете отчет обо всех людях, которые недавно запрашивали информацию о собственности, и готовите электронное письмо для каждого человека, предлагая подробную информацию о похожих свойствах.

В соответствии с GDPR вам необходимо убедиться, что у вас есть законное основание для связи с ними. (Мы рассмотрим это чуть позже.) Однако вам также необходимо убедиться, что ни один из людей, с которыми вы общаетесь, не возражал ни против обработки вами их данных, ни, в частности, против получения электронных писем с рекомендациями похожих свойств.

Детализация согласия — важная концепция GDPR. Уже недостаточно просто предложить отказаться от маркетинговой коммуникации. Вы должны предоставить людям возможность давать согласие или возражать против каждого способа, которым вы хотите использовать их данные.

Как и в случае с правом на стирание, организация может отклонить такой запрос, но для этого у нее должны быть правовые основания.

Права на автоматизированные решения

По мере внедрения ИИ в контакт-центры ближайшего будущего, решения, принимаемые алгоритмически, будут все чаще влиять на человеческие жизни.Такие решения, спрятанные в проприетарных технологиях, непонятных большинству людей, способны внести существенные изменения в жизнь людей.

Как и любой билль о правах, GDPR направлен на защиту граждан от такой неконтролируемой власти и, как таковой, касается автоматизированного принятия решений. В частности, он дает резидентам ЕС право знать, когда решение было принято автоматически в отношении их личных данных, а также:

  • получить вмешательство человека
  • высказать свою точку зрения
  • получить объяснение решения и оспорить его

Есть исключения. Право не применяется, если автоматизированное решение:

  • необходимо для заключения или выполнения договора между вами и физическим лицом
  • разрешено законом (например, для предотвращения мошенничества)
  • на основании явного согласия (как определено в других положениях)

Первое исключение кажется созревшим для противоречивых интерпретаций. К счастью, Управление Комиссара по информации в Великобритании предлагает некоторые рекомендации. Говорят, что права здесь применяются при соблюдении двух требований:

  • решение принимается с использованием персональных данных, обрабатываемых исключительно автоматическими средствами
  • оно должно иметь значительные последствия для заинтересованного лица

Если в принятии решения участвует человек, даже если он делает это на основе данных, собранных автоматизированной системой, то права не применяются.Точно так же, если решение не оказывает существенного влияния на человека (например, викторина на Facebook), права не применяются.

Даже при таком руководстве есть место для споров. Например, автоматизированное решение о выдаче кредита может быть принято полностью без вмешательства человека и оказать существенное влияние на заявителя. Однако, казалось бы, решение необходимо и для заключения кредитного договора.

Законная обработка в GDPR

Мы видели, какие права получают жители ЕС в соответствии с GDPR, но что эти права означают для организаций, контролирующих и обрабатывающих данные?

Согласно новым правилам, организация, использующая данные, должна доказать, что она делает это на законных основаниях.Во многих дискуссиях вокруг GDPR говорится, что явное согласие необходимо для любого использования персональных данных. Однако, как говорит Комиссар по информации Великобритании, «согласие — это один из способов соблюдения GDPR, но не единственный».

Итак, что это за другие способы?

GDPR предоставляет несколько правовых оснований для обработки данных, пять из которых являются наиболее важными:

  • физическое лицо дает согласие
  • обработка данных необходима для выполнения или заключения договора с физическим лицом
  • юридическое обязательство делает необходимым
  • задача, выполняемая в общественных интересах или через официальные органы, делает это необходимым
  • обработка данных необходима для реализации законных интересов контроллера данных

Государства-члены ЕС могут добавлять свои собственные правовые основы, и существует ряд других, специальных категорий. Тем не менее, для большинства компаний, общающихся со своими клиентами, наибольшее влияние будут иметь первые два и последний из этих оснований: либо лицо дало согласие, либо вам по закону не разрешено вести свой бизнес без обработки этих данных.

Давайте сначала рассмотрим согласие, потому что его проще всего определить.

Получение и потеря информированного согласия

Согласие является важной частью GDPR, и в тексте правил четко выражено мнение о том, что считается согласием.Вот текст статьи 4 GDPR, где определяется согласие:

«согласие субъекта данных означает любое свободно данное, конкретное, осознанное и недвусмысленное указание на пожелания субъекта данных, которым он или она заявлением или четким утвердительным действием выражает согласие на обработку относящихся к нему персональных данных или ее.”

Давайте распакуем это с помощью Управления Комиссара по информации Великобритании. Чтобы получить согласие в соответствии с GDPR, вам необходимо:

  • дать людям реальный выбор и контроль над тем, дают ли они согласие
  • собрать положительное согласие: предварительно отмеченные поля и подобные уловки не считаются согласием, тогда как двойное согласие обеспечит большую уверенность
  • быть ясным и очень четким в заявлении, на что человек соглашается
  • храните ваши запросы на согласие отдельно от других условий обслуживания
  • будьте конкретными и детализированными: универсальное решение не годится
  • будьте ясны и лаконичны: здесь нет места намеренно сложным для разбора двойным отрицаниям
  • имя любой третьей стороны, которая будет полагаться на согласие
  • упростите человеку отзыв своего согласия и сообщите ему, как он может это сделать
  • хранить доказательства согласия: кто дал согласие, когда, как и что им сказали в то время
  • просмотрите свое согласие и обновите его, если что-то изменится
  • не делайте согласие обязательным условием использования вашего сервиса

Это далеко от обычных процессов регистрации. Будьте ясны, не оставляйте сомнений и сохраняйте след улик на случай, если они понадобятся вам позже. В соответствии с GDPR согласие является движущейся целью: если ситуация изменится, согласие может перестать быть действительным.

Обработка данных необходима для вашего договора с физическим лицом

Еще одним правовым основанием для обработки чьих-либо данных является то, что ваш договор с ними делает это необходимым. Например, работодателю необходимо обрабатывать данные о своих сотрудниках.

Ключевое слово здесь, однако, «необходимо».«Если есть другой способ выполнить договор без обработки этих персональных данных, то вы не можете претендовать на это как на юридическое основание.

Законные интересы

«Законные интересы» — самое расплывчатое из правовых оснований. Он предназначен для учета обстоятельств, не предусмотренных разработчиками регламента. Существующие законы Европейского Союза о защите данных уже допускают обработку данных по этой причине, поэтому существует руководство, но оно не настроено специально для GDPR.

В существующем руководстве четко указано, что недостаточно просто заявить, что вашей организации необходимо обрабатывать данные.Вы также должны показать, как эта потребность уравновешивается правами человека.

Документируйте все

Какое бы основание вы ни выбрали, GDPR требует контрольного журнала. Чем больше вы документируете, тем больше у вас шансов справиться с проблемой, которую бросил человек.

Персональные данные GDPR определены

До сих пор мы много говорили о том, как GDPR будет обязывать организации обрабатывать личные данные жителей ЕС. Однако мы не смотрели, какие данные GDPR считает персональными.

В США информация, позволяющая установить личность, определяется NIST:

«любая информация, которая может быть использована для идентификации или отслеживания личности человека, такая как имя, номер социального страхования, дата и место рождения, девичья фамилия матери или биометрические данные; и (2) любую другую информацию, которая связана или может быть связана с физическим лицом, например, медицинскую, образовательную, финансовую информацию и информацию о трудоустройстве».

Определение GDPR намного шире:

«любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.

Определение добавляет дополнительную информацию, подтверждающую широту того, что GDPR подразумевает под персональными данными:

«идентифицируемое физическое лицо — это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на такой идентификатор, как имя, идентификационный номер, данные о местонахождении, онлайн-идентификатор или на один или несколько факторов, характерных для физического, физиологическая, генетическая, умственная, экономическая, культурная или социальная идентичность этого физического лица».

В руководстве

в Великобритании и других странах говорится, что это будет охватывать все виды данных, таких как IP-адреса, которые ранее не считались личными данными.

Существуют также дополнительные «особые категории персональных данных», такие как расовое происхождение и религиозные убеждения, на которые распространяются дополнительные правила.

Что все это значит для общения с клиентами

По состоянию на март 2018 года персональные данные жителей ЕС становятся немного похожими на радиоактивный материал: при правильном обращении проблем нет. На каждом этапе необходимо тщательно продумать, зачем нужны эти данные, как они будут использоваться и почему организации разрешено иметь их по закону.И когда что-то пойдет не так, должен быть подробный журнал, чтобы доказать, что закон соблюдался.

Большая часть общения с клиентами сегодня происходит без четкой мысли о его законности. Помимо маркетинговых коммуникаций, хранение и использование данных клиентов для общения с ними — это еще одна часть выполнения работы. Однако в соответствии с GDPR каждый элемент персональных данных и каждое сообщение требуют тщательного обдумывания.

Есть ли у вас правильные разрешения и причины для отправки этого SMS этому клиенту по этому вопросу? Давал ли этот человек информированное согласие на сохранение его IP-адреса каждый раз, когда он заходит на ваш сайт? Достаточно ли надежны ваши процедуры безопасности, чтобы предотвратить утечку данных?

GDPR требует разворота на 180 градусов в том, как ваша компания относится к персональным данным и обращается с ними. Вы должны привыкнуть к мысли, что у вас нет разрешения на сбор, хранение или использование этих данных, даже если вы их уже собрали ! Регламент GDPR требует нового уровня строгости и проверки разрешений для общения с клиентами, в отличие от всего, что мы видели раньше.

