Содержание

Образец заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных

Можно скачать этот документ в формате MS Word. Скачивание доступно только зарегистрированным пользователям.

Рекомендации по заполнению уведомления об обработке (о намерении осуществлять обработку) персональных данных

Скачать Образец заполнения уведомления об обработке персональных данных.doc  

 

( Бланк организации)

Руководителю Управления Федеральной  службы

по надзору в сфере связи, информационных 

технологий  и массовых коммуникаций

по Московской области

                                                                    

 

 УВЕДОМЛЕНИЕ

об обработке (о намерении осуществлять обработку) персональных данных

 

Наименование, адрес оператора: Закрытое акционерное общество «Сувенир» (ЗАО «Сувенир» ), 100000, г. Москва, ул. Сувенирная, д.1, тел 8 (495) 111-11-11.      

ИНН 5011111111, КПП 501101001, ОГРН 1055011111111.

Правовое основание обработки персональных данных: 

руководствуясь Уставом ЗАО «Сувенир», ст. 85-90 Трудового кодекса РФ; ст. 6  Федерального закона от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»; гл.4 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон «Об акционерных обществах» от 26.12.1995 № 208-ФЗ,  лицензия № 00022 от 01.0.2000.  на оказание услуг

с целью (обработки персональных данных) учета сотрудников ЗАО и иных физических лиц, оказание услуг.

осуществляет обработку следующих категорий персональных данных: ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы, ИНН, контактный телефон, воинский учет, пенсионное и страховое свидетельства, принадлежащих следующим категориям субъектов персональных данных: сотрудникам, состоящим в трудовых отношениях, и  физическим лицам, находящимся в договорных и иных гражданско-правовых отношениях с ЗАО. 

 Обработка вышеуказанных персональных данных: осуществляется смешанно путем сбора,систематизации,накопления,хранения,уточнения,использования,передачи,удаления,уничтожения. Электронная обработка ведется на компьютерах, объединенных в локальную сеть, с передачей по внутренней сети, без передачи по сети Интернет. 

Для обеспечения безопасности персональных данных принимаются следующие меры: Организационные и технические меры. Изданы приказы и разработаны и утверждены документы по организации работы по защите персональных данных,  приказом от 01.01.2007г.назначен Горбунков Семен Семенович ответственным лицом за организацию обработки персональных данных (тел. 8(495) 111-11-10, 100000, г. Москва, ул. Сувенирная, д. 1, souvеnirа@vail.ru Шифрование информации и не производится. Информационная система не классифицирована.

Сведения о наличии или об отсутствии трансграничной передачи персональных данных: трансграничная передача персональных данных не осуществляется

Сведения об обеспечении безопасности персональных данных: Информация доступна для строго определенных сотрудников, хранится на бумажных носителях в сейфе, а в персональных компьютерах хранится с доступом через пароль. Помещения, в которых находятся (бумажные и электронные) носители информации, относящейся к персональным данным,  запираются под ключ и сдаются под охранную сигнализацию.

Дата начала обработки персональных данных: 05.12.1995 г.

Срок или условие прекращения обработки персональных данных: изъятие полномочий по обработке персональных данных, ликвидация муниципального образования

 

Руководитель                                                                                       А.А. Зайцев         (должность)                                                                (подпись) «___»__________ 2010 г                       М.П.

Комментарии к статье "Образец заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных"

«О персональных данных». О заполнении Уведомления об обработке персональных данных ⁄ Тегульдетский район

         В соответствии с ч.1 ст.23 Федерального закона от 27.07.2006 № 152-ФЗ  «О персональных данных»  (далее – Федеральный закон) и п.1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16.03.2009 № 228, Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи и массовых коммуникаций (Роскомнадзор).

        На территории Томской области Уполномоченным органом является Управление Роскомнадзора по Томской области (далее – Управление) и осуществляющий в установленном порядке государственный контроль и надзор за деятельностью органов государственной власти субъектов Российской Федерации, иных государственных органов, органов местного самоуправления, юридических лиц и физических лиц в сфере обработки персональных данных и за соответствием обработки персональных данных требованиям законодательства.

        Ст.22 Федерального закона закрепила за операторами обязанность до начала обработки персональных данных уведомить Уполномоченный орган о своем намерении осуществлять обработку персональных данных.

        На основании ч.7 ст.22 Федерального закона в случае изменения сведений, указанных в ч.3 ст.22, указанного Федерального закона, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

 

Листовка. (7 102,98 КБ)

Методические рекомендации по заполнению форм уведомлений и инф. писем.   (37,1 КБ)

Пример уведомления для органов МСУ   (69,0 КБ)

Пример уведомления для учреждений образования  (66,5 КБ)

Пример уведомления для ООО (ЗАО. ОАО и др.)  (66,5 КБ)

Пример уведомления для инд. предпринимателей  (60,0 КБ)

Пример уведомления для организаций в сфере (УК, ЖСК, ЖК, ТСЖ и др.)  (64,5 КБ)

Последнее обновление: 21 апреля 2021, 05:48

Версия для печати | Официальный портал государственных органов Псковской области

Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора) по Псковской области информирует операторов персональных данных (руководителей юридических лиц, индивидуальных предпринимателей и физических лиц) о том, что в соответствии с частью 1 статьи 23 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон), п. 1 и п. 5.2.4 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 года № 228, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), является Уполномоченным органом по защите прав субъектов персональных данных и ведет Реестр операторов, осуществляющих обработку персональных данных (далее - Реестр). На территории Псковской области Уполномоченный орган представлен Управлением Роскомнадзора по Псковской области.

В соответствии с частью 1 и частью 3 статьи 22 Федерального закона, операторы в случаях, установленных законом, обязаны до начала обработки персональных данных уведомить Уполномоченный орган о своем намерении осуществлять такую обработку.

При этом операторы обязаны направить в Уполномоченный орган уведомление об обработке персональных данных. Исключение составляют случаи, указанные в части 2 статьи 22 Федерального закона. Тем не менее некоторые операторы не представили Уведомление, и поэтому не внесены в Реестр. Операторам, производящим обработку персональных данных физических лиц в соответствии с частью 2 статьи 22 Федерального закона, достаточно в свободной форма уведомить об этом Уполномоченный орган.

Управление Роскомнадзора по Псковской области просит направлять информацию об обработке персональных данных граждан по адресу: 180000, г. Псков, ул. Советская, д. 49.

Дополнительно сообщаем, что форма Уведомления и рекомендации по его заполнению утверждены приказом Роскомнадзора от 19 августа 2011 года № 706, прошли регистрацию в Минюсте России, размещены на Портале персональных данных www.pd.rsoc.ru, на официальном сайте Роскомнадзора www.rsoc.ru и на страничке Управления http://60.rsoc.ru.

Кроме того, для удобства посетителей странички Управления http://60.rsoc.ru в разделе «Главная страница / Направления деятельности / Персональные данные» размещены образцы заполнения Уведомлений.

Заполнить уведомление можно также на Портале «Государственные и муниципальные услуги», наименование государственной услуги - «Внесение сведений об Операторе в реестр операторов, осуществляющих обработку персональных данных», для получения государственной услуги, необходимо заполнить «Уведомление об обработке (о намерении осуществлять обработку) персональных данных». Образец заполнения «Уведомление об обработке (о намерении осуществлять обработку) персональных данных» и Шаблон для заполнения формы документа, представлены здесь.

Консультации по вопросам заполнения Уведомлений можно получить по телефону в г. Пскове: 8 (8112) 66-57-09.
 

Министерство образования, науки и молодежной политики Республики Коми

Уведомление об обработке персональных данных

Ст. 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.  

Если деятельность оператора по обработке персональных данных не подпадает под действие ч. 2 ст. 22 Федерального закона «О персональных данных», то он обязан подать в Управление Роскомнадзора по Республике Коми уведомление об обработке (о намерении осуществлять обработку) персональных данных согласно частям 1, 3 ст. 22 Федерального закона «О персональных данных». 

Дополнительно информируем, что электронная форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных, предусмотренная ч. 3 ст. 22 Закона о персональных данных, размещена на сайте Управления https://11.rkn.gov.ru в разделе Электронные формы заявлений / Перейти к заполнению формы электронного уведомления. 

Рекомендации по заполнению формы Уведомления и пример заполнения размещены на портале персональных данных в подразделе "Документы" раздела "Реестр операторов" (https://pd.rkn.gov.ru/operators-registry/operators-registry-documents/) (пункт 5).

После заполнения формы Уведомления и отправки ее в информационную систему Роскомнадзора, Вам необходимо распечатать заполненную форму, подписать ее и направить в Управление Роскомнадзора по Республике Коми (167000, Республика Коми, г. Сыктывкар, ул. Коммунистическая, д. 17).

Кроме того, согласно ч. 7 ст. 22 Федерального закона «О персональных данных» в случае изменений сведений, указанных в ч. 3 ст. 22 этого закона, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.  

Консультацию по заполнению Уведомления также можно получить по телефонам: (8212) 40-01-24.

Внимание! Проверить, подано ли организацией уведомление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор), можно с помощью Реестра операторов, осуществляющих обработку персональных данных. Реестр операторов размещен на Портале персональных данных - http://pd.rkn.gov.ru/operators-registry/operators-list/. Для наиболее точного и быстрого поиска в реестре достаточно указать ИНН организации.

Полезные ссылки

Портал персональных данных (вопросы и ответы) 

Информационные и аналитические материалы ФСТЭК России 

Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом (разъяснения Роскомнадзора от 14.12.2012) 

Вопросы отнесения фото-, видеоизображений, дактилоскопических данных к биометрическим персональным данным и особенности их обработки (разъяснения Роскомнадзора от 30.08.2013) 

Информационное сообщение ФСТЭК России по вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных от 15.07.2013 № 240/22/2637

Некоторые нормативно-правовые и методические документы

Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" 

Постановление Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"  

Постановление Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" 

Приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" 

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка) 

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных 

Приказ ФСБ России от 10.07.2014 № 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"

Методические рекомендации

Методические рекомендации по приведению информационных систем персональных данных в соответствие с требованиями законодательства по защите персональных данных государственных и муниципальных учреждений Республики Коми, 2013 г. 

Рекомендованы для применения в органах исполнительной власти, государственных и муниципальных учреждениях Республики Коми Администрацией Главы Республики Коми и Правительства Республики Коми. 

Направлены Министерством образования Республики Коми с сопроводительными письмами от 21.10.2013 № 15-27/44 (в муниципальные органы управления образованием) и от 21.10.2013 № 15-28/43 (в государственные образовательные организации).

Об обращении со средствами криптографической защиты информации

Письмо Министерства образования Республики Коми от 16.09.2015 № 690 о направлении рекомендаций по обращению со средствами криптографической защиты информации

Приказ об обращении со средствами криптографической защиты информации (образец приказа и инструкции подготовлены ГАУ РК "Центр информационных технологий")

Приказ об утверждении перечня пользователей средств криптографической защиты информации (образец подготовлен ГАУ РК "Центр информационных технологий")

Памятка "О порядке получения допуска пользователей к работе с СКЗИ" (разработана ГАУ РК "Центр информационных технологий")

Организация обработки персональных данных - Комитет цифрового развития Ленинградской области

В соответствии с обращением Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Северо-Западному федеральному округу от 28 декабря 2017 года № 9-2735/2017 сообщаем о необходимости выполнения требований законодательства о персональных данных.

На территории Ленинградской области уполномоченным органом является Управление Роскомнадзора по Северо-Западному федеральному округу (далее – Управление, Уполномоченный орган).

В соответствии с п. 2 ст. 3 Закона о персональных данных оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В соответствии с ч. 1 ст. 22 Закона о персональных данных Оператор до начала обработки персональных данных обязан уведомить Уполномоченный орган о своём намерении осуществлять обработку персональных данных.

Реестр операторов, осуществляющих обработку персональных данных

Рекомендации по заполнению уведомления об обработке персональных данных

Образцы форм

Приём уведомлений

Консультацию по заполнению Уведомления можно получить по следующим телефонам Уполномоченного органа:

(812) 678-95-40 - Денисов Егор Игоревич

(812) 678-95-09 - Бирих Эрнест Владимирович

Постановление правительства Ленинградской области от 11 сентября 2015 года № 358 «Об утверждении типовых организационно-распорядительных документов операторов персональных данных»

docx (54,0 КБ)

Обновлено 12.01.2021

Информационная безопасность в ОО - Отдел образования администрации МОГО "Инта"



Уведомление об обработке персональных данных


 Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных".    

   Ст. 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. 

     Если деятельность оператора по обработке персональных данных не подпадает под действие ч. 2 ст. 22 Федерального закона «О персональных  данных», то он обязан подать в Управление Роскомнадзора по Республике Коми уведомление об обработке (о намерении осуществлять обработку) персональных данных согласно частям 1, 3 ст. 22 Федерального закона «О персональных  данных». 

    Кроме того, согласно ч. 7 ст. 22 в случае изменений сведений, указанных в ч. 3 ст. 22 этого закона, оператор обязан уведомить об этом уполномоченный орган в течение десяти рабочих дней с даты возникновении таких изменений. 

   Обращаем внимание, что в ч. 3  ст. 22 Федерального закона внесены изменения, вступившие в законную силу с 01 сентября 2015 года. В связи с чем в уведомлении, согласно п.п.10.1 ч. 3 ст. 22 Федерального закона, необходимо указывать сведения о базах данных информации, содержащей персональные данные граждан Российской Федерации. 

     Операторам, которые были внесены в Реестр операторов, осуществляющих обработку персональных данных до вышеуказанных изменений, необходимо направить в Уполномоченный орган, информационное письмо о базах данных информации, содержащей персональные данные граждан Российской Федерации.

   Уведомление направляется в Управление Роскомнадзора по Республике Коми по адресу: 167000, Республика Коми, г. Сыктывкар, ул. Коммунистическая, д. 17.

    Электронная форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных, предусмотренная ч. 3 ст.  22 Закона о персональных данных размещена на сайте Управления Роскомнадзора по Республике Коми https://11.rkn.gov.ru в разделе Реестр операторов / Электронные формы заявлений / Перейти к заполнению формы электронного уведомления. 

     Рекомендации по ее по ее заполнению и примеры заполнения размещены на портале персональных данных (https://pd.rkn.gov.ru) (в разделе Реестр операторов /Документы / Пример заполнения Уведомления (пункт 4)).

    После заполнения формы Уведомления и отправки ее в информационную систему Роскомнадзора, Вам необходимо распечатать заполненную форму, подписать ее и направить в Управление Роскомнадзора по Республике Коми.

     Консультацию по заполнению Уведомления также можно получить по телефонам: (8212) 40-01-24 (телефон отдела Управления Роскомнадзора по Республике Коми, осуществляющего работу с Уведомлениями).

