«Контроллер» означает физическое или юридическое лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; если цели и средства такой обработки определены законодательством Союза или государства-члена, контролер или конкретные критерии его назначения могут быть предусмотрены законодательством Союза или государства-члена;

Обработчик – это организация (которая может быть физическим или юридическим лицом, государственным органом, агентством или другим органом), которая обрабатывает персональные данные от имени контролера в соответствии с его инструкциями.

Контроллеры могут быть дополнительно разделены на категории в зависимости от таких факторов, как то, действуют ли они как единое юридическое лицо или нет, в зависимости от их учреждения и т. Д.

Когда более одного контроллера задействованы для определения цели и средств обработки, эти контроллеры известны как «Контроллеры присоединения», в соответствии с GDPR Контроллеры присоединения должны соответствовать следующему набору требований.

1. Каждый контролер должен иметь возможность ясно, недвусмысленно и прозрачно продемонстрировать каждую из своих обязанностей, соблюдения и обязательств перед отдельными лицами и надзорными органами.
2. Соглашение между каждым контролером должно соответствовать законам ЕС / государства-члена.
3. Каждый контролер должен быть в состоянии обеспечить договоренность между контролерами отдельным лицам и надзорным органам.

В дополнение к общим правилам, контролеры, зарегистрированные за пределами ЕС, должны назначить представителя и соответствовать следующим критериям.

1. Представитель должен находиться в ЕС.
2. Представитель должен иметь возможность взаимодействовать с надзорными органами и отдельными лицами для решения вопросов, связанных с защитой персональных данных и соблюдением GDPR.
3. Назначение представителя должно быть основано на письменном мандате.
4. Назначение представителя не означает уменьшения ответственности обработчика или контролера.

Однако органы государственной власти, осуждение по уголовным делам и организационная обработка небольшого количества персональных данных (не особых категорий) на нерегулярной основе исключены из вышеуказанных требований.

Согласно GDPR, контролеры должны обеспечить внедрение соответствующих технических и организационных процессов, чтобы соответствовать GDPR, кроме того, контролеры должны иметь возможность продемонстрировать, что технические и организационные процессы соответствуют GDPR.Эти изменения могут включать…

1. реализации политик защиты данных.
2. соблюдение кодекса поведения, определенного в GDPR
3. соблюдение процесса сертификации, определенного в GDPR

Контроллер также подчиняется следующим двум принципам

– Дизайн защиты данных Согласно этому принципу, at время определения цели обработки данных (время планирования) и во время самой обработки данных (время выполнения) контроллеры должны принять соответствующие технические и организационные меры, некоторые из наиболее важных мер приведены ниже.

• Псевдонимизация персональных данных.
• Шифрование личных данных.
• Соблюдайте принципы безопасности ЦРУ: конфиденциальность, целостность и доступность.
• Возможность восстановления данных в случае физического или технического происшествия.
• Обеспечьте отказоустойчивый характер системы обработки.
• Возможность поддержки аудитов, инспекций и других мер безопасности.

– Защита данных по умолчанию В соответствии с этим принципом, контролеры должны обрабатывать только те персональные данные, которые необходимы для текущей цели обработки, это также подразумевает сбор только необходимых данных, а также их хранение и хранение только в течение необходимого времени.

Контроллерам следует использовать только тех процессоров, которые могут предоставить гарантии и продемонстрировать свое соответствие GDPR, , Кодекс поведения GDPR и элементы сертификации полезны для принятия таких решений. Также контроллеры должны гарантировать, что процессоры обрабатывают данные на основе точных инструкций, предоставленных контроллером.

Контроллер должен вести учет обработки данных, включая следующую информацию.

1. Имя и контактные данные контролера, любого представителя или должностного лица по защите данных (DPO).
2. Цель обработки данных.
3. Тип данных и категории субъектов данных.
4. Будут ли данные переданы третьей стороне.
5. Будут ли данные передаваться в стороннюю страну.
6. Как долго данные будут храниться в контроллере.
7. Технические и организационные меры безопасности, соблюдаемые контроллером.

Проведение оценки воздействия на защиту данных (DPIA) в зависимости от характера обработки данных также является обязанностью контролера, мы обсудим оценку воздействия в отдельном разделе.

• Обработка персональных данных процессором всегда должна основываться на документированных инструкциях от контроллера.
• Процессор должен иметь возможность продемонстрировать соответствие GDPR при обработке данных контроллерам и надзорным органам.
• Процессор не должен взаимодействовать с другим процессором без письменного разрешения контроллера.
• Если на процессор распространяются какие-либо особые правила передачи данных из ЕС / государства-члена, он должен сообщить эти правила контроллеру.
• Люди, которые получают доступ к личным данным со стороны процессора, должны соблюдать конфиденциальность.
• Процессор должен помогать контроллеру выполнять запросы от отдельных лиц.
• Процессор должен помогать контроллеру соблюдать правила GDPR.
• Процессор должен сотрудничать с контролирующими органами.
• По выбору контроллера процессор должен иметь возможность удалять любые сохраненные личные данные.

Процессор должен вести запись обработки данных, включая следующую информацию.

1. Имя и контактные данные обработчика, связанных контроллеров, любого представителя или любого должностного лица по защите данных (DPO).
2. Цель обработки данных каждого контроллера.
3. Тип данных и категории субъектов данных.
4. Будут ли данные переданы третьей стороне.
5. Будут ли данные передаваться в стороннюю страну.
6. Как долго данные будут храниться в контроллере.
7. Технические и организационные меры безопасности, соблюдаемые контроллером.

Нарушение данных – это нарушение безопасности, при котором конфиденциальные, защищенные или конфиденциальные данные копируются, передаются, просматриваются, крадутся или используются неавторизованным лицом. Организация, обрабатывающая данные (контролер или обработчик), должна принимать все возможные меры для устранения риска утечки данных, но на самом деле никто не может практически гарантировать 100% безопасность данных или системы, учитывая этот практический риск, GDPR предоставляет исчерпывающий набор правил. для борьбы с инцидентами утечки данных, в том числе

• , как общаться с надзорными органами.
• , как общаться с людьми, которые могут пострадать от утечки данных.

Контроллеры / процессоры обязаны установить эффективные процедуры для вышеуказанных уведомлений.

Во время утечки данных необходимо соблюдать следующую процедуру для связи с надзорными органами.

• Сообщите об утечке данных в течение 72 часов.
• Если это процессор, немедленно сообщите об этом контроллеру.
• Предоставьте контактные данные сотрудника по защите данных (DPO) или любого другого ответственного лица.
• Задокументировать все факты, связанные с утечкой данных, и предоставить их для проверки контролирующим органам.
• Уведомления должны включать следующую информацию, на случай, если все данные, которые недоступны, могут быть разделены по этапам.

– Характер утечки данных.

– Категории утечки данных.

– приблизительное количество пострадавших.

– Приблизительное количество затронутых записей данных.

– Последствия утечки данных.

– Предлагаемые меры по предотвращению утечки данных.

Во время утечки данных необходимо соблюдать следующую процедуру для связи с физическими лицами.

1. Общайтесь с каждым без задержек.
2. Уведомление должно быть ясным и понятным.

GDPR рекомендует контроллерам проводить оценку воздействия на защиту данных (DPIA) в зависимости от характера обработки данных, особенно при переходе на использование новых технологий. Эту оценку воздействия необходимо провести до начала обработки данных, и если присутствующие диспетчеры DPO могут обратиться за советом.

Ниже приведены случаи, в которых GDPR предписывает проводить оценку воздействия.

1. Систематическая и всесторонняя оценка личных данных с использованием автоматизированной обработки, включая профилирование.
2. Обработка больших объемов персональных данных относится к особой категории.
3. Крупномасштабный систематический мониторинг общедоступной территории.
4. Дополнительно надзорные органы могут санкционировать перечень таких случаев.

Оценка воздействия должна быть сосредоточена на следующих факторах.

• Систематический процесс обработки.
• Цель обработки.
• Оцените цель и процесс обработки.
• Оценить риск, связанный с правом личности на свободу.
• Меры по снижению возможного риска.

В случае, если результат оценки воздействия указывает на высокий риск, контролер может проконсультироваться с надзорными органами для получения рекомендаций, GDPR имеет четкое руководство о том, что необходимо сообщить надзорным органам с соответствующими подробностями графика.

GDPR вводит специальную роль, называемую сотрудником по защите данных (DPO), для предоставления необходимых консультаций организациям, занимающимся обработкой данных, и в качестве контактного лица для сторонних сотрудников, таких как физические лица и надзорные органы.