Поскольку существует много возможностей для ошибок и неправильных толкований, контролеры и обработчики данных должны быть бдительными. Комиссар по информации Великобритании говорит, что штрафы будут последним средством (еще неизвестно, как другие государства-члены подходят к нарушениям).Однако потенциально огромные штрафы (до 4% от мирового оборота или 20 млн евро) должны вызывать беспокойство. Даже если несоблюдение не приведет к немедленному штрафу, компании, уличенные в нарушении правил GDPR, могут столкнуться с потерей доверия общественности и рынка.

Для компаний, управляющих контакт-центрами или иным образом участвующих в общении с клиентами, необходимо внедрить новые, более строгие системы проверки, чтобы обеспечить соблюдение прав граждан на данные. 25 мая 2018 года наступит раньше, чем мы узнаем об этом.Если вы еще этого не сделали, сейчас самое время узнать об этих изменениях в общении с клиентами и подготовиться к ним.

Примечание редактора: все, что вы здесь прочтете, не является юридической консультацией. Обратитесь к юристу за конкретными рекомендациями, касающимися соблюдения GDPR. Для получения дополнительной информации о подходе Nexmo к GDPR, пожалуйста, нажмите здесь.

Закон Сингапура о защите персональных данных отходит от концепции, основанной на согласии

18 ноября 2020 г.

Габриэла Занфир-Фортуна

Вице-президент по глобальной конфиденциальности

Авторы: Кэролайн Хопленд, Хантер Дорварт и Габриэла Занфир-Фортуна

2 ноября 2020 года парламент Сингапура принял поправки к Закону о защите персональных данных 2012 года (PDPA), что сделало его первым всеобъемлющим пересмотром и изменением этого закона с момента его принятия в 2012 году, как было объявлено Министерством связи и информации. (MCI) и Комиссия по защите персональных данных (Комиссия) в Сингапуре.

Некоторые из ключевых изменений включают в себя:

  1. отход от парадигмы предыдущего закона, основанной на согласии, путем добавления новых исключений для обработки на основе согласия, включая законные интересы;
  2. введение права на переносимость данных;
  3. новые обязательства сообщать об утечках данных; и 
  4. изменения в режиме санкций с целью ужесточения наказаний для лиц и организаций, нарушающих закон, включая тюремное заключение, и усиления правоприменительных полномочий Комиссии.

Закон с поправками вступит в силу только после его одобрения Президентом и публикации уведомления в Правительственном вестнике. Эксперты ожидают, что он вступит в силу до конца 2020 года. 

Ниже мы рассмотрим ключевые изменения Закона, в частности (1) новые определения, в том числе «производные персональные данные», (2) новые исключения, введенные в правило о том, что согласие требуется для сбора и иной обработки персональных данных, включая договорную необходимость и законных интересов, (3) как была усилена подотчетность, (4) введение права на переносимость данных, (5) новые требования по уведомлению об утечке данных и (6) усиленный режим ответственности и санкций, включая личную уголовную ответственность за конкретные правонарушения, повышенные штрафы и альтернативный вариант разрешения споров.

1. «Производные персональные данные»: новое определение и освобождение от запросов на исправление и переносимость

В Закон были внесены поправки, включающие новые определения, такие как «производные персональные данные», и набор определений, актуальных в контексте нового права на переносимость данных — «данные о деятельности пользователя», «данные, предоставленные пользователем», «запрос на перенос данных» и «постоянные отношения».

«Производные персональные данные» аналогичны «предполагаемым персональным данным» в соответствии с определением Европейского совета по защите данных (EDPB)[1] и относятся к «персональным данным о физическом лице, которые организация получает в ходе своей деятельности». из иных персональных данных об этом или ином физическом лице, находящихся во владении или под контролем организации.Однако оно исключает персональные данные, «полученные с использованием любых предписанных средств или методов, таких как математическое усреднение и суммирование», поэтому для полного ограничения этого исключения могут потребоваться дополнительные указания.

Обратите внимание, что в Законе с поправками есть два адаптированных правила для «производных персональных данных» — в частности, субъекты данных не могут получить исправление ошибки или упущения, если запрос касается производных данных (см. Шестое приложение с поправками, переопределяющее исключения из Раздела 22 НДПА).Кроме того, аналогично праву на переносимость данных в соответствии с Общим регламентом ЕС по защите данных (GDPR), переносящая организация не обязана передавать какие-либо производные персональные данные после запроса на переносимость данных (см. новое Двенадцатое приложение).

2. Новые правила определения «предполагаемого согласия» и отхода от основанной на согласии концепции PDPA

Поправки (2.1.)  разрешат организациям раскрывать личные данные физических лиц без их явного согласия другим организациям, когда это связано с договорной необходимостью и не регулируется иными условиями в договоре между физическим лицом и организации (см. измененный раздел 15).Организация  (2.2.)  может также получить «условное согласие» от физического лица, если она проводит подробную оценку рисков, информирует физическое лицо о намерении собирать или использовать персональные данные и если физическое лицо не уведомляет организацию о том, что отдельные объекты для обработки (см. новый раздел 15A). В дополнение к расширению значения «предполагаемого согласия» измененный PDPA (2.3.) также добавляет «законные интересы» и «цели улучшения бизнеса» в качестве явных исключений из получения согласия на сбор, раскрытие или использование персональных данных.

2.1. «Предполагаемое согласие по договорной необходимости» на разрешение обмена данными

Раздел 15 PDPA был изменен, чтобы ввести «предполагаемое согласие по договорной необходимости», целью которого является облегчение обмена данными. В соответствии с измененным PDPA, физическое лицо, предоставляющее персональные данные организации с целью заключения договора с этой организацией, считается согласным со следующим, когда это «разумно необходимо» для заключения договора между ними: 

1) раскрытие организацией этих персональных данных второй организации;

2) сбор и использование этих персональных данных второй организацией; и 

3) раскрытие второй организацией этих персональных данных третьей организации.

Третья организация должна применять правила, как если бы исходная организация раскрыла персональные данные, предоставленные ей лицом напрямую. Это позволяет раскрывать, а также собирать, использовать и раскрывать последующим организациям персональные данные, предоставленные физическим лицом, когда это разумно необходимо для заключения договора между физическим лицом и первоначальной организацией.

Эта поправка имеет обратную силу. Данные, собранные в этой категории до вступления в силу этих поправок, следует рассматривать так, как если бы эти разделы были в силе, когда персональные данные были впервые предоставлены, и продолжали действовать до соответствующей даты; разрешение организациям использовать и обмениваться персональными данными, которые были собраны до даты вступления в силу настоящего Закона.

2.2. «Предполагаемое согласие путем уведомления» (и оценка рисков)

«Предполагаемое согласие» дополнительно расширен для охвата ситуации, когда организация проводит оценку риска обработки персональных данных в отношении прав физического лица и информирует физическое лицо о предстоящей обработке, а также о возможности возражения против это (см. раздел 15А). Если человек не уведомит организацию в течение определенного периода времени о том, что он не согласен, то он предоставит действительное «условное согласие».”

В тесте, аналогичном оценке законных интересов и уравновешиванию в соответствии с GDPR, оценка риска для «предполагаемого согласия путем уведомления» в соответствии с измененным PDPA должна: 

1) определить любые неблагоприятные последствия, которые предлагаемый сбор, использование или раскрытие персональных данных для соответствующей цели может оказать на физическое лицо;

2) определять и осуществлять разумные меры по устранению неблагоприятного воздействия;

3) снизить вероятность наступления неблагоприятного воздействия; или

4) смягчить неблагоприятное воздействие.

Кроме того, организация должна предпринять разумные шаги для информирования лица о 1) намерении и цели, для которой будут собираться, использоваться или раскрываться персональные данные; и 2) разумный срок и способ, с помощью которого физическое лицо может отказаться и уведомить организацию о том, что оно не дает согласия на предлагаемый сбор, использование или раскрытие его личных данных.

2.3 Новые исключения из согласия, включая законные интересы и цели улучшения бизнеса

Поправки предусматривают новые исключения для организаций в отношении их практики сбора, использования и раскрытия информации, основанной на жизненно важных интересах отдельных лиц, общественных интересах (от обработки общедоступных персональных данных до обработки в художественных или литературных целях или в архивных или исторических целях). ), законные интересы, транзакции доступа к бизнесу и цели улучшения бизнеса (см. Раздел 17 и новое Первое приложение).Кроме того, измененный Закон предусматривает исключения из согласия конкретно на использование персональных данных — например, в исследовательских целях; и исключения для раскрытия персональных данных – также в исследовательских целях или в общественных интересах (см. новое Второе приложение).

Законные интересы: организации могут собирать, использовать и раскрывать личные данные без согласия человека, когда 1) это отвечает законным интересам организации или другого лица; и 2) законные интересы организации или другого лица перевешивают любые неблагоприятные последствия для человека. Прежде чем собирать, использовать или раскрывать такие персональные данные, организация должна провести оценку, чтобы определить любые неблагоприятные последствия, которые предлагаемый сбор, использование или раскрытие могут оказать на человека, и принять разумные меры для:

1) устранить неблагоприятное воздействие, чтобы уменьшить вероятность его возникновения; или

2) смягчать неблагоприятное воздействие; и 

3) соответствовать всем установленным требованиям.

Некоторые законные интересы специально перечислены в Приложении 1, например, взыскание долга с физического лица или уплата долга физическому лицу.Также особо упоминается обработка персональных данных в контексте трудоустройства. Организация должна предоставить физическому лицу разумный доступ к информации о сборе, использовании или раскрытии персональных данных физического лица.

Цели улучшения бизнеса: персональные данные о физическом лице могут также использоваться организацией без согласия физического лица для специально определенных целей улучшения бизнеса для: 

1) улучшать или улучшать любые существующие или разрабатываемые организацией товары или услуги, которые она предоставляет;

2) улучшать или улучшать любые существующие или разрабатываемые организацией методы или процессы для деятельности организации;

3) узнавать и понимать поведение и предпочтения отдельных лиц или другого физического лица в отношении товаров или услуг, предоставляемых организацией; и 

4) идентифицировать любые товары или услуги, предоставляемые организацией, которые могут быть подходящими для данного лица или другого лица, или для персонализации или настройки любых таких товаров или услуг для этого лица или другого лица.

