Сеть отелей Starwood объявила о серьезной утечке данных в ноябре 2018 года.Он создал специальный веб-сайт для предоставления информации затронутым пользователям. Он отвечает на следующие вопросы в своем уведомлении о нарушении:

Facebook предупредил своих пользователей об утечке данных через мобильное приложение, чтобы гарантировать, что сообщение получило как можно больше людей.

Facebook также пытался успокоить пользователей, объясняя нарушение техническими терминами. Он даже поделился видео, в котором вице-президент по управлению продуктами объясняет нарушение:

Используя различные методы оповещения и объяснения, Facebook помогает обеспечить охват большей части людей и понять, что произошло с утечкой данных.

Политика защиты ваших данных

Как только вы определили, что произошла утечка данных, вы должны действовать быстро. Важно иметь надежные внутренние процедуры, чтобы каждый в вашей компании знал, что делать.

Внутренняя отчетность

Если в вашей компании есть сотрудник по защите данных (DPO), он должен быть первым, кто узнает о любом предполагаемом или подтвержденном нарушении. DPO должен обладать отличными практическими знаниями в области защиты данных и иметь возможность оценить, следует ли сообщать об инциденте DPA.

Если у вас нет DPO, вы должны указать соответствующего старшего сотрудника в вашей компании, которому люди могут сообщить о нарушении.

В вашей Политике утечки данных может быть указано, какая информация должна быть передана в случае нарушения, но важно не делать эти требования слишком обременительными – время имеет существенное значение.

Сдерживание разлома

Если нарушение все еще продолжается, вам необходимо принять все возможные меры, чтобы остановить его. Это может означать уведомление полиции или использование соответствующих технических знаний внутри вашей компании.

Например, вам может понадобиться:

• Отключить определенные системы
• Удаленно отключить компьютерный терминал
• Сброс паролей аккаунтов
• Изменить права доступа

Оценка рисков

Если вы можете сделать это быстро, вам следует оценить риски , прежде чем направлять уведомление. Это позволит вам предоставить вашему DPA или затронутым лицам основную необходимую информацию.

Для оценки риска вам потребуется ответить на некоторые из следующих вопросов:

• На кого может повлиять нарушение?
• Какой тип данных был скомпрометирован?
• Что послужило причиной нарушения ?
  • Человеческая ошибка
  • Технологический сбой
  • Вредоносная атака
• Если вы уведомите другие организации , e.грамм. обработчики данных, которые также могут подвергаться риску?
• Следует ли вам позвонить по номеру в другой экспертный центр , внутри или за пределами вашей компании?
• Было ли устранено нарушение ?

Оценка серьезности нарушения

Не о каждой утечке данных нужно сообщать, поэтому вам нужна система для оценки серьезности нарушения.

Агентство ЕС по сетевой и информационной безопасности предлагает использовать следующие критерии для оценки серьезности нарушения:

• Контекст обработки данных – Персональные данные:
  • Простой
  • Поведенческие
  • Финансовый
  • Чувствительный
• Простота идентификации
  • Насколько легко было бы идентифицировать людей?
  • Могут ли личные данные раскрыть людей прямо или косвенно?
  • Данные зашифрованы?
• Обстоятельства нарушения – Вовлечено ли нарушение:
  • Утрата конфиденциальности
  • Нарушение целостности
  • Отсутствие доступности
  • Злой умысел

Если данные являются конфиденциальными, это приведет к высокому уровню риска Контекст обработки данных , что повысит вероятность того, что об инциденте необходимо будет сообщить.

Высокий коэффициент Обстоятельства нарушения также может означать, что вам необходимо уведомить DPA – например, если есть доказательства какого-либо злонамеренного намерения со стороны злоумышленника.

Однако, если данные зашифрованы должным образом, коэффициент Простота идентификации может быть низким, что снижает вероятность уведомления.

Уведомление

Теперь вы можете узнать, нужно ли уведомлять DPA и, возможно, затронутых лиц – через индивидуальное уведомление, публичное уведомление или и то, и другое.

1. Если персональные данные, относящиеся к субъекту данных, собираются от субъекта данных, контролер должен во время получения личных данных предоставить субъекту данных всю следующую информацию:
   1. личность и контактные данные контролера и, если применимо, представителя контролера;
   2. контактные данные сотрудника по защите данных, если применимо;
   3. цели обработки, для которой предназначены личные данные, а также правовое основание для обработки;
   4. , если обработка основана на пункте (f) статьи 6 (1), законных интересах, преследуемых контролером или третьей стороной;
   5. получатели или категории получателей персональных данных, если таковые имеются;
   6. , если применимо, тот факт, что контролер намеревается передать персональные данные в третью страну или международную организацию, и наличие или отсутствие решения Комиссии об адекватности, или в случае передачи, упомянутой в Статье 46 или 47, или второй подпараграф статьи 49 (1), ссылка на соответствующие или подходящие гарантии и средства, с помощью которых можно получить их копию или где они стали доступными.
2. В дополнение к информации, указанной в параграфе 1, во время получения персональных данных контролер должен предоставить субъекту данных следующую дополнительную информацию, необходимую для обеспечения справедливой и прозрачной обработки:
   1. период, в течение которого будут храниться личные данные, или, если это невозможно, критерии, используемые для определения этого периода;
   2. наличие права требовать от контроллера доступа и исправления или удаления персональных данных или ограничения обработки в отношении субъекта данных или возражать против обработки, а также права на переносимость данных;
   3. , если обработка основана на пункте (а) статьи 6 (1) или пункте (а) статьи 9 (2), наличие права отозвать согласие в любое время, не влияя на законность обработки на основе согласия до его отзыва;
   4. право на подачу жалобы в надзорный орган;
   5. , является ли предоставление персональных данных законодательным или договорным требованием или требованием, необходимым для заключения договора, а также обязанность субъекта данных предоставить персональные данные и возможные последствия непредоставления таких данных;
   6. наличие автоматизированного принятия решений, включая профилирование, указанное в Статье 22 (1) и (4), и, по крайней мере, в этих случаях, значимую информацию о задействованной логике, а также о значимости и предполагаемых последствиях такого обработка для субъекта данных.
3. Если контролер намеревается продолжить обработку персональных данных для целей, отличных от той, для которой персональные данные были собраны, контролер должен предоставить субъекту данных до этой дальнейшей обработки информацию об этой другой цели и любую соответствующую дополнительную информацию, как упомянуто в пункте 2.
4. Пункты 1, 2 и 3 не применяются, если субъект данных уже имеет информацию.

Принципы обработки персональных данных: 9 принципов обработки GDPR

Для достижения соответствия GDPR важно понимать суть GDPR в оценке личных данных и возвращении контроля над личными данными гражданам в гораздо большей степени, чем это было сделано в ее предшественнице, Директиве о защите данных или Директиве 95/46 / EC.

Эти цели и соответствующие права, свободы и принципы GDPR выражены не только в новых или усиленных принципах и обязанностях для контроллеров и процессоров, но и в экстерриториальном применении GDPR (согласно которому все организации, приобретающие и обрабатывающие затрагиваются личные данные граждан ЕС, независимо от того, где происходит обработка) .

Хотя многие права субъектов данных и правила, касающиеся правовых основ для законной обработки персональных данных граждан ЕС, не изменились слишком сильно, важно понимать, как новые правила вписываются в объем упомянутых целей и общих принципов. что подчеркивается GDPR.

Это также касается принципов обработки персональных данных, о которых идет речь в этой статье.

Очевидно, что существует также некоторая степень «обновления», чтобы соответствовать современным средствам обработки данных и действиям с GDPR, и ЕС хочет гораздо более последовательный подход, применение и обеспечение соблюдения для организаций в рыночной реальности, где большие данные и личные данные необходимы во времена цифровой трансформации, инноваций на основе данных, новых технологий, таких как Интернет вещей и Индустрия 4.0.

