Содержание

Назначениe лица, ответственного за организацию обработки персональных данных

Лицо, ответственное за организацию обработки персональных данных

В соответствии с требованиями Федерального закона 152 «О персональных данных» Оператор персональных данных, являющийся юридическим лицом, обязан назначить приказом лицо, ответственное за организацию обработки персональных данных. В GDPR имеются аналогичные требования.

У оператора есть несколько вариантов действий:

  1. Открыть штатную единицу и нанять на работу Ответственное лицо.
  2. Передать обязанности на аутсорсинг.
  3. Назначить в качестве ответственного лица имеющегося работника.

Чаще всего на роль ответственного назначают одного из следующий сотрудников:

  1. Юрист
  2. Специалист подразделения информационных технологий
  3. Специалист по защите информации
  4. Сотрудник отдела кадров
  5. Менеджер по рискам
  6. Административный директор
  7. Директор по работе с государственными органами

Исполнение функции ответственного зачастую связано с подготовкой организационно-распорядительной документации и требует знания соответствующих нормативных документов.

Наиболее оптимальным вариантом является назначение на роль ответственного за организацию обработки персональных данных сотрудника юридической службы, а при отсутствии таковой сотрудника отдела кадров. Специалист отдела ИТ или ИБ больше подходит для исполнения роли ответственного за обеспечение безопасности персональных данных в информационной системе, так как владеет информацией о структурно-функциональных характеристиках информационной системы и применяемых в ней информационных технологий.

Кроме этого, по мнению Роскомнадзора, ответственным лицом должен быть скорее сотрудник юридического отдела, чем специалист по информационной безопасности, так как в новых Правилах проверок Роскомнадзора определено, что их действие не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.

Образец формы приказа о назначении ответственного за организацию обработки персональных данных

ПРИКАЗ

о назначении ответственного за организацию обработки персональных данных

№ _____. __.20__

В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»,

ПРИКАЗЫВАЮ:

  1. Назначить ответственным за организацию обработки персональных данных в Компании (указать наименование) (указать должность, ФИО).
  2. Контроль за выполнением требований действующего законодательства в сфере организации обработки персональных данных возложить на ответственного за организацию обработки персональных данных.
  3. Возложить функции, полномочия и ответственность, предусмотренные локальными актами Оператора (здесь обычно перечисляются внутренние документы Оператора по вопросам обработки персональных данных), на ответственного за организацию обработки персональных данных.
  4. Контроль за выполнением требований действующего законодательства в сфере организации обработки персональных данных возложить на ответственного за организацию обработки персональных данных.

«__» ______________ 20___г. ________________ ________________________________

Образец формы приказа о назначении ответственного за обеспечение безопасности персональных данных в информационной системе

ПРИКАЗ

о назначении ответственного за организацию обработки персональных данных

№ _____. __.20__

В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»,

ПРИКАЗЫВАЮ:

  1. Назначить ответственным за обеспечением безопасности персональных данных в информационных системах персональных данных в Компании (указать наименование) (указать должность, ФИО).
  2. Наделить ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных следующими правами:
    1. требовать от лиц, обеспечивающих информационную безопасность и обеспечивающих применение информационных технологий, выполнение следующих действий, предусмотренных законодательством РФ, а также локальными актами Компании (указать наименование), но не ограничиваясь ими:
      • осуществление регулярного обнаружения уязвимостей и угроз безопасности персональных данных;
      • участие в определении актуальных угроз безопасности персональных данных;
      • участие в проведении работ по проработке технических решений по защите персональных данных, внедрению и эксплуатации программных и аппаратных средств защиты, а также инфраструктуры информационной системы персональных данных;
      • участие в разработке и поддержании в актуальном состоянии организационно-распорядительной документации средств защиты персональных данных;
      • участие в реализации разрешительной системы доступа к персональным данным;
    2. запрашивать и получать от иных работников Оператора информацию для исполнения своих обязанностей;
    3. вносить предложения руководителю Компании (указать наименование):
      • о внесении изменений в технологические процессы, связанные с обработкой персональных данных, а также в информационные системы персональных данных, если это обусловлено необходимостью обеспечения безопасности персональных данных в соответствии с требованиями законодательства РФ;
      • необходимости проведения организационных и технических мероприятий с целью обеспечения безопасности персональных данных в соответствии с требованиями законодательства РФ;
      • поощрении или привлечении к ответственности работников Компании (указать наименование) в связи с исполнением ими обязанностей, связанных с обработкой персональных данных.
  3. Возложить на ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных следующие обязанности:
    1. участие в разработке Модели защиты персональных данных при их обработке в информационных системах персональных данных;
    2. определение типа актуальных угроз информационной безопасности персональных данных для каждой информационной системы персональных данных;
    3. определение необходимого уровня защищённости персональных данных при их обработке в информационных системах персональных данных;
    4. определение требований к созданию средств защиты персональных данных для информационных систем персональных данных;
    5. участие в выборе средств защиты информации для средств защиты персональных данных в соответствии с Приказом ФСТЭК № 21;
    6. участие в создании и вводе в эксплуатацию средств защиты персональных данных;
    7. учет применяемых для обеспечения безопасности персональных данных средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов;
    8. контроль выполнения мероприятий, предусмотренных Положением об организации обработки и обеспечении безопасности персональных данных в Компании (указать наименование).

«__» ______________ 20___г. ________________ ________________________________

Нормативно-правовая база

О назначении ответственных за организацию обработки конфиденциальной информации, в том числе персональных данных.

 

Должностная инструкция  ответственного за организацию обработки конфиденциальной информации, в том числе персональных данных

Правила обработки персональных данных

Правила рассмотрения запросов субъектов персональных данных или их представителей

 

Правила осуществления внутреннего контроля персональных данных

 

Об утверждении типовой формы согласия на обработку персональных данных и

типовой формы разъяснения субъекту юридических последствий отказа предоставить свои персональные данные

 

Приказ «Об утверждении перечня информационных систем и перечня обрабатываемых персональных данных»

 

Приказ «Об утверждении документов, определяющих порядок доступа в помещения, в которых обрабатывается конфиденциальная информация, в том числе персональные данные, и где размещены или хранятся средства криптографической защиты информации»

 

Инструкция ответственного за организацию работ по криптографической защите информации

 

Инструкция по обращению со средствами криптографической защиты информации

 

Приказ «Об обращении со средствами криптографической защиты информации»

Приказ «Об обеспечении сохранности носителей конфиденциальной информации»

Приказ «Об утверждении перечня должностей служащих допущенных к персональным данными ответственных за обезличивание персональных данных»

 

Должностная инструкция пользователя информационной системы

 

Приказ «О назначении должностного лица, ответственного за обеспечение безопасности конфиденциальной информации, в том числе персональных данных»

 

Должностная инструкция ответственного за обеспечение безопасности конфиденциальной информации, в том числе персональных данных

 

Правила доступа к конфиденциальной информации, в том числе персональным данным, обрабатываемой в информационной системе

 

Должностная инструкция системного администратора информационной системы

 

Приказ «О создании комиссии для классификации информационных систем по уровню защищенности»

 

Приказ «Об утверждении Плана мероприятий по обеспечению выполнения МБОУ СОШ №1 г. Задонска обязанностей, предусмотренных федеральным законодательством и принятыми в соответствии с ним нормативными правовыми актами»

В организации (микропредприятие) нет работника, ответственного за обработку персональных данных. Обязательно ли издание

Вопрос: Организация относится к субъектам малого предпринимательства (микропредприятиям). В связи с отсутствием работника, ответственного за обработку персональных данных, необходимо назначить генерального директора ответственным за обработку персональных данных. Является ли обязательным издание приказа о назначении генерального директора ответственным за организацию обработки персональных данных в организации? Обязательно ли предусматривать в данном приказе обязанности ответственного лица – генерального директора?

 
Ответ: В случае отсутствия иных работников организация обязана издать приказ о назначении генерального директора ответственным за организацию обработки персональных данных. Отражение в данном приказе прав и обязанностей лица, ответственного за организацию обработки персональных данных, не является обязательным. По нашему мнению, права и обязанности лица, ответственного за обработку персональных данных, и его ответственность целесообразнее отразить в соответствующем локальном акте наряду с описанием порядка хранения и использования персональных данных.
 
Обоснование: Согласно ст. 87 Трудового кодекса РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов.
Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 N 152-ФЗ “О персональных данных” (далее – Закон N 152-ФЗ).
Как следует из положений п. 2 ст. 3 Закона N 152-ФЗ, организация по отношению к работнику является оператором по обработке персональных данных.
В соответствии с п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Закона N 152-ФЗ оператор (организация) обязан назначить ответственного за организацию обработки персональных данных. Для назначения ответственного за работу с персональными данными работника работодателю необходимо издать приказ.
Поскольку вышеуказанное требование о назначении лица, ответственного за организацию обработки персональных данных, в организации является обязательным, в связи с отсутствием работника, ответственного за организацию обработки персональных данных, данный приказ необходимо издать в отношении генерального директора.
Пункт 2 ч. 1 ст. 18.1 Закона N 152-ФЗ устанавливает обязанность юридического лица по изданию документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений. Следовательно, работодатель также обязан разработать и утвердить положение об обработке персональных данных в соответствии с требованиями ТК РФ и Закона N 152-ФЗ.
В действующем законодательстве отсутствуют требования и унифицированные формы положения об обработке персональных данных и приказа о назначении ответственного за организацию обработки персональных данных. Кроме того, обязательные требования к содержанию приказа законодательством также не предусмотрены.
По нашему мнению, в отсутствие обязательных законодательных требований необходимость отражения в приказе о назначении лица, ответственного за организацию обработки персональных данных, прав и обязанностей данного лица отсутствует.
Учитывая вышеизложенное, работодателю, на наш взгляд, целесообразнее в положении о персональных данных, помимо порядка хранения и использования персональных данных, отразить права и обязанности лица, ответственного за обработку персональных данных, его ответственность.
Положение об обработке персональных данных утверждается на основании соответствующего приказа руководителя организации. Назначение ответственного лица может быть оформлено как отдельным документом, так и в документе, одновременно утверждающем положение о персональных данных.
В соответствии с п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также с их правами и обязанностями в этой области.
 
Ю.Ю.Астахова
ЗАО Агентство правовой информации
“Воробьевы горы”
Региональный информационный
центр Сети КонсультантПлюс
24.10.2015

Приказ о назначении ответственного за обработку данных

В организации желательно иметь приказ о назначении ответственного за обработку персональных данных. Это требование прямо вытекает из положений главы 14 Трудового кодекса РФ. И неоднократно подтверждено судебной практикой.

Приказ о назначении ответственного за обработку персональных данных – одно из мероприятий защиты персональных данных работника. Именно тогда возможно применить ответственность за разглашение персональных данных. Поэтому при проверках трудовой инспекции требование предоставить такой документ вполне законно и обоснованно. Иначе ответственность несет исключительно руководитель организации.

Пример документа

Общество с ограниченной ответственностью “ВасилькоВиКо”

ИНН/КПП 468416546316341/6546316546

юр. адрес: Россия, Ненецкий автономный округ, г. Амдерма, ул. Северная, 13

Приказ № 17

о назначении ответственного за обработку персональных данных

г. Амдерма 14.11.2022 г.

В целях обеспечения защиты персональных данных работников ООО “ВасилькоВиКо” и во исполнение требований главы 14 Трудового кодекса Российской Федерации, Закона “О персональных данных” от 27.07.2006 г. № 152-ФЗ,

ПРИКАЗЫВАЮ:

  1. Назначить начальника кадрового отдела Суховееву Ларису Викторовну ответственной за обработку персональных данных работников ООО “ВасилькоВиКо” с 14 ноября 2022 года.
  2. Начальнику кадрового отдела Суховеевой Ларисе Викторовне: организовать мероприятия по сбору, хранению, уничтожению и иной обработке персональных данных работников, обеспечить выполнение требований законодательства РФ в области персональных данных, организовать ознакомление работников с локальными нормативными правовыми актами работодателя в сфере обработки и защиты персональных данных по мере их утверждения и издания,
  3. Начальнику кадрового отдела Суховеевой Ларисе Викторовне представить в срок до 20. 11.2022 г. для утверждения перечень лиц, имеющих допуск к персональным данным работников в ООО “ВасилькоВиКо”.
  4. В случае отсутствия Суховеевой Л.В. по уважительным причинам назначить замещающим ее главного специалиста отдела кадров Дуева Андрея Викторовича.
  5. Контроль за исполнением настоящего приказа оставляю за собой.

Генеральный директор Рузаков Рузаков А.Д.

С приказом ознакомлены:

Суховеева Л.В.

Дуев А.В.

Для чего нужен приказ о назначении ответственного за обработку данных

Законная обработка персональных данных – современные реалии. Государство и надзирающие органы уделяют все больше внимания указанной сфере. А в трудовой деятельности есть ряд строгих запретов. Есть требования о запрете обработке специальных категорий персональных данных. А также запрет получать персональные данные от иных, кроме работника, лиц. Передача персональных данных работника регламентируется также достаточно строго.

Обязанность оформить приказ у работодателя прямо не предусмотрена законом. Но разработать и утвердить такой приказ – значит, назначить лицо, которое будет отвечать за организацию обработки данных. Как уже мы сказали выше, при отсутствии приказа, ответственность несет руководитель и само юридическое лицо.

Кого назначить ответственным за обработку?

Ответственное лицо должно обладать знаниями в области регулирования и процесса обработки. И законодательства в сфере персональных данных. Поэтому чаще всего это руководящий состав. Кадровики, юристы, бухгалтерия (последние – реже). Если организация имеет филиалы или обособленные подразделения, логично возложить такие обязанности на соответствующих руководителей.

Как составить распоряжение по персональным данным

Оформление приказа осуществляется по общим правилам делопроизводства. Обязательная форма законодательство не закрепляет. Утверждает документ руководитель организации.

Помимо правового обоснования (в связи с чем и на основании каких правовых норм), а также собственно указание на должность лица, которое руководитель назначает ответственным, мы рекомендуем включать:

  • сведения о лице, замещающим основного сотрудника в случае отсутствия на рабочем месте (болезнь, командировка, отпуск)
  • перечень мероприятий, обязательных к исполнению
  • кто контролирует исполнение приказа

С приказом о назначении ответственного за обработку персональных данных ознакамливают соответствующих лиц, а сведения вносят в журнал регистрации приказов работодателя с присвоением порядкового номера.

GDPR Процедуры для контроллеров и процессоров данных

В соответствии с Общим регламентом ЕС по защите данных (GDPR) любая компания, обрабатывающая персональные данные в ЕС, классифицируется как контроллер данных , обработчик данных или , оба . Каковы основные процедуры для контроллеров и процессоров?

Контроллер данных подобен начальнику данных . Когда дело доходит до обработки личных данных, он делает все возможное.Он решает вещей, таких как, кто может получить доступ к данным, , как долго хранится, и как владелец личных данных может запросить их удаление .

Обработчик данных подобен сотруднику контролера данных . Он обрабатывает от имени контроллера данных . Делает так, как его просят. Но это не значит, что он не подотчетен - у него также есть важных обязанностей .


Контроллеры данных

Давайте посмотрим, как сам GDPR определяет контроллер данных в статье 4 (7):

"физическое или юридическое лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; если цели и средства такой обработки определяются Союзом или государством-членом закон, контролер или конкретные критерии для его назначения могут быть предусмотрены законом Союза или государства-члена "

Другими словами, контролер данных - это лицо или организация, которые имеют контроль над тем, как обрабатываются некоторые личные данные.

Итак, какие процедуры фактически должен выполнять контроллер данных?

В общем, есть две (большие!) Задачи:

  • Понимать принципы GDPR.
  • Внедрить и быть подотчетным за эти принципы.

Сначала мы рассмотрим принципы , которые должны понимать контроллеры данных. Затем мы изложим несколько практических шагов , которые контроллеры данных должны предпринять для реализации этих принципов.