Это исключение ограничено требованиями к минимизации данных и проверкой разумности. В частности, это применяется только в том случае, если цель, для которой организация использует персональные данные о физическом лице, не может быть разумно достигнута без использования персональных данных в индивидуально идентифицируемой форме; а также если разумное лицо сочтет использование персональных данных о физическом лице для этой цели уместным в данных обстоятельствах.

3.Расширенная подотчетность 

Поправки направлены на усиление ответственности организаций в отношении обработки персональных данных. Часть III PDPA, первоначально называвшаяся «Общие правила в отношении защиты персональных данных», изменена на «Общие правила в отношении защиты персональных данных и ответственности за них». Однако наиболее примечательными являются дополнительные обязательные оценки «предполагаемого согласия путем уведомления», законных интересов и утечек данных, которые создают меры ответственности для организаций. Два других требования еще больше подчеркивают цель поправки по усилению подотчетности: 

Сохранение копий персональных данных: новый раздел 22A, который касается доступа к персональным данным и их исправления, теперь требует, чтобы организация, которая отклоняет запрос человека на предоставление этому лицу его персональных данных, которыми организация владеет или управляет, должна сохранить копию. соответствующих персональных данных. Организация должна гарантировать, что копия сохраняемых ею персональных данных является полной и точной копией соответствующих персональных данных (см. ниже).

Расширенная защита персональных данных: в раздел 24 внесены поправки, расширяющие требования организации по защите персональных данных, находящихся в ее распоряжении или под ее контролем. Организация должна не только принять разумные меры безопасности для предотвращения несанкционированного доступа, сбора, использования, раскрытия, копирования, модификации или уничтожения или аналогичных рисков, связанных с персональными данными, но теперь также должна принять разумные меры безопасности для предотвращения потери любого хранилища. или устройство-носитель, на котором хранятся персональные данные, находящиеся в его распоряжении или под его контролем.Это добавляет дополнительный уровень требований к безопасности для организаций, чтобы гарантировать наличие мер безопасности для защиты физических устройств, на которых хранятся личные данные.

4. Введение права на переносимость данных 

Измененный PDPA вводит право на переносимость данных и соответствующие обязательства (разделы 26F и 26J части VIB измененного PDPA). Заявленная цель этих обязательств — предоставить потребителям большую автономию для управления своими личными данными и облегчить людям переключение услуг в инновационной и конкурентной экосистеме (раздел 26G).С этой целью поправки вводят несколько терминов, таких как «запрос на перенос данных», «организация, осуществляющая перенос» и «организация-получатель», для обозначения различных субъектов, участвующих в переносе и передаче данных.

В целом требования к переносимости применяются только к персональным данным, которые находятся в электронной форме на дату запроса на перенос и собраны переносящей организацией на дату до получения запроса на перенос. Требования к переносимости будут применяться задним числом к данным, собранным до вступления в силу измененного Закона.

Физическое лицо может запросить у переносящей организации прямую передачу применимых данных о физическом лице принимающей организации.  В отличие от GDPR и Калифорнийского закона о конфиденциальности потребителей (CCPA), переносимость данных не включает возможность для человека получить копию своих личных данных в переносимом формате. Переносящая организация должна выполнить запрос, если организация имеет постоянные отношения с физическим лицом на момент запроса, запрос удовлетворяет «установленным требованиям», а принимающая организация либо учреждена в соответствии с законодательством Сингапура, либо имеет присутствие в Сингапуре, независимо от того, где он хранит данные.

Поправки запрещают передачу данных в соответствии с запросами на перенос данных, если 1) передача может угрожать безопасности, физическому или психическому здоровью человека или третьей стороны или иным образом противоречит национальным интересам; 2) принимающая организация исключена дополнительными правилами; или 3) Комиссия дает указание транспортной организации не передавать данные.

Если переносящая организация не передает применимые данные по запросу, организация должна уведомить физическое лицо об отказе в установленный срок и в соответствии с установленными требованиями.Эти требования к переносимости не влияют на ограничения на раскрытие персональных данных в соответствии с другими письменными законами.

Поправки регулируют случаи, когда передача применимых данных об одном физическом лице приводит к передаче персональных данных о другом физическом лице.  В соответствии с Законом переносящая организация может раскрывать личные данные о третьей стороне без согласия этого лица только в том случае, если лицо, запрашивающее передачу, делает запрос в своем личном качестве и запрос касается данных о ее пользовательской активности или данных, предоставленных пользователем.Принимающая организация в этом контексте, которая получает какие-либо личные данные о третьем лице, может использовать эти данные только с целью предоставления товаров или услуг лицу, запрашивающему передачу.

Поправки разъясняют, что переносящая организация, которая раскрывает личную информацию третьего лица посредством передачи запроса на перенос, не должна нарушать никаких обязательств по какому-либо писаному закону или договору в отношении секретности, других ограничений или любых правил профессионального поведения.

В дополнение к общим обязательствам по переносу, организации, осуществляющие перенос, должны хранить полную и точную копию любых применимых данных, указанных в запросе на перенос данных , в течение установленного периода времени. Такое сохранение должно происходить независимо от того, отказалась ли организация от передачи данных по какой-либо причине. Комиссия может предписывать различные сроки для различных организаций по перевозке или обстоятельств.

Наконец, обновленные положения предусматривают, что обязательства по переносимости данных применяются к применимым данным независимо от того, хранит ли переносящая организация данные, обрабатывает или передает данные в Сингапуре или стране или территории за пределами Сингапура.

5. Обязательные требования к уведомлению об утечке данных

Согласно измененному закону, организациям необходимо будет принять меры по уведомлению о нарушениях. Новая часть VIA требует, чтобы организация оценивала утечки данных, затрагивающие личные данные, находящиеся в ее владении или под ее контролем, и уведомляла Комиссию, а также затронутых лиц о возникновении утечки данных, подлежащей уведомлению. Нарушение данных определяется как i) несанкционированный доступ , сбор, использование, раскрытие, копирование, изменение или удаление персональных данных; или ii) потеря любого носителя данных или устройства,  на котором хранятся персональные данные, при обстоятельствах, когда возможен несанкционированный доступ, сбор, использование, раскрытие, копирование, изменение или удаление персональных данных.

Нарушение данных, подлежащее уведомлению, происходит, когда нарушение 1) приводит или может привести к причинению значительного вреда пострадавшему лицу; или 2) имеет или может иметь значительный масштаб. Для определения пороговых значений для уведомления потребуются дополнительные нормативные указания. Согласно измененному закону, утечка данных наносит значительный вред физическому лицу, 1) если утечка данных связана с любыми «предписанными личными данными или классовыми или личными данными», относящимися к физическому лицу; или 2) в других «установленных обстоятельствах».Нарушение данных не подлежит уведомлению, если нарушение связано с несанкционированным доступом, сбором, использованием, раскрытием, копированием или изменением личных данных только внутри организации.

Организация должна провести оценку утечки данных, если у нее есть основания полагать, что произошла утечка, затрагивающая личные данные, находящиеся в ее владении или под ее контролем. Оценка должна проводиться разумным и оперативным образом и должна определять, подлежит ли утечка данных уведомлению. Посредники данных после проведения оценки и установления факта утечки данных, подлежащей уведомлению, также обязаны уведомить организацию или государственное учреждение, для которых они обрабатывают персональные данные.

После того, как организация или посредник данных подтвердит, что нарушение подлежит уведомлению, у него есть  три календарных дня, чтобы уведомить Комиссию  о нарушении. Он также должен разумным образом уведомлять каждого затронутого лица только в том случае, если нарушение причинило или может причинить значительный вред этому лицу.

Организация не обязана уведомлять затронутых лиц об утечке данных, подлежащей уведомлению, после того, как она 1) оценит, что утечка вряд ли причинит значительный вред затронутым лицам; или 2) ранее применяли какие-либо технологические меры, которые делают маловероятным, что подлежащее уведомлению нарушение данных нанесет значительный вред затронутым лицам.Наконец, Комиссия или правоохранительный орган могут отменить это требование и поручить организации не уведомлять лиц, затронутых нарушением, по любой причине, которую они сочтут уместной.

6. Санкции и правоприменение: увеличение штрафов, личная уголовная ответственность и альтернативное разрешение споров 

Закон с внесенными в него поправками налагает новые уголовные наказания на лиц, неправильно обращающихся с личной информацией. Согласно поправкам, физическое лицо может быть привлечено к уголовной ответственности за три отдельных правонарушения, в принципе связанных с нарушениями безопасности и повторной идентификацией наборов данных:

  1. сознательное или неосторожное несанкционированное раскрытие персональных данных, находящихся во владении организации или государственного учреждения, другому лицу;
  2. сознательное или неосторожное несанкционированное использование персональных данных, находящихся во владении организации или государственного учреждения, которое приводит к получению выгоды для физического лица или третьего лица или причиняет вред физическому лицу; или
  3. заведомо или по неосторожности несанкционированная повторная идентификация анонимных личных данных, находящихся во владении организации или государственного учреждения.

Лица, признанные виновными в каждом из правонарушений, могут быть приговорены к штрафу в размере до 5000 сингапурских долларов или тюремному заключению сроком на два года, или и к тому, и к другому. Защита существует, если лицо может доказать, что данные, о которых идет речь, были общедоступны на момент раскрытия или что ненадлежащее обращение с информацией требовалось в соответствии с другим законом или постановлением суда.