Тем не менее, принципы, права и свободы вездесущи и упоминаются практически во всех аспектах GDPR, независимо от того, касается ли это роли DPO (сотрудника по защите данных) , правил согласия (информированный, свободно переданный, действующий, и т. д.) или способы продемонстрировать соблюдение одобрения практики безопасности и обработки данных, такой как шифрование и псевдонимизация, важность DPIA, кодексов поведения и т. д.

Соответствие GDPR начинается с осведомленности о GDPR, понимания прав субъектов данных, выбора надлежащих оснований для законной обработки всех действий по обработке данных и понимания принципов, закрепленных в Регламенте, включая принципы, касающиеся обработки персональных данных .

Ранее мы рассмотрели различные правовые основания для законной обработки и подробно остановились на некоторых из них. Получение согласия или наличие другого законного основания для законной обработки – это, конечно, всего лишь один шаг, когда все сводится к обработке персональных данных.

Когда существует правовая база, обработка по-прежнему должна происходить, и действительно существуют четкие принципы, касающиеся фактической обработки персональных данных. Эти принципы обработки персональных данных всегда связаны с (и часто включают) общие принципы , такие как справедливость, прозрачность, свобода выбора и многое другое.

Принципы обработки персональных данных в соответствии с GDPR можно найти в статье 5. GDPR. Мы рассмотрим 9 принципов обработки персональных данных и кратко рассмотрим каждый, прежде чем углубляться в каждый из них.

Причины, по которым эти принципы обработки персональных данных важны?

Касается ли это самого GDPR, руководящих принципов Европейского совета по защите данных или надзорных органов, юриспруденции, практических аспектов для организаций в соответствии с GDPR или интерпретации прав, обязанностей и многого другого: они всегда здесь, так как важные руководящие принципы, включенные в Регламент, которыми на самом деле являются принципы, касающиеся обработки персональных данных.

Как мы упоминали в нашем обзоре главы 2 GDPR, к которой относятся принципы обработки персональных данных, указанные в статье 5, на самом деле существует шесть принципов обработки персональных данных (которые иногда также называют шестью принципами обработки данных или шестью принципами конфиденциальности) и еще один (в параграфе 2) об ответственности, который применяется ко всем шести.

Некоторые из этих принципов, так сказать, связаны. Например: первый принцип обработки персональных данных, упоминаемый в статье 5, – это «законность, справедливость и прозрачность» .

В рамках этой статьи мы упоминаем некоторые отдельно, потому что, хотя они тесно связаны между собой (а также переплетаются с другими принципами и правилами в GDPR) , они возвращаются в GDPR по-разному. Более того, Рабочая группа по защите данных по статье 29 и другие разработали руководящие принципы (необязательные с юридической точки зрения, ) для одного или нескольких из этих трех, которые упомянуты, как если бы они были единым целым в статье 5 GDPR. WP29, например, опубликовал руководящие принципы. о прозрачности.

Поскольку мы разделили некоторые из них, а также включили подотчетность, мы пришли к 9 принципам.

Трудно упустить из виду важность принципов обработки персональных данных, учитывая их место в статье 5 GDPR.

Если в главе 1 GDPR есть 4 статьи, которые соответственно охватывают предмет и цели GDPR (подчеркивая основные права и свободы физических лиц и право на защиту персональных данных, GDPR Recital 4 представляет принцип соразмерности, устанавливающий что защита персональных данных должна быть сбалансирована с другими правами и свободами, такими как свобода мысли и выражения) , материальный охват GDPR, территориальный охват (с упомянутым экстерриториальным применением) и несколькими Определения в статье 4, вторая глава статей GDPR немедленно начинается с принципов, касающихся обработки персональных данных, до упомянутых ранее правовых оснований для законной обработки статьи 6, условий для согласия статьи 7, согласия детей в Статья 8, обработка особых категорий персональных данных в статье 9 и обработка персональных данных, относящихся к o уголовное преступление в соответствии со статьей 10 и обработка, когда идентификация не требуется в соответствии со статьей 11, которые являются частью главы 2.

Этого достаточно о важности принципов обработки персональных данных. Мы уже говорили о законности, справедливости и прозрачности. Время для обзора всех принципов обработки персональных данных и контекста по принципу.

Статья 5 GDPR начинается с того, что личные данные должны обрабатываться законным, справедливым и прозрачным образом по отношению к субъекту данных.Итак, законность, справедливость и прозрачность.

Принцип законности говорит сам за себя. Обработка персональных данных должна происходить законным образом и, следовательно, иметь правовую основу, которая делает обработку законной. Законность действительно относится к юридическим основаниям для законной обработки, которые мы рассмотрели, но также, в этой сфере, к фактической обработке. Законность нужно толковать строго: должен быть закон, разрешающий обработку. Действительно, есть случаи, когда существуют другие законы, помимо GDPR, в ЕС или в государстве-члене, которые требуют обработки персональных данных.Более того, иногда существенных правовых оснований для законности обработки персональных данных недостаточно. В качестве примера: хотя согласие является одним из юридических оснований, в некоторых случаях требуется явное согласие.

В статье 6 Общего регламента по защите данных (GDPR) дополнительно устанавливаются ключевые элементы законности, и по всему тексту правила определяются для конкретных типов персональных данных, действий по обработке и последствий, прав, ответственности и административных штрафов в случае незаконной обработки, а также когда основания законности больше не действуют.

GDPR Recital 10 предусматривает свободу маневра для государств-членов, чтобы указать свои правила, в том числе касающиеся обработки конфиденциальных данных, и уточнения условий, при которых обработка личных данных считается законной.

Хотя законность чаще всего упоминается в контексте правовых оснований для законной обработки, законность, как уже говорилось, также относится к фактической обработке.

В качестве примера: GDPR и GDPR Recital 83 обязывают контролера и процессора оценивать риски и рекомендовать такие меры, как шифрование, для обеспечения соответствующего уровня безопасности и конфиденциальности, в результате чего незаконное уничтожение является одним из нескольких рисков безопасности данных.Раскрытие личных данных, передача данных, хранение данных и т. Д. Должны происходить законным образом в том смысле, что все эти действия по обработке соответствуют закону, который включает в себя, прежде всего, GDPR, но также и другие. В частности, мы думаем о Положении об электронной конфиденциальности, которое является «lex specialis» по отношению к GDPR и затрагивает несколько операций обработки данных, когда они есть, в основном в сфере электронных коммуникаций.

Справедливость по-прежнему является частью того положения, что персональные данные должны обрабатываться законным, справедливым и прозрачным образом согласно статье 5 GDPR.Как вы могли видеть на приведенной выше инфографике, он действительно часто представлен в виде набора со ссылкой на шесть вместо семи (если вы добавляете ответственность), или восемь принципов.

Однако и здесь справедливость и принцип справедливости несколько раз возвращаются в GDPR. Проще говоря, справедливость означает, что должен существовать справедливый баланс между личными данными, которые обрабатываются организациями, а также причинами, по которым они их обрабатывают (которые вернутся позже) и тем, что они сказали – и обещали и описали (также подумайте о праве на то, чтобы субъект данных был четко проинформирован и никоим образом не вводил в заблуждение) .

Это должна быть честная игра. В наших статьях о GDPR и согласии, а также о GDPR и правовых основаниях для обработки мы привели некоторые примеры последнего.

Организация, которая хочет соответствовать требованиям и хочет обрабатывать персональные данные со всей справедливостью по отношению к субъекту данных, который контролирует данные, ничего не скрывает и не использует уловки: она предлагает всю информацию, которая должна быть у субъекта данных. чтобы принять действительно свободное решение, в нем говорится, какие типы персональных данных обрабатываются и почему (обязательно при их получении) , и рассказывается, кто это, как субъекты данных могут связаться по поводу своих личных данных, какие права у них есть , каковы последствия обработки, конечно, в рамках автоматизированного принятия решений и профилирования и так далее.

