типовой формы разъяснения субъекту юридических последствий отказа предоставить свои персональные данные

Приказ «Об утверждении перечня информационных систем и перечня обрабатываемых персональных данных»

Приказ «Об утверждении документов, определяющих порядок доступа в помещения, в которых обрабатывается конфиденциальная информация, в том числе персональные данные, и где размещены или хранятся средства криптографической защиты информации»

Инструкция ответственного за организацию работ по криптографической защите информации

Инструкция по обращению со средствами криптографической защиты информации

Приказ «Об обращении со средствами криптографической защиты информации»

Приказ «Об обеспечении сохранности носителей конфиденциальной информации»

Приказ «Об утверждении перечня должностей служащих допущенных к персональным данными ответственных за обезличивание персональных данных»

Должностная инструкция пользователя информационной системы

Приказ «О назначении должностного лица, ответственного за обеспечение безопасности конфиденциальной информации, в том числе персональных данных»

Должностная инструкция ответственного за обеспечение безопасности конфиденциальной информации, в том числе персональных данных

Правила доступа к конфиденциальной информации, в том числе персональным данным, обрабатываемой в информационной системе

Должностная инструкция системного администратора информационной системы

Приказ «О создании комиссии для классификации информационных систем по уровню защищенности»

Приказ «Об утверждении Плана мероприятий по обеспечению выполнения МБОУ СОШ №1 г. Задонска обязанностей, предусмотренных федеральным законодательством и принятыми в соответствии с ним нормативными правовыми актами»

Работа с персональными данными

№п/п	Наименование	Дата утверждения	Примечание
1	Положение «О порядке обработки и защите персональных данных  в БУ «Нижневартовский политехнический колледж»	08.06.2021	Приказ от 08.06.2021 №282-А
2	Политика бюджетного учреждения профессионального образования Ханты-Мансийского автономного округа – Югры «Нижневартовский политехнический колледж» в отношении обработки персональных данных	08.06.2021	Приказ от 08. 06.2021 №282-А
3	Положение «О порядке рассмотрения обращений и запросов субъектов персональных данных БУ «Нижневартовский политехнический колледж»	08.06.2021	Приказ от 08.06.2021 №282-А
4	Должностной регламент лица, ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных  БУ «Нижневартовский политехнический колледж»	08.06.2021	Приказ от 08.06.2021 №282-А
5	Должностной регламент лица, ответственного за организацию обработки персональных данных БУ «Нижневартовский политехнический колледж»	08.06.2021	Приказ от 08. 06.2021 №282-А
6	Положение «О сроках хранения персональных данных и порядке их уничтожения (удаления) БУ «Нижневартовский политехнический колледж»	08.06.2021	Приказ от 08.06.2021 №282-А
7	Инструкция по порядку учета, хранения и уничтожения носителей информации ограниченного доступа в БУ «Нижневартовский политехнический колледж»	08.06.2021	Приказ от 08.06.2021 №282-А
8	Положение о порядке доступа к персональным данным в БУ «Нижневартовский политехнический колледж»	08.06.2021	Приказ от 08.06.2021 №282-А
9	Перечень персональных данных, подлежащих защите БУ «Нижневартовский политехнический колледж»	08. 06.2021	Приказ от 08.06.2021 №282-А
10	Порядок  хранения информации в информационно-телекоммуникационной сети “Интернет” информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео – или иных электронных сообщений пользователей информационно-телекоммуникационной сети “интернет” и информации об этих пользователях и предоставления ее уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации” БУ «Нижневартовский политехнический колледж».	08.06.2021	Приказ от 08.06.2021 №282-А
11	Перечень мест хранения документов, содержащих персональные данные	08. 06.2021	Приказ от 08.07.2021 №292-А
12	Положение «Об установлении правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами БУ «Нижневартовский политехнический колледж»	08.06.2021	Приказ от 08.06.2021 №282-А
13	«О назначении ответственных лиц за обработку персональных данных, соблюдение законодательства о защите персональных данных и информационной безопасности БУ  «Нижневартовский  политехнический колледж»	15.06.2021	Приказ от 15.06.2021 №354-А
14	«О назначении ответственных лиц за обеспечение безопасности персональных данных, по направлениям деятельности БУ  «Нижневартовский  политехнический колледж»	15. 06.2021	Приказ от 15.06.2021 №355-А
15	«О назначении лиц  ответственных за осуществление защиты информации на официальном интернет сайте БУ  «Нижневартовский  политехнический колледж»	15.06.2021	Приказ от 15.06.2021 №356-А
16	«О назначении лиц  ответственных  за осуществление защиты информации на официальном интернет сайте zakupki.gov.ru БУ  «Нижневартовский  политехнический колледж»	15.06.2021	Приказ от 15.06.2021 №357-А
17	«О назначении лиц  ответственных  за осуществление защиты информации на официальном интернет сайте bus.gov.ru БУ  «Нижневартовский  политехнический колледж»	15. 06.2021	Приказ от 15.06.2021 №359-А
18	«О назначении специалистов  за обеспечение безопасности персональных данных БУ  «Нижневартовский  политехнический колледж»	15.06.2021	Приказ от 15.06.2021 №358-А
19	Приказ «О назначении ответственных лиц за соблюдением порядка обработки персональных данных, разрешенных субъектом персональных данных для распространения»	21.07.2020	Приказ от 21.07.2020 №375-А
20	«О назначении ответственного лица за соблюдением порядка обработки персональных данных, разрешенных субъектом персональных данных для распространения»	23.09.2020	Приказ от 23. 09.2020  №374-А
21	Приказ «О вводе в эксплуатацию информационной системы «Бухгалтерия и кадры»	21.07.2020	Приказ от 21.07.2020  №326-А
22	Приказ «О вводе в эксплуатацию информационной системы «Удаленное рабочее место подключения к ИСПДн ЦОД ФГБУ «ФЦТ»	21.07.2020	Приказ от 21.07.2020  №327-А
23	Приказ «О вводе в эксплуатацию информационной системы «Колледж»	21.07.2020	Приказ от 21.07.2020  №328-А
24	Приказ «Об определении класса защищенности информационной системы, уровней защищенности персональных данных при их обработке в информационных системах»	20. 07.2020	Приказ от  20.07.2020  №329-А
25	Приказ «Об организации работ по осуществлению внутреннего контроля обработки защищаемой информации»	20.07.2020	Приказ от 20.07.2020  №330-А
26	Приказ «О запрете подключения к информационным системам 3G/4G usb –модемов»	20.07.2020	Приказ от  20.07.2020  №331-А
27	Приказ «Об утверждении типовых форм документов»	20.07.2020	Приказ от 20.07.2020  №332-А
28	Приказ «Об утверждении правил оценки вреда, который может быть причинен субъектам персональных данных, в случае нарушения требований по обработке и обеспечению безопасности персональных данных, обрабатываемых в информационных системах»	20. 07.2020	Приказ от 20.07.2020  №333-А
29	Приказ «Об утверждении перечня информационных систем и перечня сведений ограниченного доступа, не содержащего сведения, составляющие государственную тайну, обрабатываемых в информационных системах»	20.07.2020	Приказ от 20.07.2020  №350-А
30	Приказ «О назначении ответственных лиц и постоянно действующей технической комиссии по защите информации»	20.07.2020	Приказ от  20.07.2020  №351-А
31	Приказ «Об определении класса защищенности  информационной системы, уровня защищенности персональных данных при их обработке в информационной системе»	20.07.2020	Приказ от  20. 07.2020  №352-А
13	Инструкция по защите персональных данных при использовании файлового сервера БУ «Нижневартовский политехнический колледж»	12.02.2016
14	Регламент резервного копирования защищаемой информации информационной системы персональных данных «Бухгалтерия и кадры» «Колледж» «Делопроизводство»	16.08.2018	Приказ «О резервном копировании» №269-А от 16.08.2018
15	Положение «О порядке обращения со сведениями ограниченного доступа в бюджетном учреждении профессионального образования Ханты-Мансийского автономного  округа – Югры «Нижневартовский политехнический колледж»	16.08.2018	Приказ «Об утверждении перечней сведений ограниченного доступа» от 16. 08.2018 №265-А
16	Инструкция ответственного за организацию обработки ПД в информационных системах бюджетного учреждения профессионального образования Ханты-Мансийского автономного округа – Югры «Нижневартовский политехнический колледж»	31.05.2017	Приказ от 31.05.2017 №237-А
17	Инструкция по работе с машинными носителями информации информационных систем бюджетного учреждения профессионального образования Ханты-Мансийского автономного округа – Югры «Нижневартовский политехнический колледж»	31.05.2017	Приказ от 31.05.2017 №238-А
18	Инструкция ответственного за учет и хранение криптографических средств бюджетного учреждения профессионального образования Ханты-Мансийского автономного округа – Югры «Нижневартовский политехнический колледж»	31. 05.2017	Приказ от 31.05.2017 №236-А
19	Инструкция по установке, модификации, ремонту, техническому обслуживанию и восстановлению работоспособности программного обеспечения и аппаратных средств информационных систем бюджетного учреждения профессионального образования Ханты-Мансийского автономного округа – Югры «Нижневартовский политехнический колледж»	31.05.2017	Приказ от 31.05.2017 №240-А
20	Инструкция по работе с инцидентами в информационных системах бюджетного учреждения профессионального образования Ханты-Мансийского автономного округа – Югры «Нижневартовский политехнический колледж»	31.05.2017	Приказ от 31.05.2017 №240-А
21	Инструкция по организации антивирусной защиты бюджетного учреждения профессионального образования Ханты-Мансийского автономного округа – Югры «Нижневартовский политехнический колледж»	31. 05.2017	Приказ от 31.05.2017 №240-А
22	Инструкция ответственного за организацию обработки персональных данных в информационных системах бюджетного учреждения профессионального образования Ханты-Мансийского автономного округа – Югры «Нижневартовский политехнический колледж»	31.05.2017	Приказ от 31.05.2017 №239-А
23	Приказ «Об определении границ контролируемой зоны»	16.08.2017	Приказ от 16.08.2017 №264-А
24	Приказ «О классификации информационных систем»	16.08.2018	Приказ от 16.08. 2018 №268-А
25	Приказ «О создании комиссии для проведения мероприятий по определению классов защищенности информационных систем, уровней защищенности персональных данных и определению актуальных угроз безопасности информации в информационных системах»	16.08.2018	Приказ от 16.08.2018 №267-А
26	Приказ «О назначении ответственных лиц за организацию  обработки защищаемой информации»	16.08.2018	Приказ от 16.08.2018 №266-А

Приказ оператора являющегося юридическим… – шаблон из приказ о назначении, приказ о работнике (сотруднике)(должностного лица)(ответственного)

Приказ N _____
о назначении ответственного
за организацию обработки персональных данных

г. _______________                                  “__”___________ ____ г.

На основании  п. 1  ч. 1  ст. 18.1  Федерального закона  от  27.07.2006
N 152-ФЗ “О персональных данных”,  руководствуясь Положением об обеспечении
безопасности персональных данных при их обработке в информационных системах
персональных  данных,   утвержденным  Постановлением  Правительства  РФ  от
17.11.2007 N 781, Положением об особенностях обработки персональных данных,
осуществляемой   без  использования  средств  автоматизации,   утвержденным
Постановлением Правительства РФ от 15.09.2008 N 687,  п. 7  Рекомендаций по
заполнению образца формы уведомления об обработке (о намерении осуществлять
обработку)  персональных данных,  утвержденных  Приказом  Роскомнадзора  от
19.08.2011 N 706,

ПРИКАЗЫВАЮ:

1. Назначить __________________________________________________________
(Ф.И.О., должность сотрудника)
ответственным за организацию обработки персональных данных.
2. ________________________________________________ обеспечить принятие
(Ф.И.О., должность)
организационных  и технических  мер,  применяемых  для защиты  персональных
данных  от  неправомерного  или  случайного  доступа  к  ним,  уничтожения,
изменения, блокирования, копирования, распространения персональных  данных,
в срок до _______________.
3. Контроль за исполнением настоящего приказа возложить на ____________
(Ф.И.О.,
______________________________.
должность)

_______________________        _______________/________________________
(должность)                 (подпись)            (Ф.И.О.)

С приказом ознакомлен(а):
“__”___________ ____ г.
_______________/________________________
(подпись)            (Ф.И.О.)
 

Политика конфиденциальности

1. Общие положения

1.1 В целях исполнения норм законодательства Российской Федерации в полном объеме АО «Мособлгаз» (далее также – Общество, Оператор) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.

1.2 Настоящая Политика обработки персональных данных в АО «Мособлгаз» (далее – Политика) характеризуется следующими признаками: Разработана в целях реализации требований действующего законодательства Российской Федерации в области обработки и защиты персональных данных. Раскрывает способы и принципы обработки Обществом персональных данных, права и обязанности Общества при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Обществом в целях обеспечения безопасности персональных данных при их обработке. Является общедоступным документом, декларирующим концептуальные основы деятельности Общества при обработке и защите персональных данных.

1.3 Общество до начала обработки персональных данных осуществило уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Общество добросовестно и в соответствующий срок осуществляет актуализацию сведений, указанных в уведомлении.

2. Термины, определения и сокращения

В настоящей Политике используются следующие основные термины, определения и сокращения. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Информация – сведения (сообщения, данные) независимо от формы их представления. Контрагенты – одна из сторон договора в гражданско-правовых отношениях. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Автоматизированная обработка ПДн – обработка персональных данных с помощью средств вычислительной техники. Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, когда обработка необходима для уточнения ПДн). Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн. Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц. Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц. Трансграничная передача ПДн – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

3. Правовые основания обработки персональных данных

3.1 Политика разработана в соответствии с законодательством Российской Федерации в области обработки и защиты ПДн.