Помимо этих правонарушений, поправки  ужесточают финансовые санкции для организаций за умышленное или небрежное нарушение закона. Новый режим устанавливает максимальные штрафы в размере 10% от валового годового оборота организации в Сингапуре, если ее оборот превышает 10 миллионов сингапурских долларов или 1 миллион сингапурских долларов в противном случае, в зависимости от того, что больше. Старый закон устанавливал максимальный предел в размере 1 миллиона сингапурских долларов за нарушение.

Кроме того, поправки уполномочивают Комиссию создавать альтернативные механизмы разрешения споров для рассмотрения жалоб , поданных отдельными лицами против организации посредством посредничества. Комиссия может распорядиться о разрешении спора без согласия лица или организации. Физические лица также могут обратиться в Комиссию для рассмотрения отказа или неспособности организации предоставить доступ, передать применимые данные в соответствии с запросом на перенос данных или комиссией, взимаемой в связи с запросом на перенос данных. Кроме того, Закон с внесенными в него поправками наделяет Комиссию полномочиями приказать организации или физическому лицу прекратить сбор или использование данных или уничтожить любые данные в нарушение Закона.

Наконец, в соответствии с первоначальной версией PDPA, лица, которым был причинен вред в результате нарушения субъектом какого-либо положения Частей IV, V или VI, имели частное право на иск о возмещении ущерба в рамках гражданского судопроизводства.Новые поправки сохраняют частное право на иск, но расширяют сферу действия нарушений, включая Часть VIA (положения об уведомлении об утечке данных) , VIB (положения о переносимости данных) и Раздел 3 Части IX или Части IXA.

7. Выводы

Изменения, внесенные в Закон Сингапура о защите персональных данных, подчеркнуты переходом от основанного на согласии правового режима сбора и обработки персональных данных к подотчетности организаций и обработке на основе рисков.Это изменение, однако, стало дополнением к усилению контроля отдельных лиц над своими личными данными за счет введения нового права на переносимость данных, что также является данью влиянию GDPR ЕС на законы о защите данных и конфиденциальности во всем мире.

[1] См., например, Руководство Европейского совета по защите данных 8/2020 о таргетинге на пользователей социальных сетей.

Этот блог является частью серии обзоров новых законов и законопроектов по всему миру, регулирующих обработку персональных данных, которые координирует Габриэла Занфир-Фортуна, старший советник по вопросам глобальной конфиденциальности ([email protected]).

Китай принимает закон о защите личной информации, вступающий в силу 1 ноября

10 сентября 2021 г.

Щелкните для просмотра PDF

20 августа 2021 года Постоянный комитет Всекитайского собрания народных представителей принял Закон о защите личной информации («PIPL»), который вступит в силу 1 ноября 2021 года. Ранее мы сообщали об этом здесь, когда закон находился в черновая форма.Неофициальный перевод недавно принятого PIPL доступен здесь, а версия PIPL на китайском языке доступна здесь.[1]

PIPL применяется к «объектам обработки личной информации («PIPE»)», определяемым как «организация или физическое лицо, которое самостоятельно определяет цели и средства обработки личной информации». ( Артикул 73 ). PIPL определяет «личную информацию» в широком смысле как «различные типы электронной или иным образом записанной информации, относящейся к идентифицированному или идентифицируемому физическому лицу», за исключением анонимной информации, и определяет «обработку» как «сбор, хранение, использование, уточнение, передачу, предоставление, публичное раскрытие или удаление личной информации. ( Статья 4 ).

PIPL имеет много общего с Общим регламентом ЕС по защите данных («GDPR»), включая его экстерриториальное действие, ограничения на передачу данных, обязательства по соблюдению и санкции за несоблюдение, среди прочего. PIPL вызывает некоторые опасения у компаний, ведущих бизнес в Китае, даже если деятельность таких компаний по обработке данных осуществляется за пределами Китая, а последствия несоблюдения могут включать денежные штрафы и внесение компаний в черный список правительства.

Ниже мы описываем компании, подпадающие под действие PIPL, основные особенности PIPL и выделяем критические вопросы для компаний, работающих в Китае, в свете этого важного изменения в законодательстве.

I. Какие компании подлежат PIPL?

  • PIPL применяется к трансграничной передаче личной информации и применяется экстерриториально . Когда PIPE передают личную информацию организациям за пределами Китая, они должны информировать субъектов данных о передаче, получить их конкретное согласие на передачу и гарантировать, что получатели данных удовлетворяют стандартам защиты личной информации, аналогичным тем, которые предусмотрены в PIPL. PIPL применяется к организациям, работающим в Китае, а также к иностранным организациям и частным лицам, обрабатывающим личную информацию за пределами Китая, при любом из следующих обстоятельств: (1) организация собирает и обрабатывает персональные данные с целью предоставления продуктов или услуг физическим лицам. лица в Китае; (2) данные будут использоваться для анализа и оценки поведения физических лиц в Китае; или (3) при других неуказанных «обстоятельствах, предусмотренных законами и административными регламентами» ( статья 3 ).Это важное сходство между PIPL и GDPR, поскольку обязательства GDPR по защите данных распространяются на контролеров и обработчиков данных, не входящих в ЕС, которые отслеживают, анализируют и обрабатывают данные посетителей в ЕС. Аналогичным образом, в соответствии с PIPL иностранная принимающая сторона должна соблюдать стандарт защиты личной информации PIPL, если она обрабатывает личную информацию от физических лиц, находящихся в Китае.
  • PIPL предоставляет китайскому правительству широкие полномочия по обработке личной информации . Государственные организации могут обрабатывать личную информацию для выполнения установленных законом обязанностей, но не могут обрабатывать данные способом, выходящим за рамки, необходимые для выполнения этих установленных законом обязанностей (, статья 34, ). Личная информация, обрабатываемая государственными организациями, должна храниться в Китае (статья  36 ).

II. Основные характеристики PIPL

  • PIPL устанавливает руководящие принципы защиты личной информации .Согласно PIPL, обработка личной информации должна иметь «четкую и разумную цель» и должна быть непосредственно связана с этой целью (, статья 6, ). PIPL требует, чтобы сбор личной информации был сведен к минимуму и не был чрезмерным (, статья 6 ), и требует, чтобы PIPE обеспечивали безопасность личной информации (, статьи 8–9) . С этой целью PIPL налагает на PIPE ряд обязательств по соблюдению, в том числе требует от PIPE устанавливать политики и процедуры защиты личной информации, внедрять технологические решения для обеспечения безопасности данных и проводить оценку рисков перед началом определенных действий по обработке ( ). Статьи 51 – 59 ).
  • PIPL использует подход, основанный на оценке рисков, налагая повышенные обязательства по соблюдению требований в определенных сценариях высокого риска. Например, PIPE, объем обработки которых превышает еще не установленный порог, должны назначить сотрудника по защите личной информации, ответственного за надзор за обработкой личных данных ( Статья 52 ). PIPE, управляющие «интернет-платформами», которые имеют «очень большое» количество пользователей, должны привлекать внешнюю независимую организацию для контроля за соблюдением обязательств по защите личной информации и регулярно публиковать «отчеты социальной ответственности» о состоянии своих усилий по защите личной информации ( Артикул 58 ).Закон предписывает дополнительную защиту «конфиденциальной личной информации», в широком смысле определяемой как личная информация, раскрытие или использование которой незаконным образом может ущемить личное достоинство физических лиц или причинить вред лицам или имуществу (, статья 28 ). «Конфиденциальная личная информация» включает биометрические данные, религиозную информацию, особый статус, медицинскую информацию, информацию о финансовом счете, информацию о местоположении и личную информацию несовершеннолетних в возрасте до 14 лет (, статья 28 ).При обработке «конфиденциальной личной информации», согласно PIPL, PIPE должны использовать только информацию, необходимую для достижения указанной цели сбора, принимать строгие меры защиты и получать конкретное согласие субъектов данных (, статья 28-29 ).
  • PIPL создает юридические права для субъектов данных. В соответствии с новым законом PIPE могут обрабатывать личную информацию только после получения полностью информированного согласия в добровольном и явном заявлении, хотя закон не содержит дополнительных сведений относительно требуемой формы такого согласия.Закон также устанавливает определенные ситуации, когда получение согласия не требуется, в том числе, когда это необходимо для выполнения установленных законом обязанностей и обязанностей или установленных законом обязательств, или при обработке личной информации в разумных пределах для реализации новостей, наблюдения за общественным мнением и других подобных действий для общественности. проценты ( статьи 13-14, 17 ). Если требуется согласие, PIPE должны получить новое согласие, если оно изменяет цель или метод обработки личной информации после первоначального сбора (, статья 14, ).Закон также требует, чтобы PIPE предоставляли физическим лицам удобный способ отозвать свое согласие (, статья 15 ), и предписывает, чтобы PIPE хранили личную информацию только в течение кратчайшего периода времени, необходимого для достижения первоначальной цели сбора (, статья 19 ). Если PIPE используют компьютерные алгоритмы для участия в «автоматизированном принятии решений» на основе данных отдельных лиц, PIPE должны быть прозрачными и справедливыми при принятии решений, и им запрещено использовать автоматизированное принятие решений для участия в «необоснованных действиях». «дискриминационная» практика ценообразования ( Статья 24, 73 ).«Автоматизированное принятие решений» определяется как деятельность по использованию компьютерных программ для автоматического анализа или оценки личного поведения, привычек, интересов или увлечений, финансового состояния, состояния здоровья, кредита или иного состояния и принятия решений на их основе (, статья 73). (2) ). Когда автоматизированное принятие решений PIPE оказывает значительное влияние на права отдельных лиц, люди могут потребовать от PIPE объяснения принятия решений и отказаться от автоматизированного принятия решений (, статья 24).