Как контроллеры, так и процессоры могут назначать DPO с учетом его / ее профессиональной квалификации, экспертных знаний и способности выполнять поставленную задачу, а также один DPO может быть сервером для группы связанных организаций. DPO может быть сотрудником организации или физическим лицом, работающим по контракту, кроме того, DPO может выполнять любые другие задачи внутри организации, если эти действия не вызывают каких-либо проблем с конфликтом интересов.

В соответствии с GDPR обрабатывающая организация должна помогать DPO в выполнении его действий и должна гарантировать, что DPO участвует в любых вопросах, связанных с защитой данных, кроме того, DPO должен отчитываться перед высшим уровнем обрабатывающей организации. .

Физические лица должны обращаться к DPO для решения любых вопросов, связанных с их личными данными, и DPO обязан сохранять конфиденциальность при выполнении своих обязанностей.

Согласно GDPR назначение DPO требуется в следующих случаях.

1. Обработка осуществляется государственным органом, кроме судов.
2. Характер обработки данных требует регулярного контроля со стороны отдельных лиц.
3. Обработка данных включает в себя большой объем данных, отнесенных к категории специальных данных или данных о судебных процессах, связанных с осуждением по уголовным делам.
4. Некоторые другие условия в соответствии с законодательством ЕС / государства-члена.

Текст GDPR сам по себе не дает количественной интерпретации фразы « большой объем данных» , но согласно Gartner..

обработка данных более чем 5000 человек в течение 12 месяцев, то такие организации включаются в «фразу большого объема данных». (http://www.gartner.com/smarterwithgartner/top-five-priorities-to-prepare-for-eu-gdpr/)

GDPR также перечисляет следующие основные обязанности DPO.

• Информировать и консультировать сотрудников по правилам и процедурам защиты данных.
• Следить за соблюдением нормативных требований.
• Консультации по оценке воздействия на защиту данных.
• Сотрудничать с надзорными органами и выступать в качестве контактного лица для надзорных органов.
• Выступать в качестве контактного лица для лиц, имеющих отношение к любым вопросам, связанным с защитой данных.

В соответствии с правилами GDPR ассоциациям или другим организациям, таким как профессиональные организации, представляющие категории контроллеров / процессоров, рекомендуется разработать кодексы поведения в рамках регулирования GDPR с целью облегчить эффективное применение GDPR.Регламент GDPR предоставляет дополнительную информацию о точной процедуре, которой необходимо следовать, и руководящих принципах для формирования таких кодексов поведения, включая механизм мониторинга утвержденных кодексов поведения.

Чтобы помочь контроллерам / процессорам соответствовать требованиям, GDPR поощряет создание механизмов сертификации и печатей для защиты данных. С точки зрения частных лиц такие сертификаты и печати помогают быстро оценить уровень защиты данных соответствующих продуктов и услуг.Вы можете прочитать более подробную информацию о сертификации в основном тексте GDPR.

Заявление о конфиденциальности данных | Accenture

1. Общая информация

ЗАЯВЛЕНИЕ О КОНФИДЕНЦИАЛЬНОСТИ В этом общем заявлении о конфиденциальности объясняется, как Accenture PLC и / или ее аффилированные лица, дочерние компании и недавно приобретенные компании («Accenture») защищают персональные данные, связанные с процессами и средствами контроля Accenture, относящиеся к вам («ваши персональные данные»), почему Accenture обрабатывает ваши личные данные, кто имеет доступ к вашим личным данным и как вы можете реализовать свои права в отношении обработки ваших личных данных.

Любое подразделение Accenture, расположенное за пределами Европейского Союза, в целях соблюдения законов о конфиденциальности данных будет представлено Accenture PLC.

В этом общем заявлении о конфиденциальности содержится обзор наиболее распространенных операций Accenture по обработке ваших личные данные. Обратите внимание, что некоторые конкретные операции по обработке могут подлежать отдельному и индивидуальному Заявление о конфиденциальности.

В случае подготовки любого перевода этого глобального заявления о конфиденциальности английская версия этого глобального заявления о конфиденциальности Заявление о конфиденциальности имеет преимущественную силу в случае противоречий между версиями на разных языках.

Какие категории личных данных обрабатывает Accenture?
Accenture будет собирать персональные данные о вас для достижения целей, изложенных в этом глобальном заявлении о конфиденциальности.

Дополнительную информацию о конкретных категориях персональных данных, которые обрабатывает Accenture, см. В разделе 2. Для получения дополнительной информации об источниках, из которых Accenture получила ваши персональные данные, пожалуйста, см. раздел 3.

Если вы предоставляете Accenture какие-либо личные данные другого лица (например, потенциального сотрудника / реферала), вы несете ответственность за то, чтобы такое лицо было осведомлено об информации, содержащейся в этом глобальном заявление о конфиденциальности и что это лицо дало вам согласие на передачу информации Accenture.

За исключением определенной информации, которая требуется по закону, ваше решение предоставить какие-либо личные данные компании Accenture добровольно. Таким образом, вы не будете подвергаться неблагоприятным последствиям, если не желаете предоставлять Accenture с вашими личными данными. Однако учтите, что если вы не предоставите определенную информацию, Accenture не сможет иметь возможность выполнять некоторые или все цели, изложенные в этом глобальном заявлении о конфиденциальности, и вы не можете быть иметь возможность использовать определенные инструменты и системы, требующие использования таких личных данных.

Почему Accenture обрабатывает ваши личные данные?
Accenture может собирать, использовать, передавать, раскрывать и иным образом обрабатывать ваши персональные данные в контексте облегчение связи с вами (в том числе в экстренных случаях), работы и управления Accenture бизнес-операций, соблюдение требований законодательства, мониторинг использования вами систем Accenture, выполнение аналитика данных и подбор персонала. Более подробный список целей см. В разделе 4.

Accenture не будет использовать ваши персональные данные в целях, несовместимых с целями, перечисленными в данном глобальное заявление о конфиденциальности, если это не требуется или не разрешено законом или не отвечает вашим жизненным интересам (например, в случае неотложной медицинской помощи) для этого.

На каком правовом основании Accenture обрабатывает ваши личные данные?
Accenture обрабатывает ваши личные данные в соответствии с действующим законодательством о конфиденциальности данных и своей внутренней политикой.

Accenture обрабатывает ваши персональные данные для целей, изложенных в этом глобальном заявлении о конфиденциальности для одного или нескольких из следующих причин: (i) поскольку компания Accenture обязана сделать это для соблюдения юридического обязательства по которой он подлежит, (ii) поскольку такая информация необходима для выполнения контракта, который вы являются стороной, (iii) потому что обработка необходима для целей законных интересов, преследуемых Accenture или третьей стороной (как описано в последнем предложении этого параграфа), или (iv) при необходимости в чтобы защитить жизненные интересы любого человека. Accenture имеет законные интересы в сборе и обработка личных данных, например: (1) для обеспечения безопасности сетей и информации Accenture, (2) для управления и общего ведения бизнеса и (3) для предотвращения мошенничества.

Кроме того, Accenture может обрабатывать ваши конфиденциальные данные и / или автоматически принимать решения в отношении вас, где разрешено действующим законодательством и / или с вашего предварительного согласия и для целей, указанных в настоящей конфиденциальности утверждение.

См. Раздел 5 для получения дополнительной информации о юридических основаниях, на которых основана компания Accenture. обработка ваших личных данных для каждого действия по обработке.

Кто имеет доступ к вашим личным данным?
Доступ к вашим личным данным в Accenture будет ограничен теми сотрудниками, которым необходимо знать информация для целей, описанных в этом глобальном заявлении о конфиденциальности, которое может включать сотрудников в Безопасность, управление персоналом, информационные технологии, комплаенс, право, финансы и бухгалтерский учет, корпоративные расследования и внутренний аудит. Все сотрудники Accenture обычно имеют доступ к вашей деловой контактной информации (например, имя, должность, номер телефона и адрес электронной почты).

Кроме того, ваши личные данные могут быть переданы в другие офисы Accenture и третьим лицам, которые могут подразумевают передачу ваших личных данных в другие страны.