GDPR Recital 71 подчеркивает справедливость обработки в контексте автоматизированной обработки и профилирования, GDPR Recital 60 ставит информационные обязанности контроллеров на фоне справедливости, и когда согласие является правовой основой для законной обработки GDPR Recital 42 (на обязанности контролера, чтобы иметь возможность продемонстрировать, что согласие было дано) прямо указывает, что заявление о согласии не должно содержать несправедливых условий.

Третий и последний из этого первоначального набора принципов, касающихся обработки персональных данных, – это прозрачность.

Этот принцип частично пересекается со многими элементами справедливости. Например, прозрачность также четко подчеркивается в контексте профилирования, информационных обязанностей и демонстрации согласия. Прозрачность означает объяснение, по каким причинам организации обрабатывают какие персональные данные.

Тем не менее, прозрачность также необходимо рассматривать в отношении того, как выполняются обязательства в отношении информации и коммуникации в отношении субъекта данных. Прозрачность требует, чтобы информация и общение с субъектом данных происходили не просто (что также является частью принципа прозрачности) , но также осуществлялись таким образом, чтобы субъекты данных могли это понять, например, указывая на тот факт, что язык легко понять, а информацию легко найти и получить к ней доступ, при этом контекст (e.г канал связи, носитель информации и т. д.) имеет значение. Кроме того, следует избегать использования длинных текстов на языке, понятном только юристам, поскольку информация должна быть краткой.

И последнее, но не менее важное: принцип прозрачности также применяется к способам, которыми субъекты данных могут осуществлять свои права (поиск способов сделать это также должен быть легким) и еще больше играет в контексте личных данных детей где язык и стиль общения должны быть еще более адаптированы.Сделайте его открытым, проясните и дайте возможность субъекту данных находить, знать и делать все, что нужно знать и делать, не усложняя задачу.

Как уже упоминалось, Рабочая группа по защите данных по статье 29 опубликовала руководящие принципы прозрачности в соответствии с GDPR .

Руководящие принципы увеличивают элементы прозрачности согласно GDPR, включая понятия «Краткий, прозрачный, понятный и легко доступный» и «ясный и простой язык» , способы и контекст предоставления информации и общения, обеспечивая информация для детей и тот факт, что предоставление информации в рамках нескольких статей GDPR (статьи 13 и 14, статьи о правах субъектов данных и обязанности по уведомлению о нарушении данных в отношении субъектов данных) должно быть бесплатным .В рекомендациях также подробно рассматриваются статьи и 14 GDPR в отношении информации, предоставляемой субъектам данных, и многого другого.

Что касается значения прозрачности, руководство указывает на GDPR Recital 39:

«Физическим лицам должно быть понятно, что их личные данные собираются, используются, консультируются или обрабатываются иным образом, а также то, в какой степени личные данные обрабатываются или будут обрабатываться. Принцип прозрачности требует, чтобы любая информация и сообщения, относящиеся к обработке этих личных данных, были легкодоступными и легкими для понимания, а также использовался ясный и простой язык.

Этот принцип касается, в частности, информации для субъектов данных о личности контролера и целей обработки, а также дополнительной информации для обеспечения справедливой и прозрачной обработки в отношении соответствующих физических лиц и их права на получение подтверждения и сообщения. обрабатываемых персональных данных о них… ».

Ограничение цели – это второй принцип статьи 5 GDPR о принципах обработки персональных данных, если вы следуете подходу «шести принципов».Мы уже рассмотрели этот вопрос более подробно при рассмотрении вопроса о согласии. Однако вот краткий обзор того, что означает ограничение цели.

Каждое действие по обработке данных, относящееся к личным данным, преследует одну или несколько целей. Различные действия по обработке данных могут иметь одну цель.

Существенный принцип ограничения цели состоит из нескольких элементов, связанных с целью:

• Когда собираются персональные данные, они должны служить указанному, явному и законному (здесь также играет законность)
• После сбора персональные данные, очевидно, не должны обрабатываться способом, несовместимым с целями (которые сообщаются субъекту данных) .
• Когда персональные данные обрабатываются по определенным причинам, указанным в статье 89 GDPR (например, дальнейшая обработка в целях архивирования в общественных интересах) , такая обработка не считается несовместимой с первоначальными целями.

Однако ограничение цели выходит за рамки этих трех элементов. Логично, что персональные данные не могут быть обработаны для каких-либо других целей, кроме тех, которые были упомянуты субъекту данных во время сбора. Столь же логично, что изменение целей со временем имеет последствия, за исключением упомянутых конкретных причин.

Несмотря на исключения из принципа ограничения цели, здесь важны детали. Определенная, явная и законная цель не просто означает, что должна быть цель, это также буквально означает, что цель должна быть ограничена.

Это особенно актуально в контексте согласия (поэтому мы и занялись этим там) , когда различные цели не могут быть объединены и возникает детализация. Проще говоря: в зависимости от объема и цели обработки данных вам необходимо выбрать соответствующее правовое основание, и вам не следует смешивать разные цели за некоторыми исключениями.Что наиболее важно, цель во время сбора данных должна совпадать с обработкой, а когда цель другая, организациям необходимо проверить свои обязанности.

Когда обработка данных осуществляется на других правовых основаниях (например, в соответствии с юридическим обязательством, указанным в GDPR Recital 45) , тогда другие правила по цели и ограничению цели могут играть (в примере ограничения цели юридического обязательства могут, например, определяется законодательством ЕС или государства-члена, в соответствии с которым подпадает юридическое обязательство) .

Об ограничении целей, конечно же, можно сказать больше, но GDPR Recital 39 ясен: «Конкретные цели, для которых обрабатываются персональные данные, должны быть явными и законными и определяться во время сбора персональных данных. Персональные данные должны быть адекватными, актуальными и ограничиваться тем, что необходимо для целей, для которых они обрабатываются ».

Только что упомянутая цитата из GDPR Recital 39 (второе предложение) является точным описанием минимизации данных: у вас есть цель обработки личных данных, вам нужны личные данные, которые служат этой цели, но вы не можете пойти помимо обработки строго необходимых и актуальных данных.

Адекватность и ограничение просто означает: не более того, что действительно необходимо. Этот принцип минимизации данных обязывает организации ограничивать себя минимумом персональных данных, которые им необходимы в рамках обработки и ее цели (целей).

GDPR Recital 39 основывается на (как и в статьях GDPR) и предусматривает гарантии, обеспечивающие соблюдение как ограничения цели, так и минимизации данных, что, в свою очередь, приводит нас к большему количеству принципов обработки персональных данных, таких как ограничение хранения (см. ниже).

В статье 25 GDPR еще раз подчеркивается обязательство принимать «соответствующие технические и организационные меры», пропорционально (в контексте защиты данных по дизайну и по умолчанию) для реализации принципов защиты данных, в соответствии с которыми минимизация данных упоминается как такой принцип, и GDPR снова рекомендует псевдонимизацию.

Логическим следующим принципом было бы ограничение хранения, но давайте придерживаться порядка статьи 5 о принципах, касающихся обработки персональных данных, и рассмотрим следующий принцип в списке: точность.

Точность имеет несколько значений и, безусловно, несколько областей применения. Он играет в нескольких контекстах и, среди прочего, сильно подчеркивается в контексте профилирования.

Суть статьи 5 и принцип ее точности заключается в следующем:

• Обрабатываемые персональные данные должны быть точными.
• Обрабатываемые персональные данные должны храниться в том же состоянии, в котором они необходимы (а это действительно необходимо в некоторых случаях).
• Необходимо принять меры для незамедлительного удаления или исправления неточных личных данных (с учетом целей процесса).

Таким образом, точность покрывает некоторые обязанности и действия со стороны контроллера (и / или процессора) во время сбора и обработки с дополнительным вниманием к точности в некоторых случаях. Кроме того, точность также касается основных прав субъектов данных, таких как право на удаление (право быть забытым) и право на исправление.