III.Потенциальные проблемы для компаний, работающих в Китае

Принятие PIPL и неопределенность, связанная со многими аспектами закона, создают ряд потенциальных проблем и опасений для компаний, работающих в Китае. К ним относятся следующие:

  • Иностранные организации могут подпадать под действие нормативных требований PIPL . PIPL применяется к действиям по обработке данных, даже если эти действия осуществляются за пределами Китая, при условии, что они осуществляются с целью ведения бизнеса в Китае или оценки поведения отдельных лиц в стране.В настоящее время в законе ничего не говорится о том, насколько тесной должна быть связь между обработкой данных и коммерческой деятельностью Китая. Закон также требует, чтобы действия по обработке данных, происходящие за пределами Китая, подпадали под действие PIPL при «других обстоятельствах, предусмотренных законами и административными правилами». В настоящее время нет указаний относительно того, какими будут эти обстоятельства. Иностранные организации, подпадающие под действие PIPL, должны будут соблюдать требования, включая оценку безопасности, назначение местных представителей для надзора за обработкой данных и отчетность перед надзорными органами в Китае, хотя точные параметры часть этих требований остаются неясными ( Статьи 51–58 ).
  • PIPL устанавливает санкции для организаций, которые не выполняют свои обязательства по защите личной информации ( статья 66 ) . Эти санкции включают изъятие прибыли и временную приостановку или прекращение действия электронных приложений, используемых PIPE для осуществления незаконного сбора или обработки. Компании и физические лица могут быть оштрафованы на сумму не более 1 миллиона юаней (приблизительно 154 378 долларов США).20) если они не исправляют поведение, признанное нарушением PIPL, с ответственными лицами, подлежащими штрафу в размере от 10 000 до 100 000 юаней (примерно от 1 543,81 до 15 438,05 долларов США). Компании и ответственные лица подвергаются особенно строгим наказаниям, когда нарушения являются «серьезными, ”термин, оставленный неопределенным в уставе. В этих случаях PIPL допускает штрафы в размере до 50 миллионов юаней (примерно 7 719 027,00 долларов США) или 5% от годового дохода, хотя в PIPL не указывается, какой параметр служит верхним пределом для штрафов.Власти также могут приостановить деловую деятельность, нарушающую закон, полностью прекратить всю коммерческую деятельность или аннулировать все административные или коммерческие лицензии. Лица, виновные в «серьезных» нарушениях, могут быть оштрафованы на сумму от 100 000 до 1 миллиона юаней (примерно от 15 438,29 до 154 382,93 долларов США), а также им может быть запрещено занимать определенные должности, включая директора, руководителя, руководителя высокого уровня или сотрудника по защите личной информации, за Период времени. Напротив, штрафы за серьезные нарушения GDPR могут составлять до 20 миллионов евро (примерно 23 486 300 долларов США).00) или до 4% от общего мирового оборота компании за предыдущий финансовый год (в зависимости от того, что больше).
  • Иностранные организации также могут быть привлечены к ответственности в соответствии с PIPL за нарушение прав граждан Китая на личную информацию или нанесение ущерба национальной безопасности или общественным интересам Китая. Государственный департамент кибербезопасности и информатизации может внести организации-нарушители в черный список, что приведет к ограничению получения личной информации для лиц, внесенных в черный список ( статья 42 ).PIPL не дает ясности в отношении того, что представляет собой нарушение прав граждан Китая на личную информацию или что квалифицируется как нанесение ущерба национальной безопасности или общественным интересам Китая.

Компании, работающие в Китае, должны уделять особое внимание вопросам трансграничной передачи данных, поднятым PIPL:

  • Иностранные организации должны будут раскрыть определенную информацию при передаче личной информации за пределы Китая . В соответствии с PIPL PIPE должны получить согласие субъекта данных до передачи, хотя требуемая форма и способ такого согласия не ясны ( Статья 39 ). Субъекты, стремящиеся передать данные, также должны предоставить субъекту данных информацию об иностранном получателе, включая его имя, контактные данные, цель и метод обработки данных, категории предоставленной личной информации и описание прав субъекта данных в соответствии с PIPL. ( Статья 39 ).
  • Некоторым компаниям может потребоваться пройти государственную оценку безопасности перед трансграничной передачей данных. В дополнение к требованиям о согласии и раскрытии информации в соответствии со статьей 39, «операторы критически важной информационной инфраструктуры» и PIPE, обрабатывающие личную информацию в количествах, превышающих государственные ограничения, должны пройти государственную оценку безопасности перед передачей данных за пределы Китая (, статья 40 ). Термин «оператор критической информационной инфраструктуры» не имеет дальнейшего определения в PIPL, однако этот термин имеет широкое определение в недавно принятом Положении о безопасности и защите критической информационной инфраструктуры («Положение о критической информационной инфраструктуре»), которое вступают в силу 1 сентября 2021 года (версия на китайском языке доступна здесь).В соответствии со статьей 2 Положения о критической информационной инфраструктуре «оператор критической информационной инфраструктуры» — это компания, осуществляющая деятельность в важных отраслях или сферах, в том числе в области связи и информационных услуг, энергетики, транспорта, водоснабжения, финансов, государственных услуг, услуг электронного правительства. , национальная оборона и любые другие важные сетевые объекты или информационные системы, которые могут нанести серьезный ущерб национальной безопасности, национальной экономике и средствам к существованию людей или общественным интересам в случае выхода из строя, повреждения или утечки данных. В PIPL также не указаны пороговые значения данных, помимо количеств, предоставленных государственным департаментом кибербезопасности и информации, или характер оценки безопасности, а также не указаны какие-либо конкретные законодательные акты, изданные государственным департаментом кибербезопасности и информатизации для целей определения таких пороговых значений данных. ( Артикул 40 ).
  • PIPE за пределами Китая, которые осуществляют деятельность по обработке персональных данных с целью ведения бизнеса в Китае или оценки поведения отдельных лиц в стране, должны учредить юридическое лицо или назначить физическое лицо в Китае, которое будет нести ответственность за вопросы личной информации. Такие иностранные организации должны сообщать название соответствующего лица или имя представителя и способ связи с отделами, выполняющими обязанности по защите личной информации, хотя в PIPL не указывается и не указывается, в какие отделы иностранные организации должны сообщать в таких случаях (статья 53 ).
  • Компании и частные лица не могут предоставлять личную информацию, хранящуюся в Китае, иностранным судебным или правоохранительным органам без предварительного одобрения правительства Китая. Как было сказано в нашем предыдущем предупреждении для клиентов, PIPL дополняет растущий список законов, ограничивающих предоставление данных иностранным судебным органам и государственным учреждениям, что может иметь далеко идущие последствия для трансграничных судебных разбирательств и расследований. Китайские власти будут обрабатывать запросы от иностранных судебных или правоохранительных органов на личную информацию, хранящуюся в Китае, в соответствии с применимыми международными договорами или принципом равенства и взаимности (, статья 41 ).PIPL не содержит каких-либо указаний о том, как компания должна получить разрешение, если она хочет экспортировать личные данные в ответ на запрос иностранного государственного учреждения или иностранного суда.

IV. Следующие шаги

Принятие PIPL произошло в то время, когда Китай усилил контроль со стороны регулирующих органов в отношении технологических компаний и других организаций, располагающих большими объемами конфиденциальной общедоступной информации, и использования ими данных. Учитывая широкий охват PIPL и его экстерриториальный охват, организациям внутри и за пределами Китая необходимо будет пересмотреть свои стратегии защиты и передачи данных, чтобы убедиться, что они не нарушают эту сеть законодательства.

Даже для компаний, у которых в настоящее время действуют программы соответствия GDPR, PIPL вводит новые требования, которые в настоящее время не требуются в соответствии с GDPR. Примеры таких требований, уникальных для PIPL, включают, среди прочего, создание юридического лица в Китае и прохождение проверки безопасности перед экспортом личных данных, которые достигают определенного нераскрытого порога. Как правительство обеспечивает соблюдение закона и интерпретирует его положения, еще неизвестно, и программа соблюдения PIPL, вероятно, потребует тонкого понимания китайской культурной и деловой практики.

Компаниям, работающим в Китае, следует уделять пристальное внимание нормативным актам, руководящим документам и правоприменительным мерам, связанным с PIPL, поскольку правительство Китая продолжает укреплять свою правовую инфраструктуру защиты данных и обращаться за советом к знающим консультантам.

___________________________

   [1]   Обратите внимание, что обсуждение китайского законодательства в этой публикации носит рекомендательный характер.


Это оповещение подготовили Коннелл О’Нил, Келли Остин, Оливер Уэлч, Нин Нин, Фелиция Чен и Джоселин Ших.