Общие сведения о GDPR

Принципиально важная задача для контроллера данных - это понять GDPR и свою роль в нем.

Как руководитель всех персональных данных, которые они обрабатывают, доллар останавливается на контролере данных . Они должны иметь возможность продемонстрировать , что любые обрабатываемые ими данные обрабатываются в соответствии с GDPR.

Без глубоких знаний принципов GDPR и понимания того, как эти принципы применимы к их конкретной ситуации, это будет невозможно.

Контроллер данных должен знать принципы статьи 5 GDPR. Согласно этим принципам, контролер данных должен :

  • Обработка персональных данных законным, справедливым и прозрачным способом .
  • Обрабатывать персональные данные только для ограниченной и конкретной цели .
  • Обрабатывать только те персональные данные, которые необходимы для их целей.
  • Обеспечить точность и актуальность обрабатываемых ими персональных данных .
  • Хранить личные данные только столько времени, сколько необходимо .
  • Хранить личные данные в безопасности и конфиденциальности .
  • Отвечать за то, как они обрабатывают личные данные.

Последний требует немного работы. Чтобы контроллер данных был подотчетным , он должен иметь возможность продемонстрировать , как они соблюдают все принципы GDPR.

Вот несколько конкретных действий, которые необходимо сделать контроллерам данных для соответствия GDPR.

Определите законную основу

GDPR устанавливает шесть законных оснований для обработки персональных данных. Вы можете обрабатывать данные только в ЕС на одной или нескольких из этих баз. Контроллер данных должен указать , какое законное основание они используют.

Во-первых, стоит указать , что на самом деле означает обработка в контексте GDPR (спойлер: это все).

Взгляните на эти примеры, представленные в самой статье 4 (2) GDPR:

«сбор, запись, организация, структурирование, хранение, адаптация или изменение, поиск, консультации, использование, раскрытие путем передачи, распространения или иного предоставления, согласования или комбинации, ограничения, стирания или уничтожения»

Возможно, вам сложно придумать что-нибудь, что вы могли бы сделать с чьими-либо личными данными, что не квалифицируется как их «обработка».Ну, по сути, ничего нет. Это все обрабатывается .

GDPR направлен на то, чтобы передать privacy и control в руки людей в ЕС. Если вы собираетесь собирать и хранить личные данные гражданина ЕС, вам лучше иметь уважительную причину для этого.

Контроллер данных может рассматривать шесть законных оснований как их оправдание для обработки личных данных человека. Если кто-то спросит: «Почему вы обрабатываете мои данные таким образом?» вы сможете указать на это юридическое обоснование.

Законные основания:

  • Согласие - у человека есть свободно разрешено вам обрабатывать свои данные. Например, они подписались на вашу рассылку.
  • Договор - у вас есть договор с этим лицом, и вам необходимо обработать его данные для его выполнения. Например, они попросили у вас расценку на медицинское страхование, поэтому вам нужно получить их историю болезни.
  • Юридическое обязательство - Закон требует от вас обработки данных человека определенным образом. Например, вам необходимо предоставить в налоговые органы информацию о заработной плате человека.
  • Жизненно важные интересы - вам необходимо обработать данные этого человека, чтобы защитить его от травм или повреждений. Например, они попали в автомобильную аварию, и вам необходимо предоставить в больницу их историю болезни.
  • Общественное задание - вы являетесь государственным органом или выполняете общественные обязанности . Например, вам нужно сохранить чей-то адрес, чтобы обеспечить его дом водой.
  • Законный интерес - вы обрабатываете личные данные для защиты интересов своей компании . Например, вам необходимо сохранить записи о юридических консультациях, данных человеку, на случай, если они подадут на вас в суд.

Напишите политику конфиденциальности

A Политика конфиденциальности (иногда известная как Уведомление о конфиденциальности или Заявление о конфиденциальности) - это документ, предназначенный для информирования отдельных лиц:

  • Почему вы обрабатываете свои данные.
  • Как вы его обрабатываете.
  • права они имеют в соответствии с GDPR.

Возможно, у вашей компании уже есть Политика конфиденциальности. Если вы являетесь контролером данных, вы должны повторно посетить и изменить все аспекты, которые не соответствуют GDPR.

Политика конфиденциальности должна быть написана на простом, доступном языке . Это должно быть исчерпывающее , но краткое.

Процесс написания или проверки Политики конфиденциальности - отличный способ для контролера данных действительно оценить, соответствуют ли они GDPR.

Назначить сотрудника по защите данных

Контроллер данных должен решить, нужно ли ему назначать сотрудника по защите данных .

GDPR дает три причины , по которым контроллеру данных может потребоваться назначить сотрудника по защите данных.

Эти причины несколько расплывчаты, но для разъяснения мы можем обратиться за помощью к Рабочей группе по статье 29 . Их руководство для сотрудников по защите данных довольно старое, но было одобрено как относящееся к GDPR.

Контроллер данных должен назначить сотрудника по защите данных, если:

  • Это государственный орган или орган . Это может быть государственный орган, местный орган власти или орган, предоставляющий общественные услуги, которые в основном финансируются государством.
  • Их основных операций по обработке данных включают регулярного и систематического мониторинга субъектов данных в большом масштабе . Мониторинг субъектов данных включает: кредитный скоринг, запись на видеонаблюдение, отслеживание местоположения.Крупномасштабной операцией может быть больница, обрабатывающая данные о пациентах, или общегородская автобусная компания, отслеживающая данные о поездках.
  • Они обрабатывают большие объемы данных специальной категории или данных, относящихся к уголовным приговорам. Данные специальной категории определены в Ст. 9 (1). Это данные, которые раскрывают информацию о человеке: расовом или этническом происхождении, политических взглядах, религиозных или философских убеждениях, членстве в профсоюзе, сексуальной жизни или сексуальной ориентации, биометрии или здоровье.

Проведение оценки воздействия на защиту данных

Контроллер данных должен рассмотреть возможность проведения оценки воздействия на защиту данных. Это требуется везде, где контроллер данных обрабатывает данные в соответствии с принципом « высокий риск ». Некоторые примеры включают:

  • Использование новой технологии для обработки данных
  • Обработка биометрических данных
  • Масштабное профилирование физических лиц
  • Обработка данных особой категории в большом масштабе

Оценка воздействия на защиту данных должна продемонстрировать следующее:

  • причина вы обрабатываете такие данные.
  • Шкала , на которой вы это делаете.
  • Зачем нужно .
  • Какие риски вы определили, и как вы уменьшаете эти риски .

Помогите людям реализовать свои права на данные

Одна из основных целей GDPR - разрешить физическим лицам контролировать свои личные данные.

GDPR устанавливает особые права человека на свои данные в главе 3 GDPR.

Сюда входит право:

  • Be проинформировал о любых своих личных данных, которые обрабатывает контроллер данных.
  • Доступ к этим данным.
  • Запрос на исправление неверной информации .
  • Запрос на удаление данных (иногда известный как «право на забвение»).
  • Запросить ограничений на способ обработки их данных.
  • Переместите своих данных в разные службы.
  • Объект для обработки своих данных.
  • Запрос на выполнение определенных автоматизированных процессов вручную .

Контроллер данных должен помочь человеку реализовать эти права .

Это означает, что если физическое лицо просит контролера данных предоставить копию его персональных данных или удалить некоторые из его персональных данных, контролер данных должен сделать это .

Если не возможно, контроллер данных должен предоставить оправдание для того, чтобы этого не сделать.

Физические лица должны получить ответ на свой запрос в течение одного календарного месяца .

Назначение и управление соответствующими обработчиками данных

Хотя обработчики данных сами несут ответственность в соответствии с GDPR, ответственность контролера данных по-прежнему заключается в назначении обработчика данных, который соответствует .

Контроллер данных должен учитывать множество факторов при выборе процессора данных, в том числе:

  • Вам необходимо убедиться, что выбранный ими процессор данных будет обрабатывать данные безопасным способом .
  • Вы должны быть прозрачными в выборе процессора данных. Подробности следует указать в их Политике конфиденциальности .
  • Обработчик данных может базироваться на за пределами ЕС . Однако в этом случае вам нужно будет подумать, есть ли у вас законные полномочия на передачу данных за границу.

Помните, что контроллер данных - это начальник . Они доверяют обработчику данных заботиться о личных данных от их имени.Они должны четко понимать роль процессора данных и иметь систем на месте для устранения любых нарушений безопасности.

Процессоры данных

Определение процессора данных, данное в GDPR Art. 4 (8), немного менее многословен, чем для контроллера данных. Он определяется как:

«физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера»

Если контролером данных является интернет-магазин, обработчиком данных может быть маркетинговая компания по электронной почте, которая рассылает рекламные материалы.Или это может быть платежная компания, которая управляет покупками в Интернете.

Когда дело доходит до обработчиков данных, большое изменение , которое прибывает с GDPR, заключается в том, что теперь они непосредственно подотчетны в соответствии с законом. Это означает, что они могут быть привлечены к ответственности и оштрафованы за нарушение GDPR, как и контролеры данных.

Общие сведения о GDPR

Обработчик данных, как и контроллер данных, , должен понимать принципы GDPR. Он не может законно обрабатывать данные от имени контроллера данных без соблюдения GDPR.

Назначить сотрудника по защите данных

Когда дело доходит до принятия решения о назначении сотрудника по защите данных, те же условия и процедуры применяются к обработчикам данных в качестве контроллеров.

Выполнить договорные обязательства

Обработчик данных должен иметь договор со своим контролером данных. Это основа для всех процессов, которые они выполняют от имени своего контролера.

Этот контракт будет содержать особые положения, обеспечивающие соответствие обработчика данных требованиям GDPR. Следовательно, критично , чтобы процессор данных придерживался его.

Ответственный субподряд

Обработчик данных может использовать другие процессоры, однако Ст. 28 (2) ясно, что для этого им требуется письменное разрешение от контроллера данных. Любые другие процессоры также должны полностью соответствовать GDPR.

Содействовать контроллеру в помощи людям в реализации их прав на данные

Обработчику данных иногда необходимо помогать контроллеру данных в выполнении запросов, сделанных отдельными лицами.

Например, если физическое лицо использует свое право на удаление, обработчик данных должен удалить любую копию личных данных человека, которые у него хранятся.

Ключевые процедуры

И контроллеры данных, и процессоры должны:

  • Понять, и несут ответственность за принципы GDPR.
  • Выполнять эти принципы законным образом.
  • Рассмотрите возможность назначения сотрудника по защите данных .
  • Сотрудничать с надзорными органами .

Контроллеры данных должны:

  • Создать свою правовую основу для обработки данных.
  • Напишите и соблюдайте политику конфиденциальности в соответствии с GDPR .
  • Рассмотрите возможность проведения оценки воздействия на защиту данных .
  • Помогите людям реализовать свои права на данные .
  • Выбор и управление обработчиками данных , соответствующих GDPR, и управление ими.

Обработчики данных должны:

  • Убедитесь, что они выполняют свои договорные обязательства перед контроллером данных.
  • Только привлекают других обработчиков данных, если у них есть письменное разрешение от контроллера данных, и другие обработчики данных соответствуют требованиям GDPR.
  • Помогите контроллеру данных помочь людям реализовать свои права на данные .

Что такое GDPR, его требования и факты?

Компании, которые собирают данные о гражданах в странах Европейского союза (ЕС), должны соблюдать новые строгие правила защиты данных клиентов. Общий регламент по защите данных (GDPR) устанавливает новый стандарт для прав потребителей в отношении их данных, но компании столкнутся с трудностями, поскольку они внедряют системы и процессы для обеспечения соответствия.

Соответствие вызовет некоторые опасения и новые ожидания групп безопасности. Например, GDPR широко рассматривает, что составляет личную идентификационную информацию. Компаниям потребуется такой же уровень защиты для таких вещей, как IP-адрес человека или данные файлов cookie, что и для имени, адреса и номера социального страхования.

GDPR оставляет многое для интерпретации. В нем говорится, что компании должны обеспечивать, например, «разумный» уровень защиты личных данных, но не определяется, что считается «разумным». Это дает руководящему органу GDPR большую свободу действий при оценке штрафов за утечку данных и несоблюдение требований.

Время на исходе, чтобы уложиться в крайний срок, поэтому CSO собрала все, что нужно знать любому бизнесу о GDPR, а также рекомендации по соблюдению его требований. Многие из требований не относятся напрямую к информационной безопасности, но процессы и системные изменения, необходимые для выполнения, могут повлиять на существующие системы и протоколы безопасности.

Что такое GDPR?

Европейский парламент принял GDPR в апреле 2016 года, заменив устаревшую директиву о защите данных с 1995 года. В ней содержатся положения, требующие от предприятий защиты личных данных и конфиденциальности граждан ЕС при транзакциях, которые происходят в государствах-членах ЕС. GDPR также регулирует экспорт личных данных за пределы ЕС.

[ Связано: -> Как подготовиться к приближающемуся Общему регламенту защиты данных ]

Положения одинаковы во всех 28 странах-членах ЕС, что означает, что компании должны соблюдать только один стандарт в ЕС.Однако этот стандарт довольно высок, и для его соблюдения и управления большинством компаний потребуется вложить значительные средства.

Почему существует GDPR?

Краткий ответ на этот вопрос - общественное беспокойство по поводу конфиденциальности. В Европе в целом уже давно действуют более строгие правила использования компаниями личных данных своих граждан. GDPR заменяет Директиву ЕС о защите данных, которая вступила в силу в 1995 году. Это было задолго до того, как Интернет стал центром онлайн-бизнеса, которым он является сегодня.Следовательно, директива устарела и не затрагивает многие способы хранения, сбора и передачи данных сегодня.

Насколько реальна обеспокоенность общественности по поводу конфиденциальности? Это значительный показатель, и он растет с каждой новой серьезной утечкой данных. Согласно отчету RSA о конфиденциальности и безопасности данных, для которого RSA опросила 7500 потребителей во Франции, Германии, Италии, Великобритании и США, 80% потребителей заявили, что потеря банковских и финансовых данных является главной проблемой. Утерянная информация о безопасности (например,g., пароли) и идентификационная информация (например, паспорта или водительские права) вызвали озабоченность 76% респондентов.

Тревожной статистикой для компаний, занимающихся данными потребителей, является то, что 62% респондентов отчета RSA заявили, что в случае взлома они обвинят компанию в потере данных, а не хакера. Авторы отчета пришли к выводу, что «по мере того, как потребители становятся более информированными, они ожидают большей прозрачности и оперативности от управляющих их данными.”

Недоверие к тому, как компании обращаются со своей личной информацией, побудило некоторых потребителей принять собственные меры противодействия. Согласно отчету, 41% респондентов заявили, что намеренно фальсифицируют данные при подписке на услуги онлайн. Проблемы безопасности, желание избежать нежелательного маркетинга или риск перепродажи данных были среди их главных забот.

Отчет также показывает, что потребители не легко простят компанию, если произойдет нарушение, раскрывающее их личные данные.Семьдесят два процента респондентов в США заявили, что они будут бойкотировать компанию, которая, по всей видимости, игнорирует защиту их данных. Пятьдесят процентов всех респондентов заявили, что они с большей вероятностью будут делать покупки в компании, которая может доказать, что серьезно относится к защите данных.

«По мере того, как компании продолжают свои цифровые преобразования, более широко используя цифровые активы, услуги и большие данные, они также должны нести ответственность за ежедневный мониторинг и защиту этих данных», - говорится в заключении.

Какие типы данных конфиденциальности защищает GDPR?

  • Основная идентификационная информация, такая как имя, адрес и идентификационные номера
  • Интернет-данные, такие как местоположение, IP-адрес, данные cookie и RFID-метки
  • Здоровье и генетические данные
  • Биометрические данные
  • Расовые или этнические данные
  • Политические взгляды
  • Сексуальная ориентация

На какие компании влияет GDPR?