Как глобальная организация с офисами и операциями по всему миру, ваши личные данные могут быть переданы или быть доступными на международном уровне в рамках глобального бизнеса Accenture, а также между ее подразделениями и аффилированными лицами. Любая передача ваших личных данных в другие офисы Accenture (в том числе переводы из европейских Экономическая зона (ЕЭЗ) за пределами ЕЭЗ) будет регулироваться обязательными корпоративными правилами Accenture (BCR; копия которую можно найти здесь).BCR Accenture отражает стандарты, содержащиеся в европейских законах о конфиденциальности данных (включая Общие правила защиты данных). Имея BCR означает, что все подразделения группы Accenture, которые подписались на BCR, должны соблюдать одни и те же внутренние правила. Это также означает, что ваши права остаются неизменными независимо от того, где ваши данные обрабатываются Accenture.

Кроме того, при необходимости Accenture может передавать ваши персональные данные третьим лицам, например, в службу поддержки. провайдеры и государственные органы.Перед этим Accenture принимает меры для защиты ваших личных данных. Любой Ожидаются сторонние поставщики услуг и профессиональные консультанты, которым раскрываются ваши личные данные. и требуется для защиты конфиденциальности и безопасности ваших личных данных и может использовать только ваши личные данные в соответствии с применимыми законами о конфиденциальности данных. Для категорий третьих лиц, с которыми Accenture может передавать ваши личные данные, см. раздел 6. Если вы не уведомлены об ином, любая передача ваших личных данных данные из ЕЭЗ третьим сторонам за пределами ЕЭЗ будут основаны на решении об адекватности или регулируются в соответствии со стандартными договорными положениями ЕС (копию которых можно получить у специалиста по защите данных Accenture). Любые другие, не из ЕЭЗ, международная передача ваших личных данных будет происходить в соответствии с этим заявлением о конфиденциальности, соответствующие международные механизмы передачи данных и гарантии.

Как Accenture защищает ваши личные данные?
Accenture обеспечивает организационную, физическую и техническую безопасность всех персональных данных, которые она держит. У Accenture есть протоколы, средства контроля и соответствующие политики, процедуры и руководства для их поддержки. меры, принимающие во внимание риски, связанные с категориями персональных данных и обработкой Accenture берет на себя.

Accenture применяет лучшие на рынке меры безопасности для защиты ваших личных данных. Это включает (не будучи ограничительный):

• Accenture имеет сертификат ISO27001, который свидетельствует о том, что он придерживается самых высоких и строгих стандартов. стандарты информационной безопасности. Это стандарт безопасности, присвоенный Британским институтом стандартов. это служит международным свидетельством того, что Accenture придерживается самых высоких и строгих стандартов. Эта сертификация является единственным международным стандартом, подлежащим аудиту, который определяет требования к Система управления информационной безопасностью и подтверждает, что процессы и средства контроля безопасности Accenture обеспечить эффективную основу для защиты информации своих клиентов и своей собственной информации.
• Accenture имеет глобальную программу защиты данных клиентов, которая регулирует управление клиентом. информация и системы, доверенные Accenture.
• Accenture регулярно проводит тестирование на проникновение, проводимое сторонним провайдером, которое продолжает показывать прочность его технической защиты.

Как долго Accenture хранит ваши личные данные?
Accenture хранит ваши личные данные только до тех пор, пока это необходимо.Accenture ведет определенные записи политики и процедуры управления и хранения, чтобы личные данные удалялись по истечении разумного срока согласно следующим критериям удержания:

• Accenture хранит ваши личные данные до тех пор, пока поддерживает постоянные отношения с вами.
• Accenture хранит ваши персональные данные столько времени, сколько необходимо для соблюдения юридического обязательства по которому это подлежит.
• Accenture хранит ваши персональные данные там, где это целесообразно для защиты или улучшения юридических положение (например, в отношении сроков давности, судебных разбирательств или нормативных расследований).

Пожалуйста, постоянно обновляйте свои личные данные и сообщайте Accenture о любых существенных изменениях в вашей личные данные.

Какие права у вас есть в отношении ваших личных данных?
Свяжитесь с сотрудником Accenture по защите данных, если у вас (i) есть какие-либо вопросы или проблемы. о том, как Accenture обрабатывает ваши персональные данные, или (ii) хочет реализовать какие-либо ваши права в отношении ваших личные данные.

У вас есть право (при обстоятельствах и условиях, а также с учетом исключений, изложенных в применимое право к:

• Запросить доступ к вашим личным данным, которые мы обрабатываем: это право дает вам право знать, есть ли у Accenture хранит ваши личные данные и, если да, получает информацию и копию этих личных данных.
• Запросить исправление ваших личных данных: это право дает вам право на исправление ваших личных данных. если он неточный или неполный.
• Возражение против обработки ваших личных данных: это право дает вам право требовать, чтобы Accenture больше не обрабатывает ваши личные данные.
• Запросить удаление ваших личных данных: это право дает вам право требовать удаления ваших личных данных. данные, в том числе в тех случаях, когда такие личные данные больше не будут необходимы для достижения целей.
• Запросить ограничение обработки ваших личных данных: это право дает вам право требовать, чтобы Accenture обрабатывает ваши персональные данные только в ограниченных случаях, в том числе с вашего согласия.
• Запросить переносимость ваших личных данных: это право дает вам право на получение копии (в структурированной, широко используемый и машиночитаемый формат) личных данных, которые вы предоставили Accenture или запросили Accenture для передачи таких персональных данных другому контроллеру данных.

Если обработка ваших личных данных подпадает под действие BCR Accenture, вы также можете просмотреть ваши права в соответствии с BCR Accenture.

Если обработка ваших персональных данных основана на вашем согласии, вы имеете право отозвать такое согласие в любое время, связавшись с сотрудником Accenture по конфиденциальности данных. Учтите, что это не повлияет Право Accenture на обработку персональных данных, полученных до отзыва вашего согласия, или право на продолжить обработку данных на других юридических основаниях, кроме вашего согласия.

Обратите внимание, однако, что некоторые личные данные могут быть освобождены от вышеупомянутых прав в соответствии с применимые законы о конфиденциальности данных или другие законы и постановления.

Если, несмотря на обязательства и усилия Accenture по защите ваших личных данных, вы считаете, что конфиденциальность ваших данных были нарушены, мы призываем и приветствуем вас сначала прийти в Accenture для решения любых жалоба. Вы имеете право в любое время подать жалобу непосредственно в соответствующий надзорный орган. органа власти или подать иск против Accenture в компетентный суд (либо в стране, где вы живете, страна, в которой вы работаете, или страна, в которой, по вашему мнению, был нарушен закон о конфиденциальности данных).

Что делать, если у вас есть вопросы или вам нужна дополнительная информация?
Это глобальное заявление о конфиденциальности и упомянутые в нем веб-страницы призваны предоставить вам полную и прозрачную информация о том, как Accenture обрабатывает ваши личные данные.

Если у вас есть дополнительные вопросы или опасения относительно того, как Accenture обрабатывает ваши личные данные, или, если вы хотите воспользоваться каким-либо из вышеперечисленных прав, обратитесь к сотруднику по защите данных.

2. Дополнительная информация о категориях персональных данных

В таблице ниже представлены категории персональных данных, которые Accenture обрабатывает или может обрабатывать в контексте действий по обработке, описанных в глобальном заявлении о конфиденциальности.

Категория персональных данных	Пояснение
Личные данные.	Имя, предпочтительное местоимение, все типы контактных данных (например, электронная почта, номера телефонов, физические адрес), пол, дата рождения, возраст, место рождения.
Конфиденциальные данные.	Accenture может также собирать определенные типы конфиденциальной информации, если это разрешено местным законодательством или с вашего согласия, например, информацию о состоянии здоровья / медицинскую информацию (включая статус инвалидности и диетическое питание). требования / аллергия в рамках мероприятий, которые мы организуем / спонсируем).Accenture будет использовать только такая конфиденциальная информация для целей, описанных в разделе 4.
Аудиовизуальные материалы.	Фотография, а также изображения / видеоматериалы, снятые на систему видеонаблюдения или другие системы видеонаблюдения и наблюдения.
Позиция.	Описание текущей должности, название должности, работодателя, местонахождение, контактное лицо (-а) в Accenture.
Данные для доступа к системе и приложениям.	Если вам предоставляется доступ к системам Accenture, Accenture может собирать информацию требуется для доступа к таким системам и приложениям Accenture, как System ID, LAN ID, электронная почта учетная запись, учетная запись для обмена мгновенными сообщениями, идентификатор мэйнфрейма, системные пароли, журналы доступа, журналы активности и электронный контент, созданный с использованием систем Accenture.

Кроме того, в целях набора персонала Accenture может обрабатывать персональные данные, указанные в таблице ниже.