3.2 Во исполнение Политики руководителем Общества утверждено Положение по защите персональных данных Общества, а также приняты иные локальные акты Общества в сфере обработки и защиты ПДн.

4. Принципы, цели, содержание и способы обработки персональных данных

4.1 Обработка ПДн Обществом осуществляется на основе следующих принципов: Обработка ПДн осуществляется Обществом на законной и справедливой основе. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора персональных данных. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, не совместимых между собой. Обработке подлежат только ПДн, которые отвечают целям их обработки. Содержание и объем обрабатываемых ПДн соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки. При обработке ПДн обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. АО «Мособлгаз» принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных ПДн. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.2 Общество осуществляет сбор и дальнейшую обработку ПДн в следующих целях: Замещение вакантных должностей кандидатами, наиболее полно соответствующими требованиям Общества. Выполнение требований трудового законодательства Российской Федерации. Оформление доверенностей для работников Общества. Ведение внутреннего портала для работников Общества. Обеспечение безопасности работников Общества и обеспечения сохранности имущества. Учет несчастных случаев на производстве. Оформление заявок на специальную одежду, ведения карточек учета специальной одежды. Проведение специальной оценки условий труда. Периодический медицинский осмотр работников. Заключение договоров купли-продажи, договоров о выполнении работ и оказании услуг с субъектами ПДн. Выставление счетов абонентам за поставленный газ и получение отчетов о платежах от организаций, принимающих платежи. Проверка благонадежности контрагентов. Работа с обращениями граждан, абонентов, контрагентов Общества. Регистрация в сервисе «Личный кабинет клиента» Общества на официальном сайте Общества (страница с адресом https://lkk.mosoblgaz.ru). Проведение акций, опросов, исследований.

4.3 Обработка ПДн Обществом включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн.

4.4 Обществом создаются общедоступные источники ПДн работников Общества (справочники, адресные книги). ПДн, сообщаемые субъектом ПДн, включаются в такие источники только с письменного согласия субъекта ПДн или на основании требований действующего законодательства Российской Федерации.

4.5 Обществом не принимаются решения, порождающие юридические последствия в отношении субъектов ПДн или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их ПДн.

4.6 Общество осуществляет обработку ПДн с использованием средств автоматизации и без использования средств автоматизации.

5. Меры по надлежащей организации обработки и обеспечению безопасности персональных данных

5.1 Общество при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности Пдн достигается, в частности, следующими способами: Определение угроз безопасности ПДн при их обработке в ИСПДн. Определение необходимого уровня защищенности ПДн при их обработке в ИСПДн. Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации. Учет применяемых средств защиты информации, эксплуатационной и технической документации. Оценка эффективности принимаемых мер по обеспечению безопасности до ввода в эксплуатацию ИСПДн. Определение порядка приема, учета и контроля деятельности посетителей. Организация пропускного режима организации. Учет съемных носителей ПДн. Обнаружение фактов несанкционированного доступа к ПДн и принятие мер по их устранению и предупреждению. Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Использование технических средств охраны, сигнализации. Охрана территории, зданий, помещений, имущества. Ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний. Строгое избирательное и обоснованное распределение документов и информации между работниками. Размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации. Ознакомление работников с требованиями нормативно-методических документов по защите информации и сохранении конфиденциальности. Обеспечение необходимых условий для работы с конфиденциальными документами и базами данных, исключающих их утрату или их неправомерное использование. Определение состава работников, имеющих право доступа (входа) в серверные помещения. Организация порядка уничтожения информации. Своевременное выявление нарушений требований разрешительной системы доступа работниками подразделения. Разъяснительная работа с работниками по предупреждению утраты ценных сведений при работе с конфиденциальными документами. Создание целенаправленных неблагоприятных условий и труднопреодолимых препятствий для лиц, пытающихся совершить несанкционированный доступ и овладение ПДн.

5.2 Обязанности работников Общества, осуществляющих обработку и защиту ПДн, а также их ответственность, определяются Положением по защите персональных данных Общества.

6. Лицо, ответственное за организацию обработки персональных данных

6. 1 Права, обязанности и юридическая ответственность лица, ответственного за организацию обработки ПДн, установлены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и Положением по защите персональных данных Общества.

6.2 Назначение лица, ответственного за организацию обработки ПДн, и освобождение от указанных обязанностей осуществляется приказом Генерального директора Общества. При назначении лица, ответственного за организацию обработки ПДн, учитываются полномочия, компетенции и личностные качества должностного лица, призванные позволить ему надлежащим образом и в полном объеме реализовывать свои права и выполнять обязанности, предусмотренные Положением по защите персональных данных Общества.

6.3 Должностное лицо, ответственное за организацию обработки ПДн: Организует осуществление внутреннего контроля за соблюдением Обществом и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн. Доводит до работников Общества положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн или обеспечивает доведение. Осуществляет контроль за приемом и обработкой обращений и запросов субъектов ПДн или их представителей.

6.4 Ответственным за организацию обработки персональных данных в АО «Мособлгаз» является заместитель Генерального директора Сериков Валерий Васильевич, номер телефона: +7 (495) 597-55-30, адрес электронной почты: [email protected].

7. Права субъектов персональных данных

7.1 Субъект ПДн имеет право на получение сведений об обработке его ПДн Обществом.

7.2 Субъект ПДн вправе требовать от Общества уточнения этих ПДн, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.3 Право субъекта ПДн на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц.

7.4 Для реализации и защиты своих прав и законных интересов субъект ПДн имеет право обратиться к Обществу. Общество рассматривает любые обращения и жалобы со стороны субъектов ПДн, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

7.5 Субъект ПДн вправе обжаловать действия или бездействие Общества путем обращения в уполномоченный орган по защите прав субъектов ПДн.

7.6 Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

8.

8.1 Действующая редакция Политики на бумажном носителе хранится в административном здании аппарата управления АО «Мособлгаз» по адресу: 143082, Московская область, Одинцовский городской округ, деревня Раздоры, 1-й км Рублево-Успенского шоссе, д. 1, корп. Б.

8.2 Электронная версия действующей редакции Политики общедоступна на официальном сайте Общества в сети Интернет: https://mosoblgaz.ru.

9. Внесение изменений

9.1 Политика утверждается и вводится в действие приказом Общества.

9.2 Общество имеет право вносить изменения в Политику. Политика пересматривается на регулярной основе – один раз в год. Политика заново утверждается, если по результатам пересмотра в документ вносятся изменения. Политика может пересматриваться и заново утверждаться ранее срока, указанного в п. 9.2.1 настоящей Политики, по мере внесения изменений: – в нормативные правовые акты в сфере ПДн; – в локальные нормативные акты Общества, регламентирующие организацию обработки и обеспечение безопасности ПДн.

10. Ответственность

Работники общества, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут ответственность, предусмотренную законодательством Российской Федерации, локальными нормативными актами Общества и договорами, регламентирующими правоотношения Общества с третьими лицами.

Что такое «контроллеры» и «процессоры»?

Подробно

Что GDPR Великобритании говорит о контроллерах и процессорах?

GDPR Великобритании проводит различие между «контролером» и «обработчиком», чтобы признать, что не все организации, участвующие в обработке персональных данных, несут одинаковую степень ответственности. GDPR Великобритании определяет эти термины:

« контроллер » означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных.

«Процессор » означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера.

Если вы являетесь контролером, вы несете ответственность за соблюдение GDPR Великобритании – вы должны быть в состоянии продемонстрировать соблюдение принципов защиты данных и принять соответствующие технические и организационные меры для обеспечения того, чтобы ваша обработка выполнялась в соответствии с GDPR Великобритании. .

Если вы переработчик, у вас более ограниченные обязанности по соблюдению нормативных требований.

Что такое контроллер?

GDPR Великобритании определяет контролера как:

физическое или юридическое лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных.

Контроллеры принимают решения о процессах обработки. Они осуществляют общий контроль над обрабатываемыми персональными данными и в конечном итоге несут ответственность за обработку.

Некоторые контролеры могут быть обязаны обрабатывать личные данные по закону. В разделе 6 (2) Закона о защите данных 2018 года говорится, что контролером будет любое лицо, которое несет такое обязательство и обрабатывает данные только в соответствии с ним.

Контроллер может быть компанией или другим юридическим лицом (например, зарегистрированным партнерством, зарегистрированной ассоциацией или государственным органом) или физическим лицом (например, индивидуальным предпринимателем, партнером в некорпоративном партнерстве или самозанятым профессионалом, например, барристером. ).

Тем не менее, физическое лицо, обрабатывающее персональные данные в целях чисто личной или домашней деятельности, не подпадает под действие GDPR Великобритании.

Пример

Хирургия общей практики использует автоматизированную систему в своей комнате ожидания, чтобы уведомить пациентов, когда им следует перейти в консультационную комнату. Система состоит из цифрового экрана, на котором отображается имя ожидающего пациента и соответствующий номер консультационной комнаты, а также динамик для пациентов с ослабленным зрением, который объявляет ту же информацию.

Хирургия общей практики будет контролировать личные данные, обрабатываемые в связи с системой уведомления зала ожидания, поскольку она определяет цели и средства обработки.

Пример

Фирма использует бухгалтера для ведения бухгалтерских книг. Действуя от имени своего клиента, бухгалтер является контролером в отношении личных данных в учетных записях. Это связано с тем, что бухгалтеры и аналогичные поставщики профессиональных услуг выполняют ряд профессиональных обязательств, которые обязывают их нести ответственность за обрабатываемые ими персональные данные.Например, если бухгалтер обнаруживает злоупотребление служебным положением при ведении счетов фирмы, он может, в зависимости от его характера, быть обязан в соответствии с его обязанностями по мониторингу сообщить о злоупотреблении служебным положением в полицию или другие органы. Поступая таким образом, бухгалтер будет действовать не по инструкциям клиента, а в соответствии со своими профессиональными обязанностями и, следовательно, в качестве контролера в своем собственном праве.

Если специализированные поставщики услуг обрабатывают данные в соответствии со своими профессиональными обязанностями, они всегда будут действовать как контролеры.В этом контексте они не могут согласиться передать или разделить обязательства контролера с клиентом.

Некоторые организации не имеют отдельного юридического лица – например, некорпоративные ассоциации, такие как спортивные клубы или добровольные группы. В этом случае вам следует ознакомиться с документом, который устанавливает и регулирует управление этой организацией. В этом документе следует указать, какие лица управляют организацией от имени ее членов и могут действовать как контролеры или совместные контролеры, а также как можно заключать контракты от имени организации.

Для удобства вы можете идентифицировать организацию в целом как контролера (например, вы можете использовать название клуба или группы в своей информации о конфиденциальности для отдельных лиц). Но для юридических целей контролером фактически будут соответствующие участники, которые принимают решения об обработке данных организацией.

Что такое совместный контролер?

могут определять цели и средства обработки самостоятельно или совместно с другими – как совместный контролер. Статья 26 (1) GDPR Великобритании гласит:

Если два или более контролера совместно определяют цели и средства обработки, они должны быть совместными контролерами .

Совместные контроллеры совместно определяют цели и средства обработки – у них одинаковые или общие цели. Контроллеры не будут совместными контроллерами, если они обрабатывают одни и те же данные для разных целей.

Что такое процессор?

GDPR Великобритании определяет процессор как:

«обработчик» означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера.

Процессоры действуют от имени соответствующего контролера и под их руководством. При этом они служат интересам контролера, а не своим собственным.

Хотя процессор может принимать свои собственные повседневные операционные решения, статья 29 гласит, что он должен обрабатывать личные данные только в соответствии с инструкциями контролера, если иное не требуется по закону.

Если процессор действует без инструкций контроллера таким образом, что он определяет цель и средства обработки, в том числе для соблюдения установленных законом обязательств, он будет контроллером в отношении этой обработки и будет нести такую ​​же ответственность, как и контроллер.

Обработчик может быть компанией или другим юридическим лицом (например, акционерным обществом, объединенной ассоциацией или государственным органом) или физическим лицом, например консультантом.

Пример

Спортивный зал привлекает местную типографию для изготовления приглашений на специальное мероприятие, которое проводится в тренажерном зале. Спортзал сообщает типографии имена и адреса своих членов из своей базы данных, которые принтер использует для рассылки приглашений и конвертов.Затем тренажерный зал разошлет приглашения.

Спортзал является контролером персональных данных, обрабатываемых в связи с приглашениями. Спортзал определяет цели, для которых обрабатываются персональные данные (для отправки приглашений на мероприятие с индивидуальным адресом) и средства обработки (объединение персональных данных по электронной почте с использованием адресных данных субъектов данных). Типография – это процессор, обрабатывающий личные данные только по указанию спортзала.

Сотрудники контроллера не являются обработчиками.Пока они действуют в рамках своих служебных обязанностей, они действуют как агент самого контролера. Они являются частью контролера, а не отдельной стороной, с которой заключен договор на обработку данных от имени контролера.

Что такое субпроцессор?

Процессор может пожелать передать всю или часть обработки другому процессору на субподряд. Для краткости это иногда называют использованием «субпроцессора», хотя этот термин не взят из самого GDPR Великобритании.

Что такое контроллер данных или обработчик данных?

Ответ

Контроллер данных , определяет цели , для которых, а означает , с помощью которых обрабатываются личные данные. Итак, если ваша компания / организация решает, «почему» и «как» следует обрабатывать персональные данные, это ее контролер. Сотрудники, обрабатывающие персональные данные в вашей организации, делают это для выполнения ваших задач в качестве контроллера данных.

Ваша компания / организация является совместным контролером , когда вместе с одной или несколькими организациями она совместно определяет, «почему» и «как» следует обрабатывать личные данные.Совместные контролеры должны заключить соглашение, определяющее их соответствующие обязанности по соблюдению правил GDPR. Основные аспекты соглашения должны быть доведены до сведения лиц, данные которых обрабатываются.