Любая компания, которая хранит или обрабатывает личную информацию о гражданах ЕС в странах ЕС, должна соблюдать GDPR, даже если у них нет бизнес-присутствия в ЕС.Конкретные критерии для компаний, которые должны соответствовать:

  • Присутствие в стране ЕС.
  • Нет присутствия в ЕС, но обрабатывает личные данные жителей Европы.
  • Более 250 сотрудников.
  • Менее 250 сотрудников, но его обработка данных влияет на права и свободы субъектов данных, не является случайной или включает определенные типы конфиденциальных личных данных. Фактически это означает почти все компании. Опрос PwC показал, что 92% компаний U.Компании S. считают GDPR высшим приоритетом защиты данных.

В новом опросе, проведенном Propeller Insights при спонсорской поддержке Netsparker Ltd., руководители спрашивали, какие отрасли больше всего пострадают от GDPR. В большинстве случаев (53%) сектор технологий пострадал больше всего, за ним следовали интернет-магазины (45%), компании-разработчики программного обеспечения (44%), финансовые услуги (37%), онлайн-услуги / SaaS (34%) и розничные / потребительские товары. (33%).

Кто в моей компании будет отвечать за соблюдение требований?

GDPR определяет несколько ролей, которые отвечают за обеспечение соответствия: контролер данных, обработчик данных и офицер по защите данных (DPO). Контроллер данных определяет, как обрабатываются персональные данные и для каких целей они обрабатываются. Контролер также несет ответственность за соблюдение требований внешних подрядчиков.

[ Связано: -> Требования GDPR повышают глобальные ставки защиты данных ]

Обработчиками данных могут быть внутренние группы, которые поддерживают и обрабатывают записи личных данных, или любая аутсорсинговая фирма, которая выполняет все или часть этих действий. GDPR возлагает на обработчиков данных ответственность за нарушения или несоблюдение.Тогда возможно, что и ваша компания, и партнер по обработке, например поставщик облачных услуг, будут нести ответственность за штрафы, даже если вина полностью ложится на партнера по обработке.

GDPR требует, чтобы контроллер и процессор назначили DPO для наблюдения за стратегией безопасности данных и соблюдением GDPR. Компании должны иметь DPO, если они обрабатывают или хранят большие объемы данных граждан ЕС, обрабатывают или хранят специальные личные данные, регулярно контролируют субъектов данных или являются государственным органом. Некоторые государственные организации, такие как правоохранительные органы, могут быть освобождены от требования DPO.

Согласно опросу Propeller Insights, 82% компаний-респондентов заявили, что у них уже есть штатные сотрудники, хотя 77% планируют нанять нового или заменяющего DPO до крайнего срока 25 мая. Этот наем не заканчивается на DPO. Около 55% респондентов сообщили, что наняли не менее шести новых сотрудников для обеспечения соответствия GDPR.

Как GDPR влияет на контракты с третьими сторонами и клиентами?

GDPR возлагает равную ответственность на контроллеры данных (организацию, владеющую данными) и обработчики данных (внешние организации, которые помогают управлять этими данными).Сторонний процессор, не соответствующий требованиям, означает, что ваша организация не соответствует требованиям. Новое постановление также содержит строгие правила сообщения о нарушениях, которые должны соблюдать все участники цепочки. Организации также должны информировать клиентов об их правах в соответствии с GDPR.

Это означает, что все существующие контракты с обработчиками (например, поставщиками облачных услуг, поставщиками SaaS или поставщиками услуг по расчету заработной платы) и клиентами должны четко определять обязанности. В пересмотренных контрактах также необходимо определить последовательные процессы управления и защиты данных и сообщения о нарушениях.

«Самая большая работа связана с закупками внутри компании - вашими сторонними поставщиками, вашими поставщиками, которые обрабатывают данные от вашего имени», - говорит Мэтью Льюис, руководитель международной практики банковского дела и регулирования в компании Axiom, предоставляющей юридические услуги. «Существует целая группа поставщиков, которые имеют доступ к этим личным данным, и GDPR очень четко определяет, что вам необходимо убедиться, что все эти третьи стороны соблюдают GDPR и обрабатывают данные соответствующим образом».

Клиентские контракты также должны отражать нормативные изменения, говорит Льюис.«Клиентские контракты принимают различные формы, будь то интерактивные переходы по ссылкам или официальные соглашения, в которых вы берете на себя обязательства в отношении того, как вы просматриваете, получаете доступ и обрабатываете данные».

Прежде чем эти контракты можно будет пересмотреть, руководители предприятий, ИТ-отделы и группы безопасности должны понять, как данные хранятся и обрабатываются, и согласовать соответствующий процесс отчетности. «Технологическим группам, директорам по информационным технологиям и группе управления данными требуется довольно масштабное упражнение, чтобы понять, какие данные подходят для компании, где они хранятся или обрабатываются и куда экспортируются за пределы компании.Как только вы поймете эти потоки данных и их влияние на бизнес, вы сможете начать определять поставщиков, на которых вам нужно больше всего сосредоточиться как с точки зрения информационной безопасности, так и с точки зрения управления этими отношениями в будущем и того, как вы запомните это в контракте. сам », - говорит Льюис.

GDPR может также изменить отношение бизнес-групп и специалистов по безопасности к данным. По словам Льюиса, большинство компаний рассматривают свои данные и процессы, которые они используют для их добычи, как актив, но это восприятие изменится. «Учитывая явное согласие GDPR и компании, которым необходимо более детально разбираться в данных и потоках данных, теперь существует целый ряд обязательств, связанных с накоплением данных», - говорит Льюис. «Это совершенно другое мировоззрение как с точки зрения законодательства, так и с точки зрения соблюдения нормативных требований, но, возможно, более важно для того, как бизнес думает о накоплении и использовании этих данных, а также для групп информационной безопасности и того, как они думают об управлении этими данными».

«Данные уходят из фирмы разными способами», - говорит Льюис.«Хотя директора по информационным технологиям и технологические группы должны иметь возможность отслеживать все это, вам также необходимо установить защиту». Эти меры защиты должны быть прописаны в контракте, чтобы сторонние фирмы понимали, что они могут и не могут делать с данными.

Льюис отмечает, что, пройдя процесс определения обязательств и ответственности, он подготавливает компанию к оперативному соблюдению GDPR. «Если один из ваших поставщиков скажет:« Вы были взломаны вчера вечером », знают ли они, кому звонить и как реагировать в рамках соблюдения нормативных требований», - говорит он.

72-часовое окно отчетности, которое требует GDPR, делает особенно важным, чтобы поставщики знали, как правильно сообщать о нарушении. «Если поставщик был взломан, а вы являетесь одним из тысяч клиентов, уведомляют ли они ваш отдел закупок, сотрудника по счетам или кого-то, кто занимается счетами к получению? Это могло произойти разными способами », - говорит Льюис.

Вы хотите, чтобы в контракте был четко определен путь, по которому информация будет поступать к лицу в вашей организации, ответственному за сообщение о нарушении.«Регулирующий орган не собирается говорить, что у вас не должно было быть нарушения. Они скажут, что у вас должна быть политика, процедуры и структура реагирования, чтобы быстро решить эту проблему », - говорит Льюис.

Более крупным компаниям, возможно, придется обновить тысячи контрактов. Эта проблема усложняется тем, что это необходимо делать на поздних этапах процесса соответствия. Прежде чем вы сможете определить обязанности и ответственность, вы должны точно знать, какие данные у вас есть, где и как они обрабатываются, а также потоки данных.«Это привело к тому, что многие учреждения стремятся к сроку, пытаясь решить технические и операционные проблемы, и вынуждены наверстывать упущенное, заключая правильный контракт, чтобы обеспечить выполнение этого. Многие фирмы не пересматривали условия контрактов ».

Возникает вопрос: что произойдет, если все контракты не будут заключены к майскому крайнему сроку? Льюис видит несколько рисков, связанных с невыполнением контрактов:

  • Оперативный: если вы не согласовали с поставщиком, какими будут ваши процессы, непонятно, как вы будете действовать в соответствии с GDPR.
  • Управление поставщиками: в соответствии с GDPR вам необходимо знать, как работают ваши поставщики, включая их структуру безопасности, и как они управляют данными. Без этого знания вы не знаете, какой риск они представляют.
  • Нормативные штрафы: Льюис отмечает, что ЕС известен своей готовностью взимать высокие штрафы за несоблюдение нормативных требований. Если происходит нарушение, отсутствие контрактов вполне может сработать против компании. «Отсутствие контракта - признак того, что вы не знаете, что делают ваши поставщики, и это более серьезная проблема управления, связанная с тем, какую инфраструктуру вы используете и как обрабатываете данные», - говорит Льюис.«Это дает регулирующему органу представление о том, насколько вы организованы и насколько хорошо вы понимаете свои потоки данных».

Конфиденциальность DPA | Coursera

Пункт 1

Определения

Для целей пунктов:

(a) «персональные данные», «особые категории данных», «обработка / обработка», «контролер», «обработчик», «данные». субъект 'и' контролирующий орган 'имеют то же значение, что и в Директиве 95/46 / ЕС Европейского парламента и Совета от 24 октября 1995 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении. таких данных;

(b) «экспортер данных» означает контролера, который передает персональные данные;

(c) «импортер данных» означает обработчик, который соглашается получать от экспортера данных персональные данные, предназначенные для обработки от его имени после передачи в соответствии с его инструкциями и условиями пунктов, и который не подлежит система третьей страны, обеспечивающая адекватную защиту по смыслу статьи 25 (1) Директивы 95/46 / ЕС;

(d) «субпроцессор» означает любой обработчик, привлеченный импортером данных или любым другим субпроцессором импортера данных, который соглашается получать от импортера данных или от любого другого субпроцессора импортера данных персональные данные, предназначенные исключительно для обработки. будет осуществляться от имени экспортера данных после передачи в соответствии с его инструкциями, условиями пунктов и условиями письменного субподряда;

(e) «применимый закон о защите данных» означает законодательство, защищающее основные права и свободы людей и, в частности, их право на неприкосновенность частной жизни в отношении обработки персональных данных, применимое к контроллеру данных в государстве-члене в установлен экспортер данных;

(f) «технические и организационные меры безопасности» означают меры, направленные на защиту персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передачу данных по сети, и против всех других незаконных форм обработки.

Пункт 2

Подробная информация о передаче

Подробная информация о передаче и, в частности, особые категории персональных данных, где это применимо, указаны в Приложении 1, которое является неотъемлемой частью пунктов.

Пункт 3

Пункт о стороннем бенефициаре

  • Субъект данных может применить к экспортеру данных положения пункта 4 (b) - (i), пункта 5 (a) - (e) и (g) к (j), пунктам 6 (1) и (2), пункту 7, пункту 8 (2) и пунктам 9–12 в качестве стороннего бенефициара.
  • Субъект данных может применить против импортера данных положения настоящего пункта, пункта 5 (a) - (e) и (g), пункта 6, пункта 7, пункта 8 (2) и пунктов 9-12, в случаях, когда экспортер данных фактически исчез или прекратил свое существование по закону, если какое-либо юридическое лицо-преемник не приняло на себя все юридические обязательства экспортера данных по контракту или в силу закона, в результате чего оно берет на себя права и обязанности экспортера данных , и в этом случае субъект данных может принудить их к исполнению против такого лица.
  • Субъект данных может применить к субпроцессору этот пункт, пункты 5 (a) - (e) и (g), пункт 6, пункт 7, пункт 8 (2) и пункты 9–12, в случаях, когда оба экспортер данных и импортер данных фактически исчезли, прекратили свое существование по закону или стали неплатежеспособными, если только какое-либо юридическое лицо-преемник не приняло на себя все юридические обязательства экспортера данных по контракту или в силу закона, в результате чего оно берет на себя права и обязанности экспортера данных, и в этом случае субъект данных может применить их к такому лицу.Такая ответственность субпроцессора перед третьими сторонами ограничивается его собственными операциями обработки в соответствии с Пунктами.
  • Стороны не возражают против того, чтобы субъект данных был представлен ассоциацией или другим органом, если субъект данных явно этого желает и если это разрешено национальным законодательством.

Пункт 4

Обязательства экспортера данных

Экспортер данных соглашается и гарантирует:

(a), что обработка, включая саму передачу, персональных данных осуществлялась и будет осуществляться в соответствии с с соответствующими положениями применимого закона о защите данных (и, если применимо, был уведомлен в соответствующие органы государства-члена, в котором учрежден экспортер данных), и не нарушает соответствующие положения этого государства;

(b), что он проинструктировал, и в течение всего срока оказания услуг по обработке персональных данных будет инструктировать импортера данных обрабатывать персональные данные, переданные только от имени экспортера данных и в соответствии с применимым законом о защите данных и положениями;

(c) импортер данных предоставит достаточные гарантии в отношении технических и организационных мер безопасности, указанных в Приложении 2 к настоящему контракту;

(d), что после оценки требований применимого закона о защите данных меры безопасности подходят для защиты персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, когда обработка включает передача данных по сети и от всех других незаконных форм обработки, и что эти меры обеспечивают уровень безопасности, соответствующий рискам, связанным с обработкой, и характеру данных, подлежащих защите, с учетом современного состояния и стоимость их реализации;

(e) что он обеспечит соблюдение мер безопасности;

(f) что, если передача включает в себя особые категории данных, субъект данных был проинформирован или будет проинформирован до или как можно скорее после передачи о том, что его данные могут быть переданы в третью страну, не предоставляя адекватных защита в смысле Директивы 95/46 / EC;

(g) для пересылки любого уведомления, полученного от импортера данных или любого субпроцессора в соответствии с Пунктом 5 (b) и Пунктом 8 (3), в орган надзора за защитой данных, если экспортер данных решит продолжить передачу или отменить приостановку ;

(h) предоставлять субъектам данных по запросу копию Условий, за исключением Приложения 2, и краткое описание мер безопасности, а также копию любого контракта на вспомогательные услуги, который должен быть сделано в соответствии с Пунктами, если Пункты или контракт не содержат коммерческую информацию, и в этом случае он может удалить такую ​​коммерческую информацию;

(i) что в случае дополнительной обработки обработка данных выполняется в соответствии с пунктом 11 субпроцессором, обеспечивающим, по крайней мере, такой же уровень защиты личных данных и прав субъекта данных, что и импортер данных в соответствии с Статьи; и

(j), что он обеспечит соответствие Пунктам 4 (a) - (i).

Пункт 5

Обязательства импортера данных

Импортер данных соглашается и гарантирует:

(a) обрабатывать личные данные только от имени экспортера данных и в соответствии с его инструкциями и положениями; если он не может обеспечить такое соответствие по каким-либо причинам, он соглашается незамедлительно проинформировать экспортера данных о своей неспособности соблюдать, и в этом случае экспортер данных имеет право приостановить передачу данных и / или расторгнуть договор;

(b) что у него нет оснований полагать, что применимое к нему законодательство не позволяет ему выполнять инструкции, полученные от экспортера данных, и его обязательства по контракту, а также что в случае изменения этого законодательства, которое может оказывает существенное неблагоприятное влияние на гарантии и обязательства, предусмотренные Пунктами, он незамедлительно уведомит об изменении экспортера данных, как только он узнает, и в этом случае экспортер данных имеет право приостановить передачу данных и / или прекратить контракт;

(c) что он реализовал технические и организационные меры безопасности, указанные в Приложении 2, до обработки переданных персональных данных;

(d), что он незамедлительно уведомит экспортера данных о:

(i) любом юридически обязательном запросе на раскрытие персональных данных правоохранительным органом, если иное не запрещено, например, о запрете в соответствии с уголовным законодательством для сохранения конфиденциальности расследования правоохранительных органов,

(ii) любой случайный или несанкционированный доступ и

(iii) любой запрос, полученный непосредственно от субъектов данных без ответа на этот запрос, если только у них не было иных разрешений на это;

(e) оперативно и надлежащим образом реагировать на все запросы экспортера данных, касающиеся обработки персональных данных, подлежащих передаче, и соблюдать рекомендации надзорного органа в отношении обработки переданных данных;

(f) по запросу экспортера данных предоставить свои средства обработки данных для аудита деятельности по обработке, охватываемой Пунктами, которая должна выполняться экспортером данных или инспекционным органом, состоящим из независимых членов и во владении требуемая профессиональная квалификация, связанная обязательством конфиденциальности, выбранная экспортером данных, где это применимо, по согласованию с надзорным органом;

(g) предоставлять субъекту данных по запросу копию Условий или любого существующего контракта на дополнительную обработку, если Условия или контракт не содержат коммерческую информацию, и в этом случае он может удалить такую ​​коммерческую информацию, за исключением Приложение 2, которое должно быть заменено кратким описанием мер безопасности в тех случаях, когда субъект данных не может получить копию от экспортера данных;

(h), что в случае дополнительной обработки он заранее проинформировал экспортера данных и получил его предварительное письменное согласие;

(i) что услуги обработки со стороны субпроцессора будут выполняться в соответствии с Пунктом 11;

(j) незамедлительно отправлять копию любого соглашения с субпроцессором, которое он заключает в соответствии с Пунктами, экспортеру данных.