Личные данные.	Помимо перечисленных выше личных данных, Accenture может собирать дополнительные личные данные. данные для целей приема на работу, такие как национальный идентификационный номер, номер социального страхования, информация о страховании, статус супружеского / гражданского партнерства, сожители, иждивенцы, чрезвычайная ситуация контактная информация, военная история.
Конфиденциальные данные.	Accenture может собирать определенные типы конфиденциальной информации, если это разрешено местным законодательством или ваше согласие, такое как информация о здоровье / медицинская информация (включая статус инвалидности), профсоюз информация о членстве, религия, раса или этническая принадлежность, флаг меньшинства и (если это разрешено законом) информация об уголовных судимостях и правонарушениях. Accenture собирает эту информацию для конкретных целей, таких как медицинская / медицинская информация, чтобы приспособиться к инвалидности или болезни и предоставлять льготы; проверка биографических данных; религия или церковная принадлежность в таких странах, как Германия если это требуется для установленных законом налоговых вычетов; и личные данные, связанные с разнообразием (например, раса или этнической принадлежности) в целях соблюдения юридических обязательств и внутренней политики в отношении разнообразия и антидискриминация.
Документация требуется в соответствии с иммиграционным законодательством.	Accenture может собирать данные о гражданстве, паспортных данных, данных о резидентстве или разрешении на работу ( физическая копия и / или электронная копия).
Информация об управлении талантами.	Информация, необходимая для завершения проверки биографических данных, подробные сведения о решениях и результатах производительности, отзывы о производительности и предупреждения, программы электронного обучения / обучения, обзоры эффективности и развития (включая информацию, которую вы предоставляете при запросе / предоставлении обратной связи, создании приоритетов, обновлении вашего ввода в соответствующих инструментах), информация о водительских правах и владении автомобилем, а также информация, используемая для заполнения биографий.

3. Дополнительная информация об источниках личных данных

Ваши личные данные были получены Accenture из источников, указанных в таблице ниже.

Кроме того, в целях набора персонала Accenture может получать личные данные из источников, указанных ниже. Таблица.

Предыдущие работодатели.

Образовательные учреждения.

Провайдеры проверки биографических данных.

Поставщики услуг по управлению талантами.

Вышеупомянутые источники являются частными, за исключением случаев, когда источник прямо заявлено как «публичное». Обратите внимание, что эти источники могли хранить ваши личные данные как внутри и за пределами ЕС.

4. Дополнительная информация о целях

Как указано в общем заявлении о конфиденциальности, Accenture обрабатывает ваши персональные данные для различных целей.В В таблице ниже описаны все цели, для которых Accenture обрабатывает ваши личные данные.

Назначение	Пояснение
Облегчение связи с вами (в том числе в экстренных случаях).	Облегчение общения с вами, обеспечение непрерывности бизнеса, защита здоровья и безопасности сотрудников и других лиц, охраняя ИТ-инфраструктуру, оргтехнику и другое имущество, облегчение связи с вами и вашими назначенными контактами в экстренных случаях.
Эксплуатация и управление бизнес-операциями Accenture (включая безопасность).	Эксплуатация и управление ИТ-системами и системами связи, операции ИТ-безопасности, безопасный доступ контроль объектов, управление активами Accenture, непрерывность бизнеса и аварийное восстановление, составление контрольных журналов и других инструментов отчетности, ведение записей, относящихся к бизнесу мероприятия и организация мероприятий / семинаров Accenture.
Соответствует требованиям законодательства.	Соблюдение требований законодательства, таких как обязательная подача документов, ведение учета и отчетность обязательства, проведение аудитов, соблюдение государственных проверок и другие запросы от правительство или другие государственные органы, реагирующие на судебные процессы, такие как повестки в суд, преследование юридические права и средства защиты, защита судебных разбирательств и управление любыми внутренними жалобами или претензиями, проведение расследований и соблюдение внутренних политик и процедур, защита, обеспечение соблюдения или защиты юридических прав, конфиденциальности, безопасности или собственности Accenture, аффилированных лиц Accenture или их сотрудники, агенты и подрядчики (включая обеспечение соблюдения соответствующих соглашений и условий использования), защищая безопасность, конфиденциальность и безопасность пользователей продуктов или услуг Accenture или представителей общественности, защиты от мошенничества или управления рисками.
Отслеживание использования вами активов Accenture	Мониторинг действий, разрешенных местным законодательством и / или в соответствии с применимыми правилами Accenture политики (включая мониторинг использования ресурсов Accenture).
Анализ данных.	Применение аналитики к бизнес-операциям и данным для описания, прогнозирования и улучшения бизнеса производительность в Accenture и / или обеспечение лучшего взаимодействия с пользователем.В частности, области внутри аналитика включает описательную аналитику, прогнозную аналитику, аналитику с участием отдельных лиц (клиенты, деловые контакты) используют личные данные, аналитику, основанную на маркетинге, единое представление о клиенте цикл взаимодействия с клиентом и аналитика рабочего места.
Набор персонала.	Управление заявками о приеме на работу, в том числе проведение собеседования, проведение аттестации, оценка производительности, финансовое планирование, проведение платежа администрирование, управление программами инклюзивности и разнообразия, проверка биографических данных, планирование и мониторинг требований к обучению.

5. Дополнительная юридическая информация

Accenture обрабатывает ваши персональные данные в соответствии с юридическими основаниями, указанными в таблице ниже.

Назначение	Правовая основа
Облегчение связи с вами (в том числе в экстренных случаях).	Обосновано законными интересами Accenture для обеспечения надлежащего взаимодействия и аварийное реагирование внутри организации.
Эксплуатация и управление бизнес-операциями Accenture (включая безопасность).	Обосновано законными интересами Accenture для обеспечения надлежащего функционирования свои бизнес-операции.
Соответствует требованиям законодательства.	Необходимо для соблюдения юридических обязательств, которым подчиняется Accenture.
Отслеживание использования вами систем Accenture.	Обосновано законными интересами Accenture по недопущению несоблюдения и защите его репутация.
Анализ данных.	Обосновано законными интересами Accenture по анализу и улучшению надлежащего функционирование его хозяйственных операций.
Набор персонала.	Обосновано законными интересами Accenture для обеспечения найма соответствующие сотрудники.

Обратите внимание:

• Если в приведенной выше таблице указано, что Accenture полагается на свои законные интересы с определенной целью, Accenture считает, что ее законные интересы не перекрываются вашими интересами, правами или предоставленные свободы (i) прозрачность, которую Accenture обеспечивает в отношении обработки данных, (ii) конфиденциальность Accenture (iii) регулярная проверка конфиденциальности Accenture и (iv) ваши права в отношении перерабатывающая деятельность. Если вы хотите получить дополнительную информацию об этом подходе к тесту балансировки, пожалуйста, свяжитесь с сотрудником Accenture по защите данных.
• Если для любой из вышеуказанных целей требуется обработка конфиденциальных данных, Accenture будет делать это только в том случае, если разрешено действующим законодательством или с вашего предварительного согласия.
• Если любая из вышеперечисленных целей предполагает автоматическое решение, Accenture будет принимать только такие автоматизированные решение с вашего предварительного согласия и после информирования вас о значимой информации о логике участие в автоматизированном решении, а также значимость и предполагаемые последствия такого автоматизированное решение для вас.
• Accenture будет обрабатывать ваши персональные данные на основе вашего предыдущего согласие в той степени, в которой такое согласие требуется в соответствии с императивным законодательством.

6. Дополнительная информация о категориях сторонних получателей

Помимо передачи персональных данных своим аффилированным лицам и соответствующему внутреннему персоналу, Accenture также может передавать ваши персональные данные категориям неаффилированных третьих лиц, указанным в таблице ниже.

Категория третьих лиц	Пояснение
Профессиональные консультанты.	Бухгалтеры, аудиторы, юристы, страховщики, банкиры и другие внешние профессиональные консультанты во всех страны, в которых работает Accenture.
Поставщики услуг.	Компании, предоставляющие продукты и услуги для Accenture, такие как поставщики и поддержка ИТ-систем, торговые органы и ассоциации, а также другие поставщики услуг. В целях набора персонала Accenture может также передавать ваши персональные данные компаниям, которые предоставляют продукты и услуги для Accenture в отношении производительности, обучения, управления расходами и фоновые поиски.
Государственные и государственные органы.	Юридические лица, регулирующие деятельность Accenture или обладающие юрисдикцией в отношении нее, такие как регулирующие органы, закон правоохранительные, государственные и судебные органы.
Корпоративная / коммерческая сделка.	Третья сторона в связи с любой предлагаемой или фактической реорганизацией, слиянием, продажей, совместным предприятием, уступка, передача или иное отчуждение всего или любой части бизнеса, активов или акции (в том числе в связи с банкротством или аналогичными процедурами).Третья сторона в связь с любым предлагаемым или реальным клиентским проектом.