Процессор данных обрабатывает только персональные данные от имени контроллера . Обработчик данных обычно является третьей стороной, не связанной с компанией. Однако в случае групп предприятий одно предприятие может выступать в качестве обработчика для другого предприятия.

Обязанности обработчика по отношению к контролеру должны быть указаны в контракте или другом правовом акте. Например, в контракте должно быть указано, что происходит с личными данными после расторжения контракта. Типичным видом деятельности процессоров является предложение ИТ-решений, в том числе облачных хранилищ. Обработчик данных может передать часть своей задачи другому обработчику или назначить совместного обработчика только после получения предварительного письменного разрешения от контролера данных.

Бывают ситуации, когда объект может быть контроллером данных или обработчиком данных, или и тем, и другим.

Примеры

Контроллер и процессор

На пивоварне работает много сотрудников. Он подписывает контракт с зарплатной компанией на выплату заработной платы. Пивоварня сообщает компании по начислению заработной платы, когда должна быть выплачена заработная плата, когда сотрудник увольняется или ему повышается заработная плата, а также предоставляет все другие детали для ведомости заработной платы и выплаты. Компания по начислению заработной платы предоставляет ИТ-систему и хранит данные о сотрудниках. Пивоварня является контролером данных, а компания по начислению заработной платы – обработчиком данных.

Совместные контроллеры

Ваша компания / организация предлагает услуги няни через онлайн-платформу. В то же время ваша компания / организация имеет контракт с другой компанией, позволяющий вам предлагать услуги с добавленной стоимостью. Эти услуги включают в себя возможность для родителей не только выбрать няню, но и взять напрокат игры и DVD-диски, которые няня может принести. Обе компании участвуют в технической настройке веб-сайта. В этом случае две компании решили использовать платформу для обеих целей (услуги няни и прокат DVD / игр) и очень часто будут использовать имена клиентов.Таким образом, две компании являются совместными контролерами, потому что они не только соглашаются предложить возможность «комбинированных услуг», но также проектируют и используют общую платформу.

Список литературы

[Перевести на английский:] Datenschutz – Bundesgesundheitsm

Преамбула

Федеральное министерство здравоохранения очень серьезно относится к защите ваших личных данных. С этой целью мы приняли меры для обеспечения строгого соблюдения правил защиты данных как нами, так и внешними поставщиками услуг, с которыми мы работаем.

Персональные данные относятся ко всей информации, связанной с идентифицированным или идентифицируемым физическим лицом. Физическое лицо считается идентифицируемым, если его можно прямо или косвенно идентифицировать, особенно путем присвоения идентификатора, такого как имя, идентификационный номер, данные о местоположении или данные онлайн-идентификации.

Более подробная информация о типе собираемых данных, целях и основании, на которых они собираются, о том, как вы можете связаться с ответственным агентством и уполномоченным по защите данных, а также о ваших правах в отношении обработки ваших личные данные, можно найти в этом заявлении о конфиденциальности данных.

Поскольку наш веб-сайт и другие используемые технологии продолжают развиваться, могут потребоваться изменения в этом заявлении о конфиденциальности. Поэтому мы рекомендуем вам время от времени перечитывать заявление о конфиденциальности.

Доступ к сайту

Запись о каждом посещении веб-сайта Федерального министерства здравоохранения, а также каждый полученный файл хранится в файле журнала в течение ограниченного периода времени и обрабатывается исключительно с целью защиты веб-сайта и отслеживания доступа к нему. в целях безопасности.

Файл журнала содержит информацию о:

• используемый IP-адрес
• тип и версия вашего интернет-браузера
• используемая операционная система
• имя полученной страницы / файла
• дата и время
• объем переданных данных
• , был ли доступ / извлечение успешным.

В соответствии со статьей 6 (1) (e) Общего регламента ЕС по защите данных (GDPR) в сочетании с разделом 5 Закона о Федеральном ведомстве по информационной безопасности (Закон BSI) мы обязаны хранить данные после даты вашего визита.Это предназначено для защиты интернет-инфраструктуры BMG / коммуникационных технологий федерального правительства от атак. Данные анализируются и потребуются для возбуждения судебного преследования и уголовного преследования в случае атаки на коммуникационные технологии министерства.

После даты вашего посещения данные хранятся в файлах журналов на внешних серверах наших поставщиков услуг: DIMDI, «Mittwald CM Service GmbH & Co. KG» и «Hundertserver GmbH».

Данные, которые записываются во время посещений веб-сайта Министерства, передаются третьим лицам в той мере, в какой мы обязаны это делать по закону, или в случае, если передача становится необходимой для целей судебного или уголовного преследования в связи с атаками. о коммуникационных технологиях Федерального правительства. В остальных случаях передача данных не производится. Федеральное министерство здравоохранения не объединяет эти данные с другими источниками данных.

Министерство статистически оценивает информацию о пользователях как средство оптимизации своего веб-сайта для лучшего удовлетворения потребностей пользователей.Подробные объяснения этого аспекта можно найти в разделе «Веб-отслеживание / веб-анализ» настоящей декларации о конфиденциальности данных.

Для обращения в Федеральное министерство здравоохранения

Чтобы связаться с Федеральным министерством здравоохранения по электронной почте, используйте следующие центральные адреса электронной почты:

Если вы используете один из вышеупомянутых каналов для связи с нами, данные, которые вы передали (например, ваша фамилия, имя, адрес), но, по крайней мере, ваш адрес электронной почты, а также информацию, содержащуюся в вашем электронная почта (если применимо, личные данные, которые вы передали) будет храниться для связи с вами и обработки вашего запроса.

Мы хотели бы обратить ваше внимание на тот факт, что ваши данные обрабатываются в соответствии со статьей 6 (1) (e) GDPR в сочетании с разделом 3 Федерального закона о защите данных ( Bundesdatenschutzgesetz – BDSG ) в рамках выполнения задачи, возложенные на это министерство. Чтобы обработать ваш запрос, необходимо обработать переданные вами личные данные.

Если вы решите использовать контактную форму для связи с нами, необходимо будет указать свою фамилию, имя, почтовый индекс и адрес электронной почты.Запрос, отправленный через контактную форму, не может быть обработан без этих данных. Раскрытие остальной части вашего адреса не является обязательным, но при желании мы можем обработать ваш запрос по почте.

Мы хотели бы обратить ваше внимание на тот факт, что обработка данных и контента, передаваемых через контактную форму, происходит на основании вашего согласия в соответствии со статьей 6 (1) (a) GDPR.

Вы можете отозвать свое согласие в любое время. Законность обработки на основе предоставленного вами согласия сохраняется до тех пор, пока не будет получено отзыв такого согласия.

Федеральное министерство здравоохранения использует услуги мультимедийного коммуникационного центра Telemark Rostock Kommunikations- und Marketinggesellschaft mbH (Telemark Rostock), чтобы отвечать на вопросы граждан, полученные по телефону, в электронной или письменной форме. Telemark Rostock собирает, обрабатывает и использует личные данные только в пределах, предусмотренных Общим регламентом ЕС о защите данных (GDPR) и Федеральным законом о защите данных.Компания приняла ряд технических и организационных мер для обеспечения соблюдения правовых норм.

Это также относится к другим поставщикам услуг, которые несут ответственность за обработку данных от имени Федерального министерства здравоохранения, перечисленных в следующем разделе.

Обработчики запросов

Мы пользуемся услугами внешних поставщиков услуг (обработчиков запросов), например, для рассылки нашего информационного бюллетеня и других публикаций. С этими поставщиками услуг были заключены отдельные соглашения относительно обработки запросов, чтобы обеспечить защиту ваших личных данных.

Мы работаем со следующими поставщиками услуг:

• DIMDI

• Scholz & Friends GmbH

• Mittwald AG

• THE BRETTINGHAMS GmbH

• Hundertserver GmbH

Добровольная личная информация

В некоторых разделах веб-сайта Министерства у вас есть возможность добровольно предоставлять личную информацию.Мы храним и используем переданные (личные) данные исключительно для обработки вашего запроса. Данные не передаются третьим лицам.

Автоматически сохраненные данные журнала (см. Доступ к веб-сайту) будут удалены по истечении определенного ограниченного периода времени.

Использование файлов cookie

Файлы cookie – это небольшие текстовые файлы, которые сохраняются при открытии определенных страниц или определенных функций на вашем компьютере.

Они могут быть сохранены только в том случае, если в вашем браузере включена функция «принимать файлы cookie» (например,г. Microsoft Edge, Internet Explorer, Mozilla Firefox, Opera, Apple Safari).

Веб-сайт Федерального министерства здравоохранения по большей части можно использовать без принятия файлов cookie. Файлы cookie должны быть включены в вашем браузере только для использования помощника по долгосрочному уходу или для доступа к корзине покупок при заказе информационных материалов. Файл cookie, передаваемый в этом контексте, представляет собой так называемый файл cookie сеанса, который автоматически удаляется с вашего компьютера после завершения сеанса в Интернете.Это происходит на основании статьи 6 (1) (e) GDPR в сочетании со статьей 3 Федерального закона о защите данных, чтобы облегчить ориентированное на спрос предоставление онлайн-информации о задачах министерства.

Если файлы cookie включены в настройках вашего браузера, два файла cookie от нашего провайдера веб-анализа (Siteimprove) будут автоматически сохраняться на вашем компьютере, когда вы посещаете веб-сайт.

Информация, передаваемая с помощью файлов cookie, касается использования посетителями веб-сайта и хранится и обрабатывается Siteimprove на серверах, расположенных в Дании.

На этом веб-сайте используются следующие файлы cookie Siteimprove:

Имя файла cookie: nmstat
Тип: Постоянный – срок действия истекает через 1000 дней
О файле cookie: Этот файл cookie используется для документирования поведения посетителя веб-сайта. Он используется для сбора статистики об использовании веб-сайта, например, когда посетитель последний раз использовал веб-сайт. Файл cookie не содержит никаких личных данных и используется исключительно для анализа веб-сайта.

Имя файла cookie: siteimproveses
Тип: Сессионный файл cookie
О файле cookie: Этот файл cookie используется для отслеживания последовательности страниц, открытых посетителем в ходе его / ее посещения веб-сайта. Файл cookie не содержит никаких личных данных и используется исключительно для анализа веб-сайта.

Используя этот сайт, посетитель соглашается на обработку своих данных для вышеупомянутых целей.

Вы можете возразить против сбора ваших данных с помощью Siteimprove Analytics, щелкнув следующую ссылку.При нажатии на ссылку будет установлен файл cookie отказа, который предотвратит сбор любых ваших данных при каждом посещении этого веб-сайта в будущем.

Общий регламент по защите данных: учебник для организаций из США, которые обрабатывают персональные данные из ЕС

4 декабря 2017

Общие правила защиты данных (GDPR), новый режим конфиденциальности и защиты данных Европейского Союза, уже вступили в силу и должны вступить в силу 25 мая 2018 года.GDPR, предназначенный для обеспечения большей защиты личных данных лиц, находящихся в ЕС, налагает множество новых обязательств как на «контролеров», так и на «обработчиков» таких данных. Кроме того, GDPR требует больших штрафов, если компании не соблюдают эти новые обязательства. Хотя многие американские компании уже начали процесс приведения себя в соответствие, GDPR имеет настолько большой охват, что может охватывать большую часть американских организаций, которые обычно не ожидают, что будут подпадать под действие европейских законов о конфиденциальности данных.Небольшие организации или те, которые имеют дело с относительно небольшим объемом данных, поступающих из ЕС, могут оказаться застигнутыми врасплох. Такие организации должны предпринять немедленные шаги, чтобы оценить, подпадают ли они под действие нового GDPR, и привести себя в соответствие.

В этом предупреждении для клиентов излагается глобальная сфера действия GDPR и описывается, какие организации могут быть обязаны соблюдать. Затем мы объясняем обязательства, которые GDPR налагает на контроллеров и процессоров, а также строгие ограничения, налагаемые на трансграничную передачу данных в страны за пределами ЕС.Затем мы даем обзор различных механизмов соответствия и штрафов, которые включает GDPR, а также потенциальных отклонений в реализации GDPR, которые могут наблюдаться в отдельных странах-членах ЕС. В заключение мы дадим практические советы организациям, переходящим на новый режим.

Нажмите, чтобы открыть PDF

По мере того, как 2017 год подходит к концу, американские компании, которые обрабатывают персональные данные лиц, находящихся в Европейском союзе (ЕС), ближе к тому, чтобы столкнуться с новым режимом безопасности и конфиденциальности данных, который потребует повышенного внимания к соблюдению требований, даже если такие компании нет заведений в ЕС.Хотя он уже вступил в силу, Общий регламент ЕС по защите данных [1] (GDPR) вступит в силу 25 мая 2018 г., формально заменив Директиву ЕС 1995 г. о защите данных [2] (Директива ЕС 1995 г.) в качестве основы, регулирующей обработка персональных данных в странах-членах ЕС. GDPR предназначен для обеспечения большей защиты личных данных, принадлежащих лицам, находящимся в ЕС, а также для большей согласованности в применении по всему Союзу. Примечательно, что GDPR налагает новые обязательства на организации, занимающиеся обработкой персональных данных ЕС. Штрафы в соответствии с GDPR, вероятно, будут значительно варьироваться, с максимальной величиной из 20 000 000 евро или 4% от годового оборота в мире, в зависимости от серьезности нарушения.