Точность также должна рассматриваться в контексте гигиены данных, управления данными и безопасности данных, в которых должны присутствовать механизмы точности, особенно механизмы исправления. Если субъект данных не согласен с точностью личных данных в отношении него или нее, он или она может воспользоваться правом на ограничение обработки. GDPR Recital 39 гласит, что «необходимо предпринять все разумные шаги для обеспечения исправления или удаления неточных личных данных» .

Как уже говорилось, при профилировании особое внимание уделяется точности. В Руководстве по профилированию WP29 по существу указывается, что на всех этапах профилирования необходимо учитывать точность, от сбора и анализа до построения профилей и принятия решений по ним. Более того, контролер данных должен убедиться, что существуют, как указано в руководстве, надежные меры для обеспечения того, чтобы личные данные всегда соответствовали данным. Следует отметить, что профилирование в целом также строже в отношении минимизации данных и ограничения хранилища.

И это действительно подводит нас к принципу ограничения памяти, о котором мы уже упоминали несколько раз. Как вы могли прочитать в определенных обстоятельствах, таких как профилирование, требуется дополнительное внимание, а ограничение хранилища связано с ограничением цели и минимизацией данных.

Статья 5 GDPR по существу говорит об ограничении хранения:

• Данные, делающие возможной идентификацию субъекта данных, не должны храниться дольше в форме, которая позволяет эту идентификацию тогда, когда это строго необходимо для цели обработки персональных данных.Опять же, GDPR требует ограничить его до минимума, но затем в объеме хранения, связанном с назначением. Обратите внимание на «хранится в форме». По сути, вам нужно удалить данные в рамках ограничения хранилища. Тем не менее, есть исключения, и помните, что анонимные данные не подпадают под действие GDPR (анонимные данные могут быть полезны, например, для статистических целей, очевидно, мы говорим о полях и записях, а не обо всех данных) .
• Последний (статистические цели) возвращается в виде исключения, касающегося ограничения хранения в Статье 5, в соответствии с которым разрешены более длительные сроки хранения личных данных, когда личные данные обрабатываются только для целей архивирования в общественных интересах, научных или исторических исследовательских целях. или в статистических целях, когда организации необходимо принять правильные технические и организационные меры.

В целом правило таково: данные больше не нужны дольше, чем это действительно строго необходимо для цели: удалить. И, как справедливо сказано в приведенной выше инфографике: на практике ваша политика хранения записей должна указывать, как долго хранятся данные (а именно столько, сколько требуется, но вам, конечно же, необходимо предпринять действия и сообщить) .

Хотя конфиденциальность часто упоминается отдельно в GDPR, мы оставили здесь принцип целостности и конфиденциальности как единое целое, поскольку он конкретно связан с принципами обработки персональных данных, которые вращаются вокруг безопасности, и тех технических и организационных мер, которые мы упоминали несколько раз и повсеместно присутствуют в GDPR.

Вкратце, что говорится в статье 5 GDPR о целостности и конфиденциальности:

• Обработка данных должна выполняться таким образом, чтобы гарантировать надлежащий уровень безопасности в отношении личных данных.
• Для этого необходимо принять правильные меры.
• Среди элементов, на которые следует обратить внимание с этой точки зрения безопасности и мер, входят такие элементы, как защита и меры безопасности для предотвращения несанкционированной и незаконной обработки, случайной потери, уничтожения или повреждения обрабатываемых персональных данных и многое другое.

Хотя как таковой это не требует слишком подробного объяснения, на практике очевидно, что это важно и оказывает влияние с точки зрения соответствия GDPR, и есть обширные меры, которые необходимо принять, в отношении уровней управления информацией, безопасности и, конечно, также осведомленности и безопасности персонала GDPR. образование как человеческий фактор нельзя упускать из виду при случайных потерях, нарушении конфиденциальности и многом другом.

Принцип подотчетности является последним в статье 5 GDPR и предметом параграфа 2.Вы можете рассматривать это как принцип, который включает в себя все вышеупомянутые принципы и многое другое: контроллер не только отвечает за соблюдение GDPR в целом, и в рамках всех принципов защиты данных, изложенных в параграфе один, контроллеры также должны иметь возможность чтобы продемонстрировать это соответствие.

Мы будем краткими, поскольку мы писали о соблюдении и других обязанностях, включая подотчетность, контролера. Подотчетность контролера также включает обязанности по работе с обработчиками данных – вторую тему, которую мы рассмотрели отдельно.

Как видно из приведенной выше инфографики, под подотчетностью понимается обязанность соблюдать принципы и способность продемонстрировать, что обработка выполняется в соответствии с этими принципами обработки персональных данных.

Верхнее изображение: Shutterstock – Авторские права: Максим Кабаку – Все остальные изображения являются собственностью их соответствующих владельцев. Несмотря на то, что содержание этой статьи тщательно проверено, мы не несем ответственности за возможные ошибки и советуем вам обратиться за помощью в подготовке к соблюдению GDPR ЕС.

Законное основание для обработки | ICO

Краткий обзор

• У вас должно быть законное основание для обработки персональных данных.
• Существует шесть доступных законных оснований для обработки. Ни одна из основ не может быть «лучше» или важнее других – какая основа будет наиболее подходящей для использования, будет зависеть от вашей цели и взаимоотношений с человеком.
• Большинство законных оснований требуют, чтобы обработка была «необходимой» для определенной цели.Если вы можете разумно достичь той же цели без обработки, у вас не будет законных оснований.
• Перед началом обработки вы должны определить свои законные основания и задокументировать их. У нас есть интерактивный инструмент, который поможет вам.
• Позаботьтесь о том, чтобы сделать это правильно с первого раза – вам не следует переходить на другое законное основание позже без уважительной причины. В частности, вы обычно не можете перейти с согласия на другую основу.
• В вашем уведомлении о конфиденциальности должно быть указано ваше законное основание для обработки, а также цели обработки.
• Если ваши цели изменятся, вы сможете продолжить обработку в соответствии с исходным законным основанием, если ваша новая цель совместима с вашей первоначальной целью (если ваше первоначальное законное основание не было согласием).
• Если вы обрабатываете данные особой категории, вам необходимо указать как законное основание для общей обработки, так и дополнительное условие для обработки этого типа данных.
• Если вы обрабатываете данные о судимости или данные о правонарушениях, вам необходимо указать как законное основание для общей обработки, так и дополнительное условие для обработки этого типа данных.

Контрольный список

☐ Мы рассмотрели цели нашей деятельности по обработке и выбрали наиболее подходящую законную основу (или основания) для каждой деятельности.

☐ Мы проверили, что обработка необходима для соответствующей цели, и убедились, что нет другого разумного и менее интрузивного способа достижения этой цели.

☐ Мы задокументировали свое решение о том, какое законное основание применяется, чтобы помочь нам продемонстрировать соответствие.

☐ Мы включили информацию как о целях обработки, так и о законных основаниях для обработки в наше уведомление о конфиденциальности.

☐ Там, где мы обрабатываем данные специальной категории, мы также определили условие для обработки данных специальной категории и задокументировали это.

☐ Если мы обрабатываем данные об уголовных преступлениях, мы также определили условие обработки этих данных и задокументировали это.

Вкратце

Каковы законные основания для обработки?

Законные основания для обработки изложены в статье 6 GDPR Великобритании. Как минимум одно из них должно применяться при обработке личных данных:

(a) Согласие: физическое лицо дало вам четкое согласие на обработку его персональных данных для определенной цели.

(b) Контракт: обработка необходима для контракта, который у вас есть с физическим лицом, или потому, что они попросили вас предпринять определенные шаги перед заключением контракта.

(c) Юридическое обязательство: обработка необходима для соблюдения вами закона (не включая договорные обязательства).

(d) Жизненно важные интересы: обработка необходима для защиты чьей-либо жизни.

(e) Общественная задача: обработка необходима для выполнения вами задачи в общественных интересах или для ваших официальных функций, и эта задача или функция имеют четкую юридическую основу.