7. Свяжитесь с нами

Вы можете связаться с Accenture как контролером ваших персональных данных через нашего сотрудника по конфиденциальности данных (желательно в электронном виде) или по почте, четко обозначенной для внимания сотрудника по защите данных, по этому адресу: Accenture Limited Dublin, 1 Grand Canal Square, Гавань Гранд-Канал, Дублин 2, Ирландия.

Основы: Задачи сотрудника по защите данных

В соответствии с Общим регламентом по защите данных (GDPR) назначение сотрудника по защите данных [1] является обязательным в соответствии с требованиями ст.37 п. 4 GDPR в сочетании с разделом 38 BDSG. В следующей статье блога мы отвечаем на самые важные, фундаментальные вопросы об уполномоченном по защите данных.

Что такое сотрудник по защите данных?

Сотрудник по защите данных (DPO) – это физическое лицо, которое отвечает за соблюдение требований по защите данных в организации. DPO представляет собой контрольную дистанцию ​​и обязан информировать ответственное лицо. Кроме того, ответственный за защиту данных не подчиняется инструкциям и не может быть ограничен для выполнения своих задач.Сотрудник по защите данных не уполномочен давать инструкции, но может только давать рекомендации и отчитываться перед высшим руководством.

Кто берет на себя работу сотрудника по защите данных?

Сотрудник по защите данных может быть назначен внутри организации, а также за ее пределами. Если сотрудник по защите данных назначается внутри компании, необходимо убедиться в отсутствии конфликта интересов. Поэтому следует, например, нет ИТ-менеджера, управляющего директора, руководителя отдела кадров, руководителя юридического отдела и т. д.займет должность сотрудника по защите данных. Кроме того, необходимо обеспечить, чтобы назначенный сотрудник по защите данных обладал необходимыми специальными знаниями в области законодательства о защите данных и практики защиты данных для выполнения своих задач.

Какие задачи и обязанности выполняет сотрудник по защите данных?

Задачи ответственного за защиту данных вытекают из Общего регламента защиты данных в соответствии со ст. 39 GDPR.

• Обзор требований поставщиков услуг e.грамм. B. в контексте обработки заказов

  При вводе в эксплуатацию новых поставщиков услуг необходимо заранее сообщить об этом сотруднику по защите данных. Задача сотрудника по защите данных – проверить поставщика услуг, чтобы определить, обрабатывает ли он личные данные в соответствии с правилами защиты данных. Это делается путем изучения соглашения об обработке заказа и проверки технических и организационных мер, принятых поставщиком услуг.

• Контроль и защита прав пострадавших

  Ответственное лицо несет ответственность за защиту прав субъекта данных (например,грамм. информация, запрос на исправление и удаление). Задача сотрудника по защите данных – предоставить ответственному лицу адекватную поддержку и предоставить ему информацию по вопросам защиты данных.

• Надзор за ведением учета операций обработки

  Контроллер должен вести учет операций обработки. Здесь описывается процесс обработки личных данных. Сотрудник по защите данных должен поддерживать ответственное лицо.Кроме того, сотрудник по защите данных обязан отслеживать все процессы, в которых обрабатываются личные данные, и проверять, были ли они уже задокументированы.

• Помощь в оценке рисков и оценке воздействия на защиту данных

  Если обработка связана с особенно высоким риском для прав и свобод физического лица (например, обширное видеонаблюдение), оценка воздействия на защиту данных должна проводиться в соответствии со ст. 35 GDPR. Задача сотрудника по защите данных – поддержать лицо, ответственное за проведение оценки воздействия на защиту данных в соответствии со ст. 35 GDPR.

• Поддержка в сообщении о нарушениях данных в надзорные органы

  Если утечка данных представляет особенно высокий риск для прав и свобод субъекта данных, об этом необходимо сообщить в компетентный надзорный орган в течение 72 часа после того, как стало известно об утечке данных.Тем не менее, сотрудник по защите данных должен быть проинформирован о каждом нарушении данных. Затем его задача состоит в том, чтобы оценить, подлежит ли это уведомлению или нет.

• Создание отчета о деятельности

  Согласно ст. 39 GDPR, сотрудник по защите данных обязан информировать ответственное лицо о его обязанностях в соответствии с законом о защите данных и контролировать соблюдение GDPR в компании. Это обязательство выполняется с помощью отчета о деятельности.

Знаете ли вы, что мы не только предоставляем внешних специалистов по защите данных и консультируем вас по всем аспектам этой темы, но также предлагаем электронное обучение? Вам даже не нужно быть клиентом-консультантом.
Мы здесь, чтобы помочь. Позвоните нам по телефону 08505 919 27-0 или заполните контактную форму.

[1] Это всегда относится как к мужчинам, так и к женщинам. Для облегчения чтения мы используем в этом тексте только мужской род.

Ramona Höfler ist seit ihrer Ausbildung zur Kauffrau für Büromanagement bei uns tätig.Sie kennt deshalb unser Dienstleistungs-Portfolio sehr genau. Mittlerweile unterstützt sie unser Team nicht nur im Backoffice sondern steht unseren Kunden auch als zertifizierte Datenschutzbeauftragte mit Rat und Tat zur Seite. Service- und Lösungsorientierung, Flexibilität und Kompetenz stehen für sie an erster Stelle.

Этот пост также доступен на немецком языке

Китайский проект «Закона о защите личной информации» (полный перевод)

Этот перевод сделан Роджером Кримерсом, Мингли Ши и Лорен Дадли, и он был отредактирован Грэмом Вебстером.

[Примечание редактора (2021.01.05): после консультаций этот перевод был изменен и теперь 单独 同意 переводится как «отдельное согласие», а не как «конкретное согласие».]

[оригинал на китайском языке]

Закон Китайской Народной Республики о защите личной информации (проект)

Содержание

Глава I: Общие положения

Глава II: Правила обработки личной информации

Раздел I: Общие положения

Раздел II: Правила для Обработка конфиденциальной личной информации

Раздел III: Особые положения о государственных органах, работающих с личной информацией

Глава III: Правила трансграничного предоставления личной информации

Глава IV: Права физических лиц при работе с личной информацией

Глава V: Обязанности обработчиков личной информации

Глава VI: Департаменты, выполняющие обязанности по защите личной информации s и обязанности

Глава VII: Юридическая ответственность

Глава VIII: Дополнительные положения

Глава I: Общие положения

Статья 1: Настоящий Закон сформулирован в целях защиты прав и интересов в отношении личной информации, стандартизации деятельности по работе с личной информацией , гарантировать законный, упорядоченный и свободный поток личной информации и стимулировать разумное использование личной информации.

Статья 2: Личная информация физических лиц пользуется правовой защитой; никакая организация или физическое лицо не может нарушать права и интересы физических лиц в отношении личной информации.

Статья 3: Настоящий Закон применяется к организациям и физическим лицам, занимающимся персональной информационной деятельностью физических лиц в пределах Китайской Народной Республики.

Настоящий Закон также применяется в случае наличия одного из следующих обстоятельств при работе с персональной информацией физических лиц за пределами Китайской Народной Республики в границах Китайской Народной Республики:

1. Если цель заключается в предоставлении товаров или услуг физическим лицам внутри границ;
2. При проведении анализа или оценки деятельности физических лиц внутри границ;
3. Другие обстоятельства, предусмотренные законами или административными постановлениями.

Статья 4: Личная информация – это все виды информации, записываемые электронными или другими средствами, относящиеся к идентифицированным или идентифицируемым физическим лицам, за исключением информации после обработки анонимности.

Обработка личной информации включает сбор, хранение, использование, обработку, передачу, предоставление, публикацию и другие подобные действия личной информации.

Статья 5: Должны применяться законные и надлежащие методы обработки личной информации и соблюдаться принцип искренности.Запрещается обрабатывать личную информацию обманным путем, вводить в заблуждение или другими подобными способами.

Статья 6: Обработка личной информации должна иметь ясную и разумную цель и ограничиваться минимальным объемом для реализации цели обработки. Запрещается обрабатывать личную информацию, не связанную с целью обработки.