Пункт 6

Ответственность

  • Стороны соглашаются, что любой субъект данных, которому был нанесен ущерб в результате любого нарушения обязательств, указанных в Пункте 3 или Пункте 11, любой стороной или субпроцессором, имеет право на получение компенсации. от экспортера данных за причиненный ущерб.
  • Если субъект данных не может предъявить иск о компенсации в соответствии с параграфом 1 экспортеру данных в результате нарушения импортером данных или его субпроцессором любого из своих обязательств, упомянутых в пункте 3 или в пункте 11, поскольку экспортер данных фактически исчез, прекратил свое существование по закону или стал неплатежеспособным, импортер данных соглашается с тем, что субъект данных может подать иск против импортера данных, как если бы он был экспортером данных, если только какое-либо правопреемное лицо не приняло на себя все юридические обязательства экспортера данных по договору или в силу закона, и в этом случае субъект данных может реализовать свои права в отношении такого лица. Импортер данных не может полагаться на нарушение субпроцессором своих обязательств, чтобы избежать своих собственных обязательств.
  • Если субъект данных не может подать иск против экспортера данных или импортера данных, упомянутых в пунктах 1 и 2, в результате нарушения субпроцессором любого из своих обязательств, указанных в пункте 3 или в пункте 11, поскольку и экспортер данных, и импортер данных фактически исчезли или прекратили свое существование по закону или стали неплатежеспособными, субпроцессор соглашается с тем, что субъект данных может подать иск против субпроцессора данных в отношении его собственных операций обработки в соответствии с положениями если бы это был экспортер данных или импортер данных, если какое-либо юридическое лицо-преемник не приняло на себя все юридические обязательства экспортера данных или импортера данных по контракту или в силу закона, и в этом случае субъект данных может реализовать свои права в отношении такого лица.Ответственность субпроцессора ограничивается его собственными операциями обработки в соответствии с Пунктами.

Пункт 7

Посредничество и юрисдикция

  • Импортер данных соглашается с тем, что если субъект данных будет ссылаться на права стороннего бенефициара и / или потребовать компенсацию за ущерб в соответствии с Пунктами, импортер данных примет решение субъект данных: (а) передать спор на посредничество независимым лицом или, если применимо, надзорным органом; (b) передать спор в суды государства-члена, в котором учрежден экспортер данных.
  • Стороны соглашаются, что выбор, сделанный субъектом данных, не нанесет ущерба его материальным или процессуальным правам на поиск средств правовой защиты в соответствии с другими положениями национального или международного права.

Пункт 8

Сотрудничество с надзорными органами

  • Экспортер данных соглашается передать копию этого контракта надзорному органу, если он этого потребует или если такое депонирование требуется в соответствии с применимым законодательством о защите данных.
  • Стороны соглашаются, что надзорный орган имеет право проводить аудит импортера данных и любого субпроцессора, который имеет тот же объем и подчиняется тем же условиям, которые применялись бы к аудиту экспортера данных в соответствии с применимый закон о защите данных.
  • Импортер данных должен незамедлительно проинформировать экспортера данных о существовании применимого к нему законодательства или любого вспомогательного обработчика, препятствующего проведению аудита импортера данных или любого вспомогательного обработчика данных в соответствии с параграфом 2. В таком случае экспортер данных должен иметь право принимать меры, предусмотренные в пункте 5 (b).

Пункт 9

Применимый закон

Положения регулируются законодательством государства-члена, в котором учрежден экспортер данных, а именно местоположения экспортера данных.

Статья 10

Изменение договора

Стороны обязуются не изменять и не изменять Условия. Это не препятствует сторонам добавлять статьи по вопросам, связанным с бизнесом, в случае необходимости, если они не противоречат этой статье.

Пункт 11

Субобработка

  • Импортер данных не должен передавать на субподряд какие-либо из своих операций обработки, выполняемых от имени экспортера данных в соответствии с Условиями, без предварительного письменного согласия экспортера данных.Если импортер данных передает свои обязательства в соответствии с Пунктами, с согласия экспортера данных, он должен делать это только посредством письменного соглашения с дополнительным обработчиком, которое налагает на него те же обязательства, что и на импортера данных в соответствии с Статьи. Если субпроцессор не выполняет свои обязательства по защите данных по такому письменному соглашению, импортер данных остается полностью ответственным перед экспортером данных за выполнение обязательств субпроцессора по такому соглашению.
  • Предварительный письменный договор между импортером данных и субпроцессором также должен предусматривать положение о третьей стороне-бенефициаре, как указано в пункте 3, для случаев, когда субъект данных не может предъявить иск о компенсации, упомянутой в пункте 1 Пункт 6 против экспортера данных или импортера данных, потому что они фактически исчезли или перестали существовать по закону или стали неплатежеспособными, и ни одно юридическое лицо-преемник не приняло на себя все юридические обязательства экспортера данных или импортера данных по контракту или в силу закона . Такая ответственность субпроцессора перед третьими сторонами ограничивается его собственными операциями обработки в соответствии с Пунктами.
  • Положения, касающиеся аспектов защиты данных для дополнительной обработки контракта, упомянутого в параграфе 1, регулируются законодательством государства-члена, в котором учрежден экспортер данных, а именно местоположения экспортера данных.
  • Экспортер данных должен вести список соглашений о дополнительной обработке, заключенных в соответствии с Пунктами и уведомленных импортером данных в соответствии с Пунктом 5 (j), который должен обновляться не реже одного раза в год.Список должен быть доступен органу надзора за защитой данных экспортера данных.

Пункт 12

Обязательство после прекращения оказания услуг по обработке персональных данных

  • Стороны соглашаются, что при прекращении оказания услуг по обработке данных импортер данных и субпроцессор должны, по выбору экспортера данных, вернуть все переданные персональные данные и их копии экспортеру данных или уничтожить все персональные данные и подтвердить экспортеру данных, что он сделал это, если только законодательство, наложенное на импортера данных, не препятствует его возврату или уничтожению полностью или частично переданные персональные данные. В этом случае импортер данных гарантирует, что он будет гарантировать конфиденциальность переданных личных данных и больше не будет активно обрабатывать переданные личные данные.
  • Импортер данных и субпроцессор гарантируют, что по запросу экспортера данных и / или надзорного органа он предоставит свои средства обработки данных для аудита мер, указанных в параграфе 1.

Все, что вам нужно знать о контроллерах и процессорах GDPR | Сагара Гунатунга

Понимание того, что означает GDPR как Контроллер, Процессоры и их обязанности.

Во вводной статье этой серии я кратко обсудил определения GDPR для контроллеров и процессоров, давайте начнем вспоминать эти определения.

Контроллеры и процессоры имеют ряд общих черт, оба эти лица могут быть физическим или юридическим лицом, государственным органом, агентством или другим органом, который осуществлял обработку персональных данных, принадлежащих физическому лицу. Данная организация, занимающаяся обработкой данных, может быть Контроллером или Обработчиком в зависимости от их ответов на следующие два вопроса.

  1. Определяет ли конкретная организация цель обработки данных (почему)?
  2. Определяет ли конкретная организация средства обработки (как)?

Если ответ «Да», то организация является Контроллером, если ответ «Нет», то организация является Процессором.

Давайте возьмем несколько примеров, чтобы правильно объяснить эту концепцию. Предположим, компания-производитель печенья поручила компании по исследованию рынка провести исследование и дать рекомендации относительно того, на что им следует ориентироваться в своей новой линейке продуктов, чтобы достичь роста рынка на 10%.Это очень четкая цель, поставленная компанией-производителем печенья, и компания-производитель печенья также не предоставляет никаких других данных или условий. Компания, занимающаяся маркетинговыми исследованиями, имеет право самостоятельно решать, какие люди будут участвовать в исследовании, какие персональные данные собираются, какие персональные данные хранятся, механизм хранения, подходы к обработке данных и т. Д. В этом примере 'цель данных обработка и средства обработки данных ' принимает маркетинговая исследовательская компания, это означает, что маркетинговая исследовательская компания является Контролером в соответствии с правилами GDPR.

Другой пример, компания по управлению заработной платой, они обрабатывают персональные данные, предоставленные другой компанией, в соответствии с их инструкциями. Обычно компании, занимающиеся расчетом заработной платы, не определяют, с какой целью и как обрабатывать эти платежи и связанные с ними личные данные, это означает, что конкретная компания, занимающаяся расчетом заработной платы, является Обработчиком согласно правилам GDPR.

Прежде чем мы закончим этот раздел, вот точные определения GDPR для контроллера и процессора.

Контроллер

«Контроллер» означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; если цели и средства такой обработки определены законодательством Союза или государства-члена, контролер или конкретные критерии его назначения могут быть предусмотрены законодательством Союза или государства-члена;

Обработчик

Обработчик - это организация (которая может быть физическим или юридическим лицом, государственным органом, агентством или другим органом), которая обрабатывает персональные данные от имени контролера в соответствии с его инструкциями.

Контроллеры могут быть дополнительно разделены на категории в зависимости от таких факторов, как то, действуют ли они как единое юридическое лицо или нет, в зависимости от их учреждения и т. Д.

Когда более одного контроллера задействованы для определения цели и средств обработки, эти контроллеры известны как «Контроллеры присоединения», в соответствии с GDPR Контроллеры присоединения должны соответствовать следующему набору требований.

  1. Каждый контролер должен иметь возможность ясно, недвусмысленно и прозрачно продемонстрировать каждую из своих обязанностей, соблюдения и обязательств перед отдельными лицами и надзорными органами.
  2. Соглашение между каждым контролером должно соответствовать законам ЕС / государства-члена.
  3. Каждый контролер должен быть в состоянии обеспечить договоренность между контролерами отдельным лицам и надзорным органам.

В дополнение к общим правилам, контролеры, зарегистрированные за пределами ЕС, должны назначить представителя и соответствовать следующим критериям.

  1. Представитель должен находиться в ЕС.
  2. Представитель должен иметь возможность взаимодействовать с надзорными органами и отдельными лицами для решения вопросов, связанных с защитой персональных данных и соблюдением GDPR.
  3. Назначение представителя должно быть основано на письменном мандате.
  4. Назначение представителя не означает уменьшения ответственности обработчика или контролера.

Однако органы государственной власти, осуждение по уголовным делам и организационная обработка небольшого количества персональных данных (не особых категорий) на нерегулярной основе исключены из вышеуказанных требований.

Согласно GDPR, контролеры должны обеспечить внедрение соответствующих технических и организационных процессов, чтобы соответствовать GDPR, кроме того, контролеры должны иметь возможность продемонстрировать, что технические и организационные процессы соответствуют GDPR.Эти изменения могут включать…

  1. реализации политик защиты данных.
  2. соблюдение кодекса поведения, определенного в GDPR
  3. соблюдение процесса сертификации, определенного в GDPR

Контроллер также подчиняется следующим двум принципам

- Дизайн защиты данных Согласно этому принципу, at время определения цели обработки данных (время планирования) и во время самой обработки данных (время выполнения) контроллеры должны принять соответствующие технические и организационные меры, некоторые из наиболее важных мер приведены ниже.

  • Псевдонимизация персональных данных.
  • Шифрование личных данных.
  • Соблюдайте принципы безопасности ЦРУ: конфиденциальность, целостность и доступность.
  • Возможность восстановления данных в случае физического или технического происшествия.
  • Обеспечьте отказоустойчивый характер системы обработки.
  • Возможность поддержки аудитов, инспекций и других мер безопасности.

- Защита данных по умолчанию В соответствии с этим принципом, контролеры должны обрабатывать только те персональные данные, которые необходимы для текущей цели обработки, это также подразумевает сбор только необходимых данных, а также их хранение и хранение только в течение необходимого времени.

Контроллерам следует использовать только тех процессоров, которые могут предоставить гарантии и продемонстрировать свое соответствие GDPR, , Кодекс поведения GDPR и элементы сертификации полезны для принятия таких решений. Также контроллеры должны гарантировать, что процессоры обрабатывают данные на основе точных инструкций, предоставленных контроллером.

Контроллер должен вести учет обработки данных, включая следующую информацию.

  1. Имя и контактные данные контролера, любого представителя или должностного лица по защите данных (DPO).
  2. Цель обработки данных.
  3. Тип данных и категории субъектов данных.
  4. Будут ли данные переданы третьей стороне.
  5. Будут ли данные передаваться в стороннюю страну.
  6. Как долго данные будут храниться в контроллере.
  7. Технические и организационные меры безопасности, соблюдаемые контроллером.

Проведение оценки воздействия на защиту данных (DPIA) в зависимости от характера обработки данных также является обязанностью контролера, мы обсудим оценку воздействия в отдельном разделе.

  • Обработка персональных данных процессором всегда должна основываться на документированных инструкциях от контроллера.
  • Процессор должен иметь возможность продемонстрировать соответствие GDPR при обработке данных контроллерам и надзорным органам.
  • Процессор не должен взаимодействовать с другим процессором без письменного разрешения контроллера.
  • Если на процессор распространяются какие-либо особые правила передачи данных из ЕС / государства-члена, он должен сообщить эти правила контроллеру.
  • Люди, которые получают доступ к личным данным со стороны процессора, должны соблюдать конфиденциальность.
  • Процессор должен помогать контроллеру выполнять запросы от отдельных лиц.
  • Процессор должен помогать контроллеру соблюдать правила GDPR.
  • Процессор должен сотрудничать с контролирующими органами.
  • По выбору контроллера процессор должен иметь возможность удалять любые сохраненные личные данные.

Процессор должен вести запись обработки данных, включая следующую информацию.

  1. Имя и контактные данные обработчика, связанных контроллеров, любого представителя или любого должностного лица по защите данных (DPO).
  2. Цель обработки данных каждого контроллера.
  3. Тип данных и категории субъектов данных.
  4. Будут ли данные переданы третьей стороне.
  5. Будут ли данные передаваться в стороннюю страну.
  6. Как долго данные будут храниться в контроллере.
  7. Технические и организационные меры безопасности, соблюдаемые контроллером.

Нарушение данных - это нарушение безопасности, при котором конфиденциальные, защищенные или конфиденциальные данные копируются, передаются, просматриваются, крадутся или используются неавторизованным лицом. Организация, обрабатывающая данные (контролер или обработчик), должна принимать все возможные меры для устранения риска утечки данных, но на самом деле никто не может практически гарантировать 100% безопасность данных или системы, учитывая этот практический риск, GDPR предоставляет исчерпывающий набор правил. для борьбы с инцидентами утечки данных, в том числе

  • , как общаться с надзорными органами.
  • , как общаться с людьми, которые могут пострадать от утечки данных.

Контроллеры / процессоры обязаны установить эффективные процедуры для вышеуказанных уведомлений.