(f) Законные интересы: обработка необходима для ваших законных интересов или законных интересов третьей стороны, за исключением случаев, когда существует веская причина для защиты личных данных человека, которая имеет приоритет над этими законными интересами. (Это не применимо, если вы являетесь государственным органом, обрабатывающим данные для выполнения своих служебных задач.)

Для получения более подробной информации по каждому законному основанию прочтите конкретную страницу этого руководства.

Дополнительная литература

Когда обработка «необходима»?

Многие законные основания для обработки зависят от того, является ли обработка «необходимой».Это не означает, что обработка должна быть абсолютно необходимой. Однако это должно быть больше, чем просто полезное, и больше, чем просто стандартная практика. Это должен быть целенаправленный и соразмерный способ достижения конкретной цели. Законное основание не будет применяться, если вы можете разумно достичь цели с помощью других менее навязчивых средств или путем обработки меньшего объема данных.

Недостаточно утверждать, что обработка необходима, потому что вы выбрали определенный способ ведения бизнеса.Вопрос в том, является ли обработка объективно необходимой для заявленной цели, а не является ли она необходимой частью выбранных вами методов.

Почему важна законная основа для обработки?

Первый принцип требует, чтобы вы обрабатывали все личные данные законным, справедливым и прозрачным образом. Если к вашей обработке не применяется законное основание, ваша обработка будет незаконной и нарушит первый принцип.

Физические лица также имеют право удалять персональные данные, которые были обработаны незаконно.

Право человека на получение информации в соответствии со статьями 13 и 14 требует от вас предоставления людям информации о ваших законных основаниях для обработки. Это означает, что вам необходимо указать эти сведения в своем уведомлении о конфиденциальности.

Законное основание для вашей обработки также может повлиять на то, какие права доступны отдельным лицам. Например, некоторые права не будут применяться:

Тем не менее, физическое лицо всегда имеет право возражать против обработки в целях прямого маркетинга, независимо от того, что применимо на законных основаниях.

Остальные права не всегда абсолютны, и есть другие права, которые могут быть затронуты другими способами. Например, ваша законная основа может повлиять на то, как применяются положения, касающиеся автоматизированных решений и профилирования, и если вы полагаетесь на законные интересы, вам потребуется более подробная информация в уведомлении о конфиденциальности.

Пожалуйста, прочтите раздел настоящего Руководства о правах физических лиц для получения полной информации.

Дополнительная литература

Как мы решаем, какое законное основание применяется?

Это зависит от ваших конкретных целей и контекста обработки.Вам следует подумать о том, почему вы хотите обрабатывать данные, и подумать, какое законное основание лучше всего соответствует обстоятельствам. Вы можете использовать наш интерактивный инструмент руководства, чтобы помочь вам.

Вы можете подумать, что применимо несколько оснований, и в этом случае вы должны идентифицировать и задокументировать их все с самого начала.

Вы не должны использовать универсальный подход. Ни одно основание не должно всегда считаться лучше, безопаснее или важнее других, и в GDPR Великобритании нет иерархии в порядке списка.

Некоторые из законных оснований относятся к конкретной указанной цели – юридическое обязательство, выполнение контракта с физическим лицом, защита чьих-либо жизненно важных интересов или выполнение ваших общественных задач. Если вы обрабатываете данные для этих целей, то соответствующее законное основание вполне может быть очевидным, поэтому полезно сначала рассмотреть их.

В других случаях у вас, вероятно, будет выбор между использованием законных интересов или согласия. Вам нужно подумать о более широком контексте, в том числе:

• Кому выгодна обработка?
• Ожидают ли люди, что такая обработка будет иметь место?
• Каковы ваши отношения с человеком?
• Имеете ли вы над ними власть?
• Как обработка влияет на человека?
• Они уязвимы?
• Вероятно, что некоторые из заинтересованных лиц будут возражать?
• Можете ли вы остановить обработку в любой момент по запросу?

Вы можете предпочесть рассматривать законные интересы в качестве законной основы, если хотите сохранить контроль над обработкой и взять на себя ответственность за демонстрацию того, что она соответствует разумным ожиданиям людей и не окажет на них неоправданного воздействия.С другой стороны, если вы предпочитаете предоставить отдельным лицам полный контроль над своими данными и ответственность за них (в том числе возможность изменить свое мнение о том, можно ли продолжать их обработку), вы можете подумать о том, чтобы полагаться на их согласие.

Подробнее

Мы разработали интерактивный инструмент руководства на законных основаниях, чтобы дать более точные указания, какие законные основания будут наиболее подходящими для вашей деятельности по обработке.

Отличается ли это для государственных органов?

Базовый подход такой же.Вам следует подумать о своих целях и выбрать наиболее подходящую основу. Вы по-прежнему можете использовать наш законный инструмент, чтобы помочь вам.

Основа общественных задач, скорее всего, будет иметь отношение к большей части того, что вы делаете. Если вы являетесь государственным органом и можете продемонстрировать, что обработка предназначена для выполнения ваших задач в соответствии с законодательством Великобритании, тогда вы можете использовать основу для общедоступных задач. Но если это для другой цели, вы все равно можете рассмотреть другую основу.

В частности, в некоторых случаях вы все равно можете учитывать согласие или законные интересы, в зависимости от характера обработки и ваших отношений с человеком.Абсолютного запрета на использование органами государственной власти согласия или законных интересов в качестве законного основания не существует, хотя есть некоторые ограничения. Для получения дополнительной информации см. Специальную страницу с инструкциями по каждому законному основанию.

В Законе о защите данных 2018 года говорится, что «государственный орган» здесь означает государственный орган в соответствии с Законом о свободе информации или Законом о свободе информации (Шотландия), за исключением приходских и общественных советов.

Пример

Университет, который хочет обрабатывать персональные данные, может рассмотреть множество законных оснований в зависимости от того, что он хочет делать с данными.

Университеты классифицируются как органы государственной власти, поэтому основа общественных задач, вероятно, будет применяться к большей части их обработки, в зависимости от деталей их конституций и юридических полномочий. Если обработка данных осуществляется отдельно от их задач как государственного органа, тогда университет может вместо этого рассмотреть вопрос о том, уместны ли согласие или законные интересы в конкретных обстоятельствах. Например, университет может полагаться на публичную задачу по обработке личных данных в учебных и исследовательских целях; но смесь законных интересов и согласия для отношений с выпускниками и в целях сбора средств.

Однако университету необходимо тщательно изучить его основу – контролер несет ответственность за возможность продемонстрировать, какое законное основание применимо к конкретной цели обработки.

Дополнительная литература

Можем ли мы изменить нашу законную основу?

Вы должны определить свои законные основания, прежде чем начинать обработку персональных данных. Важно сделать это правильно с первого раза. Если позже вы обнаружите, что выбранная вами основа на самом деле была неподходящей, будет сложно просто переключиться на другую.Даже если бы с самого начала могла применяться другая основа, ретроспективная смена законной основы, вероятно, будет по своей сути несправедливой по отношению к отдельному лицу и приведет к нарушениям требований подотчетности и прозрачности.

Пример

Компания решила провести обработку на основе согласия и получила согласие от частных лиц. Впоследствии человек решил отозвать свое согласие на обработку своих данных, что является его правом. Однако компания хотела продолжить обработку данных, поэтому решила продолжить обработку на основании законных интересов.

Даже если бы она изначально могла полагаться на законные интересы, компания не может сделать это позже – она ​​не может сменить основу, когда поняла, что изначально выбранная основа была неуместной (в данном случае, потому что она не хотела предлагать физическому лицу подлинный постоянный контроль). Он должен был с самого начала дать понять человеку, что обработка осуществляется на основе законных интересов. Заставить человека поверить в то, что у него был выбор, по своей сути несправедливо, если этот выбор не имеет значения.Поэтому компания должна прекратить обработку, когда физическое лицо отозвает согласие.

Поэтому важно заранее тщательно оценить подходящую основу и задокументировать ее. Возможно, что к обработке применимо несколько оснований, потому что у вас более одной цели, и если это так, то вам следует прояснить это с самого начала.