В то время как крупные, управляемые данными компании с глобальным присутствием, вероятно, уже хорошо осведомлены о GDPR, американские организации, которые обрабатывают даже небольшие объемы личных данных ЕС, могут быть удивлены, обнаружив, что подпадают под GDPR и должны предпринять шаги для обеспечения сами себя соблюдают до того, как постановление вступит в силу.Одно существенное изменение заключается в том, что в то время как Директива ЕС 1995 года в настоящее время возлагает бремя соответствия на контролеров персональных данных, GDPR создает прямые обязательства и ответственность для процессоров, в том числе базирующихся в США. Другими словами, GDPR изменяет баланс обязательств между компаниями, запрашивающими услуги. (контроллеры) и компании, предлагающие услуги (процессоры). Целью этого уведомления для клиентов является повышение осведомленности о возможных обязательствах GDPR среди небольших организаций США, организаций, в которых обработка данных не является большой частью их бизнеса, и организаций, которые не имеют большого европейского присутствия, но могут, тем не менее, обрабатывать некоторые данные, принадлежащие лицам, находящимся в ЕС, а также объяснить различные одобренные ЕС механизмы передачи данных из ЕС в США для обработки. Поскольку контролеры и обработчики могут понести как большие штрафы, так и ответственность за несоблюдение GDPR, а также поскольку потребуется время для приведения программ в соответствие, теперь для организаций, участвующих в обработке персональных данных ЕС, пора ознакомиться с соответствующие требования GDPR и работать над внесением любых необходимых изменений.

Прежде всего, американские организации, которые взаимодействуют с рынком ЕС и / или имеют организации в ЕС, должны оценить, будут ли они обязаны соблюдать GDPR, когда он вступит в силу в мае 2018 года.GDPR распространяется на организации, занимающиеся обработкой персональных данных физических лиц, находящиеся в ЕС. «[П] личные данные» в широком смысле определяются как «любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу» [3] «Обработка» означает «любую операцию или набор операций, которые выполняются с персональными данными или с наборами персональных данных. . »[4] Это широкие определения, охватывающие ряд типов данных и различные способы использования данных – они разработаны, в частности, для поиска в технологических компаниях США.Действительно, такая информация, как информация для входа в систему, IP-адреса и идентификационные номера транспортных средств, хотя и не позволяет напрямую идентифицировать людей, позволяет идентифицировать людей косвенно и поэтому считается личными данными. Это означает, что на практике будет считаться, что большинство услуг и / или проектов связаны с обработкой персональных данных. Также важно отметить возможность того, что, поскольку эти определения – в частности, определение личных данных – специфичны для ЕС и GDPR, U.Компании S. могут быть менее знакомы с их масштабами и контурами.

Организации, занимающиеся обработкой персональных данных, делятся на две категории: «контроллеры» и «обработчики». Контроллер, действуя самостоятельно или вместе с другими, «определяет цели и средства обработки персональных данных». [5] Процессор, с другой стороны, «обрабатывает персональные данные от имени контроллера». [6] Они определения остаются практически неизменными по сравнению с Директивой ЕС 1995 года, и, таким образом, организация, которая квалифицируется как контролер или процессор в соответствии с Директивой ЕС 1995 года, вероятно, продолжит быть контролером или обработчиком в соответствии с GDPR.

Однако GDPR значительно расширяет территориальный охват законов ЕС о данных, применяя его требования к трем конкретным категориям лиц:

• Во-первых, контроллер или процессор, который поддерживает «предприятие» в ЕС, будет подпадать под действие GDPR, если он обрабатывает персональные данные «в контексте» этого предприятия в ЕС, независимо от того, действительно ли обработка происходит в ЕС. . [7] Хотя термин «предприятие» не определен, GDPR объясняет, что «эффективное и реальное осуществление деятельности посредством стабильных договоренностей» будет соответствовать положению.[8] Кроме того, «[t] правовая форма таких соглашений, будь то через филиал или дочернюю компанию с юридическим лицом, не является определяющим фактором в этом отношении». [9] Другими словами, регулирование может применяться даже если связь организации с ЕС менее формальна, чем отношения материнско-дочерней компании.
• Во-вторых, контролер или процессор, не зарегистрированные в ЕС, будут подпадать под действие GDPR, «если операции по обработке связаны с предложением товаров или услуг субъектам данных в Союзе», даже если товары и услуги предлагаются бесплатно.[10] Определение того, «предполагает» ли организация предлагать товары или услуги по крайней мере в одном государстве-члене ЕС, тем самым приводя в действие требования GDPR, зависит от «таких факторов, как использование языка или валюты, обычно используемых в одном или нескольких государствах-членах. с возможностью заказа товаров и услуг на этом другом языке или упоминания клиентов или пользователей, которые находятся в Союзе »[11]
• В-третьих, контроллер или процессор, не зарегистрированный в ЕС, будет подчиняться GDPR, если он обрабатывает персональные данные субъектов данных в ЕС и эта обработка связана с «мониторингом» в ЕС «поведения» данных. субъектов, поскольку их поведение происходит в пределах ЕС.[12] Обработка подпадает под это определение, когда «физические лица отслеживаются в Интернете, включая возможное последующее использование методов обработки персональных данных, которые состоят в профилировании физического лица, в частности, для принятия решений, касающихся его или его, или для анализа или прогнозирования ее. или его личные предпочтения, поведение и отношения »[13]. Это профилирование в Интернете – лишь один пример того, что может повлечь за собой мониторинг. Также может быть включен физический мониторинг, например, посредством записи с видеокамеры.

Организации, включая американские компании, которые подпадают под любую из этих трех категорий, должны будут соблюдать многочисленные обязательства, налагаемые GDPR.

GDPR налагает множество обязательств на операторов персональных данных из ЕС. Некоторые из этих обязательств являются продолжением обязательств, установленных Директивой ЕС 1995 года, но другие либо являются новыми, либо расширены. Эти обязательства можно разделить на три разных потока: (i) принципы, применимые к обработке персональных данных; (ii) права субъектов данных и (iii) ответственность.

• Законное основание для обработки : [14] Обработка личных данных ЕС может производиться только в том случае, если у контролера есть законное основание для такой обработки в соответствии с GDPR. Допустимые законные основания перечислены в статье 6 GDPR и включают: (1) обработку, необходимую для выполнения или заключения договора с конкретным субъектом данных; (2) обработка, необходимая для соблюдения юридических обязательств, которым подчиняется контролер в соответствии с законодательством ЕС или государства-члена; (3) обработка, необходимая для защиты «жизненно важных интересов» субъекта данных или другого физического лица; (4) обработка, необходимая для выполнения задачи в общественных интересах или для осуществления официальных полномочий, возложенных на контролера; или (5) обработка, необходимая для целей законных интересов, преследуемых контролером или третьей стороной, «за исключением случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта данных. «Если контролер не может полагаться ни на одну из пяти правовых основ, изложенных выше, ему необходимо получить явное согласие лица. Чтобы согласие было действительным, оно должно быть дано свободно, конкретно, осознанно и недвусмысленно. Контроллеры, намеревающиеся полагаться на согласие, поэтому должны будут убедиться, что они реализуют механизм, который фактически позволяет им собирать и отслеживать, где фактически было получено согласие (например, четкий баннер или поле, в котором нужно отметить галочку, прямо указывающую на согласие с целями обработки) .Когда персональные данные должны обрабатываться для цели, отличной от той, для которой данные были собраны изначально, контролер должен рассмотреть, совместима ли новая цель с первоначальной целью обработки, и если нет, контролер должен будет гарантировать что он опирается на одну из пяти правовых основ, описанных выше. ^[15]
• Делегирование процессору : Когда контроллер привлекает обработчика для обработки персональных данных от своего имени, он должен использовать только процессоры, которые предоставляют в соответствии с обязательным письменным контрактом или другим юридическим актом достаточные гарантии того, что они будут реализовывать необходимые необходимые меры безопасности. GDPR и обеспечить защиту прав субъектов данных из ЕС.[16] Любой субпроцессор также должен обязаться в имеющем обязательную силу письменном контракте (или другом правовом акте) соблюдать те же гарантии. [17] В контракте должны быть указаны предмет и продолжительность обработки; характер и цель обработки; тип личных данных; категории субъектов данных; а также обязанности и права контролера. [18] Таким образом, контролеры должны переоценить свои договорные отношения с обработчиками до даты вступления в силу GDPR. Согласие с утвержденными ЕС стандартными договорными положениями, обсуждаемыми ниже, является одним из вариантов беспрепятственного соблюдения таких требований.
• Особые договорные обязательства : [19] В дополнение к требованию наличия договорных отношений между контроллерами и обработчиками GDPR предусматривает ряд положений, которые должны быть включены в такие договоры: (1) обработка должна выполняться только в соответствии с задокументированными инструкциями от контроллера; (2) лица, уполномоченные обрабатывать персональные данные, должны соблюдать конфиденциальность или нести установленное законом обязательство по соблюдению конфиденциальности; (3) переработчики должны применять необходимые меры безопасности; (4) обработчики должны соблюдать требования о привлечении субпроцессоров; (5) обработчики данных должны помогать контроллеру в выполнении его обязанности отвечать на запросы об осуществлении прав субъектов данных в соответствии с GDPR; (6) обработчики должны помогать контроллеру в соблюдении требований к безопасности данных и нарушениям; (7) личные данные должны быть удалены или возвращены контроллеру после оказания услуг по обработке; (8) вся информация, необходимая для демонстрации соответствия этим требованиям, должна быть доступна контроллеру, и (9) обработчик должен разрешить и внести свой вклад в аудиты, проводимые контролером.
• Уведомление о нарушении данных : ^[20] В случае нарушения данных контроллер должен уведомить надзорный орган «без неоправданной задержки» и в течение 72 часов после обнаружения нарушения, если это возможно. Любая задержка должна быть объяснена. На практике этот 72-часовой крайний срок может быть трудно уложиться, учитывая характер обнаружения утечек данных и определения их степени. Кроме того, если нарушение данных может привести к «высокому риску для прав и свобод физических лиц», контролер должен без неоправданной задержки уведомить затронутых субъектов данных, если не произойдет одно из ряда исключений.[21]

• Информация и доступ : Контроллеры должны предоставлять определенную конкретную информацию субъектам данных во время получения персональных данных. ^[22] Эта информация предназначена для обеспечения справедливой и прозрачной обработки, и это особенно важно в тех случаях, когда контролер намеревается полагаться на согласие. Минимальная информация, требуемая GDPR, включает цель обработки; категории получателей данных; наличие передачи данных за пределы ЕС и гарантии, реализованные в случае такой передачи; срок хранения данных; и права субъектов данных.Субъекты данных также имеют право запрашивать и получать от контролера указанную информацию об обработке их персональных данных, а также копию обрабатываемых персональных данных. [23]
• Исправление и стирание : Контроллеры обязаны разрешать субъектам данных исправлять неточные личные данные и добавлять неполные личные данные. [24] Кроме того, контролеры должны удовлетворять запросы субъектов данных на удаление их личных данных без неоправданной задержки, если для этого существуют определенные основания, в том числе если личные данные больше не нужны для целей, которые они были первоначально собраны или обработаны.[25]
• Переносимость данных : [26] По запросу субъекта данных контроллеры должны предоставить личные данные субъекта данных в машиночитаемом формате или передать эти личные данные напрямую другому диспетчеру.

Ожидается, что организации несут ответственность за обработку персональных данных. Следовательно, им потребуется реализовать несколько мер управления, чтобы продемонстрировать и задокументировать их соответствие.

• Ведение учета : [27] GDPR представляет собой изменение парадигмы для компаний. В соответствии с действующей Директивой ЕС 1995 г., компании должны уведомлять компетентные органы по защите данных, прежде чем приступить к определенным процессам обработки. GDPR отменяет обязательства по предварительному уведомлению и вместо этого требует, чтобы контроллеры вели записи обо всех действиях по обработке, включая определенные указанные типы информации. Цель этих записей – позволить контроллеру продемонстрировать соответствие требованиям GDPR, и записи должны быть доступны соответствующему надзорному органу по запросу.Чтобы выполнить это обязательство, организации должны начать проводить аудиты защиты данных для инвентаризации различных действий по обработке персональных данных, выполняемых в организации. Организации, которые не приступят к ведению учета по мере приближения даты вступления в силу GDPR, наверняка столкнутся с трудностями в соблюдении требований GDPR. (Обратите внимание, что эти требования не применяются к контроллеру, в котором работает менее 250 человек, за исключением случаев, когда он выполняет обработку с высоким риском, выполняет более чем разовую обработку или обрабатывает особые категории данных.)
• Сотрудник по защите данных : В рамках культурных изменений в управлении защитой данных назначение сотрудника по защите данных (DPO) также предусмотрено GDPR. [28] Действительно, от контроллеров может потребоваться назначить DPO, когда: (i) основными видами деятельности контроллера являются операции обработки, требующие крупномасштабного, регулярного и систематического мониторинга субъектов данных, или, аналогичным образом, (ii) когда основные виды деятельности контроллера включают масштабная обработка других специальных категорий данных.[29] DPO несут ответственность за подотчетность контролера, должны участвовать во всех вопросах, касающихся защиты личных данных, и «выступать в качестве посредников между соответствующими заинтересованными сторонами». [30] При этом DPO должны иметь достаточную степень автономии для выполнения требуемых ими задач в соответствии со статьей 39 GDPR. ^[31] DPO гарантирует независимость и безопасность работы благодаря запрету GDPR увольнять или наказывать DPO «за выполнение [их] задач». ^[32] На практике организациям необходимо учитывать, обязаны ли они назначать DPO.Даже в тех случаях, когда это не является строго необходимым, компании могут по-прежнему рассматривать вопрос о том, поможет ли наличие DPO в соблюдении различных обязательств, определенных GDPR.
• Оценка воздействия на защиту данных : [33] Если контролер выполняет такую ​​обработку, которая может привести к высокому риску для прав и свобод физических лиц, контролер должен провести оценку воздействия этой обработки в консультации с любым назначенным DPO. В то время как надзорный орган должен создать список операций обработки, требующих оценки воздействия, GDPR определяет несколько сценариев, в которых требуется оценка воздействия. Он также устанавливает требования к содержанию таких оценок. Если оценка воздействия показывает, что обработка «приведет к высокому риску в отсутствие мер, принятых контролером для снижения риска», контролер должен проконсультироваться с надзорным органом до начала обработки. [34] Это обязательство указывает на то, что компаниям потребуется подход, основанный на оценке рисков, в отношении защиты данных.
• «Защита данных по умолчанию и по умолчанию» : [35] Все контроллеры должны применять соответствующие технические и организационные меры безопасности, чтобы гарантировать, что любая обработка персональных данных соответствует GDPR, включая, при необходимости, политики защиты данных, минимизацию данных, и «псевдонимизация.[36] Контроллеры должны учитывать как стоимость таких мер защиты, так и те меры защиты, которые позволяет существующая технология, адаптируясь к рискам, связанным с обработкой «прав и свобод» субъектов данных ЕС. [37] Соблюдение утвержденных кодексов поведения или механизмов сертификации, обсуждаемых ниже, является одним из способов продемонстрировать соответствие.
• Назначенные представители : [38] Если контролер не учрежден в ЕС, но, тем не менее, подпадает под действие GDPR, контролер при определенных обстоятельствах должен назначить представителя в государстве-члене, где лица из ЕС, чьи личные данные обрабатываются в связь с предложением товаров и услуг или поведение которых отслеживается.Это требование не применяется, когда обработка носит случайный характер или когда обработка не включает в себя широкомасштабную обработку определенных специальных категорий данных, таких как генетические и биометрические данные.