Во время утечки данных необходимо соблюдать следующую процедуру для связи с надзорными органами.

  • Сообщите об утечке данных в течение 72 часов.
  • Если это процессор, немедленно сообщите об этом контроллеру.
  • Предоставьте контактные данные сотрудника по защите данных (DPO) или любого другого ответственного лица.
  • Задокументировать все факты, связанные с утечкой данных, и предоставить их для проверки контролирующим органам.
  • Уведомления должны включать следующую информацию, на случай, если все данные, которые недоступны, могут быть разделены по этапам.

- Характер утечки данных.

- Категории утечки данных.

- приблизительное количество пострадавших.

- Приблизительное количество затронутых записей данных.

- Последствия утечки данных.

- Предлагаемые меры по предотвращению утечки данных.

Во время утечки данных необходимо соблюдать следующую процедуру для связи с физическими лицами.

  1. Общайтесь с каждым без задержек.
  2. Уведомление должно быть ясным и понятным.

GDPR рекомендует контроллерам проводить оценку воздействия на защиту данных (DPIA) в зависимости от характера обработки данных, особенно при переходе на использование новых технологий. Эту оценку воздействия необходимо провести до начала обработки данных, и если присутствующие диспетчеры DPO могут обратиться за советом.

Ниже приведены случаи, в которых GDPR предписывает проводить оценку воздействия.

  1. Систематическая и всесторонняя оценка личных данных с использованием автоматизированной обработки, включая профилирование.
  2. Обработка больших объемов персональных данных относится к особой категории.
  3. Крупномасштабный систематический мониторинг общедоступной территории.
  4. Дополнительно надзорные органы могут санкционировать перечень таких случаев.

Оценка воздействия должна быть сосредоточена на следующих факторах.

  • Систематический процесс обработки.
  • Цель обработки.
  • Оцените цель и процесс обработки.
  • Оценить риск, связанный с правом личности на свободу.
  • Меры по снижению возможного риска.

В случае, если результат оценки воздействия указывает на высокий риск, контролер может проконсультироваться с надзорными органами для получения рекомендаций, GDPR имеет четкое руководство о том, что необходимо сообщить надзорным органам с соответствующими подробностями графика.

GDPR вводит специальную роль, называемую сотрудником по защите данных (DPO), для предоставления необходимых консультаций организациям, занимающимся обработкой данных, и в качестве контактного лица для сторонних сотрудников, таких как физические лица и надзорные органы.

Как контроллеры, так и процессоры могут назначать DPO с учетом его / ее профессиональной квалификации, экспертных знаний и способности выполнять поставленную задачу, а также один DPO может быть сервером для группы связанных организаций. DPO может быть сотрудником организации или физическим лицом, работающим по контракту, кроме того, DPO может выполнять любые другие задачи внутри организации, если эти действия не вызывают каких-либо проблем с конфликтом интересов.

В соответствии с GDPR обрабатывающая организация должна помогать DPO в выполнении его действий и должна гарантировать, что DPO участвует в любых вопросах, связанных с защитой данных, кроме того, DPO должен отчитываться перед высшим уровнем обрабатывающей организации. .

Физические лица должны обращаться к DPO для решения любых вопросов, связанных с их личными данными, и DPO обязан сохранять конфиденциальность при выполнении своих обязанностей.

Согласно GDPR назначение DPO требуется в следующих случаях.

  1. Обработка осуществляется государственным органом, кроме судов.
  2. Характер обработки данных требует регулярного контроля со стороны отдельных лиц.
  3. Обработка данных включает в себя большой объем данных, отнесенных к категории специальных данных или данных о судебных процессах, связанных с осуждением по уголовным делам.
  4. Некоторые другие условия в соответствии с законодательством ЕС / государства-члена.

Текст GDPR сам по себе не дает количественной интерпретации фразы « большой объем данных» , но согласно Gartner..

обработка данных более чем 5000 человек в течение 12 месяцев, то такие организации включаются в «фразу большого объема данных». (http://www.gartner.com/smarterwithgartner/top-five-priorities-to-prepare-for-eu-gdpr/)

GDPR также перечисляет следующие основные обязанности DPO.

  • Информировать и консультировать сотрудников по правилам и процедурам защиты данных.
  • Следить за соблюдением нормативных требований.
  • Консультации по оценке воздействия на защиту данных.
  • Сотрудничать с надзорными органами и выступать в качестве контактного лица для надзорных органов.
  • Выступать в качестве контактного лица для лиц, имеющих отношение к любым вопросам, связанным с защитой данных.

В соответствии с правилами GDPR ассоциациям или другим организациям, таким как профессиональные организации, представляющие категории контроллеров / процессоров, рекомендуется разработать кодексы поведения в рамках регулирования GDPR с целью облегчить эффективное применение GDPR.Регламент GDPR предоставляет дополнительную информацию о точной процедуре, которой необходимо следовать, и руководящих принципах для формирования таких кодексов поведения, включая механизм мониторинга утвержденных кодексов поведения.

Чтобы помочь контроллерам / процессорам соответствовать требованиям, GDPR поощряет создание механизмов сертификации и печатей для защиты данных. С точки зрения частных лиц такие сертификаты и печати помогают быстро оценить уровень защиты данных соответствующих продуктов и услуг.Вы можете прочитать более подробную информацию о сертификации в основном тексте GDPR.

Заявление о конфиденциальности данных | Accenture

1. Общая информация

ЗАЯВЛЕНИЕ О КОНФИДЕНЦИАЛЬНОСТИ В этом общем заявлении о конфиденциальности объясняется, как Accenture PLC и / или ее аффилированные лица, дочерние компании и недавно приобретенные компании («Accenture») защищают персональные данные, связанные с процессами и средствами контроля Accenture, относящиеся к вам («ваши персональные данные»), почему Accenture обрабатывает ваши личные данные, кто имеет доступ к вашим личным данным и как вы можете реализовать свои права в отношении обработки ваших личных данных.

Любое подразделение Accenture, расположенное за пределами Европейского Союза, в целях соблюдения законов о конфиденциальности данных будет представлено Accenture PLC.

В этом общем заявлении о конфиденциальности содержится обзор наиболее распространенных операций Accenture по обработке ваших личные данные. Обратите внимание, что некоторые конкретные операции по обработке могут подлежать отдельному и индивидуальному Заявление о конфиденциальности.

В случае подготовки любого перевода этого глобального заявления о конфиденциальности английская версия этого глобального заявления о конфиденциальности Заявление о конфиденциальности имеет преимущественную силу в случае противоречий между версиями на разных языках.

Какие категории личных данных обрабатывает Accenture?
Accenture будет собирать персональные данные о вас для достижения целей, изложенных в этом глобальном заявлении о конфиденциальности.

Дополнительную информацию о конкретных категориях персональных данных, которые обрабатывает Accenture, см. В разделе 2. Для получения дополнительной информации об источниках, из которых Accenture получила ваши персональные данные, пожалуйста, см. раздел 3.

Если вы предоставляете Accenture какие-либо личные данные другого лица (например, потенциального сотрудника / реферала), вы несете ответственность за то, чтобы такое лицо было осведомлено об информации, содержащейся в этом глобальном заявление о конфиденциальности и что это лицо дало вам согласие на передачу информации Accenture.

За исключением определенной информации, которая требуется по закону, ваше решение предоставить какие-либо личные данные компании Accenture добровольно. Таким образом, вы не будете подвергаться неблагоприятным последствиям, если не желаете предоставлять Accenture с вашими личными данными. Однако учтите, что если вы не предоставите определенную информацию, Accenture не сможет иметь возможность выполнять некоторые или все цели, изложенные в этом глобальном заявлении о конфиденциальности, и вы не можете быть иметь возможность использовать определенные инструменты и системы, требующие использования таких личных данных.

Почему Accenture обрабатывает ваши личные данные?
Accenture может собирать, использовать, передавать, раскрывать и иным образом обрабатывать ваши персональные данные в контексте облегчение связи с вами (в том числе в экстренных случаях), работы и управления Accenture бизнес-операций, соблюдение требований законодательства, мониторинг использования вами систем Accenture, выполнение аналитика данных и подбор персонала. Более подробный список целей см. В разделе 4.

Accenture не будет использовать ваши персональные данные в целях, несовместимых с целями, перечисленными в данном глобальное заявление о конфиденциальности, если это не требуется или не разрешено законом или не отвечает вашим жизненным интересам (например, в случае неотложной медицинской помощи) для этого.

На каком правовом основании Accenture обрабатывает ваши личные данные?
Accenture обрабатывает ваши личные данные в соответствии с действующим законодательством о конфиденциальности данных и своей внутренней политикой.

Accenture обрабатывает ваши персональные данные для целей, изложенных в этом глобальном заявлении о конфиденциальности для одного или нескольких из следующих причин: (i) поскольку компания Accenture обязана сделать это для соблюдения юридического обязательства по которой он подлежит, (ii) поскольку такая информация необходима для выполнения контракта, который вы являются стороной, (iii) потому что обработка необходима для целей законных интересов, преследуемых Accenture или третьей стороной (как описано в последнем предложении этого параграфа), или (iv) при необходимости в чтобы защитить жизненные интересы любого человека. Accenture имеет законные интересы в сборе и обработка личных данных, например: (1) для обеспечения безопасности сетей и информации Accenture, (2) для управления и общего ведения бизнеса и (3) для предотвращения мошенничества.

Кроме того, Accenture может обрабатывать ваши конфиденциальные данные и / или автоматически принимать решения в отношении вас, где разрешено действующим законодательством и / или с вашего предварительного согласия и для целей, указанных в настоящей конфиденциальности утверждение.

См. Раздел 5 для получения дополнительной информации о юридических основаниях, на которых основана компания Accenture. обработка ваших личных данных для каждого действия по обработке.

Кто имеет доступ к вашим личным данным?
Доступ к вашим личным данным в Accenture будет ограничен теми сотрудниками, которым необходимо знать информация для целей, описанных в этом глобальном заявлении о конфиденциальности, которое может включать сотрудников в Безопасность, управление персоналом, информационные технологии, комплаенс, право, финансы и бухгалтерский учет, корпоративные расследования и внутренний аудит. Все сотрудники Accenture обычно имеют доступ к вашей деловой контактной информации (например, имя, должность, номер телефона и адрес электронной почты).

Кроме того, ваши личные данные могут быть переданы в другие офисы Accenture и третьим лицам, которые могут подразумевают передачу ваших личных данных в другие страны.

Как глобальная организация с офисами и операциями по всему миру, ваши личные данные могут быть переданы или быть доступными на международном уровне в рамках глобального бизнеса Accenture, а также между ее подразделениями и аффилированными лицами. Любая передача ваших личных данных в другие офисы Accenture (в том числе переводы из европейских Экономическая зона (ЕЭЗ) за пределами ЕЭЗ) будет регулироваться обязательными корпоративными правилами Accenture (BCR; копия которую можно найти здесь).BCR Accenture отражает стандарты, содержащиеся в европейских законах о конфиденциальности данных (включая Общие правила защиты данных). Имея BCR означает, что все подразделения группы Accenture, которые подписались на BCR, должны соблюдать одни и те же внутренние правила. Это также означает, что ваши права остаются неизменными независимо от того, где ваши данные обрабатываются Accenture.

Кроме того, при необходимости Accenture может передавать ваши персональные данные третьим лицам, например, в службу поддержки. провайдеры и государственные органы.Перед этим Accenture принимает меры для защиты ваших личных данных. Любой Ожидаются сторонние поставщики услуг и профессиональные консультанты, которым раскрываются ваши личные данные. и требуется для защиты конфиденциальности и безопасности ваших личных данных и может использовать только ваши личные данные в соответствии с применимыми законами о конфиденциальности данных. Для категорий третьих лиц, с которыми Accenture может передавать ваши личные данные, см. раздел 6. Если вы не уведомлены об ином, любая передача ваших личных данных данные из ЕЭЗ третьим сторонам за пределами ЕЭЗ будут основаны на решении об адекватности или регулируются в соответствии со стандартными договорными положениями ЕС (копию которых можно получить у специалиста по защите данных Accenture). Любые другие, не из ЕЭЗ, международная передача ваших личных данных будет происходить в соответствии с этим заявлением о конфиденциальности, соответствующие международные механизмы передачи данных и гарантии.

Как Accenture защищает ваши личные данные?
Accenture обеспечивает организационную, физическую и техническую безопасность всех персональных данных, которые она держит. У Accenture есть протоколы, средства контроля и соответствующие политики, процедуры и руководства для их поддержки. меры, принимающие во внимание риски, связанные с категориями персональных данных и обработкой Accenture берет на себя.

Accenture применяет лучшие на рынке меры безопасности для защиты ваших личных данных. Это включает (не будучи ограничительный):

  • Accenture имеет сертификат ISO27001, который свидетельствует о том, что он придерживается самых высоких и строгих стандартов. стандарты информационной безопасности. Это стандарт безопасности, присвоенный Британским институтом стандартов. это служит международным свидетельством того, что Accenture придерживается самых высоких и строгих стандартов. Эта сертификация является единственным международным стандартом, подлежащим аудиту, который определяет требования к Система управления информационной безопасностью и подтверждает, что процессы и средства контроля безопасности Accenture обеспечить эффективную основу для защиты информации своих клиентов и своей собственной информации.
  • Accenture имеет глобальную программу защиты данных клиентов, которая регулирует управление клиентом. информация и системы, доверенные Accenture.
  • Accenture регулярно проводит тестирование на проникновение, проводимое сторонним провайдером, которое продолжает показывать прочность его технической защиты.

Как долго Accenture хранит ваши личные данные?
Accenture хранит ваши личные данные только до тех пор, пока это необходимо.Accenture ведет определенные записи политики и процедуры управления и хранения, чтобы личные данные удалялись по истечении разумного срока согласно следующим критериям удержания:

  • Accenture хранит ваши личные данные до тех пор, пока поддерживает постоянные отношения с вами.
  • Accenture хранит ваши персональные данные столько времени, сколько необходимо для соблюдения юридического обязательства по которому это подлежит.
  • Accenture хранит ваши персональные данные там, где это целесообразно для защиты или улучшения юридических положение (например, в отношении сроков давности, судебных разбирательств или нормативных расследований).

Пожалуйста, постоянно обновляйте свои личные данные и сообщайте Accenture о любых существенных изменениях в вашей личные данные.

Какие права у вас есть в отношении ваших личных данных?
Свяжитесь с сотрудником Accenture по защите данных, если у вас (i) есть какие-либо вопросы или проблемы. о том, как Accenture обрабатывает ваши персональные данные, или (ii) хочет реализовать какие-либо ваши права в отношении ваших личные данные.

У вас есть право (при обстоятельствах и условиях, а также с учетом исключений, изложенных в применимое право к:

  • Запросить доступ к вашим личным данным, которые мы обрабатываем: это право дает вам право знать, есть ли у Accenture хранит ваши личные данные и, если да, получает информацию и копию этих личных данных.
  • Запросить исправление ваших личных данных: это право дает вам право на исправление ваших личных данных. если он неточный или неполный.
  • Возражение против обработки ваших личных данных: это право дает вам право требовать, чтобы Accenture больше не обрабатывает ваши личные данные.
  • Запросить удаление ваших личных данных: это право дает вам право требовать удаления ваших личных данных. данные, в том числе в тех случаях, когда такие личные данные больше не будут необходимы для достижения целей.
  • Запросить ограничение обработки ваших личных данных: это право дает вам право требовать, чтобы Accenture обрабатывает ваши персональные данные только в ограниченных случаях, в том числе с вашего согласия.
  • Запросить переносимость ваших личных данных: это право дает вам право на получение копии (в структурированной, широко используемый и машиночитаемый формат) личных данных, которые вы предоставили Accenture или запросили Accenture для передачи таких персональных данных другому контроллеру данных.

Если обработка ваших личных данных подпадает под действие BCR Accenture, вы также можете просмотреть ваши права в соответствии с BCR Accenture.