Внимание! Проверить, подано ли организацией уведомление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор), можно с помощью Реестра операторов, осуществляющих обработку персональных данных. Реестр операторов размещен на Портале персональных данных - http://pd.rkn.gov.ru/operators-registry/operators-list/. Для наиболее точного и быстрого поиска в реестре достаточно указать ИНН организации. 



Сайт для детей "Защита персональных данных" - http://персональныеданные.дети/

 

 

 

 

 

 

 

   


Мультипликационный видеоролик о защите персональных данных - https://yadi.sk/i/T0XTQKWMU6s9ug


Мультимедийный материал официального сайта Управления Роскомнадзора по Республике Коми по вопросам защиты персональных данных


    С целью повышения информационной грамотности несовершеннолетних, обучения их бережному, ответственному и внимательному отношению к своим персональным данным в разделе "Мультидедиа" на официальном сайте Управления Роскомнадзора по Республике Коми размещены видеоматериалы:   http://11.rkn.gov.ru/media/


 

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОГРАНИЧЕНИЮ В ОБРАЗОВАТЕЛЬНЫХ ОРГАНИЗАЦИЯХ ДОСТУПА ОБУЧАЮЩИХСЯ К ВИДАМ ИНФОРМАЦИИ, РАСПРОСТРАНЯЕМОЙ ПОСРЕДСТВОМ СЕТИ «ИНТЕРНЕТ», ПРИЧИНЯЮЩЕЙ ВРЕД ЗДОРОВЬЮ И (ИЛИ) РАЗВИТИЮ ДЕТЕЙ, А ТАКЖЕ НЕ СООТВЕТСТВУЮЩЕЙ ЗАДАЧАМ ОБРАЗОВАНИЯ.

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОСНОВАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ ОБУЧАЮЩИХСЯ ОБЩЕОБРАЗОВАТЕЛЬНЫХ ОРГАНИЗАЦИЙ С УЧЁТОМ ИНФОРМАЦИОННЫХ, ПОТРЕБИТЕЛЬСКИХ, ТЕХНИЧЕСКИХ И КОММУНИКАТИВНЫХ АСПЕКТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО СОЗДАНИЮ И РАЗВИТИЮ САЙТОВ И (ИЛИ) СТРАНИЦ САЙТОВ ПЕДАГОГИЧЕСКИХ РАБОТНИКОВ В СЕТИ «ИНТЕРНЕТ».

Приказ Рособрнадзора от 14.05.2019 № 631-о внесении изменения в требования к структуре официального сайта образовательной организации в информационно-телекоммуникационной сети "Интернет" и формату представления на нем информации, утвержденные приказом Рособрнадзора от 29.05.2015 № 785



Письмо Минобрнауки России от 28.04.2014 N ДЛ-115/03 "О направлении методических материалов для обеспечения информационной безопасности детей при использовании ресурсов сети Интернет" (вместе с "Методическими рекомендациями по ограничению в образовательных организациях доступа обучающихся к видам информации, распространяемой посредством сети "Интернет", причиняющей вред здоровью и (или) развитию детей, а также не соответствующей задачам образования", "Рекомендациями по организации системы ограничения в образовательных организациях доступа обучающихся к видам информации, распространяемой посредством сети Интернет, причиняющей вред здоровью и (или) развитию детей, а также не соответствующей задачам образования".

Методические рекомендации Министерства образования, науки и молодежной политики Республики Коми (ГОУ ДПО "КРИРО") "Особенности применения обязательных требований законодательства Российской Федерации и нормативных правовых актов Российской Федерации в области защиты детей от информации, причиняющий вред их здоровью и (или) развитию (предоставление несовершеннолетним доступа к сети Интернет, распространение и оборот информационных материалов, в том числе аудио-, видеоинформации, особенности проведения культурно-массовых мероприятий для несовершеннолетних), 2017 год.

Методические рекомендации Роскомнадзора по блокировке интернет-ресурсов, посредством которых осуществляется распространение противоправной информации.

Памятка по порядку направления в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) сообщений от граждан, юридических лиц, индивидуальных предпринимателей, органов государственной власти, органов местного самоуправления о наличии на страницах сайтов в сети Интернет противоправной информации (разработана ГОУ ДПО "КРИРО").

Буклет для граждан "Порядок направления информационных сообщений от граждан и юридических лиц в РОСКОМНАДЗОР о наличии на страницах сайтов в сети интернет противоправной информации" (разработан ГОУ ДПО "КРИРО").  


Концепция информационной безопасности детей


Утверждена Распоряжением Правительства Российской Федерации от 02.12.2015 № 2471-р.

Ознакомиться >>. 



Рекомендовано для использования Минкомсвязь России и Минобрнауки России (письмо Минобрнауки России от 27.03.2018 № 07-1734)

Скачать >>  


Методические рекомендации по  информированию родителей об услуге "Родительский контроль", позволяющей устанавливать ограничения доступа к информационно-телекоммуникационной сети "Интернет"


Министерством образования Республики Коми совместно с Комитетом информатизации и связи Республики Коми разработаны методические материалы по информированию родителей об услуге «Родительский контроль», позволяющей устанавливать ограничения доступа к информационно-телекоммуникационной сети «Интернет».

В методические материалы для родителей включены описания основных существующих угроз в сети Интернет, реализация которых может повлечь причинение вреда здоровью и развитию детей; описание основных технических мер, которые могут предпринять родители на домашних компьютерах и устройствах, направленных на защиту их детей от негативной информации, распространяемой в сети Интернет, подробные пошаговые инструкции по настройке таких технических средств и другая полезная информация, которая может помочь людям, не обладающим особыми знаниями в области информационных технологий, защитить детей от существующих угроз в сети Интернет. Методические рекомендации по информированию родителей об услуге "Родительский контроль".  


Рекомендации по безопасности детей в интернете (разработаны Советом Федерации по развитию и информационного сообщества)


Методические рекомендации по реализации мер, направленных на обеспечение безопасности детей в интернете,

 "Лига безопасного Интернета" (раздел "Родителям и педагогам"). 



МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ОБ ИСПОЛЬЗОВАНИИ УСТРОЙСТВ МОБИЛЬНОЙ СВЯЗИ В ОБЩЕОБРАЗОВАТЕЛЬНЫХ ОРГАНИЗАЦИЯХ


Полезные ссылки 


Информационные и аналитические материалы ФСТЭК России

Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом (разъяснения Роскомнадзора от 14.12.2012)

Вопросы отнесения фото-, видеоизображений, дактилоскопических данных к биометрическим персональным данным и особенности их обработки (разъяснения Роскомнадзора от 30.08.2013)

Информационное сообщение ФСТЭК России по вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных от 15.07.2013 № 240/22/2637

Полезные материалы: http://www.ligainternet.ru/encyclopedia-of-security/parents-and-teachers/ 



Приказ об обращении со средствами криптографической защиты информации (образец приказа и инструкции подготовлены ГАУ РК "Центр информационных технологий").

Приказ об утверждении перечня пользователей средств криптографической защиты информации (образец подготовлен ГАУ РК "Центр информационных технологий").

Памятка "О порядке получения допуска пользователей к работе с СКЗИ" (разработана ГАУ РК "Центр информационных технологий").

 

Образец заполнения электронной формы уведомления об обработке – испдн бухгалтерия и кадры

Формы документов

Образец формы уведомления и рекомендации по заполнению

Рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных (PDF, 2,5МБ)

Приказ Роскомнадзора от 30.10.2018 № 159 «О внесении изменений в Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утверждённые приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 мая 2017 года № 94» (PDF, 800КБ)

Пример заполнения уведомления об обработке персональных данных

Пример формы уведомления для юридического лица (DOCX, 30 КБ)

Пример формы уведомления для индивидуального предпринимателя (DOCX, 20КБ)

Пример формы уведомления для юридического лица с использованием 2-х информационных систем и Интернет-сайта (DOCX, 30КБ)

Пример формы уведомления об обработке персональных данных для индивидуального предпринимателя с использованием 2-х информационных систем и Интернет-сайта (DOCX, 30КБ)

Пример формы уведомления для нотариуса с использованием 2-х информационных систем (DOCX, 30КБ)

Пример формы уведомления для учреждения здравоохранения с использованием 5-ти информационных систем (DOCX, 30КБ)

Пример заполнения информационного письма о внесении изменений в сведения об операторе в реестре операторов, осуществляющих обработку персональных данных

Пример формы информационного письма для юридического лица, ПАО (DOCX, 30КБ)

Пример формы информационного письма для юридического лица, ООО (DOCX, 30КБ)

Пример формы информационного письма для юридического лица, Совет СП (DOCX, 30КБ)

Пример формы информационного письма для юридического лица, Исполком СП (DOCX, 30КБ)

Пример формы информационного письма для юридического лица, Школа (DOCX, 30КБ)

Пример формы информационного письма для юридического лица, Детсад (DOCX, 30КБ)

Пример формы информационного письма для юридического лица с использованием 2-х информационных систем (DOCX, 30КБ)

Пример формы информационного письма для индивидуального предпринимателя с использованием 2-х информационных систем и Интернет-сайта (DOCX, 30КБ)

Пример формы информационного письма для нотариуса с использованием 2-х информационных систем (DOCX, 30КБ)

Пример формы информационного письма для учреждения здравоохранения с использованием 5-ти информационных систем (DOCX, 30КБ)

Пример формы информационного письма для юридического лица (Образовательное учреждение) с использованием 2-х информационных систем (DOCX, 30КБ)

Пример короткой формы информационного письма о внесении изменений в сведения об операторе в реестр ОПД (DOCX, 30КБ)

Образец информационного письма для операторов персональных данных (ст. 25 и п. 10.1) (DOCX, 30КБ)

О внесении изменений в отдельные законодательные акты Российской Федерации

Федеральный закон Российской Федерации от 21 июля 2014 г. N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»

to Антон
Приветствую!
Принципиально — да. Фактически — надо смотреть конкретику.
Нюансы:
1. Разность категорий и количества ПДн на каждом АРМ. К примеру, в Бухгалтерии только «иные ПДн» с объемом до 100тыс. А в ОК — «биометрические ПДн» с объемом более 100тыс. (фотографии, отпечатки пальцев + дела уволенных сотрудников — и все это на каком-нибудь «закрытом предприятии»).
2. Разность применяемых технологий и угроз НДВ. К примеру, в Бухгалтерии используется 1С 8.2z («лишенная НДВ») и лицензионная ОС Windows 7 на типовом ПЭВМ. А в ОК — ОС Windows XP (без поддержки обновлений) + какой-то самопальный софт хранения и обработки баз данных. +, положим, в Бухгалтерии есть связь с Интернет, а в ОК ПЭВМ вообще автономная.
3. Разность персонала по отношению к базам данных. К примеру, в Бухгалтерии своя база ПДн, лишь косвенно относящаяся к базе ОК. Соответственно, бухгалтера к базам ОК доступа не имеют. И наоборот.
Эти нюансы говорят о том, что проще разбить ИСПДн на сегменты (или вообще 2 отдельные ИСПДн, чтобы было проще все это описать не в одном документе, а в нескольких), ибо уровни защищенности у них будут разными. И актуальные угрозы безопасности также будут разниться. И персонал будет отличаться как по сути, так и по правам доступа к информации.
Короче говоря, экстрасенсорикой заниматься не хочется. Либо надо пояснить полную картинку ситуации, чтобы форумчане могли помочь советом, либо ориентироваться на вышеуказанные нюансы и думать самостоятельно

При подготовке материалов мы используем только проверенные источники информации

Правила обработки персональных данных и обязанности компаний-операторов изложены в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных». В частности, в ст. 22 этого закона указали, что компания-оператор перед началом своей деятельности обязана известить Роскомнадзор. Уведомление Роскомнадзора об обработке персональных данных осуществляют в соответствии с Методическими рекомендациями по уведомлению уполномоченного органа…, утв. приказом Роскомнадзора от 30 мая 2017 г. № 94.

Обратите внимание, что согласно приказу № 94 утратили силу рекомендации по заполнению формы уведомления, утв. Роскомнадзором от 29 января 2016 г. Также с 21 августа 2017 года больше не действует приказ Минкомсвязи России от 21 декабря 2011 г. № 346.

IX Юридический форум для практиков

IX Юридический Форум для практиков «Правовые события года» состоится в любую погоду! В этом году юристов не пустят в Кремль, но мы не сдаемся.

Главный юридический праздник года пройдет онлайн. Участие бесплатное для всех юристов мира

Зарегистрироваться

Когда подают уведомление об обработке персональных данных

Направить в адрес Роскомнадзора уведомление об обработке персональных данных должен каждый оператор данных. Компания является оператором, если в том или ином виде взаимодействует с информацией, которую получает у граждан и которая входит в такие данные. В частности, если компания получает у клиентов сведения о месте проживания, паспортные данные и т. п., она является оператором.

Из общего правила есть исключения. Уведомлять Роскомнадзор не нужно, если:

  • компания получает и обрабатывает информацию только о своих работниках;
  • персональные данные используют только в договорной работе – например, в договоре указывают персональные данные представителя контрагента;
  • при обработке данных не применяют средства автоматизации (см. постановление Правительства РФ от 15.09.08 № 687).

Ч. 2 ст. 22 закона № 152-ФЗ содержит перечень исключений. Во всех остальных случаях Роскомнадзор должен получить уведомление об обработке персональных данных.

Уведомлять Роскомнадзор об обработке персональных нужно при помощи документа, составленного по форме. Воспользуйтесь сайтом ведомства, чтобы подготовить уведомление Роскомнадзора об обработке персональных данных, форма документа присутствует на сайте.

Ведомство ведет реестр операторов персональных данных. После того, как уведомление об обработке персональных данных направляют в Роскомнадзор, в течение 30 дней документ должны обработать и поместить сведения о компании в реестр. Внесение компании в список операторов можно проверить на сайте.

Образец уведомления об обработке персональных данных в РоскомнадзорИнформация о файле

Как подать уведомление в Роскомнадзор об обработке персональных данных

Если уведомлять Роскомнадзор будут в электронном виде, нужно:

  • заполнить образец формы уведомления об обработке, который есть на сайте;
  • распечатать получившийся документ;
  • поставить подпись ответственного лица и переслать в территориальный орган ведомства по месту нахождения компании.

Подавать уведомление в ведомство можно не только через портал Роскомнадзора, уведомление об обработке персональных данных примут на сайте «Госуслуги». Также для извещения Роскомнадзора можно использовать бумажную форму документа: скачать образец, заполнить его и направить по почте.