Статья 7: При обращении с личной информацией должны соблюдаться принципы открытости и прозрачности, а правила обращения с личной информацией должны быть четко указаны.

Статья 8: Для достижения цели обработки обрабатываемая личная информация должна быть точной и своевременно обновляться.

Статья 9: Обработчики личной информации несут ответственность за свои действия по обработке личной информации и принимают необходимые меры для обеспечения безопасности обрабатываемой личной информации.

Статья 10: Ни одна организация или частное лицо не может обрабатывать личную информацию в нарушение положений законов и административных постановлений, или участвовать в деятельности по обработке личной информации, наносящей ущерб национальной безопасности или общественным интересам.

Статья 11: Государство создает структуру защиты личной информации для предотвращения и наказания действий, ущемляющих права и интересы личной информации, усиления пропаганды и просвещения по защите личной информации и содействия созданию благоприятных условий для защиты личной информации, с совместное участие правительства, предприятий, соответствующих отраслевых организаций и общественности.

Статья 12: Государство активно участвует в разработке международных правил [или норм] защиты личной информации, стимулирует международный обмен и сотрудничество в области защиты личной информации и способствует взаимному признанию правил защиты личной информации [или нормы], стандарты и др., с другими странами, регионами и международными организациями.

Глава II: Правила обработки личной информации

Раздел 1. Общие положения

Статья 13: Обработчики личной информации могут обрабатывать личную информацию только в том случае, если они соответствуют одному из следующих обстоятельств:

1. Получение согласия физических лиц;
2. При необходимости заключить или исполнить договор, в котором физическое лицо является заинтересованной стороной;
3. Если необходимо для выполнения установленных законом обязанностей и ответственности или установленных законом обязательств;
4. При необходимости реагировать на внезапные инциденты со здоровьем или защищать жизнь и здоровье физических лиц или безопасность их имущества в чрезвычайных обстоятельствах;
5. Обработка личной информации в разумных пределах для реализации новостных репортажей, надзора за общественным мнением и других подобных действий в общественных интересах;
6. Прочие обстоятельства, предусмотренные законами и административными постановлениями.

Статья 14: Согласие на обработку личной информации должно быть дано физическими лицами при предварительном условии полного знания и в виде добровольного и явного заявления о желании. Если законы или административные постановления предусматривают получение отдельного согласия или письменного согласия на обработку личной информации, эти положения соблюдаются.

В случае изменения цели обработки личной информации, метода обработки или категорий обрабатываемой личной информации согласие лица должно быть получено повторно.

Статья 15: Если обработчики личной информации знают или должны знать, что личная информация, которую они обрабатывают, является личной информацией несовершеннолетних, не достигших 14-летнего возраста, они должны получить согласие своего опекуна.

Статья 16: Физические лица имеют право отозвать свое согласие на действия по обработке личной информации, осуществляемые на основании согласия физических лиц.

Статья 17: Обработчики личной информации не могут отказывать в предоставлении продуктов или услуг на том основании, что физическое лицо не дает согласия на обработку своей личной информации или аннулирует свое согласие на обработку личной информации, за исключением случаев, когда обработка личной информации необходима для предоставления продуктов или услуг.

Статья 18: Обработчики личной информации должны перед обработкой личной информации явным образом уведомить физических лиц о следующих элементах, используя ясный и понятный язык:

1. Идентификационные данные и способ связи обработчика личной информации;
2. Цель обработки и методы обработки личной информации, категории обрабатываемой личной информации и срок хранения;
3. Способы и порядок реализации физическими лицами прав, предусмотренных настоящим Законом;
4. Необходимо уведомлять о других положениях, предусмотренных законами или административными постановлениями.

Если происходит изменение в вопросах, предусмотренных в предыдущем параграфе, физические лица должны быть уведомлены об этом изменении.

Если обработчики личной информации уведомляют о вопросах, предусмотренных в параграфе I, посредством метода формулирования правил обработки личной информации, правила обработки должны быть общедоступными и удобными для чтения и хранения.

Статья 19: Обработчики личной информации, работающие с личной информацией, могут не уведомлять физических лиц об элементах, предусмотренных в предыдущей статье, в обстоятельствах, когда законы или административные постановления предусматривают, что секретность должна сохраняться или уведомление не требуется

В чрезвычайных обстоятельствах при невозможности своевременно уведомить физических лиц в целях защиты жизни, здоровья и безопасности физических лиц, обработчики персональных данных должны уведомить их после завершения чрезвычайных обстоятельств.

Статья 20: Сроки хранения личной информации – это самый короткий период, необходимый для реализации цели обработки личной информации. Если законы или административные постановления предусматривают иное в отношении сроков хранения личной информации, эти положения соблюдаются.

Статья 21: Если два или более обработчика личной информации совместно принимают решение о цели обработки личной информации и методе обработки, они должны согласовать права и обязанности каждого.Однако указанное соглашение не влияет на права человека требовать от любого обработчика личной информации выполнения положений настоящего Закона.

Если обработчики личной информации, совместно обрабатывающие личную информацию, наносят ущерб правам и интересам в отношении личной информации, они несут солидарную ответственность в соответствии с законом.

Статья 22: Если обработчики личной информации поручают обработку личной информации, они должны заключить соглашение с доверенной стороной о цели доверенной обработки, способе обработки, категориях личной информации, мерах защиты, а также права и обязанности обеих сторон и т. д., и осуществлять надзор за действиями доверенной стороны по обработке личной информации.

Доверенные лица обрабатывают личную информацию в соответствии с соглашением; они не могут обрабатывать личную информацию в целях обработки или в методах обработки и т. д. сверх условий соглашения; и после того, как контракт будет выполнен и завершен или доверительные отношения расторгнуты, вернуть личную информацию обработчику личной информации или удалить ее.

Без согласия обработчика личной информации доверенная сторона не может в дальнейшем поручать обработку личной информации другим лицам.

Статья 23: Обработчики личной информации должны, если это необходимо для передачи личной информации из-за слияний, разделений и других подобных причин, уведомлять физических лиц о личности получателя и способе связи. Принимающая сторона должна продолжать выполнять обязанности обработчика личной информации. Если принимающая сторона меняет первоначальную цель обработки или метод обработки, она должна снова уведомить лицо, как это предусмотрено настоящим Законом, и получить его согласие.

Статья 24: Если обработчики личной информации предоставляют третьим сторонам личную информацию, которую они обрабатывают, они должны уведомить физических лиц о личности третьей стороны, их способе связи, цели обработки, способе обработки и категориях личной информации, а также получить отдельное согласие от физического лица. Третьи стороны, получающие личную информацию, должны обрабатывать личную информацию в рамках вышеупомянутых целей обработки, методов обработки, категорий личной информации и т. Д.Если третьи стороны изменяют первоначальную цель обработки или методы обработки, они должны снова уведомить этого человека, как это предусмотрено настоящим Законом, и получить его согласие.

Если обработчики личной информации предоставляют анонимную информацию третьим лицам, третьи стороны не могут использовать технические или другие методы для повторной идентификации лиц.

Статья 25 : При использовании личной информации для автоматизированного принятия решений гарантируется прозрачность принятия решений, а также справедливость и разумность результата обработки.Если человек считает, что автоматизированное принятие решений оказывает значительное влияние на его права и интересы, он имеет право потребовать, чтобы обработчики личной информации объяснили этот вопрос, и они имеют право отказать обработчикам личной информации принимать решения исключительно с помощью автоматизированных методов принятия решений. .

Лица, осуществляющие коммерческие продажи или продвижение информации с помощью автоматизированных методов принятия решений, должны одновременно предоставлять возможность не нацеливаться на индивидуальные характеристики.

Статья 26: Обработчики личной информации не могут публиковать личную информацию, которую они обрабатывают; за исключением случаев, когда они получают отдельное согласие от лица или законы или административные постановления не предусматривают иное.

Статья 27: Установка оборудования для сбора изображений или распознавания личности в общественных местах должна происходить в соответствии с требованиями обеспечения общественной безопасности и соблюдения соответствующих государственных постановлений, а также должны быть установлены четкие указательные знаки.Собранные личные изображения и характерная информация о личности может использоваться только в целях обеспечения общественной безопасности; он не может быть опубликован или предоставлен другим лицам, за исключением случаев, когда содержится отдельное согласие отдельных лиц или если законами или административными постановлениями предусмотрено иное.