Если обработка ваших персональных данных основана на вашем согласии, вы имеете право отозвать такое согласие в любое время, связавшись с сотрудником Accenture по конфиденциальности данных. Учтите, что это не повлияет Право Accenture на обработку персональных данных, полученных до отзыва вашего согласия, или право на продолжить обработку данных на других юридических основаниях, кроме вашего согласия.

Обратите внимание, однако, что некоторые личные данные могут быть освобождены от вышеупомянутых прав в соответствии с применимые законы о конфиденциальности данных или другие законы и постановления.

Если, несмотря на обязательства и усилия Accenture по защите ваших личных данных, вы считаете, что конфиденциальность ваших данных были нарушены, мы призываем и приветствуем вас сначала прийти в Accenture для решения любых жалоба. Вы имеете право в любое время подать жалобу непосредственно в соответствующий надзорный орган. органа власти или подать иск против Accenture в компетентный суд (либо в стране, где вы живете, страна, в которой вы работаете, или страна, в которой, по вашему мнению, был нарушен закон о конфиденциальности данных).

Что делать, если у вас есть вопросы или вам нужна дополнительная информация?
Это глобальное заявление о конфиденциальности и упомянутые в нем веб-страницы призваны предоставить вам полную и прозрачную информация о том, как Accenture обрабатывает ваши личные данные.

Если у вас есть дополнительные вопросы или опасения относительно того, как Accenture обрабатывает ваши личные данные, или, если вы хотите воспользоваться каким-либо из вышеперечисленных прав, обратитесь к сотруднику по защите данных.

2. Дополнительная информация о категориях персональных данных

В таблице ниже представлены категории персональных данных, которые Accenture обрабатывает или может обрабатывать в контексте действий по обработке, описанных в глобальном заявлении о конфиденциальности.

Категория персональных данных Пояснение
Личные данные. Имя, предпочтительное местоимение, все типы контактных данных (например, электронная почта, номера телефонов, физические адрес), пол, дата рождения, возраст, место рождения.
Конфиденциальные данные. Accenture может также собирать определенные типы конфиденциальной информации, если это разрешено местным законодательством или с вашего согласия, например, информацию о состоянии здоровья / медицинскую информацию (включая статус инвалидности и диетическое питание). требования / аллергия в рамках мероприятий, которые мы организуем / спонсируем).Accenture будет использовать только такая конфиденциальная информация для целей, описанных в разделе 4.
Аудиовизуальные материалы. Фотография, а также изображения / видеоматериалы, снятые на систему видеонаблюдения или другие системы видеонаблюдения и наблюдения.
Позиция. Описание текущей должности, название должности, работодателя, местонахождение, контактное лицо (-а) в Accenture.
Данные для доступа к системе и приложениям. Если вам предоставляется доступ к системам Accenture, Accenture может собирать информацию требуется для доступа к таким системам и приложениям Accenture, как System ID, LAN ID, электронная почта учетная запись, учетная запись для обмена мгновенными сообщениями, идентификатор мэйнфрейма, системные пароли, журналы доступа, журналы активности и электронный контент, созданный с использованием систем Accenture.

Кроме того, в целях набора персонала Accenture может обрабатывать персональные данные, указанные в таблице ниже.

Личные данные. Помимо перечисленных выше личных данных, Accenture может собирать дополнительные личные данные. данные для целей приема на работу, такие как национальный идентификационный номер, номер социального страхования, информация о страховании, статус супружеского / гражданского партнерства, сожители, иждивенцы, чрезвычайная ситуация контактная информация, военная история.
Конфиденциальные данные. Accenture может собирать определенные типы конфиденциальной информации, если это разрешено местным законодательством или ваше согласие, такое как информация о здоровье / медицинская информация (включая статус инвалидности), профсоюз информация о членстве, религия, раса или этническая принадлежность, флаг меньшинства и (если это разрешено законом) информация об уголовных судимостях и правонарушениях. Accenture собирает эту информацию для конкретных целей, таких как медицинская / медицинская информация, чтобы приспособиться к инвалидности или болезни и предоставлять льготы; проверка биографических данных; религия или церковная принадлежность в таких странах, как Германия если это требуется для установленных законом налоговых вычетов; и личные данные, связанные с разнообразием (например, раса или этнической принадлежности) в целях соблюдения юридических обязательств и внутренней политики в отношении разнообразия и антидискриминация.
Документация требуется в соответствии с иммиграционным законодательством. Accenture может собирать данные о гражданстве, паспортных данных, данных о резидентстве или разрешении на работу ( физическая копия и / или электронная копия).
Информация об управлении талантами. Информация, необходимая для завершения проверки биографических данных, подробные сведения о решениях и результатах производительности, отзывы о производительности и предупреждения, программы электронного обучения / обучения, обзоры эффективности и развития (включая информацию, которую вы предоставляете при запросе / предоставлении обратной связи, создании приоритетов, обновлении вашего ввода в соответствующих инструментах), информация о водительских правах и владении автомобилем, а также информация, используемая для заполнения биографий.

3. Дополнительная информация об источниках личных данных

Ваши личные данные были получены Accenture из источников, указанных в таблице ниже.

Источник, из которого Accenture получает персональные данные
Самостоятельно.
сотрудников Accenture.
Филиалы Accenture.
Работодатели посетителей и подрядчики.
Органы государственной власти.
Общедоступные веб-сайты и социальные сети.
Поставщики и продавцы.

Кроме того, в целях набора персонала Accenture может получать личные данные из источников, указанных ниже. Таблица.

Предыдущие работодатели.
Образовательные учреждения.
Провайдеры проверки биографических данных.
Поставщики услуг по управлению талантами.

Вышеупомянутые источники являются частными, за исключением случаев, когда источник прямо заявлено как «публичное». Обратите внимание, что эти источники могли хранить ваши личные данные как внутри и за пределами ЕС.

4. Дополнительная информация о целях

Как указано в общем заявлении о конфиденциальности, Accenture обрабатывает ваши персональные данные для различных целей.В В таблице ниже описаны все цели, для которых Accenture обрабатывает ваши личные данные.

Назначение Пояснение
Облегчение связи с вами (в том числе в экстренных случаях). Облегчение общения с вами, обеспечение непрерывности бизнеса, защита здоровья и безопасности сотрудников и других лиц, охраняя ИТ-инфраструктуру, оргтехнику и другое имущество, облегчение связи с вами и вашими назначенными контактами в экстренных случаях.
Эксплуатация и управление бизнес-операциями Accenture (включая безопасность). Эксплуатация и управление ИТ-системами и системами связи, операции ИТ-безопасности, безопасный доступ контроль объектов, управление активами Accenture, непрерывность бизнеса и аварийное восстановление, составление контрольных журналов и других инструментов отчетности, ведение записей, относящихся к бизнесу мероприятия и организация мероприятий / семинаров Accenture.
Соответствует требованиям законодательства. Соблюдение требований законодательства, таких как обязательная подача документов, ведение учета и отчетность обязательства, проведение аудитов, соблюдение государственных проверок и другие запросы от правительство или другие государственные органы, реагирующие на судебные процессы, такие как повестки в суд, преследование юридические права и средства защиты, защита судебных разбирательств и управление любыми внутренними жалобами или претензиями, проведение расследований и соблюдение внутренних политик и процедур, защита, обеспечение соблюдения или защиты юридических прав, конфиденциальности, безопасности или собственности Accenture, аффилированных лиц Accenture или их сотрудники, агенты и подрядчики (включая обеспечение соблюдения соответствующих соглашений и условий использования), защищая безопасность, конфиденциальность и безопасность пользователей продуктов или услуг Accenture или представителей общественности, защиты от мошенничества или управления рисками.
Отслеживание использования вами активов Accenture Мониторинг действий, разрешенных местным законодательством и / или в соответствии с применимыми правилами Accenture политики (включая мониторинг использования ресурсов Accenture).
Анализ данных. Применение аналитики к бизнес-операциям и данным для описания, прогнозирования и улучшения бизнеса производительность в Accenture и / или обеспечение лучшего взаимодействия с пользователем.В частности, области внутри аналитика включает описательную аналитику, прогнозную аналитику, аналитику с участием отдельных лиц (клиенты, деловые контакты) используют личные данные, аналитику, основанную на маркетинге, единое представление о клиенте цикл взаимодействия с клиентом и аналитика рабочего места.
Набор персонала. Управление заявками о приеме на работу, в том числе проведение собеседования, проведение аттестации, оценка производительности, финансовое планирование, проведение платежа администрирование, управление программами инклюзивности и разнообразия, проверка биографических данных, планирование и мониторинг требований к обучению.

5. Дополнительная юридическая информация

Accenture обрабатывает ваши персональные данные в соответствии с юридическими основаниями, указанными в таблице ниже.

Назначение Правовая основа
Облегчение связи с вами (в том числе в экстренных случаях). Обосновано законными интересами Accenture для обеспечения надлежащего взаимодействия и аварийное реагирование внутри организации.
Эксплуатация и управление бизнес-операциями Accenture (включая безопасность). Обосновано законными интересами Accenture для обеспечения надлежащего функционирования свои бизнес-операции.
Соответствует требованиям законодательства. Необходимо для соблюдения юридических обязательств, которым подчиняется Accenture.
Отслеживание использования вами систем Accenture. Обосновано законными интересами Accenture по недопущению несоблюдения и защите его репутация.
Анализ данных. Обосновано законными интересами Accenture по анализу и улучшению надлежащего функционирование его хозяйственных операций.
Набор персонала. Обосновано законными интересами Accenture для обеспечения найма соответствующие сотрудники.

Обратите внимание:

  • Если в приведенной выше таблице указано, что Accenture полагается на свои законные интересы с определенной целью, Accenture считает, что ее законные интересы не перекрываются вашими интересами, правами или предоставленные свободы (i) прозрачность, которую Accenture обеспечивает в отношении обработки данных, (ii) конфиденциальность Accenture (iii) регулярная проверка конфиденциальности Accenture и (iv) ваши права в отношении перерабатывающая деятельность. Если вы хотите получить дополнительную информацию об этом подходе к тесту балансировки, пожалуйста, свяжитесь с сотрудником Accenture по защите данных.
  • Если для любой из вышеуказанных целей требуется обработка конфиденциальных данных, Accenture будет делать это только в том случае, если разрешено действующим законодательством или с вашего предварительного согласия.
  • Если любая из вышеперечисленных целей предполагает автоматическое решение, Accenture будет принимать только такие автоматизированные решение с вашего предварительного согласия и после информирования вас о значимой информации о логике участие в автоматизированном решении, а также значимость и предполагаемые последствия такого автоматизированное решение для вас.
  • Accenture будет обрабатывать ваши персональные данные на основе вашего предыдущего согласие в той степени, в которой такое согласие требуется в соответствии с императивным законодательством.

6. Дополнительная информация о категориях сторонних получателей

Помимо передачи персональных данных своим аффилированным лицам и соответствующему внутреннему персоналу, Accenture также может передавать ваши персональные данные категориям неаффилированных третьих лиц, указанным в таблице ниже.

Категория третьих лиц Пояснение
Профессиональные консультанты. Бухгалтеры, аудиторы, юристы, страховщики, банкиры и другие внешние профессиональные консультанты во всех страны, в которых работает Accenture.
Поставщики услуг. Компании, предоставляющие продукты и услуги для Accenture, такие как поставщики и поддержка ИТ-систем, торговые органы и ассоциации, а также другие поставщики услуг.
В целях набора персонала Accenture может также передавать ваши персональные данные компаниям, которые предоставляют продукты и услуги для Accenture в отношении производительности, обучения, управления расходами и фоновые поиски.
Государственные и государственные органы. Юридические лица, регулирующие деятельность Accenture или обладающие юрисдикцией в отношении нее, такие как регулирующие органы, закон правоохранительные, государственные и судебные органы.
Корпоративная / коммерческая сделка. Третья сторона в связи с любой предлагаемой или фактической реорганизацией, слиянием, продажей, совместным предприятием, уступка, передача или иное отчуждение всего или любой части бизнеса, активов или акции (в том числе в связи с банкротством или аналогичными процедурами).Третья сторона в связь с любым предлагаемым или реальным клиентским проектом.

7. Свяжитесь с нами

Вы можете связаться с Accenture как контролером ваших персональных данных через нашего сотрудника по конфиденциальности данных (желательно в электронном виде) или по почте, четко обозначенной для внимания сотрудника по защите данных, по этому адресу: Accenture Limited Dublin, 1 Grand Canal Square, Гавань Гранд-Канал, Дублин 2, Ирландия.

Основы: Задачи сотрудника по защите данных

В соответствии с Общим регламентом по защите данных (GDPR) назначение сотрудника по защите данных [1] является обязательным в соответствии с требованиями ст.37 п. 4 GDPR в сочетании с разделом 38 BDSG. В следующей статье блога мы отвечаем на самые важные, фундаментальные вопросы об уполномоченном по защите данных.

Что такое сотрудник по защите данных?

Сотрудник по защите данных (DPO) - это физическое лицо, которое отвечает за соблюдение требований по защите данных в организации. DPO представляет собой контрольную дистанцию ​​и обязан информировать ответственное лицо. Кроме того, ответственный за защиту данных не подчиняется инструкциям и не может быть ограничен для выполнения своих задач.Сотрудник по защите данных не уполномочен давать инструкции, но может только давать рекомендации и отчитываться перед высшим руководством.

Кто берет на себя работу сотрудника по защите данных?

Сотрудник по защите данных может быть назначен внутри организации, а также за ее пределами. Если сотрудник по защите данных назначается внутри компании, необходимо убедиться в отсутствии конфликта интересов. Поэтому следует, например, нет ИТ-менеджера, управляющего директора, руководителя отдела кадров, руководителя юридического отдела и т. д.займет должность сотрудника по защите данных. Кроме того, необходимо обеспечить, чтобы назначенный сотрудник по защите данных обладал необходимыми специальными знаниями в области законодательства о защите данных и практики защиты данных для выполнения своих задач.

Какие задачи и обязанности выполняет сотрудник по защите данных?

Задачи ответственного за защиту данных вытекают из Общего регламента защиты данных в соответствии со ст. 39 GDPR.

  • Обзор требований поставщиков услуг e.грамм. B. в контексте обработки заказов

    При вводе в эксплуатацию новых поставщиков услуг необходимо заранее сообщить об этом сотруднику по защите данных. Задача сотрудника по защите данных - проверить поставщика услуг, чтобы определить, обрабатывает ли он личные данные в соответствии с правилами защиты данных. Это делается путем изучения соглашения об обработке заказа и проверки технических и организационных мер, принятых поставщиком услуг.

  • Контроль и защита прав пострадавших

    Ответственное лицо несет ответственность за защиту прав субъекта данных (например,грамм. информация, запрос на исправление и удаление). Задача сотрудника по защите данных - предоставить ответственному лицу адекватную поддержку и предоставить ему информацию по вопросам защиты данных.

  • Надзор за ведением учета операций обработки

    Контроллер должен вести учет операций обработки. Здесь описывается процесс обработки личных данных. Сотрудник по защите данных должен поддерживать ответственное лицо.Кроме того, сотрудник по защите данных обязан отслеживать все процессы, в которых обрабатываются личные данные, и проверять, были ли они уже задокументированы.

  • Помощь в оценке рисков и оценке воздействия на защиту данных

    Если обработка связана с особенно высоким риском для прав и свобод физического лица (например, обширное видеонаблюдение), оценка воздействия на защиту данных должна проводиться в соответствии со ст. 35 GDPR. Задача сотрудника по защите данных - поддержать лицо, ответственное за проведение оценки воздействия на защиту данных в соответствии со ст. 35 GDPR.

  • Поддержка в сообщении о нарушениях данных в надзорные органы

    Если утечка данных представляет особенно высокий риск для прав и свобод субъекта данных, об этом необходимо сообщить в компетентный надзорный орган в течение 72 часа после того, как стало известно об утечке данных.Тем не менее, сотрудник по защите данных должен быть проинформирован о каждом нарушении данных. Затем его задача состоит в том, чтобы оценить, подлежит ли это уведомлению или нет.