Что включили в форму уведомления Роскомнадзора об обработке персональных данных

В уведомление на обработку персональных данных Роскомнадзор включил разделы, которые касаются характера сведений, цели их сбора, методов работы. Когда организация подает уведомление об обработке, она обязательно указывает:

  1. Наименование территориального отделения ведомства.
  2. Тип оператора – относится компания к юридическим лицам или имеет иную форму организации.
  3. Свое наименование.
  4. Адрес места нахождения компании.
  5. ИНН и ОГРН.
  6. Основание обработки данных и цель обработки.
  7. Меры в соответствии со ст.ст. 18.1 и 19 закона№ 152-ФЗ, а также иные меры безопасности для сохранения данных.
  8. Дату начала обработки, а также срок или условия прекращения обработки.
  9. Категории субъектов, данные которых компания будет обрабатывать.
  10. Перечень операций, которые компания будет осуществлять с данными, а также способы обработки.
  11. Планирует ли компания трансграничную передачу полученных сведений.
  12. Адрес места нахождения базы данных, где информация будет храниться физически.
  13. Ответственное за обработку лицо.

Иные сведения в уведомлении об обработке персональных данных указывать не обязательно, компания может сделать это по своему усмотрению.

Что будет, если не отправить уведомление на обработку персональных данных в Роскомнадзор

Если не подготовить уведомление Роскомнадзора об обработке персональных данных и не направить документ в ведомство, компании грозит административная ответственность. Ведомство назначит штраф по ст. 19.7 КоАП РФ (постановления Верховного суда Республики Татарстан от 18 декабря 2015 г. № 4а-1802/2015; Нижегородского областного суда от 25 июля 2014 г. по делу № 7п-371/2014).

26 октября Юридический форум «Главные правовые события года» пройдет полностью онлайн. Зарегистрироваться >>

Известные юристы расскажут:

  • Что поменять в договорах из-за коронавируса
  • Как судиться по новым правилам в апелляции и кассации
  • Что изменилось в банкротстве и субсидиарной ответственности

Участвовать

Интересные темы:

Примеры положений о защите личных данных: 138 примеров

Защита личных данных . В данном разделе «GDPR» означает Регламент (ЕС) 2016/679, Общий регламент по защите данных, а также любые имплементирующие законы, правила или постановления, изданные соответствующими надзорными органами. Термины «Контроллер», «Персональные данные», «Субъект данных», «Обработчик» и «Обработка» имеют значения, указанные в статье 4 GDPR. В той мере, в какой этот Консультант обрабатывает любые Персональные данные, регулируемые GDPR, от имени FHI 360 и в отношении которых FHI 360 является Контролером, Консультант должен: (a) действовать только по инструкциям FHI 360 при обработке Персональных данных и вести учет всех операций по обработке; (b) принимать все необходимые технические и организационные меры для защиты от несанкционированной или незаконной обработки или случайной потери, уничтожения или повреждения Персональных данных; (c) обрабатывать Персональные данные в соответствии с GDPR; (d) не делать и не разрешать никаких действий, которые могут привести к нарушению FHI 360 или любого из его филиалов GDPR; (e) немедленно проинформировать FHI 360, если он считает, что выполнение Услуг или соблюдение каких-либо инструкций FHI 360 нарушает или может быть обоснованно рассмотрено как нарушение GDPR; (f) немедленно уведомлять FHI 360 о получении любой жалобы, запроса на доступ к Субъекту данных, уведомления или сообщения, которые прямо или косвенно связаны с обработкой Персональных данных в соответствии с настоящим Соглашением, и оказывать FHI 360 полное содействие и помощь в ответах на такую ​​жалобу, запрос, уведомление или сообщение; (g) незамедлительно и без неоправданной задержки уведомлять FHI 360, когда становится известно о любой несанкционированной потере, повреждении, повреждении, уничтожении, изменении, раскрытии или доступе, а также о несанкционированной или незаконной обработке любых Персональных данных («Нарушение Персональных данных») или любые обстоятельства, которые могут привести к нарушению личных данных, своевременно предоставляя FHI 360 информацию, достаточную для выполнения своих обязательств, если таковые имеются, по сообщению о нарушении личных данных в соответствии с GDPR; (h) сотрудничать с FHI 360 и предпринимать коммерчески разумные меры, которые могут быть предприняты FHI 360 для оказания помощи в расследовании, смягчении и устранении любых нарушений личных данных; (i) сотрудничать по запросу FHI 360, чтобы обеспечить выполнение Субъектом данных прав в соответствии с GDPR в отношении Персональных данных, обрабатываемых Консультантом в соответствии с настоящим Соглашением, или для выполнения любой оценки, запроса, уведомления или расследования согласно GDPR; (j) разрешать стороннему субпроцессору обрабатывать Перс...

Уведомление о нарушении GDPR, письмо

Двумя наиболее важными принципами Общего регламента ЕС по защите данных (GDPR) являются прозрачность и подотчетность .

Вы должны информировать людей о способах обработки их личных данных. И вы подотчетны своему органу по защите данных (DPA - в тексте GDPR именуемый «надзорным органом») во всех аспектах этой обработки.

Частично соблюдение этих принципов означает, что будет честным и действовать быстро , когда что-то пойдет не так.Если ваша компания страдает от серьезного нарушения личных данных , то есть потери или кражи личных данных людей, вы обязаны сообщить об этом своему DPA. В некоторых случаях вы также должны сообщить людям , чьи данные были скомпрометированы.

Защита личных данных считается основным правом в ЕС. Как ответственная организация, вы уже предприняли шаги для обеспечения безопасной обработки личных данных. Но вам все равно нужно подумать, как вы отреагируете на нарушение.

Давайте рассмотрим шаги, которые необходимо предпринять, чтобы уведомить соответствующих людей.


Что такое письмо с уведомлением об утечке данных?

В рамках политики защиты данных вашей компании вы должны разработать процедуру, которая позволит вам быстро и эффективно реагировать на , когда безопасность данных ваших клиентов была скомпрометирована. Как мы видели из таких событий, как скандал с Cambridge Analytica и утечка данных в отеле Marriott Hotel, такие случаи далеко не редкость.

Быстрое реагирование чрезвычайно важно, поскольку это означает, что вы можете ограничить нанесенный ущерб - как пострадавшим лицам, так и вашей компании. Хорошо то, что письмо с уведомлением о нарушении данных - это документ, который вы можете частично подготовить заранее в рамках своей политики в отношении утечки данных.

Является ли письмо с уведомлением о утечке данных обязательным?

Если вы столкнулись с серьезной утечкой данных, вам по закону требуется , чтобы проинформировать DPA и, во многих случаях, лиц, чьи данные могли быть скомпрометированы.Письмо с уведомлением об утечке данных - это способ сделать это.

Статья 33 GDPR требует, чтобы контролеры данных (любая компания, которая решает, как и почему обрабатываются персональные данные людей в ЕС) должны сообщать о серьезной утечке персональных данных своему DPA.

Статья 34 GDPR требует, чтобы контроллеры данных уведомляли физических лиц (называемых «субъектами данных» в GDPR) в случае утечки данных с особо высоким риском .

Обработчики данных (любая компания, которая обрабатывает персональные данные от имени контроллера данных) должны как можно скорее проинформировать своих контроллеров данных в случае нарушения.

GDPR хорошо известен своими огромными штрафами, которые могут достигать до 4 процентов годового глобального оборота компании, или 20 миллионов евро. В декларации 148 GDPR изложены некоторые факторы, которые органы по защите данных будут учитывать при расчете штрафа. Среди них:

  • Как долго длился разрыв
  • Приняла ли компания меры для ограничения ущерба
  • Сообщила ли компания об инциденте в орган по защите данных

Все эти факторы под вашим контролем .Наличие четкой процедуры и подготовленного письма с уведомлением об утечке данных позволяет вам быстро и эффективно реагировать и минимизировать негативное влияние на вашу компанию и ваших клиентов.

Когда отправлять письмо с уведомлением об утечке данных

Существует два типа писем с уведомлением о нарушении данных:

  • Те, которые уведомляют ваш DPA о том, что произошла утечка личных данных.
  • Единицы, которые уведомляют физических лиц о том, что их личные данные были скомпрометированы.

Как уже упоминалось, существует два разных пороговых значения для отправки любого из них.

Уведомление органа по защите данных

GDPR требует, чтобы контроллеры данных уведомляли своих DPA, если нарушение данных вероятно « приведет к риску для прав и свобод » людей. Это должно быть сделано « без неоправданной задержки и, где это возможно, не позднее 72 часа после того, как стало известно » о нарушении.

Recital 85 предлагает конкретные примеры рисков, которые могут потребовать уведомления:

  • Утрата контроля над персональными данными
  • Ограничение прав на данные
  • Дискриминация
  • Кража документов
  • Мошенничество
  • Финансовый убыток
  • Несанкционированное раскрытие личности
  • Урон репутации
  • Утрата конфиденциальности

Уведомление физических лиц

Вам всегда нужно сообщать DPA о серьезном нарушении.Вам также необходимо проинформировать соответствующих лиц об очень серьезном нарушении .

GDPR требует, чтобы контроллеры данных уведомляли лиц, пострадавших, если нарушение данных составляет «, чтобы привести к высокому риску для [их] прав и свобод. » Существенное различие здесь заключается в степени риска - уведомление физических лиц требуется только там, где существует высокий риск .

Вот как DPA Великобритании, Управление Комиссара по информации (ICO) различает нарушение, которое требует и не требует уведомления физических лиц:

GDPR гласит, что отправка письма с уведомлением об утечке данных физическим лицам может потребоваться , а не , если:

  • Если данные были зашифрованы
  • Если вы предприняли быстрые действия, которые свели на нет риск
  • Если контакт с каждым человеком потребует непропорциональных усилий.В этом случае вы можете сделать публичную выписку вместо .

Здесь нет 72-часового крайнего срока. Recital 86 требует, чтобы контроллеры данных отправляли людям письмо с уведомлением об утечке данных, чтобы они могли « принять необходимые меры предосторожности, » - поэтому вы должны действовать быстро.

Примеры утечки данных

Рабочая группа по статье 29 приводит несколько примеров такого рода нарушений данных, которые могут потребовать или не потребовать уведомления.

  1. " Кратковременное отключение электроэнергии на несколько минут в операторском центре контроллера, что означает, что клиенты не могут позвонить контроллеру и получить доступ к своим записям. "

    Скорее всего, , а не , потребует сообщить либо DPA, либо заинтересованным лицам.

  2. " Контроллер управляет онлайновой торговой площадкой [...] Торговая площадка подвергается кибератаке, и злоумышленники публикуют имена пользователей, пароли и историю покупок в Интернете. "

    Компания должна сообщить об инциденте и DPA, и заинтересованным лицам.

  3. " Контроллер обслуживает онлайн-службу. В результате кибератаки на эту службу персональные данные людей были похищены. "

    Компания должна сообщить об инциденте в DPA . Однако, в зависимости от контекста, сообщение отдельным лицам может быть ненужным .

Что включать в письмо с уведомлением о нарушении данных

Конкретная информация, которую вам нужно будет включить в письмо с уведомлением о нарушении данных, будет отличаться в зависимости от обстоятельств нарушения.Но GDPR дает некоторые рекомендации по типам информации, которую вам необходимо включить при уведомлении как вашего DPA, так и заинтересованных лиц.

Уведомление органа по защите данных

Статья 33 требует от вас предоставить определенную информацию DPA в случае нарушения. Однако важно отметить, что для некоторых DPA требуется дополнительной информации . Некоторые DPA также предпочитают, чтобы вы использовали специальную форму на своем веб-сайте. Вам нужно будет внимательно посоветоваться со своим сотрудником по защите данных (если он у вас есть) и рассмотреть возможность получения юридической консультации при уведомлении вашего DPA.

Важно, чтобы вы узнали, кто ваш DPA. По крайней мере, по одному в каждой стране ЕС. Если ваша компания находится в ЕС, вашим первым контактным лицом для сообщения о нарушении будет DPA, в котором находится ваша компания.

Если вы проживаете за пределами ЕС , вам следует связаться с DPA в своем основном заведении . В декларации 36 изложены критерии определения того, какая страна ЕС должна быть вашим основным заведением.

Уведомление физических лиц

Если вы определили, что вам также необходимо уведомить лиц, чьи данные были скомпрометированы, статья 34 требует, чтобы вы использовали « ясный и простой язык » и включили определенную информацию.

Ваше письмо с уведомлением о взломе данных, адресованное физическим лицам, должно отвечать на следующие вопросы:

  • Что случилось? Опишите характер нарушения личных данных.
  • Каковы вероятные последствий утечки данных для соответствующих лиц? Возможно, потребуется объяснить, как люди узнают, что они пострадали.
  • Что вы сделали в связи с утечкой данных? Предприняли ли вы какие-либо шаги, чтобы смягчил или свел на нет неблагоприятные последствия, перечисленные выше?
  • Могут ли человек что-нибудь сделать для снижения риска?
  • Кто может предоставить дополнительную информацию , если требуется? Это должен быть ваш сотрудник по защите данных, если он у вас есть.Дайте возможность людям связаться с вами с , если у вас возникнут какие-либо вопросы или опасения по поводу нарушения.

Это минимальный уровень детализации , требуемый GDPR (в том числе в Recital 86). Вы захотите включить дополнительную информацию в зависимости от ситуации. Эта дополнительная информация может включать:

  • Дата, на которую вы подаете уведомление .
  • Дата, когда произошло нарушение .
  • Дата, когда вы обнаружили нарушение .
  • типов личной информации , которые были скомпрометированы.
  • Как люди могут узнать , если они пострадали.
  • Сообщили ли вы властям , и вызвало ли это задержку в уведомлении.
  • Контактные данные соответствующего органа по защите данных.

Вам, возможно, придется учитывать свою правовую позицию, делая эти заявления для общественности. Прозрачность чрезвычайно важна, но всегда лучше посоветоваться с тем, как вы формулируете такие заявления.Вы захотите избежать ненужной ответственности.

Вот отрывок из письма с уведомлением Quora об утечке данных:

Quora объясняет инцидент простым языком, указывая характер нарушения и тип затронутых персональных данных. Затем рассматриваются конкретные проблемы, которые могут возникнуть у пользователей.

Equifax создала специальный веб-сайт после серьезной утечки данных в 2017 году. В своем письме с уведомлением об утечке данных компания делит следующие вопросы:

Equifax предоставляет систему, с помощью которой пользователи могут узнать, пострадали ли они:

Equifax также предлагает шаги, которые пользователи могут предпринять для смягчения воздействия взлома, как требуется в соответствии с декларацией 86:

.

Сеть отелей Starwood объявила о серьезной утечке данных в ноябре 2018 года.Он создал специальный веб-сайт для предоставления информации затронутым пользователям. Он отвечает на следующие вопросы в своем уведомлении о нарушении:

Facebook предупредил своих пользователей об утечке данных через мобильное приложение, чтобы гарантировать, что сообщение получило как можно больше людей.

Facebook также пытался успокоить пользователей, объясняя нарушение техническими терминами. Он даже поделился видео, в котором вице-президент по управлению продуктами объясняет нарушение:

Используя различные методы оповещения и объяснения, Facebook помогает обеспечить охват большей части людей и понять, что произошло с утечкой данных.