GDPR создает ряд прямых обязательств для процессоров, которые подпадают под действие этого постановления. В то время как переработчики могли брать на себя определенные аналогичные обязательства на основании контрактов с контролерами в прошлом, Директива ЕС 1995 г. сама по себе не налагает таких требований на переработчиков. Хотя обработчики данных должны тщательно оценить свои новые обязательства со своим юрисконсультом, GDPR затрагивает следующие темы:

• Безопасность данных : [39] Процессор необходим для реализации соответствующих технических и организационных мер для обеспечения адекватной безопасности данных. Оценка необходимой безопасности должна учитывать «риски, которые представляет обработка, в частности, от случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа к персональным данным, передаваемым, хранящимся или обрабатываемым иным образом.”
• Уведомление об утечке данных : [40] В случае утечки данных процессор должен уведомить контролера «без неоправданной задержки».
• Следуя инструкциям контроллера : [41] Процессор не может обрабатывать какие-либо личные данные, кроме как в соответствии с инструкциями от контроллера. Если обработчик действует вне рамок своих полномочий, предоставленных контролером, он будет считаться контролером и подчиняться обязательствам контролера в соответствии с GDPR.
• Договорные отношения : [42] Вся обработка, выполняемая процессором от имени контролера, должна регулироваться обязательным контрактом «или другим правовым актом» в соответствии с законодательством ЕС или государства-члена, в котором конкретно изложены «предмет и продолжительность обработка, характер и цель обработки, тип персональных данных и категории субъектов данных [,], а также обязанности и права контролера ». Контракт должен быть как в письменной, так и в электронной форме. [43]
• Дополнительная обработка : [44] Процессор не может использовать другой процессор в связи с обработкой персональных данных ЕС без предварительного получения разрешения от контроллера.Контроллер должен быть уведомлен о любых изменениях в субпроцессорах и иметь возможность возражать. Если задействован субпроцессор, те же обязательства по защите данных в контракте между контролером и обработчиком должны быть возложены на субпроцессор посредством контракта или других «организационных мер». [45] Обработчик по-прежнему будет нести полную ответственность за Контроллер для выполнения обязательств субпроцессора.
• Назначенные представители : [46] Как и в случае с контроллерами, см. Выше, если процессор не зарегистрирован в ЕС, но по-прежнему подчиняется GDPR, он должен назначить представителя в одном из государств-членов, в котором один из соответствующих Субъекты данных расположены, за исключением случаев, когда обработка носит эпизодический характер или не предполагает широкомасштабной обработки определенных специальных категорий данных.
• Ведение записей : [47] Процессоры с 250 или более сотрудниками должны вести записи всех категорий операций обработки, выполняемых от имени контроллера и содержащие конкретную информацию. Обработчик с менее чем 250 сотрудников должен вести такие записи только в том случае, если он выполняет обработку, которая может привести к риску для прав и свобод субъектов данных, обработка является более чем случайной или обработка включает определенные особые категории данных. связанные с расовым или этническим происхождением, религиозными и другими убеждениями, сексуальной ориентацией или уголовными убеждениями и правонарушениями.Записи должны храниться в письменной и электронной форме и должны предоставляться надзорному органу по запросу.
• Сотрудник по защите данных : [48] Подобно тому, как контролеры могут быть обязаны назначить сотрудника по защите данных, обработчики также могут столкнуться с таким требованием.

Директива ЕС 1995 г. существенно ограничивает передачу персональных данных из ЕС в третьи страны, и эти ограничения сохраняются в соответствии с GDPR.Как Директива ЕС 1995 г., так и GDPR разрешают передачу личных данных за пределы ЕС, когда данные отправляются в страну, которая, по мнению Европейской комиссии (ЕК), обеспечивает адекватный уровень защиты [49]. Но США явно отсутствуют в списке стран, получивших решение ЕС об адекватности. Переводы в страны, которые не получили одобрения ЕС, например, США, должны либо подпадать под одно из различных отступлений [50] в Директиве (или Регламенте), либо стороны, участвующие в передаче, сами должны предоставить адекватные гарантии того, что данные будут защищены.Поскольку GDPR требует, чтобы такие же меры защиты были перенесены для «последующих переводов» или переводов после первоначальной передачи в третью страну, соблюдение требований к передаче важно для любой организации вниз по цепочке.

Адекватные гарантии защиты данных могут быть получены разными способами, в том числе:

В период с 1998 по 2000 год были разработаны Международные принципы безопасной гавани, чтобы обеспечить альтернативный механизм, с помощью которого У.Компании S. могут соответствовать требованиям директивы ЕС 1995 г. по передаче данных. Safe Harbor предоставил основу из семи принципов защиты данных, и компании могли самостоятельно проходить сертификацию в рамках этой программы. В июле 2000 года Европейская комиссия постановила, что компании, соблюдающие принципы Safe Harbor, могут передавать личные данные ЕС в США в соответствии с Директивой. Но сочетание факторов, включая быстрое расширение глобальной онлайн-активности и их важность для трансатлантической экономики; быстрое увеличение количества U.S. компании, использующие принципы Safe Harbor; и разногласия, возникшие в результате утечки секретной информации Эдварда Сноудена в 2013 году, связанной с деятельностью правительства США по слежке, поставили под сомнение сохраняющуюся жизнеспособность Safe Harbor [51]. В 2015 году Европейский суд отменил свое предыдущее решение о том, что программа Safe Harbor обеспечивает адекватную защиту данных, передаваемых в Соединенные Штаты. [52]

Следовательно, правительство США начало переговоры с ЕС, стремясь разработать новую основу.В феврале 2016 года было достигнуто политическое соглашение о внедрении новой программы Privacy Shield. Несмотря на опасения, высказанные Рабочей группой по защите данных по статье 29 и надзорным органом ЕС по защите данных, Европейская комиссия приняла структуру в июле 2016 года.

ЕС-США 2016 г. Privacy Shield позволяет участвующим организациям передавать личные данные из ЕС в США. Организации должны пройти самостоятельную сертификацию в соответствии с требованиями программы Privacy Shield, взяв на себя обязательство обрабатывать данные только в соответствии с принципами, изложенными в программе.[53] Право на участие имеют только организации, находящиеся в ведении Федеральной торговой комиссии или Министерства транспорта.

Несмотря на опасения, высказанные некоторыми группами, Privacy Shield недавно успешно прошел свой первый ежегодный обзор [54] Европейской Комиссией с относительно умеренным одобрением того, что «Privacy Shield работает хорошо, но есть некоторые возможности для улучшения его реализации». [55] Хотя ЕК обнаружила, что структура обеспечивает адекватный уровень защиты личных данных, она вынесла пять ключевых рекомендаций по обеспечению постоянной защиты: [56]

• Более активный и частый мониторинг со стороны Министерства торговли для обеспечения того, чтобы самосертифицированные компании соблюдали свои обязательства по программе Privacy Shield, включая регулярный поиск компаний, делающих ложные заявления об их участии в Privacy Shield. В течение первого года реализации было сообщено только о трех принудительных мерах [57].
• Повышенное внимание к информированию субъектов данных ЕС о том, как осуществлять свои права в соответствии с Privacy Shield, в том числе о том, как подавать жалобы.
• Расширение сотрудничества между Министерством торговли, Федеральной торговой комиссией и органами ЕС по защите данных (DPA), в том числе в разработке руководств как для правоохранительных органов, так и для компаний.
• Федеральное законодательство, обеспечивающее постоянную защиту неамериканцев, предлагаемую Президентской директивой 28 (PPD-28).PPD-28 – это ограничение эпохи Обамы на сбор разведывательной информации, которое требует соответствующих мер безопасности для всей личной информации, независимо от того, являются ли они американскими или иностранными. [58]
• Назначение постоянного омбудсмена по программе Privacy Shield в Государственном департаменте США для предоставления европейским гражданам механизма обращения за помощью и заполнения многочисленных вакансий в Совете по надзору за конфиденциальностью и гражданскими свободами (PCLOB).

Сохранение жизнеспособности Privacy Shield может зависеть от реакции администрации Трампа на эти рекомендации.Четыре вакантные должности PCLOB требуют назначения президента и утверждения Сенатом. Президент Трамп в целом объяснил, что многие вакансии в федеральных департаментах не были заполнены, потому что администрация считает, что соответствующие должности не нужны. Хотя остается неясным, будут ли и насколько быстро вакансии омбудсмена и PCLOB будут заполнены, администрация Трампа недавно назначила Адама Кляйна председателем PCLOB. Также остается неясным, поддержит ли администрация кодификацию защиты PPD-28 для лиц, не являющихся U.С. лиц.

Несмотря на эти опасения, более 2400 компаний в настоящее время участвуют в программе Privacy Shield. Для американских компаний, которые регулярно получают передачу персональных данных из ЕС, Privacy Shield предоставляет самый простой способ обеспечить соблюдение нынешних и будущих режимов данных ЕС, а также обеспечивает этим компаниям репутацию в отношениях с их европейскими клиентами.

Еще один популярный способ соблюдать режимы данных ЕС при передаче личных данных в третьи страны, которые не получили решения ЕС об адекватности, – это стандартные договорные положения (SCC), одобренные ЕС.Благодаря использованию SCC, встроенных в контракты между экспортером данных и импортером данных, стороны гарантируют адекватный уровень защиты личных данных, участвующих в транзакции. ЕС принял SCC для транзакций между контроллером и контроллером и между контроллером и контроллером, которые на данный момент будут продолжать обеспечивать адекватный уровень защиты персональных данных, участвующих в передаче. В соответствии с Директивой ЕС 1995 года только ЕС было разрешено принимать SCC, но GDPR разрешает национальным надзорным органам также принимать SCC.[60] SCC остаются обременительным подходом к передаче данных, потому что на практике органы по защите данных требуют, чтобы организации вступали в SCC для каждой новой цели обработки.

SCC подверглись юридической атаке на теорию о том, что законодательство США не обеспечивает адекватных средств правовой защиты гражданам ЕС и что SCC не устраняют этот недостаток. Недавно Высокий суд Ирландии в деле Комиссар по защите данных против Facebook Ireland Limited и Максимилиана Шремса [61] передал этот вопрос в Суд ЕС, чтобы оценить, остаются ли в силе предыдущие решения ЕС об утверждении SCC, что опасения ирландского контролера по защите данных относительно продолжения действия SCC являются «обоснованными», прежде всего в свете опасений относительно средств правовой защиты, доступных в Соединенных Штатах для субъектов данных из ЕС.Тем не менее, SCC остаются одним из наиболее распространенных юридических методов, используемых для передачи персональных данных за пределы ЕС.

В то время как Директива ЕС 1995 года прямо не признавала обязательные корпоративные правила (BCR) (которые были созданы Рабочей группой по статье 29 [63]), GDPR явно кодифицирует возможность для организаций принимать BCR. BCR – это юридически обязательные внутренние правила, которые могут быть приняты как многонациональными группами предприятий, так и группами предприятий, участвующих в совместной экономической деятельности (т.д., группы юридически независимых лиц). GDPR вводит нормативные требования, связанные с контентом BCR, и упрощенный процесс утверждения. По сравнению со структурой SCC и Privacy Shield, BCR предлагают возможность большей настройки, которая адаптирована к потребностям принимающей группы компаний. BCR также рассматриваются органами по защите данных как обеспечивающие большую юридическую уверенность при передаче данных. Более того, BCR рассматриваются как инструмент подотчетности, поскольку требования, которые компании должны соблюдать при внедрении BCR, будут способствовать усилиям компаний по структурированию их управления защитой данных.

Компании также могут продемонстрировать соблюдение GDPR с помощью кодексов поведения [65] и механизмов сертификации [66]. Кодексы поведения готовятся ассоциациями или органами, представляющими категории контроллеров или процессоров, и должны пройти определенный процесс утверждения, который различается в зависимости от того, регулирует ли он деятельность по обработке в одном государстве ЕС или в нескольких государствах. [67] Соблюдение требований будет контролироваться независимым органом, обладающим соответствующими знаниями и аккредитованным соответствующим надзорным органом.[68] Сертификационные механизмы, печати или знаки, с другой стороны, могут быть установлены надзорными органами, Европейским советом по защите данных и ЕС в будущем в качестве аналогичного способа демонстрации соответствия. [69] Соблюдение Кодекса поведения или механизма сертификации, если оно является обязательным и имеющим исковую силу, может быть использовано для демонстрации соответствующих мер безопасности при передаче данных в третьи страны. Жизнеспособность этих новых механизмов в соответствии с GDPR еще предстоит увидеть.