  • Создание отчета о деятельности

    Согласно ст. 39 GDPR, сотрудник по защите данных обязан информировать ответственное лицо о его обязанностях в соответствии с законом о защите данных и контролировать соблюдение GDPR в компании. Это обязательство выполняется с помощью отчета о деятельности.

Знаете ли вы, что мы не только предоставляем внешних специалистов по защите данных и консультируем вас по всем аспектам этой темы, но также предлагаем электронное обучение? Вам даже не нужно быть клиентом-консультантом.
Мы здесь, чтобы помочь. Позвоните нам по телефону 08505 919 27-0 или заполните контактную форму.

[1] Это всегда относится как к мужчинам, так и к женщинам. Для облегчения чтения мы используем в этом тексте только мужской род.

Ramona Höfler ist seit ihrer Ausbildung zur Kauffrau für Büromanagement bei uns tätig.Sie kennt deshalb unser Dienstleistungs-Portfolio sehr genau. Mittlerweile unterstützt sie unser Team nicht nur im Backoffice sondern steht unseren Kunden auch als zertifizierte Datenschutzbeauftragte mit Rat und Tat zur Seite. Service- und Lösungsorientierung, Flexibilität und Kompetenz stehen für sie an erster Stelle.

Этот пост также доступен на немецком языке

Китайский проект «Закона о защите личной информации» (полный перевод)

Этот перевод сделан Роджером Кримерсом, Мингли Ши и Лорен Дадли, и он был отредактирован Грэмом Вебстером.

[Примечание редактора (2021.01.05): после консультаций этот перевод был изменен и теперь 单独 同意 переводится как «отдельное согласие», а не как «конкретное согласие».]

[оригинал на китайском языке]

Закон Китайской Народной Республики о защите личной информации (проект)

Содержание

Глава I: Общие положения

Глава II: Правила обработки личной информации

Раздел I: Общие положения

Раздел II: Правила для Обработка конфиденциальной личной информации

Раздел III: Особые положения о государственных органах, работающих с личной информацией

Глава III: Правила трансграничного предоставления личной информации

Глава IV: Права физических лиц при работе с личной информацией

Глава V: Обязанности обработчиков личной информации

Глава VI: Департаменты, выполняющие обязанности по защите личной информации s и обязанности

Глава VII: Юридическая ответственность

Глава VIII: Дополнительные положения

Глава I: Общие положения

Статья 1: Настоящий Закон сформулирован в целях защиты прав и интересов в отношении личной информации, стандартизации деятельности по работе с личной информацией , гарантировать законный, упорядоченный и свободный поток личной информации и стимулировать разумное использование личной информации.

Статья 2: Личная информация физических лиц пользуется правовой защитой; никакая организация или физическое лицо не может нарушать права и интересы физических лиц в отношении личной информации.

Статья 3: Настоящий Закон применяется к организациям и физическим лицам, занимающимся персональной информационной деятельностью физических лиц в пределах Китайской Народной Республики.

Настоящий Закон также применяется в случае наличия одного из следующих обстоятельств при работе с персональной информацией физических лиц за пределами Китайской Народной Республики в границах Китайской Народной Республики:

  1. Если цель заключается в предоставлении товаров или услуг физическим лицам внутри границ;
  2. При проведении анализа или оценки деятельности физических лиц внутри границ;
  3. Другие обстоятельства, предусмотренные законами или административными постановлениями.

Статья 4: Личная информация - это все виды информации, записываемые электронными или другими средствами, относящиеся к идентифицированным или идентифицируемым физическим лицам, за исключением информации после обработки анонимности.

Обработка личной информации включает сбор, хранение, использование, обработку, передачу, предоставление, публикацию и другие подобные действия личной информации.

Статья 5: Должны применяться законные и надлежащие методы обработки личной информации и соблюдаться принцип искренности.Запрещается обрабатывать личную информацию обманным путем, вводить в заблуждение или другими подобными способами.

Статья 6: Обработка личной информации должна иметь ясную и разумную цель и ограничиваться минимальным объемом для реализации цели обработки. Запрещается обрабатывать личную информацию, не связанную с целью обработки.

Статья 7: При обращении с личной информацией должны соблюдаться принципы открытости и прозрачности, а правила обращения с личной информацией должны быть четко указаны.

Статья 8: Для достижения цели обработки обрабатываемая личная информация должна быть точной и своевременно обновляться.

Статья 9: Обработчики личной информации несут ответственность за свои действия по обработке личной информации и принимают необходимые меры для обеспечения безопасности обрабатываемой личной информации.

Статья 10: Ни одна организация или частное лицо не может обрабатывать личную информацию в нарушение положений законов и административных постановлений, или участвовать в деятельности по обработке личной информации, наносящей ущерб национальной безопасности или общественным интересам.

Статья 11: Государство создает структуру защиты личной информации для предотвращения и наказания действий, ущемляющих права и интересы личной информации, усиления пропаганды и просвещения по защите личной информации и содействия созданию благоприятных условий для защиты личной информации, с совместное участие правительства, предприятий, соответствующих отраслевых организаций и общественности.

Статья 12: Государство активно участвует в разработке международных правил [или норм] защиты личной информации, стимулирует международный обмен и сотрудничество в области защиты личной информации и способствует взаимному признанию правил защиты личной информации [или нормы], стандарты и др., с другими странами, регионами и международными организациями.

Глава II: Правила обработки личной информации

Раздел 1. Общие положения

Статья 13: Обработчики личной информации могут обрабатывать личную информацию только в том случае, если они соответствуют одному из следующих обстоятельств:

  1. Получение согласия физических лиц;
  2. При необходимости заключить или исполнить договор, в котором физическое лицо является заинтересованной стороной;
  3. Если необходимо для выполнения установленных законом обязанностей и ответственности или установленных законом обязательств;
  4. При необходимости реагировать на внезапные инциденты со здоровьем или защищать жизнь и здоровье физических лиц или безопасность их имущества в чрезвычайных обстоятельствах;
  5. Обработка личной информации в разумных пределах для реализации новостных репортажей, надзора за общественным мнением и других подобных действий в общественных интересах;
  6. Прочие обстоятельства, предусмотренные законами и административными постановлениями.

Статья 14: Согласие на обработку личной информации должно быть дано физическими лицами при предварительном условии полного знания и в виде добровольного и явного заявления о желании. Если законы или административные постановления предусматривают получение отдельного согласия или письменного согласия на обработку личной информации, эти положения соблюдаются.

В случае изменения цели обработки личной информации, метода обработки или категорий обрабатываемой личной информации согласие лица должно быть получено повторно.

Статья 15: Если обработчики личной информации знают или должны знать, что личная информация, которую они обрабатывают, является личной информацией несовершеннолетних, не достигших 14-летнего возраста, они должны получить согласие своего опекуна.

Статья 16: Физические лица имеют право отозвать свое согласие на действия по обработке личной информации, осуществляемые на основании согласия физических лиц.

Статья 17: Обработчики личной информации не могут отказывать в предоставлении продуктов или услуг на том основании, что физическое лицо не дает согласия на обработку своей личной информации или аннулирует свое согласие на обработку личной информации, за исключением случаев, когда обработка личной информации необходима для предоставления продуктов или услуг.

Статья 18: Обработчики личной информации должны перед обработкой личной информации явным образом уведомить физических лиц о следующих элементах, используя ясный и понятный язык:

  1. Идентификационные данные и способ связи обработчика личной информации;
  2. Цель обработки и методы обработки личной информации, категории обрабатываемой личной информации и срок хранения;
  3. Способы и порядок реализации физическими лицами прав, предусмотренных настоящим Законом;
  4. Необходимо уведомлять о других положениях, предусмотренных законами или административными постановлениями.

Если происходит изменение в вопросах, предусмотренных в предыдущем параграфе, физические лица должны быть уведомлены об этом изменении.

Если обработчики личной информации уведомляют о вопросах, предусмотренных в параграфе I, посредством метода формулирования правил обработки личной информации, правила обработки должны быть общедоступными и удобными для чтения и хранения.

Статья 19: Обработчики личной информации, работающие с личной информацией, могут не уведомлять физических лиц об элементах, предусмотренных в предыдущей статье, в обстоятельствах, когда законы или административные постановления предусматривают, что секретность должна сохраняться или уведомление не требуется

В чрезвычайных обстоятельствах при невозможности своевременно уведомить физических лиц в целях защиты жизни, здоровья и безопасности физических лиц, обработчики персональных данных должны уведомить их после завершения чрезвычайных обстоятельств.

Статья 20: Сроки хранения личной информации - это самый короткий период, необходимый для реализации цели обработки личной информации. Если законы или административные постановления предусматривают иное в отношении сроков хранения личной информации, эти положения соблюдаются.

Статья 21: Если два или более обработчика личной информации совместно принимают решение о цели обработки личной информации и методе обработки, они должны согласовать права и обязанности каждого.Однако указанное соглашение не влияет на права человека требовать от любого обработчика личной информации выполнения положений настоящего Закона.

Если обработчики личной информации, совместно обрабатывающие личную информацию, наносят ущерб правам и интересам в отношении личной информации, они несут солидарную ответственность в соответствии с законом.

Статья 22: Если обработчики личной информации поручают обработку личной информации, они должны заключить соглашение с доверенной стороной о цели доверенной обработки, способе обработки, категориях личной информации, мерах защиты, а также права и обязанности обеих сторон и т. д., и осуществлять надзор за действиями доверенной стороны по обработке личной информации.

Доверенные лица обрабатывают личную информацию в соответствии с соглашением; они не могут обрабатывать личную информацию в целях обработки или в методах обработки и т. д. сверх условий соглашения; и после того, как контракт будет выполнен и завершен или доверительные отношения расторгнуты, вернуть личную информацию обработчику личной информации или удалить ее.

Без согласия обработчика личной информации доверенная сторона не может в дальнейшем поручать обработку личной информации другим лицам.

Статья 23: Обработчики личной информации должны, если это необходимо для передачи личной информации из-за слияний, разделений и других подобных причин, уведомлять физических лиц о личности получателя и способе связи. Принимающая сторона должна продолжать выполнять обязанности обработчика личной информации. Если принимающая сторона меняет первоначальную цель обработки или метод обработки, она должна снова уведомить лицо, как это предусмотрено настоящим Законом, и получить его согласие.

Статья 24: Если обработчики личной информации предоставляют третьим сторонам личную информацию, которую они обрабатывают, они должны уведомить физических лиц о личности третьей стороны, их способе связи, цели обработки, способе обработки и категориях личной информации, а также получить отдельное согласие от физического лица. Третьи стороны, получающие личную информацию, должны обрабатывать личную информацию в рамках вышеупомянутых целей обработки, методов обработки, категорий личной информации и т. Д.Если третьи стороны изменяют первоначальную цель обработки или методы обработки, они должны снова уведомить этого человека, как это предусмотрено настоящим Законом, и получить его согласие.

Если обработчики личной информации предоставляют анонимную информацию третьим лицам, третьи стороны не могут использовать технические или другие методы для повторной идентификации лиц.

Статья 25 : При использовании личной информации для автоматизированного принятия решений гарантируется прозрачность принятия решений, а также справедливость и разумность результата обработки.Если человек считает, что автоматизированное принятие решений оказывает значительное влияние на его права и интересы, он имеет право потребовать, чтобы обработчики личной информации объяснили этот вопрос, и они имеют право отказать обработчикам личной информации принимать решения исключительно с помощью автоматизированных методов принятия решений. .

Лица, осуществляющие коммерческие продажи или продвижение информации с помощью автоматизированных методов принятия решений, должны одновременно предоставлять возможность не нацеливаться на индивидуальные характеристики.

Статья 26: Обработчики личной информации не могут публиковать личную информацию, которую они обрабатывают; за исключением случаев, когда они получают отдельное согласие от лица или законы или административные постановления не предусматривают иное.

Статья 27: Установка оборудования для сбора изображений или распознавания личности в общественных местах должна происходить в соответствии с требованиями обеспечения общественной безопасности и соблюдения соответствующих государственных постановлений, а также должны быть установлены четкие указательные знаки.Собранные личные изображения и характерная информация о личности может использоваться только в целях обеспечения общественной безопасности; он не может быть опубликован или предоставлен другим лицам, за исключением случаев, когда содержится отдельное согласие отдельных лиц или если законами или административными постановлениями предусмотрено иное.

Статья 28: Обработчики личной информации, работающие с уже опубликованной личной информацией, должны соответствовать цели на момент публикации указанной личной информации; если они превышают разумный объем, связанный с указанной целью, они должны уведомить пользователя в соответствии с положениями настоящего Закона и получить его согласие.

Если цель на момент публикации личной информации не ясна, обработчики личной информации должны обращаться с опубликованной личной информацией разумно и осторожно; о действиях с использованием опубликованной личной информации, оказывающей значительное влияние на физических лиц, физическое лицо должно быть уведомлено в соответствии с положениями настоящего Закона и получено его согласие.

Раздел 2: Правила обработки конфиденциальной личной информации

Статья 29: Обработчики личной информации могут обращаться с конфиденциальной личной информацией только для определенных целей и при достаточной необходимости.

Конфиденциальная личная информация означает личную информацию, которая после утечки или незаконного использования может вызвать дискриминацию отдельных лиц или причинить серьезный ущерб личной или имущественной безопасности, включая информацию о расе, этнической принадлежности, религиозных убеждениях, индивидуальных биометрических характеристиках, состоянии здоровья, финансовых счетах и ​​т. Д. отслеживание индивидуального местоположения и т. д.

Статья 30: В случае обработки конфиденциальной личной информации на основе индивидуального согласия обработчики личной информации должны получить отдельное согласие от физического лица.Если законы или административные постановления предусматривают получение письменного согласия на обработку конфиденциальной личной информации, эти положения выполняются.

Статья 31: Если обработчики личной информации обрабатывают конфиденциальную личную информацию, помимо требований статьи 18 настоящего Закона, они также уведомляют физическое лицо о необходимости обработки конфиденциальной личной информации, а также о влиянии на человека. .

Статья 32: Если законы или административные постановления предусматривают получение соответствующих административных лицензий или налагаются более строгие ограничения на обработку конфиденциальной личной информации, эти положения выполняются.

Раздел 3. Особые положения о государственных органах, работающих с персональной информацией.

Статья 33: . Настоящий Закон распространяется на деятельность государственных органов по обращению с персональной информацией; там, где этот Раздел содержит особые положения, применяются положения настоящего Раздела.

Статья 34: Государственные органы, работающие с личной информацией для выполнения своих уставных обязанностей и ответственности, должны осуществлять их в соответствии с полномочиями и процедурами, предусмотренными законами или административными постановлениями; они не могут выходить за рамки или пределы, необходимые для выполнения своих уставных обязанностей и ответственности.

Статья 35: Государственные органы, обрабатывающие личную информацию в целях выполнения установленных законом обязанностей и ответственности, должны уведомлять физических лиц в соответствии с положениями настоящего Закона и получать их согласие, за исключением случаев, когда законы или административные постановления предусматривают защиту секретности, или если уведомление и получение согласия будут препятствовать выполнению государственными органами своих уставных обязанностей и ответственности.

Статья 36: Государственные органы не могут публиковать личную информацию, которую они обрабатывают, или предоставлять ее другим лицам, за исключением случаев, когда законами или административными постановлениями предусмотрено иное или если получено согласие физического лица.

Статья 37: Личная информация, обрабатываемая государственными органами, должна храниться в пределах Китайской Народной Республики; в случае необходимости предоставления за границей проводится оценка рисков. От соответствующих отделов может потребоваться поддержка и помощь в оценке рисков.