Политика защиты ваших данных

Как только вы определили, что произошла утечка данных, вы должны действовать быстро. Важно иметь надежные внутренние процедуры, чтобы каждый в вашей компании знал, что делать.

Внутренняя отчетность

Если в вашей компании есть сотрудник по защите данных (DPO), он должен быть первым, кто узнает о любом предполагаемом или подтвержденном нарушении. DPO должен обладать отличными практическими знаниями в области защиты данных и иметь возможность оценить, следует ли сообщать об инциденте DPA.

Если у вас нет DPO, вы должны указать соответствующего старшего сотрудника в вашей компании, которому люди могут сообщить о нарушении.

В вашей Политике утечки данных может быть указано, какая информация должна быть передана в случае нарушения, но важно не делать эти требования слишком обременительными - время имеет существенное значение.

Сдерживание разлома

Если нарушение все еще продолжается, вам необходимо принять все возможные меры, чтобы остановить его. Это может означать уведомление полиции или использование соответствующих технических знаний внутри вашей компании.

Например, вам может понадобиться:

  • Отключить определенные системы
  • Удаленно отключить компьютерный терминал
  • Сброс паролей аккаунтов
  • Изменить права доступа

Оценка рисков

Если вы можете сделать это быстро, вам следует оценить риски , прежде чем направлять уведомление. Это позволит вам предоставить вашему DPA или затронутым лицам основную необходимую информацию.

Для оценки риска вам потребуется ответить на некоторые из следующих вопросов:

  • На кого может повлиять нарушение?
  • Какой тип данных был скомпрометирован?
  • Что послужило причиной нарушения ?
    • Человеческая ошибка
    • Технологический сбой
    • Вредоносная атака
  • Если вы уведомите другие организации , e.грамм. обработчики данных, которые также могут подвергаться риску?
  • Следует ли вам позвонить по номеру в другой экспертный центр , внутри или за пределами вашей компании?
  • Было ли устранено нарушение ?

Оценка серьезности нарушения

Не о каждой утечке данных нужно сообщать, поэтому вам нужна система для оценки серьезности нарушения.

Агентство ЕС по сетевой и информационной безопасности предлагает использовать следующие критерии для оценки серьезности нарушения:

  • Контекст обработки данных - Персональные данные:
    • Простой
    • Поведенческие
    • Финансовый
    • Чувствительный
  • Простота идентификации
    • Насколько легко было бы идентифицировать людей?
    • Могут ли личные данные раскрыть людей прямо или косвенно?
    • Данные зашифрованы?
  • Обстоятельства нарушения - Вовлечено ли нарушение:
    • Утрата конфиденциальности
    • Нарушение целостности
    • Отсутствие доступности
    • Злой умысел

Если данные являются конфиденциальными, это приведет к высокому уровню риска Контекст обработки данных , что повысит вероятность того, что об инциденте необходимо будет сообщить.

Высокий коэффициент Обстоятельства нарушения также может означать, что вам необходимо уведомить DPA - например, если есть доказательства какого-либо злонамеренного намерения со стороны злоумышленника.

Однако, если данные зашифрованы должным образом, коэффициент Простота идентификации может быть низким, что снижает вероятность уведомления.

Уведомление

Теперь вы можете узнать, нужно ли уведомлять DPA и, возможно, затронутых лиц - через индивидуальное уведомление, публичное уведомление или и то, и другое.

Вам будет очень полезно подготовить шаблон письма с уведомлением , чтобы вы могли уведомить по крайней мере в течение критического 72-часового периода.

Оценка после нарушения

Как только шторм утихнет, вам нужно сделать шаг назад и оценить, что произошло, и как вы можете предотвратить его повторение.

  • Где были слабых места в ваших системах защиты данных?
  • Проводились ли надлежащие проверки ?
  • Были ли ваши сотрудники должным образом обучены защите данных?
  • Соблюдали ли какие-либо обработчики данных надлежащее Соглашение об обработке данных?
  • Нужно ли вам принять дисциплинарных мер или нанять дополнительный персонал ?

Вы юридически обязаны сотрудничать с вашим DPA на протяжении всего этого процесса, если потребуется.

Краткое изложение вашего письма с уведомлением о взломе данных

Письмо с уведомлением об утечке данных - это метод выполнения юридического обязательства в соответствии с GDPR, чтобы уведомить органы по защите данных (DPA) или отдельные лица о нарушении данных.

  • Необходимо прислать:
    • На ваш DPA в случае нарушения, которое приводит к риску для «прав и свобод»
    • Лицам , чьи данные могли быть скомпрометированы в случае высокого риска для «прав и свобод».«
    • Без излишних задержек , самое позднее в течение 72 часов.
  • Ваше письмо с уведомлением об утечке данных на адрес DPA должно:
    • Соответствовать требованиям статьи 33
    • Содержит любую дополнительную информацию, требуемую DPA.
  • Ваше письмо с уведомлением об утечке данных лицам должно, как минимум, содержать информацию о:
    • характер нарушения
    • Вероятные последствия
    • Любые шагов, которые вы сделали на данный момент
    • Все, что могут сделать лиц о нарушении
    • Контактная информация , предпочтительно для вашего уполномоченного по защите данных

Скачать шаблон письма с уведомлением о нарушении GDPR

Загрузите наш шаблон GDPR GDPR Назначение письма представителя ЕС в виде файла PDF, файла DOCX или документа Google.

Этот бесплатный загружаемый шаблон поможет вам начать работу с:

  • Уведомление ваших клиентов / пользователей о взломе данных
  • Выявление типов взломанной личной информации
  • Выявление типов личной информации, которая не была нарушена
  • Описание шагов, которые вы предпринимаете для устранения проблемы
  • Информирование клиентов / пользователей о том, какие шаги нужно предпринять
  • Предоставление вашей контактной информации

Арт.13 GDPR - Информация, предоставляемая при сборе персональных данных от субъекта данных

Ст. 13 GDPR - Информация, предоставляемая при сборе персональных данных от субъекта данных | Общие правила защиты данных (GDPR) перейти к содержанию
  1. Если персональные данные, относящиеся к субъекту данных, собираются от субъекта данных, контролер должен во время получения личных данных предоставить субъекту данных всю следующую информацию:
    1. личность и контактные данные контролера и, если применимо, представителя контролера;
    2. контактные данные сотрудника по защите данных, если применимо;
    3. цели обработки, для которой предназначены личные данные, а также правовое основание для обработки;
    4. , если обработка основана на пункте (f) статьи 6 (1), законных интересах, преследуемых контролером или третьей стороной;
    5. получатели или категории получателей персональных данных, если таковые имеются;
    6. , если применимо, тот факт, что контролер намеревается передать персональные данные в третью страну или международную организацию, и наличие или отсутствие решения Комиссии об адекватности, или в случае передачи, упомянутой в Статье 46 или 47, или второй подпараграф статьи 49 (1), ссылка на соответствующие или подходящие гарантии и средства, с помощью которых можно получить их копию или где они стали доступными.
  2. В дополнение к информации, указанной в параграфе 1, во время получения персональных данных контролер должен предоставить субъекту данных следующую дополнительную информацию, необходимую для обеспечения справедливой и прозрачной обработки:
    1. период, в течение которого будут храниться личные данные, или, если это невозможно, критерии, используемые для определения этого периода;
    2. наличие права требовать от контроллера доступа и исправления или удаления персональных данных или ограничения обработки в отношении субъекта данных или возражать против обработки, а также права на переносимость данных;
    3. , если обработка основана на пункте (а) статьи 6 (1) или пункте (а) статьи 9 (2), наличие права отозвать согласие в любое время, не влияя на законность обработки на основе согласия до его отзыва;
    4. право на подачу жалобы в надзорный орган;
    5. , является ли предоставление персональных данных законодательным или договорным требованием или требованием, необходимым для заключения договора, а также обязанность субъекта данных предоставить персональные данные и возможные последствия непредоставления таких данных;
    6. наличие автоматизированного принятия решений, включая профилирование, указанное в Статье 22 (1) и (4), и, по крайней мере, в этих случаях, значимую информацию о задействованной логике, а также о значимости и предполагаемых последствиях такого обработка для субъекта данных.
  3. Если контролер намеревается продолжить обработку персональных данных для целей, отличных от той, для которой персональные данные были собраны, контролер должен предоставить субъекту данных до этой дальнейшей обработки информацию об этой другой цели и любую соответствующую дополнительную информацию, как упомянуто в пункте 2.
  4. Пункты 1, 2 и 3 не применяются, если субъект данных уже имеет информацию.

Принципы обработки персональных данных: 9 принципов обработки GDPR

Обзор принципов обработки персональных данных в соответствии с Общим регламентом о защите данных (GDPR) , а также где и как принципы обработки персональных данных имеют значение для обеспечения соответствия GDPR, начиная со статьи 5 GDPR и выходя за ее рамки .

Для достижения соответствия GDPR важно понимать суть GDPR в оценке личных данных и возвращении контроля над личными данными гражданам в гораздо большей степени, чем это было сделано в ее предшественнице, Директиве о защите данных или Директиве 95/46 / EC.

Эти цели и соответствующие права, свободы и принципы GDPR выражены не только в новых или усиленных принципах и обязанностях для контроллеров и процессоров, но и в экстерриториальном применении GDPR (согласно которому все организации, приобретающие и обрабатывающие затрагиваются личные данные граждан ЕС, независимо от того, где происходит обработка) .

Хотя многие права субъектов данных и правила, касающиеся правовых основ для законной обработки персональных данных граждан ЕС, не изменились слишком сильно, важно понимать, как новые правила вписываются в объем упомянутых целей и общих принципов. что подчеркивается GDPR.

Это также касается принципов обработки персональных данных, о которых идет речь в этой статье.

Определение принципов обработки персональных данных

Очевидно, что существует также некоторая степень «обновления», чтобы соответствовать современным средствам обработки данных и действиям с GDPR, и ЕС хочет гораздо более последовательный подход, применение и обеспечение соблюдения для организаций в рыночной реальности, где большие данные и личные данные необходимы во времена цифровой трансформации, инноваций на основе данных, новых технологий, таких как Интернет вещей и Индустрия 4.0.

Тем не менее, принципы, права и свободы вездесущи и упоминаются практически во всех аспектах GDPR, независимо от того, касается ли это роли DPO (сотрудника по защите данных) , правил согласия (информированный, свободно переданный, действующий, и т. д.) или способы продемонстрировать соблюдение одобрения практики безопасности и обработки данных, такой как шифрование и псевдонимизация, важность DPIA, кодексов поведения и т. д.

Соответствие GDPR начинается с осведомленности о GDPR, понимания прав субъектов данных, выбора надлежащих оснований для законной обработки всех действий по обработке данных и понимания принципов, закрепленных в Регламенте, включая принципы, касающиеся обработки персональных данных .

Ранее мы рассмотрели различные правовые основания для законной обработки и подробно остановились на некоторых из них. Получение согласия или наличие другого законного основания для законной обработки - это, конечно, всего лишь один шаг, когда все сводится к обработке персональных данных.

Когда существует правовая база, обработка по-прежнему должна происходить, и действительно существуют четкие принципы, касающиеся фактической обработки персональных данных. Эти принципы обработки персональных данных всегда связаны с (и часто включают) общие принципы , такие как справедливость, прозрачность, свобода выбора и многое другое.

Шесть и девять принципов обработки персональных данных

Принципы обработки персональных данных в соответствии с GDPR можно найти в статье 5. GDPR. Мы рассмотрим 9 принципов обработки персональных данных и кратко рассмотрим каждый, прежде чем углубляться в каждый из них.

Почему принципы обработки персональных данных имеют значение (большое)?

Причины, по которым эти принципы обработки персональных данных важны?

Касается ли это самого GDPR, руководящих принципов Европейского совета по защите данных или надзорных органов, юриспруденции, практических аспектов для организаций в соответствии с GDPR или интерпретации прав, обязанностей и многого другого: они всегда здесь, так как важные руководящие принципы, включенные в Регламент, которыми на самом деле являются принципы, касающиеся обработки персональных данных.

Как мы упоминали в нашем обзоре главы 2 GDPR, к которой относятся принципы обработки персональных данных, указанные в статье 5, на самом деле существует шесть принципов обработки персональных данных (которые иногда также называют шестью принципами обработки данных или шестью принципами конфиденциальности) и еще один (в параграфе 2) об ответственности, который применяется ко всем шести.

Некоторые из этих принципов, так сказать, связаны. Например: первый принцип обработки персональных данных, упоминаемый в статье 5, - это «законность, справедливость и прозрачность» .

В рамках этой статьи мы упоминаем некоторые отдельно, потому что, хотя они тесно связаны между собой (а также переплетаются с другими принципами и правилами в GDPR) , они возвращаются в GDPR по-разному. Более того, Рабочая группа по защите данных по статье 29 и другие разработали руководящие принципы (необязательные с юридической точки зрения, ) для одного или нескольких из этих трех, которые упомянуты, как если бы они были единым целым в статье 5 GDPR. WP29, например, опубликовал руководящие принципы. о прозрачности.

Поскольку мы разделили некоторые из них, а также включили подотчетность, мы пришли к 9 принципам.

Место принципов обработки персональных данных в GDPR

Трудно упустить из виду важность принципов обработки персональных данных, учитывая их место в статье 5 GDPR.

Если в главе 1 GDPR есть 4 статьи, которые соответственно охватывают предмет и цели GDPR (подчеркивая основные права и свободы физических лиц и право на защиту персональных данных, GDPR Recital 4 представляет принцип соразмерности, устанавливающий что защита персональных данных должна быть сбалансирована с другими правами и свободами, такими как свобода мысли и выражения) , материальный охват GDPR, территориальный охват (с упомянутым экстерриториальным применением) и несколькими Определения в статье 4, вторая глава статей GDPR немедленно начинается с принципов, касающихся обработки персональных данных, до упомянутых ранее правовых оснований для законной обработки статьи 6, условий для согласия статьи 7, согласия детей в Статья 8, обработка особых категорий персональных данных в статье 9 и обработка персональных данных, относящихся к o уголовное преступление в соответствии со статьей 10 и обработка, когда идентификация не требуется в соответствии со статьей 11, которые являются частью главы 2.

9 принципов обработки данных в деталях

Этого достаточно о важности принципов обработки персональных данных. Мы уже говорили о законности, справедливости и прозрачности. Время для обзора всех принципов обработки персональных данных и контекста по принципу.

Принцип законности обработки персональных данных

Статья 5 GDPR начинается с того, что личные данные должны обрабатываться законным, справедливым и прозрачным образом по отношению к субъекту данных.Итак, законность, справедливость и прозрачность.