4. 5 Соблюдение судебных постановлений или повесток в суд США, требующих предоставления персональных данных ЕС

Примечательно, что статья 48 GDPR может ограничить способность компании соблюдать юридический процесс США, требующий предоставления личных данных ЕС. Согласно этому положению, любое решение суда или решение административного органа третьей страны, которое потребует передачи или раскрытия личных данных ЕС, признается и подлежит исполнению только в том случае, если оно основано на международном соглашении, таком как договор о взаимной правовой помощи между третья страна и ЕС или конкретное государство-член.Хотя Соединенные Штаты и ЕС заключили обязательное Соглашение о взаимной правовой помощи (MLAA) [70], статья 48 может вызвать проблемы в случае противоречия между судебным процессом США и требованиями MLAA. Кроме того, если коллективное пренебрежение судами США к европейским блокирующим статуям является каким-либо указанием на то, как они будут подходить к этому положению GDPR, мы можем обнаружить, что суды особенно не сочувствуют утверждению о том, что производство будет нарушать GDPR, потенциально ставя компании в сложная позиция выбора, соответствовать ли U. S. судебный процесс или GDPR.

GDPR наделяет надзорные органы государств-членов полномочиями по расследованию, которые примерно соответствуют требованиям Директивы ЕС 1995 г. [71], а контролеры и процессоры обязаны сотрудничать с надзорными органами по запросу [72]. Надзорные органы также наделены набором корректирующих полномочий [73] для устранения нарушений GDPR, включая возможность выдавать предупреждения или приказы и налагать административные штрафы.Предусмотрены максимальные штрафы за нарушение конкретных статей, превышающие 20 000 000 евро или 4% от общего мирового годового оборота за предыдущий финансовый год [74].

GDPR также создает право на компенсацию для любого лица, которому был причинен материальный или нематериальный ущерб в результате нарушения обязательств, предусмотренных регламентом. [75] Впервые обработчик несет прямую ответственность за ущерб, причиненный обработкой, которая не соответствует обязательствам GDPR, конкретно направленным обработчикам, или в случаях, когда она действовала вопреки законным инструкциям контролера, если только обработчик не докажет, что это «не так» несет ответственность за событие, повлекшее причинение ущерба. [76] Претензия субъекта данных по ст. 82 GDPR не наносит ущерба любым претензиям, связанным с нарушением других положений законодательства ЕС или государства-члена [77].

Субъекты данных могут подать жалобу в компетентный надзорный орган в связи с нарушением GDPR. [78] Они также могут добиваться судебной защиты против контролера или обработчика в судах государства-члена, в котором контролер или обработчик имеет предприятие или где обычно проживает субъект данных. [79] Кроме того, как субъекты данных, так и контроллеры / обработчики могут обращаться за судебной защитой против юридически обязательных решений надзорного органа в судах государства-члена, в котором надзорный орган создан.[80]

Хотя GDPR был разработан для обеспечения более единообразного режима данных во всем ЕС, чем его предшествующая директива, которая требовала имплементирующего законодательства в каждом государстве-члене, он включает ряд вводных положений, которые позволяют государствам-членам вводить конкретное законодательство в определенных областях данных. защита. Поэтому организации должны уделять пристальное внимание любым национальным различиям, которые возникают по мере того, как государства-члены начинают принимать такое законодательство.В частности, GDPR позволяет государствам-членам устанавливать общие требования к защите данных, включающие обработку персональных данных сотрудников, которые согласуются с их соответствующими режимами трудового законодательства. [81] Примечательно, что большинство европейских стран в настоящее время работают над принятием национального законодательства, которое намеревается воплотить требования GDPR. Однако существует риск, что каждый национальный законодательный орган будет вводить свои собственные специфические ограничения.

В октябре 2017 года Рабочая группа по статье 29 выпустила руководство с заявленной целью помочь надзорным органам в ЕС последовательно применять административные штрафы.[82] Учитывая общий характер применяемых критериев, добиться единообразия будет непросто.

Парламент Германии недавно принял новый Федеральный закон о защите данных («DPA») [83], который вступит в силу одновременно с GDPR 25 мая 2018 г. и предназначен для включения GDPR в законодательство Германии. В ходе законодательного процесса Германия использовала несколько вступительных статей, содержащихся в GDPR, чтобы сохранить определенные устоявшиеся положения старого DPA.Однако ЕК поставило под сомнение, действительно ли все новые положения DPA охватываются этими вступительными положениями; на самом деле, некоторые европейские официальные лица неофициально отметили, что новый DPA может подорвать цель полной гармонизации в рамках ЕС.

К важным отклонениям от GDPR относятся:

• Назначение сотрудников по защите данных : DPA требует назначения DPO каждой компанией, в которой работает не менее десяти человек, которые участвуют в автоматической обработке личных данных.Кроме того, независимо от количества сотрудников компании обязаны назначить DPA, если они обрабатывают данные с целью коммерческой передачи данных или для целей маркетинга и исследования рынка.
• Претензии потребителей о возмещении ущерба : Потребители имеют право на денежную компенсацию, если они пострадали от нарушения DPA, даже если они не понесли денежного ущерба. Это может привести к повышенным рискам для организаций, поскольку новое право ассоциаций защиты прав потребителей возбуждать коллективные иски облегчает исполнение соответствующих требований.

Принимая во внимание результаты национального референдума, состоявшегося 23 июня 2016 года, правительство Великобритании официально уведомило Европейский совет о намерении Великобритании выйти из ЕС («Брексит») 29 марта 2017 года. по согласованию со всеми другими государствами-членами, Великобритания покинет ЕС в полночь 29 марта 2019 года.

В рамках подготовки к Brexit правительство Великобритании планирует принять национальное законодательство, которое продолжит применять стандарты защиты данных, соответствующие GDPR, в Великобритании после Brexit.Есть надежда, что будет достигнуто соглашение, в соответствии с которым законы Великобритании будут признаны ЕС для обеспечения адекватного уровня защиты после Брексита, что позволит передавать данные между странами ЕС и Великобританией без обычных ограничений, применяемых к передаче в «третьи страны». (см. раздел 4 выше). Хотя передача данных между Великобританией и США может выходить за пределы ЕС-США. Privacy Shield после Brexit, есть надежда, что аналогичный UK-U.S. соглашение будет поддерживать бесплатные потоки данных с США.после Брексита.

По мере приближения даты внедрения GDPR организациям необходимо привести свою деятельность в соответствие с новым режимом. Самый первый шаг, который должна сделать организация, – это определить, подпадает ли она под GDPR. Если это так, организация должна приложить усилия, чтобы полностью понять, какие данные она собирает, обрабатывает и хранит. Организация должна определить, какие персональные данные собираются по всем группам и функциям организации, и определить цель для сбора, сводится ли этот сбор к минимуму для достижения только этой цели, и собирает ли компания какие-либо из различных типов конфиденциальной информации. данные согласно GDPR.

Помимо сбора данных, организация должна понимать, как данные обрабатываются и хранятся. Это включает в себя законную основу для обработки каждого набора данных, используемые меры защиты данных, местонахождение сохраненных данных, период времени, в течение которого такие данные будут храниться, где и как хранятся записи об обработке и хранении, а также многие другие соображения. Для получения всей этой информации, вероятно, потребуется аудит в масштабах всей компании, и в этой оценке должны быть задействованы заинтересованные стороны во всех аспектах бизнеса.Часто сбор и обработка данных осуществляется в отделах, которые обычно не связаны с обработкой данных. Таким образом, отображение данных – важный первый шаг в определении того, какие изменения должна внести организация, чтобы привести себя в соответствие с GDPR.

Помимо вопросов сбора, обработки и хранения, организации должны знать, как они передают данные и обмениваются ими. Как обсуждалось выше, GDPR налагает ограничения на передачу данных, особенно на те, при которых данные передаются через границу в страны за пределами ЕС. Эти соображения применяются независимо от того, происходят ли такие переводы только внутри компании или группы компаний. Кроме того, компаниям, которые передают данные обработчикам или субпроцессорам, необходимо будет переоценить свои договорные отношения с такими обработчиками, а также возможности обработчика.

После сопоставления данных и аудита компания должна составить план по приведению себя в соответствие с GDPR. Операции по обработке, которые подразумевают обработку конфиденциальных персональных данных или которые связаны с целями, предполагающими вторжение в жизнь субъектов данных, должны иметь высший приоритет.План соответствия должен включать конкретные потребности в обучении, а также юридические и технологические элементы, которые необходимо решить. Опять же, заинтересованные стороны во всех аспектах бизнеса должны быть вовлечены, чтобы наилучшим образом внедрить изменения в масштабах всей организации.

Управление данными, вероятно, потребует серьезных размышлений и инвестиций в будущем. Организации должны соблюдать требования GDPR, касающиеся удаления данных, ограничений на их использование и обеспечения адекватных мер безопасности.Системы и процессы должны быть на месте для выполнения запросов субъектов данных, таких как предоставление копий данных, передача данных другим контроллерам, исправление ошибок и даже удаление в определенных случаях. Ведение учета может потребовать дополнительных инвестиций, поскольку организациям придется вести подробный учет своей обработки и соблюдения GDPR. Контроллеры данных должны перенастроить свои политики конфиденциальности, чтобы должным образом уведомлять людей об обработке, обеспечивая соблюдение принципов GDPR, регулирующих прозрачность и согласие.

Организациям может даже потребоваться внести изменения в корпоративное управление. Как обсуждалось выше, некоторые организации должны будут получить DPO для контроля за соблюдением GDPR, выступать в качестве контактного лица для регулирующих органов и контролировать оценку воздействия данных. DPO может существовать как внутри организации, так и за ее пределами, но все указывает на то, что DPO должен быть хорошо осведомлен как с точки зрения конфиденциальности данных, так и осведомленности о внутренней работе организации. Из-за требований, касающихся независимости DPO, организации должны серьезно подумать об организационном размещении DPO и о том, кому DPO должен отчитываться в корпоративной структуре.Даже если DPO не требуется, организациям следует переоценить свою текущую команду по конфиденциальности, чтобы учесть текущие требования соответствия в соответствии с GDPR, такие как оценка воздействия данных, обработка запросов от субъектов данных, взаимодействие с регулирующими органами и обеспечение надлежащего учета. Многие более крупные предприятия, управляемые данными, обратились к регулирующим органам со своими текущими планами, чтобы получить их мнение.

Когда GDPR вступит в силу в мае 2018 года, потребуется некоторое время, чтобы разобраться в некоторых существующих неясностях и понять, как осуществляется принудительное исполнение. Тем не менее, организациям следует прилагать согласованные усилия для соблюдения условий регулирования с самого начала, особенно с учетом возможности таких серьезных наказаний. Любые проблемы следует обсудить с юристом задолго до даты вступления в силу GDPR, чтобы обеспечить плавный переход к новому режиму.

[1] Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf.

[2] Директива 95/46 / EC Европейского парламента и Совета от 24 октября 1995 г. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML .

[3] Арт. 4, ¶ 1, GDPR.

[4] Арт. 4, ¶ 2, GDPR.

[5] Арт. 4, 7, GDPR.

[6] Арт. 4, п. 8 Общего регламента по защите данных.

[7] Арт. 3, 1, GDPR.

[8] Рек. 22 GDPR.

[9] ид.

[10] Рек.23 GDPR; см. Также Art. 3, ¶ 2 (а), GDPR.

[11] Рек. 23 GDPR.

[12] Рек. 24 GDPR; см. Также Art. 4, ¶ 2 (b), GDPR.

[13] Рек. 24 GDPR.

[14] Арт. 6, 1, GDPR.

[15] Арт. 6, ¶ 4, GDPR.

[16] Арт. 28, 1, GDPR.

[17] Арт. 28, п. 2, GDPR.

[18] Арт. 28, п. 3 Общего регламента по защите данных.

[19] Арт. 28, 3 (a) – (h), GDPR.

[20] Арт. 33, 1, GDPR.

[21] Арт. 34 GDPR.

[22] Ст. 13 и 14 GDPR.

[23] Арт. 15 GDPR.

[24] Арт. 16 GDPR.

[25] Арт. 17 GDPR.

[26] Арт. 20 GDPR.

[27] Арт. 30, GDPR

[28] Арт. 37 GDPR.

[29] Ид.

[30] Руководство для сотрудников по защите данных («DPO») , Рабочая группа по статье 29, на 4 (13 декабря 2016 г.). http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf.

[31] ид. , 14,

[32] ид. , 15,

[33] Арт. 35 GDPR.

[34] Арт. 36 GDPR.

[35] Ст. 24 и 25 GDPR.

[36] См. Также Art. 32 GDPR.

[37] Арт. 25 GDPR.

[38] Арт. 27 GDPR.

[39] Арт. 32 GDPR.

[40] Арт. 33, п. 2, GDPR.

[41] Арт. 29 GDPR.

[42] Арт. 28, п. 3 Общего регламента по защите данных.

[43] Арт.28, п. 9 Общего регламента по защите данных.

[44] Арт. 28, п. 2, GDPR.

[45] Арт. 28, п. 4 Общего регламента по защите данных.

[46] Арт. 27 GDPR.

[47] Арт. 30, 2–5, GDPR.

[48] Арт. 37 GDPR.

[49] Арт. 45 GDPR.

[50] Арт. 49 GDPR.