Юристы Gibson Dunn готовы помочь в решении любых вопросов, которые могут у вас возникнуть в связи с этими событиями. Пожалуйста, свяжитесь с юристом Gibson Dunn, с которым вы обычно работаете в группе практики конфиденциальности, кибербезопасности и инноваций в области данных, или со следующими авторами:

Келли Остин — Гонконг (+852 2214 3788, [email protected])
Коннелл О’Нил — Гонконг (+852 2214 3812, coneill@gibsondunn. com)
Оливер Д. Уэлч — Гонконг (+852 2214) 3716, owelch@gibsondunn.ком)

Группа конфиденциальности, кибербезопасности и инноваций в области данных:

Азия
Келли Остин — Гонконг (+852 2214 3788, [email protected])
Коннелл О’Нил — Гонконг (+852 2214 3812, [email protected])
Джай С. Патхак — Сингапур ( +65 6507 3683, [email protected])

Европа
Ахмед Балади — сопредседатель практики PCDI, Париж (+33 (0)1 56 43 13 00, [email protected])
Джеймс А. Кокс — Лондон (+44 (0) 20 7071 4250 , [email protected])
Патрик Дорис — Лондон (+44 (0) 20 7071 4276, [email protected])
Кай Гесинг — Мюнхен (+49 89 189 33-180, [email protected])
Бернард Гринспан — Париж (+ 33 (0)1 56 43 13 00, [email protected])
Penny Madden — Лондон (+44 (0) 20 7071 4226, [email protected])
Michael Walther — Мюнхен (+49 89 189 33-180) , mwalther@gibsondunn. com)
Алехандро Герреро — Брюссель (+32 2 554 7218, [email protected])
Вера Лукич — Париж (+33 (0)1 56 43 13 00, [email protected])
Сара Вазен — Лондон (+44 (0) 20 7071 4203, [email protected])

Соединенные Штаты Америки
Александр Х. Саутуэлл — сопредседатель практики PCDI, Нью-Йорк (+1 212-351-3981, [email protected])
С. Эшли Берингер — сопредседатель практики PCDI, Пало-Альто (+1 650-849-5327, [email protected])
Дебра Вонг Ян – Лос-Анджелес (+1 213-229-7472, [email protected])
Мэтью Бенджамин – Нью-Йорк (+1 212-351- 4079, [email protected])
Райан Т.Бергзикер — Денвер (+1 303-298-5774, [email protected])
Дэвид П. Бернс — Вашингтон, округ Колумбия (+1 202-887-3786, [email protected])
Никола Т. Ханна — Лос-Анджелес (+1 213-229-7269, [email protected])
Howard S. Hogan – Вашингтон, округ Колумбия (+1 202-887-3640, [email protected])
Robert K. Hur – Вашингтон, округ Колумбия (+ 1 202-887-3674, [email protected])
Джошуа А. Джессен – округ Ориндж/Пало-Альто (+1 949-451-4114/+1 650-849-5375, [email protected])
Кристин А. .Линсли – Сан-Франциско (+1 415-393-8395, [email protected])
Х. Марк Лайон – Пало-Альто (+1 650-849-5307, [email protected])
Карл Г. Нельсон – Даллас ( +1 214-698-3203, [email protected])
Эшли Роджерс — Даллас (+1 214-698-3316, [email protected])
Дебора Л. Стейн — Лос-Анджелес (+1 213-229-7164) , [email protected])
Эрик Д. Вандевельде — Лос-Анджелес (+1 213-229-7186, [email protected])
Бенджамин Б. Вагнер — Пало-Альто (+1 650-849-5395, bwagner@gibsondunn .com)
Майкл Ли-Минг Вонг – Сан-Франциско/Пало-Альто (+1 415-393-8333/+1 650-849-5393, [email protected])
Кассандра Л. Гаэдт-Шектер – Пало-Альто (+1 650-849-5203, [email protected])

© 2021 ТОО «Гибсон, Данн энд Крутчер»

Адвокатская реклама: Прилагаемые материалы подготовлены только для общих информационных целей и не предназначены для юридической консультации.

Политика конфиденциальности | Нордеа

2. Как мы можем использовать ваши персональные данные и законные основания для этого

Мы используем ваши персональные данные для выполнения юридических и договорных обязательств, предоставления вам предложений, советов и услуг, а также для создания сводной и анонимной статистики для тестирования и разработки новых продуктов и услуг.

Заключение и сопровождение договоров об обслуживании и продукции (исполнение договора)

Основной целью обработки нами персональных данных является сбор, проверка и обработка персональных данных перед тем, как сделать предложение и заключить с вами договор. Мы также обрабатываем персональные данные для документирования, администрирования и выполнения задач по выполнению контрактов.

Примеры исполнения договора:

  • Процессы, необходимые, например, дляоткрыть счет или онлайн-сервис или для предоставления карты или кредита
  • Обслуживание клиентов в течение срока действия договора
  • Возможное установление, осуществление или защита судебных исков и процедура взыскания.

Выполнение требований и обязательств Nordea, установленных законами, постановлениями или решениями органов власти и надзора (юридическое обязательство)

В дополнение к исполнению договора обработка персональных данных также осуществляется для выполнения нами наших обязательств в соответствии с законом, другими нормативными актами или решениями органов власти.

Примеры обработки в связи с юридическими обязательствами:

  • Знай требования своего клиента
  • Предотвращение, обнаружение и расследование случаев отмывания денег, финансирования терроризма и мошенничества
  • Проверка санкций
  • Правила бухгалтерского учета
  • Отчетность в налоговые органы, органы полиции, правоохранительные органы, надзорные органы
  • Обязательства по управлению рисками, такие как кредитная эффективность и качество, достаточность капитала и страховые риски
  • Требования и обязательства платежных услуг
  • Другие обязательства, связанные с законодательством об услугах или продуктах, например о ценных бумагах, фондах, залоге, страховании или ипотеке

Маркетинг, анализ продуктов и клиентов (законный интерес)

Персональные данные также обрабатываются в контексте маркетинга, анализа продуктов и клиентов. Эта обработка формирует основу для маркетинга, разработки процессов, бизнеса и систем, включая тестирование. Это необходимо для улучшения ассортимента нашей продукции и оптимизации предложений для клиентов. Это может также включать профилирование (см. ниже).

У нас есть законный интерес использовать профилирование, например, при проведении анализа клиентов в маркетинговых целях или при отслеживании транзакций с целью выявления мошенничества.

Мы хотим предоставлять нашим клиентам актуальную информацию и маркетинговые материалы на социальных платформах и веб-сайтах, отвечать на ваши комментарии и запросы и предоставлять вам поддержку пользователей.

Мы также анализируем активность в социальных сетях, связанную с нашими задачами, и отслеживаем использование наших собственных каналов социальных сетей для проверки эффективности наших маркетинговых программ и анализа других общих демографических тенденций. Выводы, сделанные в результате анализа, помогают формировать маркетинговую и коммуникационную стратегии Nordea.

Когда вы используете любой из наших каналов в социальных сетях, мы можем записывать и сохранять информацию о вас. Это может включать использование вами наших сайтов и частоту ваших посещений.Отдельным каналам социальных сетей также может быть разрешено делиться с нами определенной информацией в соответствии с вашими персональными настройками конфиденциальности на этих каналах.

У нас есть законный интерес к анонимизации финансовых и демографических данных для создания статистики для тестирования и разработки новых продуктов и услуг. Обезличенная и агрегированная статистика не может быть привязана к физическому лицу. Статистикой можно делиться с государственными и частными компаниями, например, в контексте проведения экономических исследований или анализа тенденций и объемов платежей в определенных регионах или коммерческих секторах.

Мы также можем предоставлять анонимные и агрегированные данные для социальных и экономических исследований или статистических целей, если мы считаем, что это отвечает общественным интересам. Вы можете возразить против обработки ваших личных данных для внешней статистики и управлять своими согласиями и возражениями в цифровых банковских каналах Nordea или связавшись со службой поддержки клиентов.

Согласие

Бывают ситуации, когда мы будем запрашивать ваше согласие на обработку ваших персональных данных. Примерами таких ситуаций являются обработка данных платежных транзакций в маркетинговых целях или для обработки некоторых специальных категорий данных.

Согласие будет содержать информацию об этой конкретной обработке данных. Если вы дали согласие на обработку ваших персональных данных, вы всегда можете отозвать свое согласие.

Общее положение о защите данных | HubSpot

Согласие

GDPR повышает стандарт раскрытия информации при получении согласия, поскольку оно должно быть «свободно предоставленным, конкретным, информированным и недвусмысленным», а контролеры должны использовать «четкий и простой» юридический язык, который «четко отличается от других вопросов». Контроллеры также должны будут предоставить доказательства того, что их процессы соответствуют требованиям и соблюдаются в каждом случае.

По сути, ваш клиент не может быть принужден к согласию или не знать, что он дает согласие на обработку своих персональных данных. Они также должны точно знать, на что они дают согласие, и должны быть заранее проинформированы о своем праве отозвать это согласие. Получение согласия требует положительного подтверждения согласия — его нельзя вывести из молчания, предварительно отмеченных галочек или бездействия.Это означает, что информирование пользователя во время подписки становится все более важным.

Новые права физических лиц

Регламент также предусматривает два новых права для субъектов данных: «право на забвение» , которое требует, чтобы контролеры предупреждали нижестоящих получателей о запросах на удаление, и «право на переносимость данных» , которое позволяет субъектам данных требовать копию своих данных в общем формате. Эти два права облегчают пользователям запрос на удаление любой сохраненной информации или передачу им собранной информации.

Запросы на доступ

Субъекты данных всегда имели право запрашивать доступ к своим данным. Но GDPR расширяет эти права. В большинстве случаев вы не сможете взимать плату за обработку запроса на доступ, если только не продемонстрируете, что стоимость будет чрезмерной. Срок обработки запроса на доступ также сократится до одного месяца (но в некоторых случаях он может быть продлен еще на два месяца. В некоторых случаях организации могут отказать в предоставлении запроса на доступ, например, если запрос считается явно необоснованные или чрезмерные.Однако организациям необходимо иметь четкие политики и процедуры отказа, а также продемонстрировать, почему запрос соответствует этим критериям.

GDPR Часто задаваемые вопросы

Что такое GDPR?