Если обстоятельства действительно изменились или у вас появилась новая и непредвиденная цель, что означает, что есть веская причина пересмотреть ваши законные основания и внести изменения, вам необходимо проинформировать об этом человека и задокументировать это изменение.

Дополнительная литература

Что произойдет, если у нас появится новая цель?

Если ваши цели меняются со временем или у вас появляется новая цель, которую вы изначально не ожидали, вам может не понадобиться новое законное основание, если ваша новая цель совместима с первоначальной целью.

Однако это не относится к обработке на основе согласия. Согласие всегда должно быть конкретным и информированным, а повторное использование данных для новой цели несправедливо подорвет исходное согласие.Обычно вам нужно получить новое согласие, которое конкретно касается новой цели. Если вы получили конкретное согласие для новой цели, вам не нужно доказывать, что оно совместимо.

В остальных случаях, чтобы оценить, совместимо ли новое назначение с первоначальным, следует принять во внимание:

• любая связь между вашей первоначальной целью и новой целью;
• контекст, в котором вы собирали данные, в частности, ваши отношения с этим человеком и то, что он разумно ожидал;
• характер персональных данных – например, данные особой категории или данные об уголовном преступлении;
• возможные последствия для физических лиц новой обработки; и
• , существуют ли соответствующие меры безопасности – например, шифрование или псевдонимизация.

Этот список не является исчерпывающим, и то, на что вам нужно обратить внимание, зависит от конкретных обстоятельств.

Вы можете найти наш шаблон оценки законных интересов полезным инструментом для оценки совместимости, поскольку оба учитывают схожие факторы.

Как правило, если новая цель сильно отличается от первоначальной, будет неожиданной или окажет неоправданное влияние на человека, она вряд ли будет совместима с вашей первоначальной целью сбора данных.Затем вы можете продолжить, только если вы получите конкретное согласие для новой цели или вы можете указать на конкретное правовое положение, требующее или разрешающее новую обработку в общественных интересах (в этом случае вашей новой законной основой будет юридическое обязательство или общественная задача. ).

Если вы обрабатываете данные специальной категории, вам необходимо убедиться, что вы можете определить соответствующее условие, которое применяется к вашей новой обработке.

GDPR Великобритании специально говорит, что дальнейшая обработка для следующих целей должна считаться совместимой законной обработкой:

• для целей архивирования в общественных интересах;
• научно-исследовательских целей; и
• статистических целей.

Здесь есть ссылка на принцип «ограничения цели» в Статье 5, который гласит, что «личные данные должны собираться для определенных, явных и законных целей и не обрабатываться в дальнейшем способом, несовместимым с этими целями».

Даже если обработка для новой цели является законной, вам также необходимо будет рассмотреть, является ли она справедливой и прозрачной, и предоставить отдельным лицам информацию о новой цели.

Дополнительная литература

Как мы должны документировать наши законные основания?

Принцип подотчетности требует, чтобы вы могли продемонстрировать, что вы соблюдаете GDPR Великобритании, и имеете соответствующие политики и процессы.Это означает, что вам необходимо продемонстрировать, что вы должным образом рассмотрели, какие законные основания применимы к каждой цели обработки, и можете обосновать свое решение.

Следовательно, вам необходимо вести учет того, на какое основание вы полагаетесь для каждой цели обработки, а также обоснование того, почему вы считаете, что это применимо. Для этого не существует стандартной формы, если вы гарантируете, что то, что вы записываете, достаточно, чтобы продемонстрировать наличие законного основания. Это поможет вам соблюдать обязательства по подотчетности, а также поможет вам при написании уведомлений о конфиденциальности.

Вы несете ответственность за то, чтобы продемонстрировать, какое законное основание применимо к конкретной цели обработки.

Подробнее об этой теме читайте в разделе об ответственности этого руководства. На соответствующих страницах руководства также есть дополнительные инструкции по документированию оценок согласия или законных интересов.

Дополнительная литература

Что нам нужно сказать людям?

Вам необходимо включить информацию о ваших законных основаниях (или основаниях, если применимо более одного) в ваше уведомление о конфиденциальности.В соответствии с положениями GDPR Великобритании о прозрачности информация, которую вы должны предоставить людям, включает:

• предполагаемые цели обработки персональных данных; и
• законное основание для обработки.

Это применимо независимо от того, собираете ли вы личные данные непосредственно от человека или вы собираете его данные из другого источника.

Прочтите раздел «Право на получение информации» этого руководства, чтобы узнать больше о требованиях к прозрачности GDPR.

Дополнительная литература

А как насчет данных специальной категории?

Если вы обрабатываете данные особой категории, вам необходимо указать как законное основание для обработки, так и условие особой категории для обработки в соответствии со Статьей 9. Вы должны задокументировать как свое законное основание для обработки, так и условие особой категории, чтобы вы могли продемонстрировать соответствие и подотчетность.

Дальнейшие указания можно найти в разделе, посвященном данным специальной категории.

А как насчет данных об уголовных преступлениях?

Если вы обрабатываете данные об уголовных приговорах, уголовных преступлениях или связанных с ними мерах безопасности, вам потребуется как законное основание для обработки, так и «официальные полномочия» или отдельное условие для обработки этих данных в соответствии со статьей 10. Вы должны задокументировать и то, и другое. ваше законное основание для обработки и состояние ваших данных о преступлении, чтобы вы могли продемонстрировать соблюдение и подотчетность.

Дополнительные инструкции можно найти в разделе, посвященном данным об уголовных преступлениях.

EDPB публикует руководство по примерам уведомлений об утечке данных

18 января 2021 г. Европейский совет по защите данных («EDPB») опубликовал проект Руководства 01/2021 «Примеры уведомлений о нарушениях данных» («Руководящие принципы»). Рекомендации дополняют первоначальные Руководящие принципы по уведомлению об утечке персональных данных в соответствии с Общим регламентом ЕС по защите данных («GDPR»), принятые Рабочей группой по статье 29 в феврале 2018 года.В новом проекте руководящих принципов учитывается общий опыт надзорных органов с утечками данных с момента вступления в силу GDPR в мае 2018 года. Цель EDPB – помочь контролерам данных в принятии решения о том, как бороться с утечками данных, в том числе путем определения факторов, которые они должны учитывать. учетную запись при проведении оценки рисков, чтобы определить, следует ли сообщать о нарушении в соответствующие надзорные органы и / или затронутые субъекты данных.

Проект Руководства включает примеры распространенных сценариев утечки данных, включая (1) атаки с использованием программ-вымогателей, когда вредоносный код шифрует личные данные, а злоумышленник впоследствии запрашивает у контроллера выкуп в обмен на код дешифрования; (2) атаки с целью кражи данных, которые используют уязвимости в онлайн-сервисах, предлагаемых контроллером, и обычно направлены на копирование, извлечение и злоупотребление личными данными в злонамеренных целях; (3) человеческие ошибки, приводящие к утечкам данных, которые, согласно EDPB, довольно распространены и могут быть как преднамеренными, так и непреднамеренными; (4) утерянные или украденные устройства и бумажные документы; (5) «неверная отправка», вызванная человеческой ошибкой без злого умысла; и (6) социальная инженерия, такая как кража личных данных и кража электронной почты.

Для каждого из примеров случаев, описанных в Руководстве, EPDB определяет соответствующую отчетность (, т. Е. , надзорные органы и / или затронутые субъекты данных) и обязательства по исправлению.

В Руководстве EDPB также напоминает о нескольких ключевых элементах управления утечками данных и ответных мер, которые следует учитывать организациям, в том числе:

• упреждающее определение уязвимостей системы для предотвращения утечки данных;
• для оценки того, может ли нарушение привести к риску для прав и свобод субъекта данных.Эта оценка должна быть произведена в тот момент, когда организация узнает о нарушении. Контроллеры не должны откладывать уведомление, ожидая подробной судебно-медицинской экспертизы и действий по смягчению последствий;
• внедрение планов, процедур и руководств (например, в форме справочника) о том, как бороться с утечками данных, с четкими линиями отчетности и лицами, ответственными за процесс восстановления;
• организует тренинги для повышения осведомленности об управлении утечкой данных. Обучение должно проводиться регулярно и быть адаптировано к обработке и коммерческой деятельности контролера.Обучение также должно быть обновлено с учетом последних тенденций и предупреждений; и
• документирование нарушений в каждом случае, независимо от риска, который они представляют.