Статья 28: Обработчики личной информации, работающие с уже опубликованной личной информацией, должны соответствовать цели на момент публикации указанной личной информации; если они превышают разумный объем, связанный с указанной целью, они должны уведомить пользователя в соответствии с положениями настоящего Закона и получить его согласие.

Если цель на момент публикации личной информации не ясна, обработчики личной информации должны обращаться с опубликованной личной информацией разумно и осторожно; о действиях с использованием опубликованной личной информации, оказывающей значительное влияние на физических лиц, физическое лицо должно быть уведомлено в соответствии с положениями настоящего Закона и получено его согласие.

Раздел 2: Правила обработки конфиденциальной личной информации

Статья 29: Обработчики личной информации могут обращаться с конфиденциальной личной информацией только для определенных целей и при достаточной необходимости.

Конфиденциальная личная информация означает личную информацию, которая после утечки или незаконного использования может вызвать дискриминацию отдельных лиц или причинить серьезный ущерб личной или имущественной безопасности, включая информацию о расе, этнической принадлежности, религиозных убеждениях, индивидуальных биометрических характеристиках, состоянии здоровья, финансовых счетах и ​​т. Д. отслеживание индивидуального местоположения и т. д.

Статья 30: В случае обработки конфиденциальной личной информации на основе индивидуального согласия обработчики личной информации должны получить отдельное согласие от физического лица.Если законы или административные постановления предусматривают получение письменного согласия на обработку конфиденциальной личной информации, эти положения выполняются.

Статья 31: Если обработчики личной информации обрабатывают конфиденциальную личную информацию, помимо требований статьи 18 настоящего Закона, они также уведомляют физическое лицо о необходимости обработки конфиденциальной личной информации, а также о влиянии на человека. .

Статья 32: Если законы или административные постановления предусматривают получение соответствующих административных лицензий или налагаются более строгие ограничения на обработку конфиденциальной личной информации, эти положения выполняются.

Раздел 3. Особые положения о государственных органах, работающих с персональной информацией.

Статья 33: . Настоящий Закон распространяется на деятельность государственных органов по обращению с персональной информацией; там, где этот Раздел содержит особые положения, применяются положения настоящего Раздела.

Статья 34: Государственные органы, работающие с личной информацией для выполнения своих уставных обязанностей и ответственности, должны осуществлять их в соответствии с полномочиями и процедурами, предусмотренными законами или административными постановлениями; они не могут выходить за рамки или пределы, необходимые для выполнения своих уставных обязанностей и ответственности.

Статья 35: Государственные органы, обрабатывающие личную информацию в целях выполнения установленных законом обязанностей и ответственности, должны уведомлять физических лиц в соответствии с положениями настоящего Закона и получать их согласие, за исключением случаев, когда законы или административные постановления предусматривают защиту секретности, или если уведомление и получение согласия будут препятствовать выполнению государственными органами своих уставных обязанностей и ответственности.

Статья 36: Государственные органы не могут публиковать личную информацию, которую они обрабатывают, или предоставлять ее другим лицам, за исключением случаев, когда законами или административными постановлениями предусмотрено иное или если получено согласие физического лица.

Статья 37: Личная информация, обрабатываемая государственными органами, должна храниться в пределах Китайской Народной Республики; в случае необходимости предоставления за границей проводится оценка рисков. От соответствующих отделов может потребоваться поддержка и помощь в оценке рисков.

Глава III: Положение о трансграничном предоставлении личной информации

Статья 38: Если обработчики личной информации должны предоставить личную информацию за пределами Китайской Народной Республики для ведения бизнеса или другие подобные требования, они должны выполнить хотя бы одно из следующих условий:

1. Прохождение аттестации по безопасности, организованной Государственным управлением кибербезопасности и информатизации в соответствии со статьей 40 настоящего Закона;
2. Прохождение сертификации защиты персональной информации, проводимой специализированным органом в соответствии с положениями Государственного департамента кибербезопасности и информатизации;
3. Заключение соглашения с иностранной принимающей стороной, согласование прав и обязанностей обеих сторон и надзор за тем, чтобы их деятельность по обработке личной информации соответствовала стандартам защиты личной информации, предусмотренным настоящим Законом;
4. Другие условия, предусмотренные законами или административными постановлениями или Государственным департаментом кибербезопасности и информатизации.

Статья 39: Если обработчики личной информации предоставляют личную информацию за пределами Китайской Народной Республики, они должны уведомить лицо о личности иностранной принимающей стороны, способе связи, цели обработки, методах обработки и личной информации. категории, а также способы осуществления физическими лицами прав, предусмотренных настоящим Законом, с иностранной принимающей стороной и другие подобные вопросы, а также получение отдельного согласия физических лиц.

Статья 40: Операторы критически важной информационной инфраструктуры и обработчики личной информации, обрабатывающие личную информацию, достигающую объемов, предоставляемых Государственным департаментом кибербезопасности и информатизации, должны хранить личную информацию, собранную и произведенную в пределах границ Китайской Народной Республики внутри страны. В случае необходимости предоставления за границу они должны пройти аттестацию безопасности, организованную Государственным управлением кибербезопасности и информатизации; если законы или административные постановления и положения Государственного департамента кибербезопасности и информатизации позволяют не проводить оценку безопасности, эти положения соблюдаются.

Статья 41: Если необходимо предоставить личную информацию за пределами Китайской Народной Республики для оказания международной судебной помощи или административной помощи правоохранительным органам, заявление должно быть подано в соответствующий компетентный департамент для утверждения в соответствии с закон.

Если Китайская Народная Республика заключила или участвует в международных договорах или соглашениях, которые содержат положения, касающиеся предоставления личной информации за пределами Китайской Народной Республики, эти положения соблюдаются.

Статья 42: Если иностранные организации или частные лица участвуют в действиях по обработке личной информации, ущемляющих права и интересы граждан Китайской Народной Республики в отношении личной информации или наносящих ущерб национальной безопасности или общественным интересам Китайской Народной Республики, государство Отдел кибербезопасности и информатизации может внести их в список, ограничивающий или запрещающий предоставление личной информации, выносить предупреждение и принимать такие меры, как ограничение или запрещение предоставления им личной информации и т. д.

Статья 43: Если какая-либо страна или регион принимает дискриминационные запреты, ограничения или другие аналогичные меры против Китайской Народной Республики в области защиты личной информации, Китайская Народная Республика может принять ответные меры против указанной страны или региона на исходя из реальных обстоятельств.

Глава IV: Индивидуальные права при обработке личной информации

Статья 44: Физические лица имеют право знать свою личную информацию и право принимать решения, а также право ограничивать или отказываться от обработки своей личной информации. другими лицами, если иное не предусмотрено законами или административными постановлениями.

Статья 45: Физические лица имеют право получать доступ к своей личной информации и копировать ее из обработчиков личной информации, за исключением случаев, предусмотренных частью I статьи 19 настоящего Закона.

Если люди запрашивают доступ или копируют свою личную информацию, обработчики личной информации должны предоставить ее своевременно.

Статья 46: Если люди обнаруживают, что их личная информация неверна или неполна, они имеют право попросить обработчиков личной информации исправить или дополнить их личную информацию.Если люди просят исправить или дополнить свою личную информацию, обработчики личной информации должны проверить личную информацию и исправить или дополнить ее своевременно.

Статья 47: Обработчики личной информации должны активно или на основании индивидуальных запросов удалять личную информацию при возникновении одного из следующих обстоятельств:

1. Согласованный срок хранения истек или цель обработки достигнута;
2. Обработчики личной информации прекращают предоставление продуктов или услуг;
3. Физическое лицо отказывается от согласия;
4. Обработчики личной информации обрабатывали личную информацию в нарушение законов, административных правил или соглашений;
5. Другие обстоятельства, предусмотренные законами или административными постановлениями.

Если период хранения, предусмотренный законами или административными постановлениями, не истек или удаление личной информации технически сложно осуществить, обработчики личной информации должны прекратить обработку личной информации.

Статья 48: Физические лица имеют право запрашивать у обработчиков личной информации разъяснения правил обработки личной информации.

Статья 49: Обработчики личной информации должны создать механизмы для приема и обработки заявлений от физических лиц для реализации своих прав.Если они отклоняют просьбы отдельных лиц об осуществлении своих прав, они должны объяснить причину.