Общий регламент по защите данных (GDPR), вступивший в силу 25 мая 2018 года, представляет собой существенное изменение в регулировании конфиденциальности данных. Она заменяет Директиву о защите данных 95/46/EC и предназначена для гармонизации законов о конфиденциальности данных в Европе, предоставления прав европейским Граждане Союза (ЕС) в отношении конфиденциальности данных и изменить способ организации регион подходит к конфиденциальности данных. В частности, он делает две вещи: (1) явно предоставляет многочисленные права в отношении конфиденциальности данных лицам, находящимся в Союза (ЕС), и (2) он требует, чтобы организации, на которые распространяется действие закона, ввели значительные меры безопасности в отношении использования и обработки персональных данных резидентов ЕС

  Как узнать, подпадает ли наша «Организация» под действие GDPR?

GDPR применяется не только к организациям, расположенным в ЕС, но также организациям, расположенным за пределами ЕС , если они предлагают товары или услуги или отслеживают поведение субъектов данных ЕС . Это относится ко всем компаниям, обрабатывающим и хранящим персональные данные субъектов данных. проживающие в Европейском Союзе, независимо от местонахождения компании.

Чьи данные защищает GDPR?

 Общий регламент GDPR распространяется на персональные данные физических лиц, то есть людей, но не юридические лица, такие как корпорации или некоммерческие организации, — физически в пределах ЕС («данные ЕС предметы”).GDPR не делает различий в зависимости от постоянного места жительства проживания или гражданства. GDPR применяется ко всем личным данным таких лиц.

Что представляют собой личные данные?

 Персональные данные в контексте GDPR означают любую информацию, относящуюся к идентифицированному или идентифицируемое физическое лицо. Идентифицируемое физическое лицо – это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством ссылки, среди прочего, на идентификатор таких как имя, идентификационный номер, данные о местоположении или онлайн-идентификатор.Примеры персональных данных включают, помимо прочего, имя и фамилию, домашний адрес, фотография, адрес электронной почты (например, имя.фамилия@компания.com), удостоверение личности номера карт, личные номера телефонов, данные о местоположении (например, данные о местоположении функция на мобильном телефоне), адреса интернет-протокола (IP), идентификаторы файлов cookie, рекламные идентификатор телефона, данные, хранящиеся в больнице или у врача, которые однозначно идентифицируют человека (например, уникальный номер пациента) и содержание экзаменационных работ.

  Как насчет Субъектов данных младше 16 лет?

Для обработки персональных данных несовершеннолетних детей требуется согласие родителей из 16 для онлайн-сервисов; государства-члены могут принять закон о более низком возрасте согласия но это будет не младше 13 лет.

  В чем разница между обработчиком данных и контроллером данных?

Контролер – это организация, которая определяет цели, условия и средства обработке персональных данных, а обработчиком является лицо, которое обрабатывает персональные данные от имени контроллера.

  Требуется ли обработчикам данных «явное» или «недвусмысленное» согласие субъекта данных — и какое разница?

Условия для согласия были усилены, так как компании больше не могут использовать длинные неразборчивые термины и условия, полные юридических терминов. Запрос на согласие должны быть представлены в понятной и легкодоступной форме, с целью обработка данных прилагается к этому согласию, то есть оно должно быть недвусмысленным. Согласие должны быть четкими и отличимыми от других вопросов и представлены в понятной и легко доступной форме, с использованием ясного и простого языка. Должно быть так же легко отозвать согласие, как и дать его.​  Явное согласие требуется только для обработки конфиденциальные личные данные — в этом контексте ничего, кроме «согласиться», будет достаточно. Однако для неконфиденциальных данных будет достаточно «недвусмысленного» согласия.

  Как GDPR влияет на маркетинговые стратегии?

Данные играют решающую роль как в цифровых, так и в стратегиях прямого маркетинга, и поэтому маркетологи должны убедиться, что они продемонстрировали четкое согласие и согласие. директора по маркетингу и маркетологи должны продемонстрировать, как субъект данных дал согласие на обработку своих персональных данных. Маркетинговые базы данных должны быть очищены и проверены, чтобы убедиться, что организация может идентифицировать согласие, которое было предоставлено законно и справедливо.Хотя GDPR касается только граждан, проживающих в Европейском Союзе, рекомендуется, чтобы компании, работающие на международном уровне, обеспечивали все свои глобальная аудитория соответствует требованиям GDPR, чтобы соответствовать строгим требованиям к данным в будущем.

  Какие санкции предусмотрены за несоблюдение требований?

Организации могут быть оштрафованы на сумму до 4% от годового глобального оборота за нарушение GDPR или 20 миллионов евро.Это максимальный штраф, который может быть наложен за самые серьезные нарушения. (например, отсутствие достаточного согласия клиента на обработку данных или нарушение основных концепции «Конфиденциальность по замыслу»). Существует многоуровневый подход к штрафам, например. компания могут быть оштрафованы на 2% за неупорядочивание их учета (статья 28), неуведомление надзорный орган и субъект данных о нарушении или не проведении воздействия оценка.Важно отметить, что эти правила применяются как к контроллерам, так и к процессоры — это означает, что «облака» не освобождаются от соблюдения GDPR.

Что означает GDPR для Университета Толедо?

Университет Толедо разрабатывает программу соблюдения GDPR [вставьте гиперссылку на нашу страницу GDPR], чтобы помочь в анализе и соблюдении требования GDPR.Сотрудник университета по защите данных создал рабочую группу. Команда GDPR работает над разработкой стратегии соблюдения GDPR с учетом рисков и разработкой рекомендации для постоянной, устойчивой программы соблюдения GDPR.

Потребуется несколько лет для более точного понимания того, как GDPR будет дальше определяются, интерпретируются и применяются органами ЕС и национальными органами по защите данных из его государств-членов.Университет Толедо будет уделять пристальное внимание эволюция требований соблюдения закона в ближайшие годы и ответит по мере необходимости.

Почему GDPR применяется к Университету Толедо?

GDPR может применяться к определенным персональным данным, собираемым Университетом Толедо, поскольку: в определенных ограниченных обстоятельствах мы участвуем в коммерческой деятельности, которая собирает или обрабатывать персональные данные лиц, проживающих в ЕС.

Каковы примеры того, где GDPR применяется и не применяется в UT?

Примеры случаев, когда GDPR может применяться в UT:

    • Группа студентов из стран, не входящих в ЕС, участвует в семестровом обучении за границей в одном стран ЕС и/или Исландии, Лихтенштейна и Норвегии.
    • Студенты из ЕС записались на онлайн-курсы и/или программы, предлагаемые UT.
    • Office of Development проводит кампанию по сбору средств и собирает доноров информация от выпускников, проживающих в ЕС.
    • Исследовательский консорциум в ЕС предоставляет Университету Толедо персональные данные граждан ЕС для исследовательского анализа.

Примеры случаев, когда GDPR не применяется  в UT:

    • Иностранная исследовательская группа, сформированная на территории кампуса, т. е. группы в университете, созданные граждан ЕС, которые учатся в UT.
    • преподавателей ЕС набраны на научную конференцию, состоявшуюся в Орландо, Флорида.В отличие, GDPR будет применяться, если эти преподаватели будут наняты на конференции в Барселоне, Испания.
    • Когда сбор данных исследователем действительно анонимен, то есть информация собранные данные нельзя связать с идентифицированным или идентифицируемым лицом — тогда данные собранные данные не будут считаться персональными данными и не будут подпадать под действие GDPR.

Как Университет Толедо планирует соблюдать GDPR?

 Мы находимся в процессе выявления и оценки потоков данных, которые могут быть затронуты GDPR и разработка стратегии соблюдения GDPR с учетом рисков в поддержку требований GDPR. Начнем внедрять приоритетные требования GDPR, разработаем рекомендации для устойчивой программы соблюдения GDPR, а также сделать доступными ресурсы соответствия GDPR университетскому сообществу по мере их появления.

  Что мне нужно сделать сейчас, чтобы подготовиться к новым требованиям GDPR?

Оставайтесь с нами. Не нужно ничего делать сразу. Это займет некоторое время для организациям по всему миру, чтобы разобраться, понять и определить последствия требований GDPR и как эти требования влияют на государственное высшее образование учреждения.Следите за дополнительной информацией, пока работает рабочая группа университета по GDPR. о своей работе. Если у вас есть срочные вопросы или проблемы, пожалуйста, свяжитесь с [email protected]    

  РЕСУРСЫ

https://eugdpr. org/the-regulation/gdpr-faqs/ ;

https://www.safecomputing.umich.edu/protect-the-u/safely-use-sensitive-data/general-data-protection-regulation-compliance/faq

https://www.cupahr.org/data-privacy-gdpr/ ; Что нужно знать HR-специалистам с высшим образованием о новых правилах конфиденциальности данных в Европе Союз по CUPA-HR | 26 марта 2018 г. Эта запись в блоге была подготовлена ​​Джоанной Лин Грама, директором по кибербезопасности и Программа управления ИТ, управления рисками и соблюдения требований в EDUCAUSE.  

https://www.ucop.edu/ethics-compliance-audit-services/_files/compliance/privacy/GDPR.pdf  

Новый Общий регламент ЕС по защите данных: что нужно знать о нем и Почему
ответа на вопросы без ответа, вебинар NACUA, 24 октября 2017 г. , Борио, Коэн, & Быстрый (стр. 4)]

Как разработать согласие в соответствии с GDPR | by Sagara Gunathunga

Как мы уже обсуждали в предыдущих сообщениях этой серии, согласие является одним из пяти законных средств обработки, определенных в GDPR, но в коммерческом мире согласие является наиболее распространенным и наиболее важным подходом.В этом посте мы подробно обсудим управление согласием, а также рассмотрим аспекты дизайна.

Основной целью согласия является предоставление лицу свободного выбора и контроль над обработкой его персональных данных. Также для организаций, осуществляющих обработку персональных данных, согласие на предоставление законных оснований для обработки. Хорошо разработанное согласие помогает бизнесу завоевать доверие клиентов, а также повышает осведомленность клиентов и прозрачность обработки данных, а дальнейшее согласие значительно улучшает репутацию бизнеса.