Руководство открыто для публичных обсуждений до 2 марта 2021 г.

| Accenture

1. Общая информация

ЗАЯВЛЕНИЕ О КОНФИДЕНЦИАЛЬНОСТИ В этом общем заявлении о конфиденциальности объясняется, как Accenture PLC и / или ее аффилированные лица, дочерние компании и недавно приобретенные компании («Accenture») защищают персональные данные, связанные с процессами и средствами контроля Accenture, относящиеся к вам («ваши персональные данные»), почему Accenture обрабатывает ваши личные данные, кто имеет доступ к вашим личным данным и как вы можете реализовать свои права в отношении обработки ваших личных данных.

Любое юридическое лицо Accenture, расположенное за пределами Европейского Союза, в целях соблюдения законов о конфиденциальности данных будет представлено Accenture PLC.

В этом общем заявлении о конфиденциальности содержится обзор наиболее распространенных операций Accenture по обработке ваших личные данные. Обратите внимание, что некоторые конкретные операции по обработке могут подлежать отдельному и индивидуальному Заявление о конфиденциальности.

В случае подготовки любого перевода этого глобального заявления о конфиденциальности английская версия этого глобального заявления о конфиденциальности Заявление о конфиденциальности имеет преимущественную силу в случае противоречий между версиями на разных языках.

Какие категории персональных данных обрабатывает Accenture?
Accenture будет собирать персональные данные о вас для достижения целей, изложенных в этом глобальном заявлении о конфиденциальности.

Дополнительную информацию о конкретных категориях персональных данных, которые обрабатывает Accenture, см. В разделе 2. Для получения дополнительной информации об источниках, из которых Accenture получила ваши персональные данные, пожалуйста, см. раздел 3.

Если вы предоставляете Accenture какие-либо личные данные другого лица (например, потенциального сотрудника / реферала), вы несете ответственность за то, чтобы такое лицо было осведомлено об информации, содержащейся в этом глобальном заявление о конфиденциальности и что это лицо дало вам согласие на передачу информации Accenture.

За исключением определенной информации, которая требуется по закону, ваше решение предоставить какие-либо личные данные компании Accenture добровольно. Таким образом, вы не будете подвергаться неблагоприятным последствиям, если не желаете предоставлять Accenture с вашими личными данными. Однако учтите, что если вы не предоставите определенную информацию, Accenture не сможет иметь возможность выполнять некоторые или все цели, изложенные в этом глобальном заявлении о конфиденциальности, и вы, возможно, не будете иметь возможность использовать определенные инструменты и системы, требующие использования таких личных данных.

Почему Accenture обрабатывает ваши личные данные?
Accenture может собирать, использовать, передавать, раскрывать и иным образом обрабатывать ваши персональные данные в контексте облегчение связи с вами (в том числе в экстренных случаях), работы и управления Accenture бизнес-операций, соблюдение требований законодательства, мониторинг использования вами систем Accenture, выполнение аналитика данных и подбор персонала. Более подробный список целей см. В разделе 4.

Accenture не будет использовать ваши персональные данные в целях, несовместимых с целями, перечисленными в данном глобальное заявление о конфиденциальности, если это не требуется или не разрешено законом или не отвечает вашим жизненным интересам (например, в случае неотложной медицинской помощи) для этого.

На каком правовом основании Accenture обрабатывает ваши личные данные?
Accenture обрабатывает ваши личные данные в соответствии с действующим законодательством о конфиденциальности данных и своей внутренней политикой.

Accenture обрабатывает ваши персональные данные для целей, изложенных в этом глобальном заявлении о конфиденциальности для одного или нескольких из следующих причин: (i) поскольку компания Accenture обязана сделать это для соблюдения юридического обязательства по которой он подлежит, (ii) поскольку такая информация необходима для выполнения контракта, который вы являются стороной, (iii) потому что обработка необходима для целей законных интересов, преследуемых Accenture или третьей стороной (как описано в последнем предложении этого параграфа), или (iv) при необходимости в чтобы защитить жизненные интересы любого человека.Accenture имеет законные интересы в сборе и обработка личных данных, например: (1) для обеспечения безопасности сетей и информации Accenture, (2) для управления и общего ведения бизнеса и (3) для предотвращения мошенничества.

Кроме того, Accenture может обрабатывать ваши конфиденциальные данные и / или принимать автоматизированные решения в отношении вас, где разрешено действующим законодательством и / или с вашего предварительного согласия и для целей, указанных в настоящей конфиденциальности утверждение.

См. Раздел 5 для получения дополнительной информации о юридических основаниях, на которых основана компания Accenture. обработка ваших личных данных для каждого действия по обработке.

Кто имеет доступ к вашим личным данным?
Доступ к вашим личным данным в Accenture будет ограничен теми сотрудниками, которым необходимо знать информация для целей, описанных в этом глобальном заявлении о конфиденциальности, которое может включать сотрудников в Безопасность, управление персоналом, информационные технологии, комплаенс, право, финансы и бухгалтерский учет, корпоративные расследования и внутренний аудит. Все сотрудники Accenture обычно имеют доступ к вашей деловой контактной информации (например, имя, должность, номер телефона и адрес электронной почты).

Кроме того, ваши личные данные могут быть переданы в другие офисы Accenture и третьим лицам, которые могут подразумевают передачу ваших личных данных в другие страны.

Как глобальная организация с офисами и операциями по всему миру, ваши личные данные могут быть переданы или быть доступными на международном уровне в рамках глобального бизнеса Accenture, а также между ее подразделениями и аффилированными лицами. Любая передача ваших личных данных в другие офисы Accenture (включая переводы изнутри европейских стран). Экономическая зона (ЕЭЗ) за пределами ЕЭЗ) будет регулироваться обязательными корпоративными правилами Accenture (BCR; копия которую можно найти здесь).BCR Accenture отражает стандарты, содержащиеся в европейских законах о конфиденциальности данных (включая Общие правила защиты данных). Имея BCR означает, что все подразделения группы Accenture, которые подписались на BCR, должны соблюдать одни и те же внутренние правила. Это также означает, что ваши права остаются неизменными независимо от того, где ваши данные обрабатываются Accenture.

Кроме того, при необходимости Accenture может передавать ваши персональные данные третьим лицам, например, в службу поддержки. провайдеры и государственные органы.Перед этим Accenture принимает меры для защиты ваших личных данных. Любой Ожидаются сторонние поставщики услуг и профессиональные консультанты, которым раскрываются ваши личные данные. и требуется для защиты конфиденциальности и безопасности ваших личных данных и может использовать только ваши личные данные в соответствии с применимыми законами о конфиденциальности данных. Для категорий третьих лиц, с которыми Accenture может передавать ваши личные данные, см. раздел 6. Если вы не уведомлены об ином, любая передача ваших личных данных данные из ЕЭЗ третьим сторонам за пределами ЕЭЗ будут основаны на решении об адекватности или регулируются в соответствии со стандартными договорными положениями ЕС (копию которых можно получить у специалиста по защите данных Accenture).Любые другие, не из ЕЭЗ, международная передача ваших личных данных будет происходить в соответствии с этим заявлением о конфиденциальности, соответствующие международные механизмы передачи данных и гарантии.

Как Accenture защищает ваши личные данные?
Accenture обеспечивает организационную, физическую и техническую безопасность всех персональных данных, которые она держит. У Accenture есть протоколы, средства контроля и соответствующие политики, процедуры и руководства для их поддержки. меры, принимающие во внимание риски, связанные с категориями персональных данных и обработкой Accenture берет на себя.