Глава III: Положение о трансграничном предоставлении личной информации

Статья 38: Если обработчики личной информации должны предоставить личную информацию за пределами Китайской Народной Республики для ведения бизнеса или другие подобные требования, они должны выполнить хотя бы одно из следующих условий:

  1. Прохождение аттестации по безопасности, организованной Государственным управлением кибербезопасности и информатизации в соответствии со статьей 40 настоящего Закона;
  2. Прохождение сертификации защиты персональной информации, проводимой специализированным органом в соответствии с положениями Государственного департамента кибербезопасности и информатизации;
  3. Заключение соглашения с иностранной принимающей стороной, согласование прав и обязанностей обеих сторон и надзор за тем, чтобы их деятельность по обработке личной информации соответствовала стандартам защиты личной информации, предусмотренным настоящим Законом;
  4. Другие условия, предусмотренные законами или административными постановлениями или Государственным департаментом кибербезопасности и информатизации.

Статья 39: Если обработчики личной информации предоставляют личную информацию за пределами Китайской Народной Республики, они должны уведомить лицо о личности иностранной принимающей стороны, способе связи, цели обработки, методах обработки и личной информации. категории, а также способы осуществления физическими лицами прав, предусмотренных настоящим Законом, с иностранной принимающей стороной и другие подобные вопросы, а также получение отдельного согласия физических лиц.

Статья 40: Операторы критически важной информационной инфраструктуры и обработчики личной информации, обрабатывающие личную информацию, достигающую объемов, предоставляемых Государственным департаментом кибербезопасности и информатизации, должны хранить личную информацию, собранную и произведенную в пределах границ Китайской Народной Республики внутри страны. В случае необходимости предоставления за границу они должны пройти аттестацию безопасности, организованную Государственным управлением кибербезопасности и информатизации; если законы или административные постановления и положения Государственного департамента кибербезопасности и информатизации позволяют не проводить оценку безопасности, эти положения соблюдаются.

Статья 41: Если необходимо предоставить личную информацию за пределами Китайской Народной Республики для оказания международной судебной помощи или административной помощи правоохранительным органам, заявление должно быть подано в соответствующий компетентный департамент для утверждения в соответствии с закон.

Если Китайская Народная Республика заключила или участвует в международных договорах или соглашениях, которые содержат положения, касающиеся предоставления личной информации за пределами Китайской Народной Республики, эти положения соблюдаются.

Статья 42: Если иностранные организации или частные лица участвуют в действиях по обработке личной информации, ущемляющих права и интересы граждан Китайской Народной Республики в отношении личной информации или наносящих ущерб национальной безопасности или общественным интересам Китайской Народной Республики, государство Отдел кибербезопасности и информатизации может внести их в список, ограничивающий или запрещающий предоставление личной информации, выносить предупреждение и принимать такие меры, как ограничение или запрещение предоставления им личной информации и т. д.

Статья 43: Если какая-либо страна или регион принимает дискриминационные запреты, ограничения или другие аналогичные меры против Китайской Народной Республики в области защиты личной информации, Китайская Народная Республика может принять ответные меры против указанной страны или региона на исходя из реальных обстоятельств.

Глава IV: Индивидуальные права при обработке личной информации

Статья 44: Физические лица имеют право знать свою личную информацию и право принимать решения, а также право ограничивать или отказываться от обработки своей личной информации. другими лицами, если иное не предусмотрено законами или административными постановлениями.

Статья 45: Физические лица имеют право получать доступ к своей личной информации и копировать ее из обработчиков личной информации, за исключением случаев, предусмотренных частью I статьи 19 настоящего Закона.

Если люди запрашивают доступ или копируют свою личную информацию, обработчики личной информации должны предоставить ее своевременно.

Статья 46: Если люди обнаруживают, что их личная информация неверна или неполна, они имеют право попросить обработчиков личной информации исправить или дополнить их личную информацию.Если люди просят исправить или дополнить свою личную информацию, обработчики личной информации должны проверить личную информацию и исправить или дополнить ее своевременно.

Статья 47: Обработчики личной информации должны активно или на основании индивидуальных запросов удалять личную информацию при возникновении одного из следующих обстоятельств:

  1. Согласованный срок хранения истек или цель обработки достигнута;
  2. Обработчики личной информации прекращают предоставление продуктов или услуг;
  3. Физическое лицо отказывается от согласия;
  4. Обработчики личной информации обрабатывали личную информацию в нарушение законов, административных правил или соглашений;
  5. Другие обстоятельства, предусмотренные законами или административными постановлениями.

Если период хранения, предусмотренный законами или административными постановлениями, не истек или удаление личной информации технически сложно осуществить, обработчики личной информации должны прекратить обработку личной информации.

Статья 48: Физические лица имеют право запрашивать у обработчиков личной информации разъяснения правил обработки личной информации.

Статья 49: Обработчики личной информации должны создать механизмы для приема и обработки заявлений от физических лиц для реализации своих прав.Если они отклоняют просьбы отдельных лиц об осуществлении своих прав, они должны объяснить причину.

Глава V: Обязанности обработчиков личной информации

Статья 50: Обработчики личной информации должны, исходя из цели обработки личной информации, методов обработки, категорий личной информации, а также влияния на отдельных лиц, возможно, существующих риски безопасности и т. д., принять необходимые меры для обеспечения того, чтобы обработка личной информации соответствовала положениям законов и административных положений, и предотвратить несанкционированный доступ, а также утечку или кражу, искажение или удаление личной информации:

  1. Формирование внутренних структур управления и правила эксплуатации;
  2. Внедрение многоуровневого и категоризированного управления личной информацией;
  3. Принятие соответствующих технических мер безопасности, таких как шифрование, деидентификация и т. Д.;
  4. Обоснованное определение операционных ограничений на обработку личной информации и регулярное проведение обучения и тренингов по вопросам безопасности для сотрудников;
  5. Разработка и организация реализации планов реагирования на инциденты, связанные с безопасностью личной информации;
  6. Другие меры, предусмотренные законами или административными постановлениями.

Статья 51: Обработчики личной информации, которые обрабатывают личную информацию, достигающую объемов, предусмотренных Государственным управлением кибербезопасности и информатизации, должны назначать лиц, ответственных за защиту личной информации, ответственных за осуществление надзора за деятельностью по обработке личной информации, а также принятые меры защиты, и т.п.

Обработчики личной информации должны публиковать имена, методы связи и т. Д. Лиц, ответственных за защиту личной информации, и сообщать о них отделам, выполняющим обязанности и ответственность по защите личной информации.

Статья 52: Обработчики личной информации за пределами Китайской Народной Республики, как это предусмотрено в части II статьи 3 настоящего Закона, должны учредить специальную организацию или назначить представителя в пределах Китайской Народной Республики, который будет отвечает за вопросы, связанные с личной информацией, которую они обрабатывают, и будет сообщать название соответствующей организации или имя и способ связи и т. д., представителя в отделы, выполняющие обязанности и ответственность по защите персональной информации.

Статья 53: Обработчики личной информации должны регулярно проводить аудиторские проверки того, соответствуют ли их операции по обработке личной информации, принимаемые ими меры защиты и т. Д. Положениям законов и административных постановлений. Отделы, выполняющие обязанности и ответственность по защите личной информации, могут потребовать, чтобы обработчики личной информации доверили проведение аудитов специализированным организациям.

Статья 54: Обработчики личной информации должны проводить оценку риска до следующих действий по обработке личной информации и записывать ситуацию обработки:

  1. Обработка конфиденциальной личной информации;
  2. Использование личной информации для автоматизированного принятия решений;
  3. Поручение обработки личной информации, предоставление личной информации третьим лицам или публикация личной информации;
  4. Предоставление личной информации за рубежом;
  5. Другая деятельность по обработке личной информации, оказывающая значительное влияние на отдельных лиц.

Содержание оценки риска должно включать:

  1. Являются ли цель обработки личной информации, метод обработки и т. Д. Законными, законными и необходимыми;
  2. Влияние на людей и степень риска;
  3. Являются ли принятые меры защиты законными, эффективными и соответствуют ли они степени риска.

Отчеты об оценке рисков и записи о статусе обработки должны храниться не менее трех лет.

Статья 55: Если обработчики личной информации обнаруживают утечку личной информации, они должны немедленно принять меры по исправлению положения и уведомить отделы, выполняющие обязанности и ответственность по защите личной информации, а также отдельных лиц. Уведомление должно содержать следующие элементы:

  1. Причина утечки персональной информации;
  2. Категории утечки личной информации и вред, который может быть причинен;
  3. Принятые лечебные мероприятия;
  4. Меры, которые могут принять отдельные лица для уменьшения вреда;
  5. Способ связи обработчика личной информации.

Если обработчики личной информации принимают меры, которые могут эффективно избежать ущерба, причиненного утечкой информации, обработчикам личной информации разрешается не уведомлять отдельных лиц; однако, если отделы, выполняющие обязанности и ответственность по защите личной информации, полагают, что утечка личной информации может причинить вред людям, они могут потребовать, чтобы обработчики личной информации уведомили людей.

Глава VI: Департаменты, выполняющие обязанности и ответственность по защите личной информации.

Статья 56: Государственный департамент кибербезопасности и информатизации отвечает за комплексное планирование и координацию работы по защите личной информации, а также за соответствующий надзор и работу по управлению. Соответствующие департаменты Государственного совета несут ответственность за защиту личной информации, надзор и управление в рамках своих соответствующих обязанностей и ответственности в соответствии с положениями настоящего Закона и соответствующими законами и административными постановлениями.

Обязанности и ответственность соответствующих ведомств по защите личной информации, надзору и управлению на уровне округа и выше определяются в соответствии с постановлениями штата.

Департаменты, указанные в двух предыдущих параграфах, являются совместно названными департаментами, выполняющими обязанности и ответственность по защите личной информации.

Статья 57: Департаменты, выполняющие обязанности и ответственность по защите личной информации, выполняют следующие обязанности и ответственность по защите личной информации:

  1. Проведение пропаганды и просвещения по вопросам защиты личной информации, а также руководство и надзор за проведением работниками обработки личной информации работы по защите личной информации ;
  2. Прием и обработка жалоб и отчетов, связанных с защитой персональной информации;
  3. Расследование и обработка незаконных действий, связанных с обращением с личной информацией;
  4. Прочие обязанности и ответственность, предусмотренные законами или административными постановлениями.

Статья 58: Государственный департамент кибербезопасности и информатизации и соответствующие департаменты Государственного совета в соответствии со своими обязанностями, обязанностями и полномочиями организуют разработку правил и стандартов, связанных с защитой личной информации, продвигают создание социальной службы. система защиты личной информации, а также поддержка соответствующих органов в проведении услуг по оценке и сертификации защиты личной информации.

Статья 59: Когда отделы, выполняющие обязанности и ответственность по защите личной информации, выполняют обязанности и ответственность по защите личной информации, они могут принимать следующие меры:

  1. Проведение собеседований с соответствующими заинтересованными сторонами, расследование обстоятельств, связанных с деятельностью по работе с личной информацией;
  2. Консультации и воспроизведение контрактов, записей, квитанций и других соответствующих материалов, относящихся к деятельности по обработке личной информации, заинтересованной стороны;
  3. Проведение выездных проверок, расследование подозрений в незаконном обращении с персональной информацией;
  4. Проверка оборудования и товаров, связанных с обработкой личной информации; оборудование и товары, связанные с деятельностью по предоставлению личной информации, если есть доказательства, подтверждающие ее незаконность, могут быть опечатаны или конфискованы.

Если отделы, выполняющие обязанности и ответственность по защите личной информации, выполняют свои обязанности и ответственность в соответствии с законом, заинтересованные стороны должны оказывать помощь и сотрудничать, и они не могут препятствовать или препятствовать им.

Статья 60: Если отделы, выполняющие обязанности и ответственность по защите личной информации, обнаруживают относительно большие риски, связанные с деятельностью по обработке личной информации или происходят инциденты, связанные с безопасностью личной информации, они могут провести беседу с законным представителем указанного обработчика личной информации или основными ответственными лицами в соответствии с регулирующим полномочиям и процедурам.Обработчики личной информации должны принять меры в соответствии с требованиями для исправления ситуации и устранения уязвимости.

Статья 61: Любая организация или физическое лицо имеет право подать жалобу или сообщить о незаконных действиях по обработке личной информации в отделы, выполняющие обязанности и ответственность по защите личной информации. Департаменты, получающие жалобы или отчеты, должны обрабатывать их быстро и в соответствии с законом и уведомлять лицо, подавшее жалобу или сообщающее о результатах рассмотрения.Департаменты, выполняющие обязанности и ответственность по защите личной информации, должны публиковать способы связи для приема жалоб и отчетов.

Глава 7: Юридическая ответственность

Статья 62: Если личная информация обрабатывается с нарушением настоящего Закона или личная информация обрабатывается без принятия необходимых мер безопасности в соответствии с нормативными актами, отделы, выполняющие обязанности и обязанности по защите личной информации исправление, конфискация незаконных доходов и вынесение предупреждения; в случае отказа в исправлении дополнительно налагается штраф в размере не более 1 миллиона юаней; непосредственное ответственное лицо и другой непосредственно ответственный персонал оштрафованы от 10 000 до 100 000 юаней.

Если обстоятельства противоправных действий, упомянутых в предыдущем параграфе, являются серьезными, отделы, выполняющие обязанности и ответственность по защите личной информации, исправляют порядок, конфискуют незаконный доход и налагают штраф в размере не более 50 миллионов юаней или 5% годовых. доход. Они также могут приказать приостановить соответствующую коммерческую деятельность, прекратить деятельность для исправления и сообщить в соответствующий компетентный департамент об аннулировании соответствующих профессиональных лицензий или аннулировании разрешений на ведение бизнеса.Непосредственно ответственное лицо и другой непосредственно ответственный персонал оштрафованы на сумму от 100 000 до 1 миллиона юаней.

Статья 63: В случае совершения противоправных действий, предусмотренных настоящим законом, они будут занесены в кредитные файлы, как это предусмотрено соответствующими законами и административными постановлениями, и опубликованы.

Статья 64: В случае невыполнения государственными органами обязанностей по защите личной информации, предусмотренных настоящим Законом, их вышестоящие органы или подразделения, выполняющие обязанности и ответственность по защите личной информации, выносят постановление об исправлении; непосредственно ответственное лицо и другие непосредственно ответственные лица будут наказаны в соответствии с законом.

Статья 65: Если права и интересы в отношении личной информации нарушаются в результате действий по обработке личной информации, обработчик личной информации несет ответственность за компенсацию физическим лицам понесенных убытков или выгоды, полученной обработчиком личной информации; если трудно определить убытки, понесенные физическим лицом, или выгоды, полученные обработчиком личной информации, Народный суд определяет размер компенсации в соответствии с реальной ситуацией.Если обработчик личной информации сможет доказать, что он не виноват, он может быть освобожден от ответственности или освобожден от нее.

Статья 66: Если обработчики личной информации обрабатывают личную информацию в нарушение положений настоящего Закона, ущемляя права и преимущества многих лиц, Народной прокуратуры, ведомств, выполняющих обязанности и ответственность по защите личной информации, и государственной кибербезопасности Департамент информатизации может подать иск в Народный суд в соответствии с законом.

Статья 67: Если нарушение положений настоящего Закона составляет нарушение управления общественной безопасностью, наказание в отношении управления общественной безопасностью налагается в соответствии с законом; если это составляет преступление, уголовная ответственность расследуется в соответствии с законом.

Глава VIII: Дополнительные положения

Статья 68: Этот закон не применяется, если физическое лицо обрабатывает личную информацию в личных или домашних делах.

Если законы содержат положения об обработке личной информации в процессе статистической или архивной деятельности, организованной и осуществляемой народными правительствами всех уровней и соответствующими департаментами, эти положения соблюдаются.

Статья 69: Следующие термины этого Закона определены следующим образом:

  1. «Обработчик личной информации» относится к организациям и частным лицам, которые самостоятельно определяют цели обработки, методы обработки и другие подобные вопросы обработки личной информации.