Принцип законности говорит сам за себя. Обработка персональных данных должна происходить законным образом и, следовательно, иметь правовую основу, которая делает обработку законной. Законность действительно относится к юридическим основаниям для законной обработки, которые мы рассмотрели, но также, в этой сфере, к фактической обработке. Законность нужно толковать строго: должен быть закон, разрешающий обработку. Действительно, есть случаи, когда существуют другие законы, помимо GDPR, в ЕС или в государстве-члене, которые требуют обработки персональных данных.Более того, иногда существенных правовых оснований для законности обработки персональных данных недостаточно. В качестве примера: хотя согласие является одним из юридических оснований, в некоторых случаях требуется явное согласие.

В статье 6 Общего регламента по защите данных (GDPR) дополнительно устанавливаются ключевые элементы законности, и по всему тексту правила определяются для конкретных типов персональных данных, действий по обработке и последствий, прав, ответственности и административных штрафов в случае незаконной обработки, а также когда основания законности больше не действуют.

GDPR Recital 10 предусматривает свободу маневра для государств-членов, чтобы указать свои правила, в том числе касающиеся обработки конфиденциальных данных, и уточнения условий, при которых обработка личных данных считается законной.

Хотя законность чаще всего упоминается в контексте правовых оснований для законной обработки, законность, как уже говорилось, также относится к фактической обработке.

В качестве примера: GDPR и GDPR Recital 83 обязывают контролера и процессора оценивать риски и рекомендовать такие меры, как шифрование, для обеспечения соответствующего уровня безопасности и конфиденциальности, в результате чего незаконное уничтожение является одним из нескольких рисков безопасности данных.Раскрытие личных данных, передача данных, хранение данных и т. Д. Должны происходить законным образом в том смысле, что все эти действия по обработке соответствуют закону, который включает в себя, прежде всего, GDPR, но также и другие. В частности, мы думаем о Положении об электронной конфиденциальности, которое является «lex specialis» по отношению к GDPR и затрагивает несколько операций обработки данных, когда они есть, в основном в сфере электронных коммуникаций.

Шесть принципов обработки персональных данных взгляд на статью 5 GDPR - источник и любезность GDPR Awareness Coalition

Принципы, касающиеся обработки персональных данных: принцип справедливости

Справедливость по-прежнему является частью того положения, что персональные данные должны обрабатываться законным, справедливым и прозрачным образом согласно статье 5 GDPR.Как вы могли видеть на приведенной выше инфографике, он действительно часто представлен в виде набора со ссылкой на шесть вместо семи (если вы добавляете ответственность), или восемь принципов.

Однако и здесь справедливость и принцип справедливости несколько раз возвращаются в GDPR. Проще говоря, справедливость означает, что должен существовать справедливый баланс между личными данными, которые обрабатываются организациями, а также причинами, по которым они их обрабатывают (которые вернутся позже) и тем, что они сказали - и обещали и описали (также подумайте о праве на то, чтобы субъект данных был четко проинформирован и никоим образом не вводил в заблуждение) .

Это должна быть честная игра. В наших статьях о GDPR и согласии, а также о GDPR и правовых основаниях для обработки мы привели некоторые примеры последнего.

Организация, которая хочет соответствовать требованиям и хочет обрабатывать персональные данные со всей справедливостью по отношению к субъекту данных, который контролирует данные, ничего не скрывает и не использует уловки: она предлагает всю информацию, которая должна быть у субъекта данных. чтобы принять действительно свободное решение, в нем говорится, какие типы персональных данных обрабатываются и почему (обязательно при их получении) , и рассказывается, кто это, как субъекты данных могут связаться по поводу своих личных данных, какие права у них есть , каковы последствия обработки, конечно, в рамках автоматизированного принятия решений и профилирования и так далее.

GDPR Recital 71 подчеркивает справедливость обработки в контексте автоматизированной обработки и профилирования, GDPR Recital 60 ставит информационные обязанности контроллеров на фоне справедливости, и когда согласие является правовой основой для законной обработки GDPR Recital 42 (на обязанности контролера, чтобы иметь возможность продемонстрировать, что согласие было дано) прямо указывает, что заявление о согласии не должно содержать несправедливых условий.

Прозрачность - обязанность быть прозрачным в рамках принципов обработки данных

Третий и последний из этого первоначального набора принципов, касающихся обработки персональных данных, - это прозрачность.

Этот принцип частично пересекается со многими элементами справедливости. Например, прозрачность также четко подчеркивается в контексте профилирования, информационных обязанностей и демонстрации согласия. Прозрачность означает объяснение, по каким причинам организации обрабатывают какие персональные данные.

Тем не менее, прозрачность также необходимо рассматривать в отношении того, как выполняются обязательства в отношении информации и коммуникации в отношении субъекта данных. Прозрачность требует, чтобы информация и общение с субъектом данных происходили не просто (что также является частью принципа прозрачности) , но также осуществлялись таким образом, чтобы субъекты данных могли это понять, например, указывая на тот факт, что язык легко понять, а информацию легко найти и получить к ней доступ, при этом контекст (e.г канал связи, носитель информации и т. д.) имеет значение. Кроме того, следует избегать использования длинных текстов на языке, понятном только юристам, поскольку информация должна быть краткой.

И последнее, но не менее важное: принцип прозрачности также применяется к способам, которыми субъекты данных могут осуществлять свои права (поиск способов сделать это также должен быть легким) и еще больше играет в контексте личных данных детей где язык и стиль общения должны быть еще более адаптированы.Сделайте его открытым, проясните и дайте возможность субъекту данных находить, знать и делать все, что нужно знать и делать, не усложняя задачу.

Как уже упоминалось, Рабочая группа по защите данных по статье 29 опубликовала руководящие принципы прозрачности в соответствии с GDPR .

Руководящие принципы увеличивают элементы прозрачности согласно GDPR, включая понятия «Краткий, прозрачный, понятный и легко доступный» и «ясный и простой язык» , способы и контекст предоставления информации и общения, обеспечивая информация для детей и тот факт, что предоставление информации в рамках нескольких статей GDPR (статьи 13 и 14, статьи о правах субъектов данных и обязанности по уведомлению о нарушении данных в отношении субъектов данных) должно быть бесплатным .В рекомендациях также подробно рассматриваются статьи и 14 GDPR в отношении информации, предоставляемой субъектам данных, и многого другого.

Что касается значения прозрачности, руководство указывает на GDPR Recital 39:

«Физическим лицам должно быть понятно, что их личные данные собираются, используются, консультируются или обрабатываются иным образом, а также то, в какой степени личные данные обрабатываются или будут обрабатываться. Принцип прозрачности требует, чтобы любая информация и сообщения, относящиеся к обработке этих личных данных, были легкодоступными и легкими для понимания, а также использовался ясный и простой язык.

Этот принцип касается, в частности, информации для субъектов данных о личности контролера и целей обработки, а также дополнительной информации для обеспечения справедливой и прозрачной обработки в отношении соответствующих физических лиц и их права на получение подтверждения и сообщения. обрабатываемых персональных данных о них… ».

Ограничение цели как принцип обработки данных

Ограничение цели - это второй принцип статьи 5 GDPR о принципах обработки персональных данных, если вы следуете подходу «шести принципов».Мы уже рассмотрели этот вопрос более подробно при рассмотрении вопроса о согласии. Однако вот краткий обзор того, что означает ограничение цели.

Каждое действие по обработке данных, относящееся к личным данным, преследует одну или несколько целей. Различные действия по обработке данных могут иметь одну цель.

Существенный принцип ограничения цели состоит из нескольких элементов, связанных с целью:

  • Когда собираются персональные данные, они должны служить указанному, явному и законному (здесь также играет законность)
  • После сбора персональные данные, очевидно, не должны обрабатываться способом, несовместимым с целями (которые сообщаются субъекту данных) .
  • Когда персональные данные обрабатываются по определенным причинам, указанным в статье 89 GDPR (например, дальнейшая обработка в целях архивирования в общественных интересах) , такая обработка не считается несовместимой с первоначальными целями.

Однако ограничение цели выходит за рамки этих трех элементов. Логично, что персональные данные не могут быть обработаны для каких-либо других целей, кроме тех, которые были упомянуты субъекту данных во время сбора. Столь же логично, что изменение целей со временем имеет последствия, за исключением упомянутых конкретных причин.

Несмотря на исключения из принципа ограничения цели, здесь важны детали. Определенная, явная и законная цель не просто означает, что должна быть цель, это также буквально означает, что цель должна быть ограничена.

Это особенно актуально в контексте согласия (поэтому мы и занялись этим там) , когда различные цели не могут быть объединены и возникает детализация. Проще говоря: в зависимости от объема и цели обработки данных вам необходимо выбрать соответствующее правовое основание, и вам не следует смешивать разные цели за некоторыми исключениями.Что наиболее важно, цель во время сбора данных должна совпадать с обработкой, а когда цель другая, организациям необходимо проверить свои обязанности.

Когда обработка данных осуществляется на других правовых основаниях (например, в соответствии с юридическим обязательством, указанным в GDPR Recital 45) , тогда другие правила по цели и ограничению цели могут играть (в примере ограничения цели юридического обязательства могут, например, определяется законодательством ЕС или государства-члена, в соответствии с которым подпадает юридическое обязательство) .

Об ограничении целей, конечно же, можно сказать больше, но GDPR Recital 39 ясен: «Конкретные цели, для которых обрабатываются персональные данные, должны быть явными и законными и определяться во время сбора персональных данных. Персональные данные должны быть адекватными, актуальными и ограничиваться тем, что необходимо для целей, для которых они обрабатываются ».

Принцип обработки персональных данных с минимизацией данных

Только что упомянутая цитата из GDPR Recital 39 (второе предложение) является точным описанием минимизации данных: у вас есть цель обработки личных данных, вам нужны личные данные, которые служат этой цели, но вы не можете пойти помимо обработки строго необходимых и актуальных данных.

Адекватность и ограничение просто означает: не более того, что действительно необходимо. Этот принцип минимизации данных обязывает организации ограничивать себя минимумом персональных данных, которые им необходимы в рамках обработки и ее цели (целей).

GDPR Recital 39 основывается на (как и в статьях GDPR) и предусматривает гарантии, обеспечивающие соблюдение как ограничения цели, так и минимизации данных, что, в свою очередь, приводит нас к большему количеству принципов обработки персональных данных, таких как ограничение хранения (см. ниже).

В статье 25 GDPR еще раз подчеркивается обязательство принимать «соответствующие технические и организационные меры», пропорционально (в контексте защиты данных по дизайну и по умолчанию) для реализации принципов защиты данных, в соответствии с которыми минимизация данных упоминается как такой принцип, и GDPR снова рекомендует псевдонимизацию.

Обзор 7 принципов обработки персональных данных GDPR - с подотчетностью контролера за добавленные 6 принципов - источник и любезность Serve IT

Точность Принцип обработки персональных данных

Логическим следующим принципом было бы ограничение хранения, но давайте придерживаться порядка статьи 5 о принципах, касающихся обработки персональных данных, и рассмотрим следующий принцип в списке: точность.

Точность имеет несколько значений и, безусловно, несколько областей применения. Он играет в нескольких контекстах и, среди прочего, сильно подчеркивается в контексте профилирования.

Суть статьи 5 и принцип ее точности заключается в следующем:

  • Обрабатываемые персональные данные должны быть точными.
  • Обрабатываемые персональные данные должны храниться в том же состоянии, в котором они необходимы (а это действительно необходимо в некоторых случаях).
  • Необходимо принять меры для незамедлительного удаления или исправления неточных личных данных (с учетом целей процесса).

Таким образом, точность покрывает некоторые обязанности и действия со стороны контроллера (и / или процессора) во время сбора и обработки с дополнительным вниманием к точности в некоторых случаях. Кроме того, точность также касается основных прав субъектов данных, таких как право на удаление (право быть забытым) и право на исправление.

Точность также должна рассматриваться в контексте гигиены данных, управления данными и безопасности данных, в которых должны присутствовать механизмы точности, особенно механизмы исправления. Если субъект данных не согласен с точностью личных данных в отношении него или нее, он или она может воспользоваться правом на ограничение обработки. GDPR Recital 39 гласит, что «необходимо предпринять все разумные шаги для обеспечения исправления или удаления неточных личных данных» .

Как уже говорилось, при профилировании особое внимание уделяется точности. В Руководстве по профилированию WP29 по существу указывается, что на всех этапах профилирования необходимо учитывать точность, от сбора и анализа до построения профилей и принятия решений по ним. Более того, контролер данных должен убедиться, что существуют, как указано в руководстве, надежные меры для обеспечения того, чтобы личные данные всегда соответствовали данным. Следует отметить, что профилирование в целом также строже в отношении минимизации данных и ограничения хранилища.

Принцип ограничения хранения: вы должны ограничить обработку по времени, потребности и цели

И это действительно подводит нас к принципу ограничения памяти, о котором мы уже упоминали несколько раз. Как вы могли прочитать в определенных обстоятельствах, таких как профилирование, требуется дополнительное внимание, а ограничение хранилища связано с ограничением цели и минимизацией данных.

Статья 5 GDPR по существу говорит об ограничении хранения:

  • Данные, делающие возможной идентификацию субъекта данных, не должны храниться дольше в форме, которая позволяет эту идентификацию тогда, когда это строго необходимо для цели обработки персональных данных.Опять же, GDPR требует ограничить его до минимума, но затем в объеме хранения, связанном с назначением. Обратите внимание на «хранится в форме». По сути, вам нужно удалить данные в рамках ограничения хранилища. Тем не менее, есть исключения, и помните, что анонимные данные не подпадают под действие GDPR (анонимные данные могут быть полезны, например, для статистических целей, очевидно, мы говорим о полях и записях, а не обо всех данных) .
  • Последний (статистические цели) возвращается в виде исключения, касающегося ограничения хранения в Статье 5, в соответствии с которым разрешены более длительные сроки хранения личных данных, когда личные данные обрабатываются только для целей архивирования в общественных интересах, научных или исторических исследовательских целях. или в статистических целях, когда организации необходимо принять правильные технические и организационные меры.

В целом правило таково: данные больше не нужны дольше, чем это действительно строго необходимо для цели: удалить. И, как справедливо сказано в приведенной выше инфографике: на практике ваша политика хранения записей должна указывать, как долго хранятся данные (а именно столько, сколько требуется, но вам, конечно же, необходимо предпринять действия и сообщить) .

Принципы обработки персональных данных в соответствии с GDPR с точки зрения закона Инфографика - источник и полная статья

Принцип целостности и конфиденциальности

Хотя конфиденциальность часто упоминается отдельно в GDPR, мы оставили здесь принцип целостности и конфиденциальности как единое целое, поскольку он конкретно связан с принципами обработки персональных данных, которые вращаются вокруг безопасности, и тех технических и организационных мер, которые мы упоминали несколько раз и повсеместно присутствуют в GDPR.

Вкратце, что говорится в статье 5 GDPR о целостности и конфиденциальности:

  • Обработка данных должна выполняться таким образом, чтобы гарантировать надлежащий уровень безопасности в отношении личных данных.
  • Для этого необходимо принять правильные меры.
  • Среди элементов, на которые следует обратить внимание с этой точки зрения безопасности и мер, входят такие элементы, как защита и меры безопасности для предотвращения несанкционированной и незаконной обработки, случайной потери, уничтожения или повреждения обрабатываемых персональных данных и многое другое.