Accenture применяет лучшие на рынке меры безопасности для защиты ваших личных данных. Это включает (не будучи ограничительный):

• Accenture имеет сертификат ISO27001, который свидетельствует о том, что он придерживается самых высоких и строгих стандартов. стандарты информационной безопасности. Это стандарт безопасности, присвоенный Британским институтом стандартов. это служит международным свидетельством того, что Accenture придерживается самых высоких и строгих стандартов. Эта сертификация является единственным международным стандартом, подлежащим аудиту, который определяет требования к Система управления информационной безопасностью и подтверждает, что процессы и средства контроля безопасности Accenture обеспечить эффективную основу для защиты информации своих клиентов и своей собственной информации.
• Accenture имеет глобальную программу защиты данных клиентов, которая регулирует управление клиентом. информация и системы, доверенные Accenture.
• Accenture регулярно проводит тестирование на проникновение, проводимое сторонним провайдером, которое продолжает показывать прочность его технической защиты.

Как долго Accenture хранит ваши личные данные?
Accenture хранит ваши личные данные только до тех пор, пока это необходимо.Accenture ведет определенные записи политики и процедуры управления и хранения, чтобы личные данные удалялись по истечении разумного срока согласно следующим критериям удержания:

• Accenture хранит ваши личные данные до тех пор, пока поддерживает постоянные отношения с вами.
• Accenture хранит ваши персональные данные столько времени, сколько необходимо для соблюдения юридического обязательства по которому это подлежит.
• Accenture хранит ваши персональные данные там, где это целесообразно для защиты или улучшения юридических положение (например, в отношении сроков давности, судебных разбирательств или нормативных расследований).

Пожалуйста, постоянно обновляйте свои личные данные и сообщайте Accenture о любых существенных изменениях в вашем личные данные.

Какие права у вас есть в отношении ваших личных данных?
Свяжитесь с сотрудником Accenture по защите данных, если у вас (i) есть какие-либо вопросы или проблемы. о том, как Accenture обрабатывает ваши персональные данные, или (ii) хочет реализовать какие-либо ваши права в отношении ваших личные данные.

У вас есть право (при обстоятельствах и условиях, а также с учетом исключений, изложенных в применимое право к:

• Запросить доступ к вашим личным данным, которые мы обрабатываем: это право дает вам право знать, есть ли у Accenture хранит ваши личные данные и, если да, получает информацию и копию этих личных данных.
• Запросить исправление ваших личных данных: это право дает вам право на исправление ваших личных данных. если он неточный или неполный.
• Возражение против обработки ваших личных данных: это право дает вам право требовать, чтобы Accenture больше не обрабатывает ваши личные данные.
• Запросить удаление ваших личных данных: это право дает вам право требовать удаления ваших личных данных. данные, в том числе в тех случаях, когда такие личные данные больше не будут необходимы для достижения целей.
• Запросить ограничение обработки ваших личных данных: это право дает вам право требовать, чтобы Accenture обрабатывает ваши персональные данные только в ограниченных случаях, в том числе с вашего согласия.
• Запросить переносимость ваших личных данных: это право дает вам право на получение копии (в структурированной, широко используемый и машиночитаемый формат) личных данных, которые вы предоставили Accenture или запросили Accenture для передачи таких персональных данных другому контроллеру данных.

Если обработка ваших личных данных подпадает под действие BCR Accenture, вы также можете просмотреть ваши права в соответствии с BCR Accenture.

Если обработка ваших личных данных основана на вашем согласии, вы имеете право отозвать такое согласие в любое время, связавшись с сотрудником Accenture по конфиденциальности данных. Учтите, что это не повлияет Право Accenture на обработку персональных данных, полученных до отзыва вашего согласия, или право на продолжить обработку данных на других юридических основаниях, кроме вашего согласия.

Обратите внимание, однако, что определенные личные данные могут быть освобождены от вышеупомянутых прав в соответствии с применимые законы о конфиденциальности данных или другие законы и постановления.

Если, несмотря на обязательства и усилия Accenture по защите ваших личных данных, вы считаете, что конфиденциальность ваших данных были нарушены, мы призываем и приветствуем вас сначала прийти в Accenture для решения любых жалоба. Вы имеете право в любое время подать жалобу непосредственно в соответствующий надзорный орган. органа власти или подать иск против Accenture в компетентный суд (либо в стране, где вы живете, страна, в которой вы работаете, или страна, в которой, по вашему мнению, был нарушен закон о конфиденциальности данных).

Что делать, если у вас есть вопросы или вам нужна дополнительная информация?
Это глобальное заявление о конфиденциальности и упомянутые в нем веб-страницы призваны предоставить вам полную и прозрачную информация о том, как Accenture обрабатывает ваши личные данные.

Если у вас есть дополнительные вопросы или опасения относительно того, как Accenture обрабатывает ваши личные данные, или, если вы хотите воспользоваться каким-либо из вышеперечисленных прав, обратитесь к сотруднику по защите данных.

2. Дополнительная информация о категориях персональных данных

В таблице ниже представлены категории персональных данных, которые Accenture обрабатывает или может обрабатывать в контексте действий по обработке, описанных в глобальном заявлении о конфиденциальности.

Кроме того, в целях набора персонала Accenture может обрабатывать персональные данные, указанные в таблице ниже.

3. Дополнительная информация об источниках персональных данных

Ваши личные данные были получены Accenture из источников, указанных в таблице ниже.

Кроме того, в целях набора персонала Accenture может получать личные данные из источников, указанных ниже. стол.

Вышеуказанные источники являются частными, если только источник не прямо заявлено как «общедоступное». Обратите внимание, что эти источники могли хранить ваши личные данные как внутри и за пределами ЕС.

4. Дополнительная информация о целях

Как указано в общем заявлении о конфиденциальности, Accenture обрабатывает ваши персональные данные для различных целей.В В таблице ниже описаны все цели, для которых Accenture обрабатывает ваши личные данные.

5. Дополнительная юридическая информация

Accenture обрабатывает ваши персональные данные в соответствии с юридическими основаниями, указанными в таблице ниже.

Обратите внимание:

• Если в приведенной выше таблице указано, что Accenture полагается на свои законные интересы для достижения определенной цели, Accenture считает, что ее законные интересы не перекрываются вашими интересами, правами или предоставленные свободы (i) прозрачность, которую Accenture обеспечивает в отношении обработки данных, (ii) конфиденциальность Accenture (iii) регулярная проверка конфиденциальности Accenture и (iv) ваши права в отношении перерабатывающая деятельность.Если вы хотите получить дополнительную информацию об этом подходе к тесту балансировки, пожалуйста, свяжитесь с сотрудником Accenture по защите данных.
• Если для любой из вышеуказанных целей требуется обработка конфиденциальных данных, Accenture будет делать это только в том случае, если разрешено действующим законодательством или с вашего предварительного согласия.
• Если любая из вышеперечисленных целей предполагает автоматическое решение, Accenture будет принимать только такие автоматизированные решение с вашего предварительного согласия и после информирования вас о значимой информации о логике участие в автоматизированном решении, а также значимость и предполагаемые последствия такого автоматизированное решение для вас.
• Accenture будет обрабатывать ваши персональные данные на основе вашего предыдущего согласие в той степени, в которой такое согласие требуется в соответствии с императивным законодательством.

6. Дополнительная информация о категориях сторонних получателей

Помимо передачи персональных данных своим аффилированным лицам и соответствующему внутреннему персоналу, Accenture также может передавать ваши персональные данные категориям неаффилированных третьих лиц, указанным в таблице ниже.

7. Свяжитесь с нами

Вы можете связаться с Accenture как контролером ваших персональных данных через нашего сотрудника по защите данных (желательно в электронном виде) или по почте, четко обозначенной для сведения сотрудника по защите данных, по этому адресу: Accenture Limited Dublin, 1 Grand Canal Square, Гавань Гранд-Канал, Дублин 2, Ирландия.