[51] См. Исполнительное решение Европейской комиссии в соответствии с Директивой 95/46 / EC Европейского парламента и Совета об адекватности защиты, предоставляемой ЕС-США.Privacy Shield, раздел 1 (7 декабря 2016 г.). http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf.

[52] Максимилиан Шремс против Уполномоченного по защите данных , Дело C-362/14 (6 октября 2015 г. ). http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1444299455884&uri=CELEX:62014CJ0362.

[53] Структура Privacy Shield. https://www.privacyshield.gov/article?id=OVERVIEW.

[54] Первый годовой обзор ЕС-США. Privacy Shield (окт.18, 2017). http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619.

[55] ЕС-США. Privacy Shield: первый обзор показывает, что он работает хорошо, но его реализацию можно улучшить (18 октября 2017 г.). http://europa.eu/rapid/press-release_IP-17-3966_en.htm.

[56] Ид.

[57] Три компании соглашаются урегулировать сборы FTC, которые ложно заявили об участии в Соглашении о защите конфиденциальности между ЕС и США , Федеральная торговая комиссия (8 сентября 2017 г.). https: // www.ftc.gov/news-events/press-releases/2017/09/three-companies-agree-settle-ftc-charges-they-falsely-claimed.

[58] п. 4 Директивы президента № 28 (17 января 2014 г.). https://obamawhitehouse.archives.gov/the-press-office/2014/01/17/presidential-policy-directive-signals-intelligence-activities.

[59] Арт. 46, § 2 (c) GDPR.

[60] Арт. 46, ¶ 2 (d), GDPR.

[61] Ирландский комиссар по защите данных против Facebook и Макса Шремса , 2016 г.4809 п. Https://arstechnica.co.uk/wp-content/uploads/sites/3/2016/07/Judgment-of-the-High-Court-of-Ireland-in-the-case-data-protection -Commissioner-v-Facebook-related-to-motions-to-allow-amicus-curia.pdf

[62] Ст. 46, 2 (b) и 47 GDPR.

[63] Рабочая группа по статье 29 – это независимый Консультативный совет Европейского Союза по защите данных и конфиденциальности, учрежденный в соответствии со статьей 29 Директивы ЕС 1995 года.

[64] Арт. 46, ¶¶ 2 (e) и (f), GDPR.

[65] Ст.40 и 41 GDPR.

[66] Ст. 42 и 43 GDPR.

[67] Арт. 40 GDPR.

[68] Арт. 41, GDPR.

[69] Ст. 42 и 43 GDPR.

[70] Соглашение между Соединенными Штатами Америки и Европейским союзом (подписано 25 июня 2003 г.; вступило в силу 1 февраля 2010 г.). https://www.state.gov/documents/organization/180815. pdf.

[71] Арт. 58, 1, GDPR.

[72] Арт. 31 GDPR.

[73] Арт. 58 GDPR.

[74] Арт. 83, 4–5, GDPR.

[75] Арт. 82, § 1, GDPR.

[76] Арт. 82, 2–3, GDPR.

[77] Рек. 146, GDPR.

[78] Арт. 77, 1, GDPR.

[79] Арт. 79 GDPR.

[80] Арт. 78 GDPR.

[81] См. Art. 88, 1, GDPR.

[82] Руководство по применению и установлению административных штрафов для целей Постановления 2016/679 , Статья 29 Рабочая группа по защите данных (октябрь.3, 2017). https://ec.europa.eu/newsroom/just/document.cfm?doc_id=47889.

[83] Федеральный закон о защите данных (30 июня 2017 г.). https://iapp.org/media/pdf/resource_center/Eng-trans-Germany-DPL.pdf.

Юристы Gibson, Dunn & Crutcher готовы помочь в решении любых вопросов, которые могут у вас возникнуть по вопросам, обсужденным выше. Пожалуйста, свяжитесь с юристом Гибсона Данна, с которым вы обычно работаете, с любым членом группы практики конфиденциальности, кибербезопасности и защиты потребителей или национальной безопасности фирмы или со следующими авторами:

Кэролайн Красс – председатель, практика национальной безопасности, Вашингтон, округ Колумбия. К. (+1 202-887-3784, [email protected])
Александр Х. Саутвелл – председатель, практика конфиденциальности, кибербезопасности и защиты потребителей, Нью-Йорк (+1 212-351-3981, [email protected])
Ахмед Балади – Париж (+33 (0) 1 56 43 13 00, [email protected])
Эмануэль Бартоли – Париж (+33 (0) 1 56 43 13 57, [email protected])
Джеймс А. Кокс – Лондон (+44 (0) 20 7071 4250, [email protected])
Майкл Вальтер – Мюнхен (+49 89 189 33-180, [email protected])
Райан Т.Бергсикер – Денвер (+1 303-298-5774, [email protected])
Джейсон Н. Кляйнвакс – Вашингтон, округ Колумбия (+1 202-887-3793, [email protected])

© 2017 Gibson, Dunn & Crutcher LLP

Реклама адвоката: Прилагаемые материалы были подготовлены только для общих информационных целей и не предназначены для использования в качестве юридической консультации.

10 шагов по соблюдению GDPR в Нидерландах

Что такое GDPR?

GDPR – это европейский регламент конфиденциальности. Это обеспечивает бережную обработку персональных данных предприятиями и организациями. Например, у вас должна быть веская причина для обработки личных данных. И вам не разрешается собирать и использовать больше данных, чем это абсолютно необходимо. Эти правила применяются на всей территории ЕС / ЕЭЗ. GDPR расшифровывается как General Data Protection Regulation, но в Нидерландах GDPR называется AVG или Algemene Verording Gegevensbescherming.GDPR вступил в силу 25 мая 2018 года.

Защита личных данных

GDPR – это набор правил, который помогает лучше защитить право каждого на неприкосновенность частной жизни. GDPR вынуждает предпринимателей осторожно обращаться с личными данными, будь то данные клиентов, персонала или других лиц. Компании должны иметь возможность доказать, что они соблюдают GDPR.

Примеры личных данных

Имена и адреса, номера телефонов, почтовые индексы и номера домов – все это личные данные.Конфиденциальные данные, например Раса, сексуальная ориентация, религия или состояние здоровья кого-либо называются специальными личными данными . Не разрешается обрабатывать особые или криминальные личные данные, за исключением случаев, когда для вас сделано исключение в законе.

GDPR применяется ко всем компаниям, которые ведут бизнес в ЕС или с ЕС

Если ваш бизнес находится в одном из государств-членов ЕС или в ЕЭЗ, даже если только с дочерней компанией или филиалом, или если ( даже если один из ваших клиентов, поставщиков или других заинтересованных сторон является резидентом государства-члена ЕС, вам необходимо соблюдать GDPR.

GDPR распространяется на всех независимых предпринимателей, обрабатывающих персональные данные. Это применимо к вам, если вы фрилансер или владелец малого бизнеса, даже если у вас нет персонала или у вас всего несколько клиентов. Вам необходимо учитывать нормативные положения на каждом этапе бизнес-процесса: даже при отправке коммерческого предложения, счета-фактуры или информационного бюллетеня. Не имеет значения, обрабатываете ли вы данные вручную или в автоматическом режиме; также не имеет значения, обрабатываете ли вы данные от своего имени или от чьего-либо имени.«Обработка данных» включает: сбор, хранение, использование, пересылку, совместное использование, распространение и объединение.
Управление по защите данных Нидерландов (DPA) проверяет, соблюдаете ли вы GDPR. Если они обнаружат, что вы не соблюдаете принципы GDPR, они могут наложить крупный штраф.

Подать жалобу в DPA
Любой, кто считает, что его или ее личные данные были обработаны способом, не соответствующим GDPR, может подать жалобу о нарушении конфиденциальности в DPA (на голландском языке).

10 шагов к соответствию GDPR – каковы правила?

Вы хотите соблюдать GDPR, но не знаете, как это сделать. Вот 10 шагов, которые помогут вам на вашем пути.

1. Получите информацию о GDPR и проверьте, разрешено ли вам обрабатывать личные данные.

Прочтите о GDPR или посетите информационную сессию.Есть ли у вас кадры? Привлекайте соответствующих сотрудников. Они могут оценить влияние GDPR на ваши текущие процессы, услуги и продукты. Они также могут определить, что вам нужно сделать, чтобы соответствовать GDPR.

Чтобы получить разрешение на обработку персональных данных, вы должны соответствовать хотя бы одному из этих 6 требований:

• У вас должно быть разрешение от вовлеченного лица.
• Данные необходимы для заключения договора. Например, вам нужны данные об адресе, чтобы доставить ваш продукт покупателю.
• Данные необходимы для выполнения юридического обязательства.
• Вам нужны данные для защиты чьей-либо жизни или здоровья, и вы не можете спрашивать у этого человека разрешения.
• Вам нужны данные для выполнения задачи в общих интересах.
• У вас есть уважительная причина для обработки данных. Например, вы должны обрабатывать личные данные в своей кадровой документации, чтобы иметь возможность выплачивать заработную плату.

2. Сообщите своим клиентам об их правах в соответствии с GDPR

Ваши клиенты имеют обширные права на конфиденциальность.Вы должны позволить им выполнять эти права. Например, ваши клиенты могут:

• просматривать, редактировать и удалять свои данные
• ограничивать или отзывать любые разрешения, ранее предоставленные ими
• запрашивать их данные, чтобы облегчить переход к другой компании / поставщику услуг, это называется переносимостью данных (перейдите по ссылке, чтобы загрузить правила ЕС на этой странице)

Составьте четкое заявление о конфиденциальности

Составьте заявление о конфиденциальности простым языком. Расскажите читателю, как и для каких целей вы используете личные данные. Укажите, почему это важно (полезно) для ваших клиентов и как долго вы будете хранить данные. Убедитесь, что это заявление о конфиденциальности легко найти.

3. Ведите учет своей обработки данных

Вы должны доказать, что несете ответственность за то, как вы обрабатываете данные. Для этого вы обязаны вести учет того, как и почему вы обрабатываете личные данные.Это называется регистром обработки. Примечание. Если в вашей компании работает менее 250 сотрудников, возможно, вам не придется вести такой учет (см. Документ с изложением позиции DPA (PDF, на голландском языке)).
Запись должна содержать информацию о том, откуда поступают данные и с кем вы ими делитесь, чтобы иметь возможность уведомлять организации, с которыми вы делитесь данными, о любых изменениях или удалениях данных клиентов.

Спросите у клиента разрешения, если вы передаете услуги на аутсорсинг

Когда вы передаете услуги на аутсорсинг и передаете личные данные своих клиентов другой компании, вам потребуется разрешение ваших клиентов.Например: когда вы нанимаете внешний колл-центр или административный офис. Задокументируйте в своем соглашении с клиентом, что вы делитесь их данными, поскольку они имеют отношение к тому, как вы действуете от их имени.

4. Узнайте, нужно ли вам проводить оценку воздействия на защиту данных (DPIA)

Вы обрабатываете данные с высоким риском конфиденциальности? Вам необходимо будет выполнить оценку воздействия на защиту данных (DPIA). DPIA – это обширный обзор рисков обработки данных.На основании DPIA вы можете принять меры по снижению рисков конфиденциальности.
Вы не можете принять меры по снижению риска? Затем посоветуйтесь с DPA, прежде чем приступить к обработке личных данных. DPA определит, разрешена ли обработка данных в соответствии с GDPR или нет. Вы получите письменный совет.
Вы подвергаетесь высокому риску конфиденциальности, если:

• Систематически и всесторонне оцениваете личные аспекты на основе автоматической обработки, включая профилирование, и если на основе этих оценок вы принимаете решения, которые имеют последствия для людей
• Обрабатываете особые личные данные в крупном масштабе или обрабатывать криминальные данные
• Систематически следить за людьми в крупном масштабе в зоне общественного доступа, например, с помощью CCTV
  

5. Учитывайте конфиденциальность при разработке новых продуктов или услуг

При разработке новых продуктов или услуг убедитесь, что личные данные уже хорошо защищены на этапе разработки. Это называется «конфиденциальность по дизайну». Вы не должны обрабатывать больше личных данных, чем это абсолютно необходимо. Это называется «конфиденциальность по умолчанию». Примеры включают:

• Приложение не должно записывать местоположение пользователя без уважительной причины
• Не устанавливайте заранее переключатель «Да, я хочу получать предложения» на своем веб-сайте
• Не запрашивайте дополнительную информацию чем необходимо для записи подписки на информационный бюллетень

6.Узнайте, нужен ли вам сотрудник по защите данных

Обрабатывает ли ваша компания данные в больших масштабах? Затем вас могут обязать нанять сотрудника по защите данных или DPO, Functionaris Gegevensbescherming или FG на голландском языке. DPO отвечает за проверку того, действует ли ваша организация в соответствии с GDPR. Ваша организация также может добровольно назначить DPO. На веб-сайте DPA вы можете найти Руководство для сотрудников по защите данных (перейдите по ссылке под заголовком Praktische hulpmiddelen), а также регистрационную форму FG (на голландском языке).

7. Документируйте и сообщайте об утечках данных

Утечка данных означает, что раскрываются личные данные, которых не должно быть. Примеры:

• Вы теряете ноутбук, планшет, USB-носитель или документы, содержащие незашифрованные личные данные
• Вы отправляете личные данные по электронной почте не тому человеку
• Личные данные, которые вы обрабатываете, украдены в результате кибератаки
• Ваш Система была заражена программой-вымогателем, что сделало личные данные недоступными.

8. Составьте соглашение об обработке данных

Работаете ли вы с компаниями, которые обрабатывают персональные данные от вашего имени и следуют вашим инструкциям? Убедитесь, что вы составили соглашение об обработке данных в соответствии со статьями 28 и 29 GDPR (см. Информацию на веб-сайте DPA). Даже если процессинговая компания аффилирована с вашей компанией или находится за границей. Служба поддержки, просматривающая данные, представляет собой форму обработки.
Было ли у вас соглашение об обработке данных в соответствии с Законом о защите личных данных (Wbp)? Имейте в виду, что GDPR строже; скорее всего, вам придется составлять новый договор.