Хотя как таковой это не требует слишком подробного объяснения, на практике очевидно, что это важно и оказывает влияние с точки зрения соответствия GDPR, и есть обширные меры, которые необходимо принять, в отношении уровней управления информацией, безопасности и, конечно, также осведомленности и безопасности персонала GDPR. образование как человеческий фактор нельзя упускать из виду при случайных потерях, нарушении конфиденциальности и многом другом.

Принцип принципов обработки персональных данных: подотчетность и обязанность гарантировать принципы обработки

Принцип подотчетности является последним в статье 5 GDPR и предметом параграфа 2.Вы можете рассматривать это как принцип, который включает в себя все вышеупомянутые принципы и многое другое: контроллер не только отвечает за соблюдение GDPR в целом, и в рамках всех принципов защиты данных, изложенных в параграфе один, контроллеры также должны иметь возможность чтобы продемонстрировать это соответствие.

Мы будем краткими, поскольку мы писали о соблюдении и других обязанностях, включая подотчетность, контролера. Подотчетность контролера также включает обязанности по работе с обработчиками данных - вторую тему, которую мы рассмотрели отдельно.

Как видно из приведенной выше инфографики, под подотчетностью понимается обязанность соблюдать принципы и способность продемонстрировать, что обработка выполняется в соответствии с этими принципами обработки персональных данных.

Верхнее изображение: Shutterstock - Авторские права: Максим Кабаку - Все остальные изображения являются собственностью их соответствующих владельцев. Несмотря на то, что содержание этой статьи тщательно проверено, мы не несем ответственности за возможные ошибки и советуем вам обратиться за помощью в подготовке к соблюдению GDPR ЕС.

Законное основание для обработки | ICO

Краткий обзор

  • У вас должно быть законное основание для обработки персональных данных.
  • Существует шесть доступных законных оснований для обработки. Ни одна из основ не может быть «лучше» или важнее других - какая основа будет наиболее подходящей для использования, будет зависеть от вашей цели и взаимоотношений с человеком.
  • Большинство законных оснований требуют, чтобы обработка была «необходимой» для определенной цели.Если вы можете разумно достичь той же цели без обработки, у вас не будет законных оснований.
  • Перед началом обработки вы должны определить свои законные основания и задокументировать их. У нас есть интерактивный инструмент, который поможет вам.
  • Позаботьтесь о том, чтобы сделать это правильно с первого раза - вам не следует переходить на другое законное основание позже без уважительной причины. В частности, вы обычно не можете перейти с согласия на другую основу.
  • В вашем уведомлении о конфиденциальности должно быть указано ваше законное основание для обработки, а также цели обработки.
  • Если ваши цели изменятся, вы сможете продолжить обработку в соответствии с исходным законным основанием, если ваша новая цель совместима с вашей первоначальной целью (если ваше первоначальное законное основание не было согласием).
  • Если вы обрабатываете данные особой категории, вам необходимо указать как законное основание для общей обработки, так и дополнительное условие для обработки этого типа данных.
  • Если вы обрабатываете данные о судимости или данные о правонарушениях, вам необходимо указать как законное основание для общей обработки, так и дополнительное условие для обработки этого типа данных.

Контрольный список

☐ Мы рассмотрели цели нашей деятельности по обработке и выбрали наиболее подходящую законную основу (или основания) для каждой деятельности.

☐ Мы проверили, что обработка необходима для соответствующей цели, и убедились, что нет другого разумного и менее интрузивного способа достижения этой цели.

☐ Мы задокументировали свое решение о том, какое законное основание применяется, чтобы помочь нам продемонстрировать соответствие.

☐ Мы включили информацию как о целях обработки, так и о законных основаниях для обработки в наше уведомление о конфиденциальности.

☐ Там, где мы обрабатываем данные специальной категории, мы также определили условие для обработки данных специальной категории и задокументировали это.

☐ Если мы обрабатываем данные об уголовных преступлениях, мы также определили условие обработки этих данных и задокументировали это.

Вкратце

Каковы законные основания для обработки?

Законные основания для обработки изложены в статье 6 GDPR Великобритании. Как минимум одно из них должно применяться при обработке личных данных:

(a) Согласие: физическое лицо дало вам четкое согласие на обработку его персональных данных для определенной цели.

(b) Контракт: обработка необходима для контракта, который у вас есть с физическим лицом, или потому, что они попросили вас предпринять определенные шаги перед заключением контракта.

(c) Юридическое обязательство: обработка необходима для соблюдения вами закона (не включая договорные обязательства).

(d) Жизненно важные интересы: обработка необходима для защиты чьей-либо жизни.

(e) Общественная задача: обработка необходима для выполнения вами задачи в общественных интересах или для ваших официальных функций, и эта задача или функция имеют четкую юридическую основу.

(f) Законные интересы: обработка необходима для ваших законных интересов или законных интересов третьей стороны, за исключением случаев, когда существует веская причина для защиты личных данных человека, которая имеет приоритет над этими законными интересами. (Это не применимо, если вы являетесь государственным органом, обрабатывающим данные для выполнения своих служебных задач.)

Для получения более подробной информации по каждому законному основанию прочтите конкретную страницу этого руководства.

Дополнительная литература

Когда обработка «необходима»?

Многие законные основания для обработки зависят от того, является ли обработка «необходимой».Это не означает, что обработка должна быть абсолютно необходимой. Однако это должно быть больше, чем просто полезное, и больше, чем просто стандартная практика. Это должен быть целенаправленный и соразмерный способ достижения конкретной цели. Законное основание не будет применяться, если вы можете разумно достичь цели с помощью других менее навязчивых средств или путем обработки меньшего объема данных.

Недостаточно утверждать, что обработка необходима, потому что вы выбрали определенный способ ведения бизнеса.Вопрос в том, является ли обработка объективно необходимой для заявленной цели, а не является ли она необходимой частью выбранных вами методов.

Почему важна законная основа для обработки?

Первый принцип требует, чтобы вы обрабатывали все личные данные законным, справедливым и прозрачным образом. Если к вашей обработке не применяется законное основание, ваша обработка будет незаконной и нарушит первый принцип.

Физические лица также имеют право удалять персональные данные, которые были обработаны незаконно.

Право человека на получение информации в соответствии со статьями 13 и 14 требует от вас предоставления людям информации о ваших законных основаниях для обработки. Это означает, что вам необходимо указать эти сведения в своем уведомлении о конфиденциальности.

Законное основание для вашей обработки также может повлиять на то, какие права доступны отдельным лицам. Например, некоторые права не будут применяться:

Тем не менее, физическое лицо всегда имеет право возражать против обработки в целях прямого маркетинга, независимо от того, что применимо на законных основаниях.

Остальные права не всегда абсолютны, и есть другие права, которые могут быть затронуты другими способами. Например, ваша законная основа может повлиять на то, как применяются положения, касающиеся автоматизированных решений и профилирования, и если вы полагаетесь на законные интересы, вам потребуется более подробная информация в уведомлении о конфиденциальности.

Пожалуйста, прочтите раздел настоящего Руководства о правах физических лиц для получения полной информации.

Дополнительная литература

Как мы решаем, какое законное основание применяется?

Это зависит от ваших конкретных целей и контекста обработки.Вам следует подумать о том, почему вы хотите обрабатывать данные, и подумать, какое законное основание лучше всего соответствует обстоятельствам. Вы можете использовать наш интерактивный инструмент руководства, чтобы помочь вам.

Вы можете подумать, что применимо несколько оснований, и в этом случае вы должны идентифицировать и задокументировать их все с самого начала.

Вы не должны использовать универсальный подход. Ни одно основание не должно всегда считаться лучше, безопаснее или важнее других, и в GDPR Великобритании нет иерархии в порядке списка.

Некоторые из законных оснований относятся к конкретной указанной цели - юридическое обязательство, выполнение контракта с физическим лицом, защита чьих-либо жизненно важных интересов или выполнение ваших общественных задач. Если вы обрабатываете данные для этих целей, то соответствующее законное основание вполне может быть очевидным, поэтому полезно сначала рассмотреть их.

В других случаях у вас, вероятно, будет выбор между использованием законных интересов или согласия. Вам нужно подумать о более широком контексте, в том числе:

  • Кому выгодна обработка?
  • Ожидают ли люди, что такая обработка будет иметь место?
  • Каковы ваши отношения с человеком?
  • Имеете ли вы над ними власть?
  • Как обработка влияет на человека?
  • Они уязвимы?
  • Вероятно, что некоторые из заинтересованных лиц будут возражать?
  • Можете ли вы остановить обработку в любой момент по запросу?

Вы можете предпочесть рассматривать законные интересы в качестве законной основы, если хотите сохранить контроль над обработкой и взять на себя ответственность за демонстрацию того, что она соответствует разумным ожиданиям людей и не окажет на них неоправданного воздействия.С другой стороны, если вы предпочитаете предоставить отдельным лицам полный контроль над своими данными и ответственность за них (в том числе возможность изменить свое мнение о том, можно ли продолжать их обработку), вы можете подумать о том, чтобы полагаться на их согласие.

Подробнее

Мы разработали интерактивный инструмент руководства на законных основаниях, чтобы дать более точные указания, какие законные основания будут наиболее подходящими для вашей деятельности по обработке.

Отличается ли это для государственных органов?

Базовый подход такой же.Вам следует подумать о своих целях и выбрать наиболее подходящую основу. Вы по-прежнему можете использовать наш законный инструмент, чтобы помочь вам.

Основа общественных задач, скорее всего, будет иметь отношение к большей части того, что вы делаете. Если вы являетесь государственным органом и можете продемонстрировать, что обработка предназначена для выполнения ваших задач в соответствии с законодательством Великобритании, тогда вы можете использовать основу для общедоступных задач. Но если это для другой цели, вы все равно можете рассмотреть другую основу.

В частности, в некоторых случаях вы все равно можете учитывать согласие или законные интересы, в зависимости от характера обработки и ваших отношений с человеком.Абсолютного запрета на использование органами государственной власти согласия или законных интересов в качестве законного основания не существует, хотя есть некоторые ограничения. Для получения дополнительной информации см. Специальную страницу с инструкциями по каждому законному основанию.

В Законе о защите данных 2018 года говорится, что «государственный орган» здесь означает государственный орган в соответствии с Законом о свободе информации или Законом о свободе информации (Шотландия), за исключением приходских и общественных советов.

Пример

Университет, который хочет обрабатывать персональные данные, может рассмотреть множество законных оснований в зависимости от того, что он хочет делать с данными.

Университеты классифицируются как органы государственной власти, поэтому основа общественных задач, вероятно, будет применяться к большей части их обработки, в зависимости от деталей их конституций и юридических полномочий. Если обработка данных осуществляется отдельно от их задач как государственного органа, тогда университет может вместо этого рассмотреть вопрос о том, уместны ли согласие или законные интересы в конкретных обстоятельствах. Например, университет может полагаться на публичную задачу по обработке личных данных в учебных и исследовательских целях; но смесь законных интересов и согласия для отношений с выпускниками и в целях сбора средств.

Однако университету необходимо тщательно изучить его основу - контролер несет ответственность за возможность продемонстрировать, какое законное основание применимо к конкретной цели обработки.

Дополнительная литература

Можем ли мы изменить нашу законную основу?

Вы должны определить свои законные основания, прежде чем начинать обработку персональных данных. Важно сделать это правильно с первого раза. Если позже вы обнаружите, что выбранная вами основа на самом деле была неподходящей, будет сложно просто переключиться на другую.Даже если бы с самого начала могла применяться другая основа, ретроспективная смена законной основы, вероятно, будет по своей сути несправедливой по отношению к отдельному лицу и приведет к нарушениям требований подотчетности и прозрачности.

Пример

Компания решила провести обработку на основе согласия и получила согласие от частных лиц. Впоследствии человек решил отозвать свое согласие на обработку своих данных, что является его правом. Однако компания хотела продолжить обработку данных, поэтому решила продолжить обработку на основании законных интересов.

Даже если бы она изначально могла полагаться на законные интересы, компания не может сделать это позже - она ​​не может сменить основу, когда поняла, что изначально выбранная основа была неуместной (в данном случае, потому что она не хотела предлагать физическому лицу подлинный постоянный контроль). Он должен был с самого начала дать понять человеку, что обработка осуществляется на основе законных интересов. Заставить человека поверить в то, что у него был выбор, по своей сути несправедливо, если этот выбор не имеет значения.Поэтому компания должна прекратить обработку, когда физическое лицо отозвает согласие.

Поэтому важно заранее тщательно оценить подходящую основу и задокументировать ее. Возможно, что к обработке применимо несколько оснований, потому что у вас более одной цели, и если это так, то вам следует прояснить это с самого начала.

Если обстоятельства действительно изменились или у вас появилась новая и непредвиденная цель, что означает, что есть веская причина пересмотреть ваши законные основания и внести изменения, вам необходимо проинформировать об этом человека и задокументировать это изменение.

Дополнительная литература

Что произойдет, если у нас появится новая цель?

Если ваши цели меняются со временем или у вас появляется новая цель, которую вы изначально не ожидали, вам может не понадобиться новое законное основание, если ваша новая цель совместима с первоначальной целью.

Однако это не относится к обработке на основе согласия. Согласие всегда должно быть конкретным и информированным, а повторное использование данных для новой цели несправедливо подорвет исходное согласие.Обычно вам нужно получить новое согласие, которое конкретно касается новой цели. Если вы получили конкретное согласие для новой цели, вам не нужно доказывать, что оно совместимо.

В остальных случаях, чтобы оценить, совместимо ли новое назначение с первоначальным, следует принять во внимание:

  • любая связь между вашей первоначальной целью и новой целью;
  • контекст, в котором вы собирали данные, в частности, ваши отношения с этим человеком и то, что он разумно ожидал;
  • характер персональных данных - например, данные особой категории или данные об уголовном преступлении;
  • возможные последствия для физических лиц новой обработки; и
  • , существуют ли соответствующие меры безопасности - например, шифрование или псевдонимизация.

Этот список не является исчерпывающим, и то, на что вам нужно обратить внимание, зависит от конкретных обстоятельств.

Вы можете найти наш шаблон оценки законных интересов полезным инструментом для оценки совместимости, поскольку оба учитывают схожие факторы.

Как правило, если новая цель сильно отличается от первоначальной, будет неожиданной или окажет неоправданное влияние на человека, она вряд ли будет совместима с вашей первоначальной целью сбора данных.Затем вы можете продолжить, только если вы получите конкретное согласие для новой цели или вы можете указать на конкретное правовое положение, требующее или разрешающее новую обработку в общественных интересах (в этом случае вашей новой законной основой будет юридическое обязательство или общественная задача. ).