GDPR устанавливает очень высокие стандарты управления согласием, GDPR определяет значительные финансовые штрафы за нарушения правил, связанных с согласием. Любая организация, обрабатывающая личные данные отдельных лиц, должна уделять особое внимание управлению согласием и будущей обработке уже собранных личных данных.

Обрабатывающая организация может использовать согласие для легитимации , методы онлайн-отслеживания, для установки приложений / программного обеспечения на устройства отдельных лиц.Согласие необходимо предоставлять таким образом, чтобы потребители могли легко понять, что у них есть согласие, и на что они имеют согласие, без каких-либо важных деталей, скрытых мелким шрифтом.

Кроме того, обрабатывающие организации не могут запрашивать согласие потребителя по электронной почте или в текстовом сообщении, поскольку такое сообщение само по себе представляет собой прямое маркетинговое сообщение, уже существует несколько реальных примеров.

Однако согласие не является абсолютным правом, могут существовать законные основания для игнорирования согласия лица на обработку данных. Например, вы не можете отказать банку в предоставлении информации о вашей кредитной истории государственным финансовым органам, вы не можете отказаться от обязанности работодателя предоставлять информацию о вашей зарплате государственным налоговым органам.

Определение согласия в GDPR остается таким же, как и текущее определение DPD, но GDPR вводит новый пункт, поскольку согласие должно быть недвусмысленным и предполагать четкие позитивные действия.

1995 DPA Definition

«Любое свободно предоставленное конкретное и информированное указание на свои пожелания, которым субъект данных выражает свое согласие на обработку персональных данных, относящихся к нему»

Определение GDPR
любое свободно данное, конкретное, информированное и недвусмысленное указание на пожелания субъекта данных, которым он или она, заявлением или четким утвердительным действием , означает согласие на обработку персональных данных, касающихся его или ее ”

Также следует отметить, что, когда обработка данных основана на согласии, люди имеют очень сильный набор прав, включая право на удаление и право на переносимость данных.

Вот наиболее важные моменты, извлеченные из приведенного выше определения.

Предоставляется бесплатно — Это очень важный момент, который помогает решить, является ли согласие правильным выбором данной обработки данных или нет. Чтобы использовать согласие, организация, обрабатывающая согласие, должна быть в состоянии предложить людям реальную свободу выбор по обработке данных. Например, в большинстве случаев государственные органы не могут дать согласие добровольно, еще одним примером является то, что работодатель не всегда может предоставить реальный выбор для сотрудников, в таких случаях согласие не должно использоваться вместо , вместо этого организация может использовать одну из пяти других законных процедур. означает.

конкретный — невозможно запросить общее согласие у отдельных лиц, согласие должно быть конкретным в отношении его предполагаемой цели, лежащего в основе подхода к обработке, того, какие данные обрабатываются и как долго данные будут храниться в компании и т. д.

Информированный — Физическое лицо должно быть проинформировано о том, что оно дает согласие на обработку своих персональных данных, дополнительно физическое лицо должно быть осведомлено о правах на данное согласие, таких как право отозвать данное согласие.Организации, занимающиеся дальнейшей обработкой данных, должны убедиться, что язык, изображения, графика и т. д., используемые в согласии, хорошо понятны людям. Незаконно получать согласие, вводя людей в заблуждение или предоставляя скрытую информацию.

Существует специальная категория согласия под названием « Явное согласие» , которое требуется для обработки данных особой категории и автоматизированного принятия решений. Ключевое отличие заключается в том, что «явное» согласие должно быть подтверждено четким устным или письменным заявлением.

  • Активное согласие — Согласие требует положительного согласия и избегает предварительно отмеченных полей или любого другого метода согласия по умолчанию. Всякий раз, когда предоставляется бинарный выбор, оба варианта должны иметь одинаковую значимость.
  • Информированное — Согласие должно быть четким, кратким и конкретным в отношении содержания. В согласии не должны использоваться двусмысленные или общие утверждения.
  • Раздельно — Согласие должно быть представлено отдельно таким образом, чтобы его можно было отличить от другого контента, такого как общие положения и условия, уведомления о конфиденциальности и т. д.
  • Named — Согласие должно содержать четкую информацию об организации, обрабатывающей данные, и информацию о любой третьей стороне, участвующей в обработке данных.
  • Легко отозвать — В согласии должно быть прямо указано о праве потребителя отозвать согласие в любое время с четкой процедурой отзыва. Это также предполагает, что обрабатывающая организация создала средства для отзыва согласия.
  • Детализированный — Организации должны предоставлять детализированные согласия, чтобы потребители могли отдельно давать согласие на различные типы обработки.
  • Непрерывная проверка — Организации должны внедрить процесс постоянной проверки согласия на изменения бизнеса/системы, чтобы убедиться, что они соответствуют GDPR.
  • Задокументировано — Обрабатывающая организация должна хранить доказательства согласия, такие как кто, когда, как и что вы сказали.
  • Отсутствие дисбаланса в отношениях — когда существует дисбаланс между физическим лицом и обрабатывающей организацией (такие случаи, как органы государственной власти и работодатели), невозможно дать свободное согласие, в таких случаях следует использовать другие законные средства вместо согласия.
  • Ограничения по времени — Нет четких правил о том, как долго вы можете хранить личные данные, но рекомендуется указать, как долго вы будете хранить и обрабатывать личные данные с согласия.

Вы можете сослаться на некоторые из хороших прототипов согласия, созданных Projectsbyif отсюда.

Чтобы подготовиться к соблюдению GDPR, не обязательно отменять все ваши существующие согласия и получать новые согласия от пользователей, но абсолютно необходимо провести проверку текущего процесса управления согласиями. Если процесс соответствует GDPR, вы можете рассмотреть существующие согласия действительны и продолжают обработку данных.Если ваш процесс управления согласием соответствует текущим рекомендациям DPA, вы можете легко подготовиться к соблюдению GDPR.

В случае, если у вас есть какие-либо сомнения относительно существующих согласий в отношении соблюдения GDPR, всегда рекомендуется удалить данные и получить новое согласие в соответствии с GDPR.

Чтобы продемонстрировать, что у вас есть согласие от физического лица, обрабатывающие организации должны вести следующие записи.

  1. Кто дал согласие — имя лица или другой идентификатор
  2. Когда они дали согласие — копия документа с датой или онлайн-записи, содержащие отметку времени.
  3. То, что им сказали в то время — мастер-копия документа или форма сбора данных, содержащая заявление о согласии, используемое в то время, вместе с любой отдельной политикой конфиденциальности, включая номера версий и даты, соответствующие дате предоставления согласия. . Если согласие было дано устно, в ваши записи должна быть включена копия сценария, использовавшегося в то время.
  4. Как они дали согласие — для письменного согласия, копия соответствующего документа или форма сбора данных. Если согласие было дано онлайн, ваши записи должны включать отправленные данные, а также отметку времени, чтобы связать их с соответствующей версией формы сбора данных.Если согласие было дано устно, вам следует записать это во время разговора — это не обязательно должна быть полная запись разговора.
  5. Отозвали ли они согласие — и если да, то когда.

Если обработка данных предназначена для детей и зависит от согласия детей, то обрабатывающая организация должна рассмотреть следующие два требования.

  1. Реализует механизм проверки возраста.
  2. Подтверждение родительской ответственности

Кроме того, вы должны убедиться, что согласие понятно для детей.

Если согласие не является подходящим основанием для узаконивания обработки, можно использовать одно из следующих 5 оснований.

  1. Договор с физическим лицом
  2. Соблюдение юридических обязательств.
  3. Жизненно важные интересы.
  4. Открытое задание.
  5. Законные интересы.

Контрольный список согласия, опубликованный Управлением Комиссара по информации Великобритании, можно использовать для проверки того, соответствует ли ваше согласие GDPR или нет.

Запрос согласия

  1. Мы проверили, что согласие является наиболее подходящим законным основанием для обработки ?
  2. Мы сделали запрос на согласие заметным и отдельным от наших положений и условий ?
  3. Мы просим людей согласиться на участие ?
  4. Мы не используем предварительно отмеченные поля или любой другой тип согласия по умолчанию?
  5. Мы используем простой и понятный язык.
  6. Мы указываем, зачем нам нужны данные и что мы собираемся с ними делать?
  7. Мы предоставляем детальные варианты согласия на независимые операции обработки?
  8. Мы назвали нашу организацию и каких-либо третьих лиц?
  9. Мы говорим людям, что они могут отозвать свое согласие?
  10. Мы гарантируем, что человек может отказаться от согласия без ущерба?
  11. Мы не делаем согласие обязательным условием услуги?
  12. Если мы предлагаем онлайн-услуги непосредственно детям, мы запрашиваем согласие только в том случае, если у нас есть меры по проверке возраста и согласию родителей ?

Запись согласия

  1. Мы ведем учет того, когда и как мы получили согласие от лица?
  2. Мы записываем, что именно им сказали в то время?

Управление согласием

  1. Мы регулярно просматриваем согласия, чтобы убедиться, что отношения, обработка и цели не изменились ?
  2. У нас есть процессы для обновления согласия через соответствующие промежутки времени, включая согласие родителей ?
  3. Мы считаем, что использование информационных панелей конфиденциальности или других инструментов управления предпочтениями является хорошей практикой?
  4. Мы упрощаем отзыв согласия в любое время и публикуем информацию о том, как это сделать ?
  5. Мы примем меры по отзыву согласия, как только сможем?
  6. Мы не наказываем лиц, желающих отозвать согласие

Справки

.