9. Определите руководителя для вашей компании

Активна ли ваша организация в нескольких европейских странах? Или ваша деятельность по обработке данных затрагивает несколько стран-членов ЕС? GDPR требует, чтобы вы имели дело только с одним инспектором конфиденциальности, например, с DPA Нидерландов. Это называется механизмом единого окна.

10. Спросите разрешения на обработку данных

Для некоторых операций по обработке данных требуется разрешение вовлеченных лиц. Кроме того, вы должны иметь возможность доказать, что разрешение было дано.Полезно анализировать способы, которыми вы запрашиваете, получаете и регистрируете разрешение людей на обработку данных.

PIPL: кардинально изменит правила игры для компаний в Китае

Китай принял Закон о защите личной информации (PIPL) 20 августа 2021 года. Это первый в Китае комплексный закон о защите данных, который вступит в силу с 1 ноября 2021 года, разрешая компаниям только более двух месяцев на подготовку. PIPL меняет правила игры для любой компании, имеющей данные или бизнес в Китае.Это добавит еще один уровень сложности в отношении соблюдения китайских законов и правил о безопасности и данных.

Как это обычно бывает во всех законах Китая, многие концепции и требования являются высокоуровневыми, и мы ожидаем, что в ближайшие месяцы в правилах и практических руководствах будут представлены некоторые дополнительные детали.

Обзор

PIPL состоит из 74 статей в 8 разделах, а именно:

• Общие положения;
• Правила обработки персональной информации;
• Правила трансграничного предоставления личной информации;
• Права физических лиц при обработке личной информации;
• Обязанности обработчиков персональных данных;
• Отделы, выполняющие функции защиты персональной информации;
• Юридические обязательства; и
• Прочие положения.

Закон определяет «личную информацию» как все виды информации, относящейся к идентифицированным или идентифицируемым физическим лицам, зарегистрированной в электронной или иной форме, за исключением анонимной информации. «Обработка личной информации» включает, среди прочего, сбор, хранение, использование, уточнение, передачу, предоставление, публичное раскрытие и удаление личной информации.

Экстерриториальный эффект

PIPL будет иметь экстерриториальное действие и будет применяться к следующим операциям обработки:

• обработка в Китае личной информации физических лиц; и
• обработка за пределами Китая личной информации физических лиц, находящихся в Китае, если такая обработка:
  • с целью предоставления товаров или услуг физическим лицам в Китае;
  • для анализа / оценки поведения физических лиц в Китае; или
  • иных обстоятельств, предусмотренных законами и административными постановлениями.

Если компания за пределами Китая осуществляет деятельность по обработке, как описано в пункте (2) выше, PIPL требует, чтобы она учредила специальное учреждение или назначила представителя в Китае для решения вопросов защиты личной информации, а также сообщила имя и контактные данные такое учреждение или представитель при китайских властях.

Ответственные органы

PIPL дает больше ясности в отношении распределения ответственности между органами власти и относится к центральным и местным органам власти с обязанностями по закону как к органам, выполняющим обязанности и ответственность по защите личной информации ( PI Protection Authorities ).Распределение обязанностей следующее:

• национальная администрация киберпространства ( e., Администрация киберпространства Китая или CAC ) отвечает за комплексное планирование и координацию защиты личной информации, а также за соответствующий надзор и административную работу;
• соответствующие министерства и ведомства Государственного совета несут ответственность за защиту личной информации, а также за надзор и управление в рамках своих соответствующих полномочий; и
• соответствующие департаменты местного самоуправления на уровне округа или выше также будут выполнять определенные обязанности и ответственность в отношении защиты личной информации и соответствующего надзора и управления в соответствии с постановлениями штата.

Основа для обработки

PIPL обеспечивает следующую правовую основу для обработки личной информации, и, по крайней мере, одна из них должна быть создана для того, чтобы обработка была законной:

• согласие субъектов данных;
• необходимость заключения или исполнения договоров, стороной которых является субъект данных , или необходимость осуществления управления человеческими ресурсами в соответствии с законодательно принятыми правилами и системами труда и заключенными на законных основаниях коллективными договорами ;
• необходимость для выполнения юридических обязанностей или юридических обязательств;
• для реагирования на чрезвычайные ситуации в области здравоохранения или необходимость защиты жизни, здоровья и безопасности физических лиц в чрезвычайных обстоятельствах;
• обработка в разумных пределах личной информации для подготовки новостных репортажей, наблюдения за общественным мнением и других действий в общественных интересах;
• обработка в разумных пределах и в соответствии с PIPL личной информации, которая была обнародована субъектами данных или другими законными способами; и
• иных обстоятельств, предусмотренных законами и административными постановлениями.

Подчеркнутая часть недавно добавлена ​​в окончательную версию PIPL и дает работодателям больше гибкости в отношении обработки данных о сотрудниках. PIPL также разъясняет, что согласие субъектов данных не требуется, если обработка основана на одном из правовых оснований, перечисленных в пунктах (2) – (7).

Трансграничная передача личной информации

Трансграничная передача личной информации может осуществляться только в законных целях, таких как деловые нужды, и передающая сторона обязана принять необходимые меры для обеспечения того, чтобы деятельность по обработке зарубежного получателя соответствовала стандартам защиты, изложенным в PIPL.

Кроме того, для того, чтобы такая передача была законной, потребуются как надлежащая правовая основа, так и согласие субъектов данных.

(1) Правовая основа

Правовая основа для трансграничной передачи личной информации в соответствии с PIPL включает:

• прохождение проверки безопасности, организованной администрацией киберпространства, если передающая сторона является оператором критически важной информационной инфраструктуры ( CII ) или объем затронутой личной информации достигает порогового значения, указанного CAC;
• получение сертификата защиты персональной информации от профессионального агентства в соответствии с правилами CAC;
• заключение соглашения с зарубежным получателем на основе стандартной формы контракта, сформулированной CAC; или
• другие условия, предусмотренные законами, административными постановлениями или CAC.

Внедрение режима трансграничного перевода будет зависеть от дальнейших правил CAC, включая подготовку контракта стандартной формы.

(2) Согласие

Субъекты данных должны быть уведомлены о следующих вопросах и дать отдельное согласие на трансграничную передачу своей личной информации:

• имя, контактные данные иностранного получателя;
• цели и методы обработки;
• типы затронутой личной информации; и
• методы и процедуры для осуществления прав, предусмотренных в PIPL, с зарубежным получателем.

Независимо от того, имеется ли правовая основа и дано ли согласие, компаниям строго запрещено предоставлять личную информацию, хранящуюся в Китае, иностранным судебным или правоохранительным органам без разрешения китайских властей. Это будет сложный вопрос для международных компаний, которые обязаны отчитываться перед регулирующими органами в своей юрисдикции.

Права человека

PIPL предоставляет физическим лицам различные права в отношении их личной информации, в том числе:

• право знать и принимать решения в отношении своей личной информации;
• право ограничивать или запрещать обработку своей личной информации;
• право консультироваться и копировать свою личную информацию от обработчиков;
• право на переносимость своей личной информации;
• право исправлять и удалять свою личную информацию; и
• право требовать от процессоров объяснения правил обработки.

Близкие родственники физического лица могут осуществлять эти права в своих законных и законных интересах после смерти физического лица, если только умерший не принял других мер при жизни.

Обязанности процессора

PIPL налагает различные обязательства на обработчиков личной информации, включая обязательства перед:

• разрабатывать системы внутреннего управления и операционные процедуры;
• осуществлять секретное управление личной информацией;
• принять соответствующие технические меры безопасности, такие как шифрование и деидентификация;
• обоснованно определять оперативные разрешения для личной информации и проводить регулярное обучение и тренинги по вопросам безопасности для оперативного персонала;
• формулировать и реализовывать планы реагирования на инциденты безопасности, связанные с личной информацией;
• проводят регулярные проверки соответствия; и
• принять другие меры безопасности, предусмотренные законами и постановлениями.

Определенные компании (, например, операторов CII, обработчики конфиденциальной личной информации, компании, предлагающие важные услуги интернет-платформы с участием огромного количества пользователей, и сложные виды бизнеса) несут более обременительные обязательства, такие как назначение защиты личной информации сотрудником и / или независимым наблюдательным советом, проводящим оценку воздействия на конфиденциальность обработки данных и публикуя регулярные отчеты о социальной ответственности.

В случае инцидента с данными обработчики должны принять «немедленные» меры по исправлению положения и уведомить органы PI Protection Authorities и всех затронутых лиц.

Пенальти

Нарушение PIPL может привести к административному штрафу в размере до 50 миллионов юаней или 5% от оборота обработчика за последний год (неясно, является ли он локальным или глобальным). Другие штрафы включают приказ об исправлении, предупреждение, конфискацию незаконной прибыли, приостановку или прекращение обслуживания, прекращение работы для исправления и аннулирование разрешений на эксплуатацию или бизнес-лицензий. Ответственное лицо или другие лица, несущие прямую ответственность, также могут нести индивидуальную ответственность и быть оштрафованы или запрещены действовать в качестве директоров, руководителей, старших менеджеров или сотрудников по защите личной информации.

Если обработка данных нарушает права или интересы большого числа лиц, иск в общественных интересах может быть инициирован Народной прокуратурой ( т. Е. орган, ответственный за уголовное преследование), организациями по защите прав потребителей или другой организацией, назначенной администрирование киберпространства.

Наш дубль

Новый закон изменит порядок обработки персональных данных в Китае, включая принятие мер по развитию технологий, связанных с распознаванием лиц, искусственным интеллектом и аналитикой данных. Это потребует от организаций рассмотреть вопрос о том, есть ли существующие практики и процедуры, которые необходимо пересмотреть. Хотя это называется «GDPR Китая», закон отличается от GDPR и содержит нюансы для собственных целей Китая. Рассмотрение и понимание объема и применения PIPL будет продолжаться по мере того, как в ближайшие недели будут опубликованы дополнительные сведения в виде дополнительных правил и практических руководств.

Политика конфиденциальности | Группа Энел

Предоставление ваших личных данных необходимо во всех случаях, когда обработка данных является юридическим требованием или когда это необходимо для выполнения контракта, стороной которого вы являетесь, или для принятия мер по вашему запросу до заключения контракт. Любой отказ может сделать невозможным выполнение цели, для которой собираются ваши личные данные.

Однако предоставление ваших личных данных является добровольным, когда это необходимо для любых других целей: в таких случаях отсутствие вашего согласия не влияет на выполнение контракта.Обязательный или дискреционный характер предоставления данных указывается при их сборе.

Ваши личные данные могут быть доступны по адресу:

• Сотрудникам и консультантам Enel, отвечающим за обработку данных, или компаниям нашей Группы в Европейском Союзе в целях выполнения организационной, административной, финансовой и бухгалтерской деятельности;

• сторонние компании или другие организации, выступающие в роли внешних обработчиков данных, которые предоставляют Enel сторонние услуги для обеспечения функционирования Веб-сайта.

Ваши персональные данные будут обрабатываться в Европейском Союзе и храниться на серверах, расположенных в Европейском Союзе. Те же данные могут обрабатываться в странах за пределами Европейского Союза при условии, что гарантируется адекватный уровень защиты, признанный специальным решением Европейской комиссии о соответствии.

Любая передача Персональных данных в страны, не входящие в ЕС, при отсутствии решения Европейской комиссии о достаточности будет возможна только в том случае, если задействованные Контроллеры и Обработчики данных предоставят адекватные гарантии договорного характера, включая Обязательные корпоративные правила и Стандартные договорные положения.

Передача ваших Персональных данных в третьи страны за пределами Европейского Союза при отсутствии решения об адекватности или других соответствующих мер, как описано выше, будет осуществляться только в том случае, если вы прямо дали на это согласие или в случаях, предусмотренных GDPR. и будут обработаны в ваших интересах. В этих случаях мы сообщаем вам, что, хотя Группа Enel принимает рабочие инструкции, общие для всех стран, в которых она работает, передача ваших Персональных данных может быть подвержена рискам, связанным с особенностями местного законодательства в отношении обработки Персональных данных. .Любые обрабатываемые персональные данные должны храниться в соответствии с принципами соразмерности и необходимости и, в любом случае, до тех пор, пока не будут выполнены цели обработки данных.

В отношении предоставленных персональных данных в соответствии со статьями 15–21 Регламента ЕС 2016/679 (GDPR) вы имеете следующие права:

• для запроса доступа к данным и запроса копии;
• для запроса исправления;
• для запроса стирания;
• для получения ограничения обработки;
• возразить против обработки;
• , чтобы получать персональные данные в структурированном, широко используемом и машиночитаемом формате и беспрепятственно передавать такие данные другому контроллеру, где это технически возможно.

В любом случае вы имеете право в любое время возразить против обработки ваших личных данных, которая выполняется с целью преследования законных интересов Enel. Вы можете воспользоваться своими правами и отозвать свое согласие, написав электронное письмо по адресу [email protected].

Имейте в виду, что вы имеете право подать жалобу в компетентный орган по защите данных. Если вы хотите сделать это, вы можете одним из следующих способов:

a) заказное письмо с уведомлением о вручении в Управление по защите данных Италии по адресу: Garante per la Protezione dei Dati Personali, Piazza Venezia 11, 00186 Roma, Италия;
б) по электронной почте: garante @ gpdp.это или [email protected];
c) по факсу: +39 06 696773785

Если вы возражаете против обработки ваших персональных данных, Enel приостановит обработку таких данных, за исключением случаев, когда будут продемонстрированы законные причины для продолжения обработки или когда это необходимо для установления, осуществления или защиты права в суде закон.