Если вы обрабатываете данные специальной категории, вам необходимо убедиться, что вы можете определить соответствующее условие, которое применяется к вашей новой обработке.

GDPR Великобритании специально говорит, что дальнейшая обработка для следующих целей должна считаться совместимой законной обработкой:

  • для целей архивирования в общественных интересах;
  • научно-исследовательских целей; и
  • статистических целей.

Здесь есть ссылка на принцип «ограничения цели» в Статье 5, который гласит, что «личные данные должны собираться для определенных, явных и законных целей и не обрабатываться в дальнейшем способом, несовместимым с этими целями».

Даже если обработка для новой цели является законной, вам также необходимо будет рассмотреть, является ли она справедливой и прозрачной, и предоставить отдельным лицам информацию о новой цели.

Дополнительная литература

Как мы должны документировать наши законные основания?

Принцип подотчетности требует, чтобы вы могли продемонстрировать, что вы соблюдаете GDPR Великобритании, и имеете соответствующие политики и процессы.Это означает, что вам необходимо продемонстрировать, что вы должным образом рассмотрели, какие законные основания применимы к каждой цели обработки, и можете обосновать свое решение.

Следовательно, вам необходимо вести учет того, на какое основание вы полагаетесь для каждой цели обработки, а также обоснование того, почему вы считаете, что это применимо. Для этого не существует стандартной формы, если вы гарантируете, что то, что вы записываете, достаточно, чтобы продемонстрировать наличие законного основания. Это поможет вам соблюдать обязательства по подотчетности, а также поможет вам при написании уведомлений о конфиденциальности.

Вы несете ответственность за то, чтобы продемонстрировать, какое законное основание применимо к конкретной цели обработки.

Подробнее об этой теме читайте в разделе об ответственности этого руководства. На соответствующих страницах руководства также есть дополнительные инструкции по документированию оценок согласия или законных интересов.

Дополнительная литература

Что нам нужно сказать людям?

Вам необходимо включить информацию о ваших законных основаниях (или основаниях, если применимо более одного) в ваше уведомление о конфиденциальности.В соответствии с положениями GDPR Великобритании о прозрачности информация, которую вы должны предоставить людям, включает:

  • предполагаемые цели обработки персональных данных; и
  • законное основание для обработки.

Это применимо независимо от того, собираете ли вы личные данные непосредственно от человека или вы собираете его данные из другого источника.

Прочтите раздел «Право на получение информации» этого руководства, чтобы узнать больше о требованиях к прозрачности GDPR.

Дополнительная литература

А как насчет данных специальной категории?

Если вы обрабатываете данные особой категории, вам необходимо указать как законное основание для обработки, так и условие особой категории для обработки в соответствии со Статьей 9. Вы должны задокументировать как свое законное основание для обработки, так и условие особой категории, чтобы вы могли продемонстрировать соответствие и подотчетность.

Дальнейшие указания можно найти в разделе, посвященном данным специальной категории.

А как насчет данных об уголовных преступлениях?

Если вы обрабатываете данные об уголовных приговорах, уголовных преступлениях или связанных с ними мерах безопасности, вам потребуется как законное основание для обработки, так и «официальные полномочия» или отдельное условие для обработки этих данных в соответствии со статьей 10. Вы должны задокументировать и то, и другое. ваше законное основание для обработки и состояние ваших данных о преступлении, чтобы вы могли продемонстрировать соблюдение и подотчетность.

Дополнительные инструкции можно найти в разделе, посвященном данным об уголовных преступлениях.

Вернуться наверх Предыдущий Следующий

EDPB публикует руководство по примерам уведомлений об утечке данных

18 января 2021 г. Европейский совет по защите данных («EDPB») опубликовал проект Руководства 01/2021 «Примеры уведомлений о нарушениях данных» («Руководящие принципы»). Рекомендации дополняют первоначальные Руководящие принципы по уведомлению об утечке персональных данных в соответствии с Общим регламентом ЕС по защите данных («GDPR»), принятые Рабочей группой по статье 29 в феврале 2018 года.В новом проекте руководящих принципов учитывается общий опыт надзорных органов с утечками данных с момента вступления в силу GDPR в мае 2018 года. Цель EDPB - помочь контролерам данных в принятии решения о том, как бороться с утечками данных, в том числе путем определения факторов, которые они должны учитывать. учетную запись при проведении оценки рисков, чтобы определить, следует ли сообщать о нарушении в соответствующие надзорные органы и / или затронутые субъекты данных.

Проект Руководства включает примеры распространенных сценариев утечки данных, включая (1) атаки с использованием программ-вымогателей, когда вредоносный код шифрует личные данные, а злоумышленник впоследствии запрашивает у контроллера выкуп в обмен на код дешифрования; (2) атаки с целью кражи данных, которые используют уязвимости в онлайн-сервисах, предлагаемых контроллером, и обычно направлены на копирование, извлечение и злоупотребление личными данными в злонамеренных целях; (3) человеческие ошибки, приводящие к утечкам данных, которые, согласно EDPB, довольно распространены и могут быть как преднамеренными, так и непреднамеренными; (4) утерянные или украденные устройства и бумажные документы; (5) «неверная отправка», вызванная человеческой ошибкой без злого умысла; и (6) социальная инженерия, такая как кража личных данных и кража электронной почты.

Для каждого из примеров случаев, описанных в Руководстве, EPDB определяет соответствующую отчетность (, т. Е. , надзорные органы и / или затронутые субъекты данных) и обязательства по исправлению.

В Руководстве EDPB также напоминает о нескольких ключевых элементах управления утечками данных и ответных мер, которые следует учитывать организациям, в том числе:

  • упреждающее определение уязвимостей системы для предотвращения утечки данных;
  • для оценки того, может ли нарушение привести к риску для прав и свобод субъекта данных.Эта оценка должна быть произведена в тот момент, когда организация узнает о нарушении. Контроллеры не должны откладывать уведомление, ожидая подробной судебно-медицинской экспертизы и действий по смягчению последствий;
  • внедрение планов, процедур и руководств (например, в форме справочника) о том, как бороться с утечками данных, с четкими линиями отчетности и лицами, ответственными за процесс восстановления;
  • организует тренинги для повышения осведомленности об управлении утечкой данных. Обучение должно проводиться регулярно и быть адаптировано к обработке и коммерческой деятельности контролера.Обучение также должно быть обновлено с учетом последних тенденций и предупреждений; и
  • документирование нарушений в каждом случае, независимо от риска, который они представляют.

Руководство открыто для публичных обсуждений до 2 марта 2021 г.

Заявление о конфиденциальности данных

| Accenture

1. Общая информация

ЗАЯВЛЕНИЕ О КОНФИДЕНЦИАЛЬНОСТИ В этом общем заявлении о конфиденциальности объясняется, как Accenture PLC и / или ее аффилированные лица, дочерние компании и недавно приобретенные компании («Accenture») защищают персональные данные, связанные с процессами и средствами контроля Accenture, относящиеся к вам («ваши персональные данные»), почему Accenture обрабатывает ваши личные данные, кто имеет доступ к вашим личным данным и как вы можете реализовать свои права в отношении обработки ваших личных данных.

Любое юридическое лицо Accenture, расположенное за пределами Европейского Союза, в целях соблюдения законов о конфиденциальности данных будет представлено Accenture PLC.

В этом общем заявлении о конфиденциальности содержится обзор наиболее распространенных операций Accenture по обработке ваших личные данные. Обратите внимание, что некоторые конкретные операции по обработке могут подлежать отдельному и индивидуальному Заявление о конфиденциальности.

В случае подготовки любого перевода этого глобального заявления о конфиденциальности английская версия этого глобального заявления о конфиденциальности Заявление о конфиденциальности имеет преимущественную силу в случае противоречий между версиями на разных языках.

Какие категории персональных данных обрабатывает Accenture?
Accenture будет собирать персональные данные о вас для достижения целей, изложенных в этом глобальном заявлении о конфиденциальности.

Дополнительную информацию о конкретных категориях персональных данных, которые обрабатывает Accenture, см. В разделе 2. Для получения дополнительной информации об источниках, из которых Accenture получила ваши персональные данные, пожалуйста, см. раздел 3.

Если вы предоставляете Accenture какие-либо личные данные другого лица (например, потенциального сотрудника / реферала), вы несете ответственность за то, чтобы такое лицо было осведомлено об информации, содержащейся в этом глобальном заявление о конфиденциальности и что это лицо дало вам согласие на передачу информации Accenture.

За исключением определенной информации, которая требуется по закону, ваше решение предоставить какие-либо личные данные компании Accenture добровольно. Таким образом, вы не будете подвергаться неблагоприятным последствиям, если не желаете предоставлять Accenture с вашими личными данными. Однако учтите, что если вы не предоставите определенную информацию, Accenture не сможет иметь возможность выполнять некоторые или все цели, изложенные в этом глобальном заявлении о конфиденциальности, и вы, возможно, не будете иметь возможность использовать определенные инструменты и системы, требующие использования таких личных данных.

Почему Accenture обрабатывает ваши личные данные?
Accenture может собирать, использовать, передавать, раскрывать и иным образом обрабатывать ваши персональные данные в контексте облегчение связи с вами (в том числе в экстренных случаях), работы и управления Accenture бизнес-операций, соблюдение требований законодательства, мониторинг использования вами систем Accenture, выполнение аналитика данных и подбор персонала. Более подробный список целей см. В разделе 4.

Accenture не будет использовать ваши персональные данные в целях, несовместимых с целями, перечисленными в данном глобальное заявление о конфиденциальности, если это не требуется или не разрешено законом или не отвечает вашим жизненным интересам (например, в случае неотложной медицинской помощи) для этого.

На каком правовом основании Accenture обрабатывает ваши личные данные?
Accenture обрабатывает ваши личные данные в соответствии с действующим законодательством о конфиденциальности данных и своей внутренней политикой.

Accenture обрабатывает ваши персональные данные для целей, изложенных в этом глобальном заявлении о конфиденциальности для одного или нескольких из следующих причин: (i) поскольку компания Accenture обязана сделать это для соблюдения юридического обязательства по которой он подлежит, (ii) поскольку такая информация необходима для выполнения контракта, который вы являются стороной, (iii) потому что обработка необходима для целей законных интересов, преследуемых Accenture или третьей стороной (как описано в последнем предложении этого параграфа), или (iv) при необходимости в чтобы защитить жизненные интересы любого человека.Accenture имеет законные интересы в сборе и обработка личных данных, например: (1) для обеспечения безопасности сетей и информации Accenture, (2) для управления и общего ведения бизнеса и (3) для предотвращения мошенничества.

Кроме того, Accenture может обрабатывать ваши конфиденциальные данные и / или принимать автоматизированные решения в отношении вас, где разрешено действующим законодательством и / или с вашего предварительного согласия и для целей, указанных в настоящей конфиденциальности утверждение.

См. Раздел 5 для получения дополнительной информации о юридических основаниях, на которых основана компания Accenture. обработка ваших личных данных для каждого действия по обработке.

Кто имеет доступ к вашим личным данным?
Доступ к вашим личным данным в Accenture будет ограничен теми сотрудниками, которым необходимо знать информация для целей, описанных в этом глобальном заявлении о конфиденциальности, которое может включать сотрудников в Безопасность, управление персоналом, информационные технологии, комплаенс, право, финансы и бухгалтерский учет, корпоративные расследования и внутренний аудит. Все сотрудники Accenture обычно имеют доступ к вашей деловой контактной информации (например, имя, должность, номер телефона и адрес электронной почты).

Кроме того, ваши личные данные могут быть переданы в другие офисы Accenture и третьим лицам, которые могут подразумевают передачу ваших личных данных в другие страны.

Как глобальная организация с офисами и операциями по всему миру, ваши личные данные могут быть переданы или быть доступными на международном уровне в рамках глобального бизнеса Accenture, а также между ее подразделениями и аффилированными лицами. Любая передача ваших личных данных в другие офисы Accenture (включая переводы изнутри европейских стран). Экономическая зона (ЕЭЗ) за пределами ЕЭЗ) будет регулироваться обязательными корпоративными правилами Accenture (BCR; копия которую можно найти здесь).BCR Accenture отражает стандарты, содержащиеся в европейских законах о конфиденциальности данных (включая Общие правила защиты данных). Имея BCR означает, что все подразделения группы Accenture, которые подписались на BCR, должны соблюдать одни и те же внутренние правила. Это также означает, что ваши права остаются неизменными независимо от того, где ваши данные обрабатываются Accenture.

Кроме того, при необходимости Accenture может передавать ваши персональные данные третьим лицам, например, в службу поддержки. провайдеры и государственные органы.Перед этим Accenture принимает меры для защиты ваших личных данных. Любой Ожидаются сторонние поставщики услуг и профессиональные консультанты, которым раскрываются ваши личные данные. и требуется для защиты конфиденциальности и безопасности ваших личных данных и может использовать только ваши личные данные в соответствии с применимыми законами о конфиденциальности данных. Для категорий третьих лиц, с которыми Accenture может передавать ваши личные данные, см. раздел 6. Если вы не уведомлены об ином, любая передача ваших личных данных данные из ЕЭЗ третьим сторонам за пределами ЕЭЗ будут основаны на решении об адекватности или регулируются в соответствии со стандартными договорными положениями ЕС (копию которых можно получить у специалиста по защите данных Accenture).Любые другие, не из ЕЭЗ, международная передача ваших личных данных будет происходить в соответствии с этим заявлением о конфиденциальности, соответствующие международные механизмы передачи данных и гарантии.

Как Accenture защищает ваши личные данные?
Accenture обеспечивает организационную, физическую и техническую безопасность всех персональных данных, которые она держит. У Accenture есть протоколы, средства контроля и соответствующие политики, процедуры и руководства для их поддержки. меры, принимающие во внимание риски, связанные с категориями персональных данных и обработкой Accenture берет на себя.

Accenture применяет лучшие на рынке меры безопасности для защиты ваших личных данных. Это включает (не будучи ограничительный):

  • Accenture имеет сертификат ISO27001, который свидетельствует о том, что он придерживается самых высоких и строгих стандартов. стандарты информационной безопасности. Это стандарт безопасности, присвоенный Британским институтом стандартов. это служит международным свидетельством того, что Accenture придерживается самых высоких и строгих стандартов. Эта сертификация является единственным международным стандартом, подлежащим аудиту, который определяет требования к Система управления информационной безопасностью и подтверждает, что процессы и средства контроля безопасности Accenture обеспечить эффективную основу для защиты информации своих клиентов и своей собственной информации.
  • Accenture имеет глобальную программу защиты данных клиентов, которая регулирует управление клиентом. информация и системы, доверенные Accenture.
  • Accenture регулярно проводит тестирование на проникновение, проводимое сторонним провайдером, которое продолжает показывать прочность его технической защиты.

Как долго Accenture хранит ваши личные данные?
Accenture хранит ваши личные данные только до тех пор, пока это необходимо.Accenture ведет определенные записи политики и процедуры управления и хранения, чтобы личные данные удалялись по истечении разумного срока согласно следующим критериям удержания:

  • Accenture хранит ваши личные данные до тех пор, пока поддерживает постоянные отношения с вами.
  • Accenture хранит ваши персональные данные столько времени, сколько необходимо для соблюдения юридического обязательства по которому это подлежит.
  • Accenture хранит ваши персональные данные там, где это целесообразно для защиты или улучшения юридических положение (например, в отношении сроков давности, судебных разбирательств или нормативных расследований).

Пожалуйста, постоянно обновляйте свои личные данные и сообщайте Accenture о любых существенных изменениях в вашем личные данные.

Какие права у вас есть в отношении ваших личных данных?
Свяжитесь с сотрудником Accenture по защите данных, если у вас (i) есть какие-либо вопросы или проблемы. о том, как Accenture обрабатывает ваши персональные данные, или (ii) хочет реализовать какие-либо ваши права в отношении ваших личные данные.

У вас есть право (при обстоятельствах и условиях, а также с учетом исключений, изложенных в применимое право к:

  • Запросить доступ к вашим личным данным, которые мы обрабатываем: это право дает вам право знать, есть ли у Accenture хранит ваши личные данные и, если да, получает информацию и копию этих личных данных.
  • Запросить исправление ваших личных данных: это право дает вам право на исправление ваших личных данных. если он неточный или неполный.
  • Возражение против обработки ваших личных данных: это право дает вам право требовать, чтобы Accenture больше не обрабатывает ваши личные данные.
  • Запросить удаление ваших личных данных: это право дает вам право требовать удаления ваших личных данных. данные, в том числе в тех случаях, когда такие личные данные больше не будут необходимы для достижения целей.
  • Запросить ограничение обработки ваших личных данных: это право дает вам право требовать, чтобы Accenture обрабатывает ваши персональные данные только в ограниченных случаях, в том числе с вашего согласия.
  • Запросить переносимость ваших личных данных: это право дает вам право на получение копии (в структурированной, широко используемый и машиночитаемый формат) личных данных, которые вы предоставили Accenture или запросили Accenture для передачи таких персональных данных другому контроллеру данных.

Если обработка ваших личных данных подпадает под действие BCR Accenture, вы также можете просмотреть ваши права в соответствии с BCR Accenture.

Если обработка ваших личных данных основана на вашем согласии, вы имеете право отозвать такое согласие в любое время, связавшись с сотрудником Accenture по конфиденциальности данных. Учтите, что это не повлияет Право Accenture на обработку персональных данных, полученных до отзыва вашего согласия, или право на продолжить обработку данных на других юридических основаниях, кроме вашего согласия.

Обратите внимание, однако, что определенные личные данные могут быть освобождены от вышеупомянутых прав в соответствии с применимые законы о конфиденциальности данных или другие законы и постановления.

Если, несмотря на обязательства и усилия Accenture по защите ваших личных данных, вы считаете, что конфиденциальность ваших данных были нарушены, мы призываем и приветствуем вас сначала прийти в Accenture для решения любых жалоба. Вы имеете право в любое время подать жалобу непосредственно в соответствующий надзорный орган. органа власти или подать иск против Accenture в компетентный суд (либо в стране, где вы живете, страна, в которой вы работаете, или страна, в которой, по вашему мнению, был нарушен закон о конфиденциальности данных).

Что делать, если у вас есть вопросы или вам нужна дополнительная информация?
Это глобальное заявление о конфиденциальности и упомянутые в нем веб-страницы призваны предоставить вам полную и прозрачную информация о том, как Accenture обрабатывает ваши личные данные.

Если у вас есть дополнительные вопросы или опасения относительно того, как Accenture обрабатывает ваши личные данные, или, если вы хотите воспользоваться каким-либо из вышеперечисленных прав, обратитесь к сотруднику по защите данных.

2. Дополнительная информация о категориях персональных данных

В таблице ниже представлены категории персональных данных, которые Accenture обрабатывает или может обрабатывать в контексте действий по обработке, описанных в глобальном заявлении о конфиденциальности.

Категория персональных данных Пояснение
Личные данные. Имя, предпочтительное местоимение, все типы контактных данных (например, электронная почта, номера телефонов, физические адрес), пол, дата рождения, возраст, место рождения.
Конфиденциальные данные. Accenture может также собирать определенные типы конфиденциальной информации, если это разрешено местным законодательством или с вашего согласия, например, информацию о состоянии здоровья / медицинскую информацию (включая статус инвалидности и диетическое питание). требования / аллергия в рамках мероприятий, которые мы организуем / спонсируем).Accenture будет использовать только такая конфиденциальная информация для целей, описанных в разделе 4.
Аудиовизуальные материалы. Фотография, а также изображения / видеоматериалы, снятые на систему видеонаблюдения или других видео и связанных систем безопасности / наблюдения.
Позиция. Описание текущей должности, должности, работодателя, местонахождения, контактных лиц Accenture.
Данные доступа к системе и приложениям. Если вам предоставляется доступ к системам Accenture, Accenture может собирать информацию требуется для доступа к таким системам и приложениям Accenture, как System ID, LAN ID, электронная почта учетная запись, учетная запись для обмена мгновенными сообщениями, идентификатор мэйнфрейма, системные пароли, журналы доступа, журналы активности и электронный контент, созданный с использованием систем Accenture.

Кроме того, в целях набора персонала Accenture может обрабатывать персональные данные, указанные в таблице ниже.

Личные данные. Помимо перечисленных выше личных данных, Accenture может собирать дополнительные личные данные. данные для целей приема на работу, такие как национальный идентификационный номер, номер социального страхования, информация о страховании, статус супружеского / гражданского партнерства, сожители, иждивенцы, чрезвычайная ситуация контактная информация, военная история.
Конфиденциальные данные. Accenture может собирать определенные типы конфиденциальной информации, если это разрешено местным законодательством или ваше согласие, такое как информация о состоянии здоровья / медицинская информация (включая статус инвалидности), профсоюз информация о членстве, религия, раса или этническая принадлежность, флаг меньшинства и (если это разрешено законом) информация об уголовных судимостях и правонарушениях. Accenture собирает эту информацию для конкретных целей, таких как медицинская / медицинская информация, чтобы приспособиться к инвалидности или болезни и предоставлять льготы; проверка биографических данных; религия или церковная принадлежность в таких странах, как Германия если это требуется для установленных законом налоговых вычетов; и личные данные, связанные с разнообразием (например, раса или этнической принадлежности) в целях соблюдения юридических обязательств и внутренней политики в отношении разнообразия и антидискриминация.
Документы, необходимые в соответствии с иммиграционным законодательством. Accenture может собирать данные о гражданстве, паспортных данных, данных о резидентстве или разрешении на работу ( физическая копия и / или электронная копия).
Информация об управлении талантами. Информация, необходимая для завершения проверки биографических данных, подробные сведения о решениях и результатах производительности, отзывы о производительности и предупреждения, программы электронного обучения / обучения, обзоры эффективности и развития (включая информацию, которую вы предоставляете при запросе / предоставлении обратной связи, создании приоритетов, обновлении вашего ввода в соответствующих инструментах), информация о водительских правах и владении автомобилем, а также информация, используемая для заполнения биографий.

3. Дополнительная информация об источниках персональных данных

Ваши личные данные были получены Accenture из источников, указанных в таблице ниже.

Источник, из которого Accenture получает персональные данные
Сам.
сотрудников Accenture.
Филиалы Accenture.
Работодатели посетителей и подрядчики.
Органы государственной власти.
Общедоступные веб-сайты и социальные сети.
Поставщики и продавцы.

Кроме того, в целях набора персонала Accenture может получать личные данные из источников, указанных ниже. стол.

Предыдущие работодатели.
Образовательные учреждения.
Провайдеры проверки биографических данных.
Поставщики услуг по управлению талантами.

Вышеуказанные источники являются частными, если только источник не прямо заявлено как «общедоступное». Обратите внимание, что эти источники могли хранить ваши личные данные как внутри и за пределами ЕС.

4. Дополнительная информация о целях

Как указано в общем заявлении о конфиденциальности, Accenture обрабатывает ваши персональные данные для различных целей.В В таблице ниже описаны все цели, для которых Accenture обрабатывает ваши личные данные.

Назначение Пояснение
Облегчение связи с вами (в том числе в экстренных случаях). Облегчение общения с вами, обеспечение непрерывности бизнеса, защита здоровья и безопасности сотрудников и других лиц, охраняя ИТ-инфраструктуру, оргтехнику и другое имущество, облегчение связи с вами и вашими назначенными контактами в экстренных случаях.
Операции и управление бизнес-операциями Accenture (включая безопасность). Эксплуатация и управление ИТ-системами и системами связи, операции ИТ-безопасности, безопасный доступ контроль объектов, управление активами Accenture, непрерывность бизнеса и аварийное восстановление, составление контрольных журналов и других инструментов отчетности, ведение записей, относящихся к бизнесу мероприятия и организация мероприятий / семинаров Accenture.
Соблюдение требований законодательства. Соблюдение требований законодательства, таких как обязательная подача документов, ведение записей и отчетность обязательства, проведение аудитов, соблюдение государственных проверок и другие запросы от правительство или другие государственные органы, реагирующие на судебные процессы, такие как повестки в суд, преследование юридические права и средства правовой защиты, защита судебных разбирательств и управление любыми внутренними жалобами или претензиями, проведение расследований и соблюдение внутренних политик и процедур, защита, обеспечение соблюдения или защиты юридических прав, конфиденциальности, безопасности или собственности Accenture, аффилированных лиц Accenture или их сотрудники, агенты и подрядчики (включая обеспечение соблюдения соответствующих соглашений и условий использования), защищая безопасность, конфиденциальность и безопасность пользователей продуктов или услуг Accenture или представителей общественности, защиты от мошенничества или управления рисками.
Отслеживание использования вами активов Accenture Мониторинг действий в соответствии с местным законодательством и / или в соответствии с применимыми правилами Accenture политики (включая мониторинг использования ресурсов Accenture).
Проведение анализа данных. Применение аналитики к бизнес-операциям и данным для описания, прогнозирования и улучшения бизнеса производительность в Accenture и / или обеспечение лучшего взаимодействия с пользователем.В частности, области внутри аналитика включает описательную аналитику, прогнозную аналитику, аналитику с участием отдельных лиц (клиенты, деловые контакты) используют персональные данные, аналитику, основанную на маркетинге, единое представление о клиенте цикл взаимодействия с клиентом и аналитика рабочего места.
Набор персонала. Управление заявлениями о приеме на работу, в том числе проведение собеседования, проведение аттестации, оценка производительности, финансовое планирование, проведение платежа администрирование, управление программами инклюзивности и разнообразия, проверка биографических данных, планирование и мониторинг требований к обучению.

5. Дополнительная юридическая информация

Accenture обрабатывает ваши персональные данные в соответствии с юридическими основаниями, указанными в таблице ниже.

Назначение Правовая основа
Облегчение связи с вами (в том числе в экстренных случаях). Обосновано законными интересами Accenture для обеспечения надлежащего взаимодействия и аварийное реагирование внутри организации.
Операции и управление бизнес-операциями Accenture (включая безопасность). Обосновано законными интересами Accenture для обеспечения надлежащего функционирования свои бизнес-операции.
Соблюдение требований законодательства. Необходимо для соблюдения юридических обязательств, которым подчиняется Accenture.
Отслеживание использования вами систем Accenture. Обосновано законными интересами Accenture по недопущению несоблюдения и защите его репутация.
Проведение анализа данных. Обосновано законными интересами Accenture по анализу и улучшению надлежащего функционирование его хозяйственных операций.
Набор персонала. Обосновано законными интересами Accenture для обеспечения найма соответствующие сотрудники.

Обратите внимание:

  • Если в приведенной выше таблице указано, что Accenture полагается на свои законные интересы для достижения определенной цели, Accenture считает, что ее законные интересы не перекрываются вашими интересами, правами или предоставленные свободы (i) прозрачность, которую Accenture обеспечивает в отношении обработки данных, (ii) конфиденциальность Accenture (iii) регулярная проверка конфиденциальности Accenture и (iv) ваши права в отношении перерабатывающая деятельность.Если вы хотите получить дополнительную информацию об этом подходе к тесту балансировки, пожалуйста, свяжитесь с сотрудником Accenture по защите данных.
  • Если для любой из вышеуказанных целей требуется обработка конфиденциальных данных, Accenture будет делать это только в том случае, если разрешено действующим законодательством или с вашего предварительного согласия.
  • Если любая из вышеперечисленных целей предполагает автоматическое решение, Accenture будет принимать только такие автоматизированные решение с вашего предварительного согласия и после информирования вас о значимой информации о логике участие в автоматизированном решении, а также значимость и предполагаемые последствия такого автоматизированное решение для вас.
  • Accenture будет обрабатывать ваши персональные данные на основе вашего предыдущего согласие в той степени, в которой такое согласие требуется в соответствии с императивным законодательством.

6. Дополнительная информация о категориях сторонних получателей

Помимо передачи персональных данных своим аффилированным лицам и соответствующему внутреннему персоналу, Accenture также может передавать ваши персональные данные категориям неаффилированных третьих лиц, указанным в таблице ниже.

Категория третьих лиц Пояснение
Профессиональные консультанты. Бухгалтеры, аудиторы, юристы, страховщики, банкиры и другие внешние профессиональные консультанты во всех страны, в которых работает Accenture.
Поставщики услуг. Компании, которые предоставляют продукты и услуги для Accenture, такие как поставщики и поддержка ИТ-систем, торговые органы и ассоциации, а также другие поставщики услуг.
В целях набора персонала Accenture может также передавать ваши персональные данные компаниям, которые предоставляют продукты и услуги для Accenture в отношении производительности, обучения, управления расходами и фоновые поиски.
Государственные и государственные органы. Юридические лица, регулирующие деятельность Accenture или обладающие юрисдикцией в отношении нее, такие как регулирующие органы, закон правоохранительные, государственные и судебные органы.
Корпоративная / коммерческая сделка. Третья сторона в связи с любой предлагаемой или фактической реорганизацией, слиянием, продажей, совместным предприятием, уступка, передача или иное отчуждение всего или любой части бизнеса, активов или акции (в том числе в связи с банкротством или аналогичными процедурами).Третья сторона в связь с любым предлагаемым или реальным клиентским проектом.

7. Свяжитесь с нами

Вы можете связаться с Accenture как контролером ваших персональных данных через нашего сотрудника по защите данных (желательно в электронном виде) или по почте, четко обозначенной для сведения сотрудника по защите данных, по этому адресу: Accenture Limited Dublin, 1 Grand Canal Square, Гавань Гранд-Канал, Дублин 2, Ирландия.