Глава V: Обязанности обработчиков личной информации

Статья 50: Обработчики личной информации должны, исходя из цели обработки личной информации, методов обработки, категорий личной информации, а также влияния на отдельных лиц, возможно, существующих риски безопасности и т. д., принять необходимые меры для обеспечения того, чтобы обработка личной информации соответствовала положениям законов и административных положений, и предотвратить несанкционированный доступ, а также утечку или кражу, искажение или удаление личной информации:

1. Формирование внутренних структур управления и правила эксплуатации;
2. Внедрение многоуровневого и категоризированного управления личной информацией;
3. Принятие соответствующих технических мер безопасности, таких как шифрование, деидентификация и т. Д.;
4. Обоснованное определение операционных ограничений на обработку личной информации и регулярное проведение обучения и тренингов по вопросам безопасности для сотрудников;
5. Разработка и организация реализации планов реагирования на инциденты, связанные с безопасностью личной информации;
6. Другие меры, предусмотренные законами или административными постановлениями.

Статья 51: Обработчики личной информации, которые обрабатывают личную информацию, достигающую объемов, предусмотренных Государственным управлением кибербезопасности и информатизации, должны назначать лиц, ответственных за защиту личной информации, ответственных за осуществление надзора за деятельностью по обработке личной информации, а также принятые меры защиты, и т.п.

Обработчики личной информации должны публиковать имена, методы связи и т. Д. Лиц, ответственных за защиту личной информации, и сообщать о них отделам, выполняющим обязанности и ответственность по защите личной информации.

Статья 52: Обработчики личной информации за пределами Китайской Народной Республики, как это предусмотрено в части II статьи 3 настоящего Закона, должны учредить специальную организацию или назначить представителя в пределах Китайской Народной Республики, который будет отвечает за вопросы, связанные с личной информацией, которую они обрабатывают, и будет сообщать название соответствующей организации или имя и способ связи и т. д., представителя в отделы, выполняющие обязанности и ответственность по защите персональной информации.

Статья 53: Обработчики личной информации должны регулярно проводить аудиторские проверки того, соответствуют ли их операции по обработке личной информации, принимаемые ими меры защиты и т. Д. Положениям законов и административных постановлений. Отделы, выполняющие обязанности и ответственность по защите личной информации, могут потребовать, чтобы обработчики личной информации доверили проведение аудитов специализированным организациям.

Статья 54: Обработчики личной информации должны проводить оценку риска до следующих действий по обработке личной информации и записывать ситуацию обработки:

1. Обработка конфиденциальной личной информации;
2. Использование личной информации для автоматизированного принятия решений;
3. Поручение обработки личной информации, предоставление личной информации третьим лицам или публикация личной информации;
4. Предоставление личной информации за рубежом;
5. Другая деятельность по обработке личной информации, оказывающая значительное влияние на отдельных лиц.

Содержание оценки риска должно включать:

1. Являются ли цель обработки личной информации, метод обработки и т. Д. Законными, законными и необходимыми;
2. Влияние на людей и степень риска;
3. Являются ли принятые меры защиты законными, эффективными и соответствуют ли они степени риска.

Отчеты об оценке рисков и записи о статусе обработки должны храниться не менее трех лет.

Статья 55: Если обработчики личной информации обнаруживают утечку личной информации, они должны немедленно принять меры по исправлению положения и уведомить отделы, выполняющие обязанности и ответственность по защите личной информации, а также отдельных лиц. Уведомление должно содержать следующие элементы:

1. Причина утечки персональной информации;
2. Категории утечки личной информации и вред, который может быть причинен;
3. Принятые лечебные мероприятия;
4. Меры, которые могут принять отдельные лица для уменьшения вреда;
5. Способ связи обработчика личной информации.

Если обработчики личной информации принимают меры, которые могут эффективно избежать ущерба, причиненного утечкой информации, обработчикам личной информации разрешается не уведомлять отдельных лиц; однако, если отделы, выполняющие обязанности и ответственность по защите личной информации, полагают, что утечка личной информации может причинить вред людям, они могут потребовать, чтобы обработчики личной информации уведомили людей.

Глава VI: Департаменты, выполняющие обязанности и ответственность по защите личной информации.

Статья 56: Государственный департамент кибербезопасности и информатизации отвечает за комплексное планирование и координацию работы по защите личной информации, а также за соответствующий надзор и работу по управлению. Соответствующие департаменты Государственного совета несут ответственность за защиту личной информации, надзор и управление в рамках своих соответствующих обязанностей и ответственности в соответствии с положениями настоящего Закона и соответствующими законами и административными постановлениями.

Обязанности и ответственность соответствующих ведомств по защите личной информации, надзору и управлению на уровне округа и выше определяются в соответствии с постановлениями штата.

Департаменты, указанные в двух предыдущих параграфах, являются совместно названными департаментами, выполняющими обязанности и ответственность по защите личной информации.

Статья 57: Департаменты, выполняющие обязанности и ответственность по защите личной информации, выполняют следующие обязанности и ответственность по защите личной информации:

1. Проведение пропаганды и просвещения по вопросам защиты личной информации, а также руководство и надзор за проведением работниками обработки личной информации работы по защите личной информации ;
2. Прием и обработка жалоб и отчетов, связанных с защитой персональной информации;
3. Расследование и обработка незаконных действий, связанных с обращением с личной информацией;
4. Прочие обязанности и ответственность, предусмотренные законами или административными постановлениями.

Статья 58: Государственный департамент кибербезопасности и информатизации и соответствующие департаменты Государственного совета в соответствии со своими обязанностями, обязанностями и полномочиями организуют разработку правил и стандартов, связанных с защитой личной информации, продвигают создание социальной службы. система защиты личной информации, а также поддержка соответствующих органов в проведении услуг по оценке и сертификации защиты личной информации.

Статья 59: Когда отделы, выполняющие обязанности и ответственность по защите личной информации, выполняют обязанности и ответственность по защите личной информации, они могут принимать следующие меры:

1. Проведение собеседований с соответствующими заинтересованными сторонами, расследование обстоятельств, связанных с деятельностью по работе с личной информацией;
2. Консультации и воспроизведение контрактов, записей, квитанций и других соответствующих материалов, относящихся к деятельности по обработке личной информации, заинтересованной стороны;
3. Проведение выездных проверок, расследование подозрений в незаконном обращении с персональной информацией;
4. Проверка оборудования и товаров, связанных с обработкой личной информации; оборудование и товары, связанные с деятельностью по предоставлению личной информации, если есть доказательства, подтверждающие ее незаконность, могут быть опечатаны или конфискованы.

Если отделы, выполняющие обязанности и ответственность по защите личной информации, выполняют свои обязанности и ответственность в соответствии с законом, заинтересованные стороны должны оказывать помощь и сотрудничать, и они не могут препятствовать или препятствовать им.

Статья 60: Если отделы, выполняющие обязанности и ответственность по защите личной информации, обнаруживают относительно большие риски, связанные с деятельностью по обработке личной информации или происходят инциденты, связанные с безопасностью личной информации, они могут провести беседу с законным представителем указанного обработчика личной информации или основными ответственными лицами в соответствии с регулирующим полномочиям и процедурам.Обработчики личной информации должны принять меры в соответствии с требованиями для исправления ситуации и устранения уязвимости.

Статья 61: Любая организация или физическое лицо имеет право подать жалобу или сообщить о незаконных действиях по обработке личной информации в отделы, выполняющие обязанности и ответственность по защите личной информации. Департаменты, получающие жалобы или отчеты, должны обрабатывать их быстро и в соответствии с законом и уведомлять лицо, подавшее жалобу или сообщающее о результатах рассмотрения.Департаменты, выполняющие обязанности и ответственность по защите личной информации, должны публиковать способы связи для приема жалоб и отчетов.

Глава 7: Юридическая ответственность

Статья 62: Если личная информация обрабатывается с нарушением настоящего Закона или личная информация обрабатывается без принятия необходимых мер безопасности в соответствии с нормативными актами, отделы, выполняющие обязанности и обязанности по защите личной информации исправление, конфискация незаконных доходов и вынесение предупреждения; в случае отказа в исправлении дополнительно налагается штраф в размере не более 1 миллиона юаней; непосредственное ответственное лицо и другой непосредственно ответственный персонал оштрафованы от 10 000 до 100 000 юаней.

Если обстоятельства противоправных действий, упомянутых в предыдущем параграфе, являются серьезными, отделы, выполняющие обязанности и ответственность по защите личной информации, исправляют порядок, конфискуют незаконный доход и налагают штраф в размере не более 50 миллионов юаней или 5% годовых. доход. Они также могут приказать приостановить соответствующую коммерческую деятельность, прекратить деятельность для исправления и сообщить в соответствующий компетентный департамент об аннулировании соответствующих профессиональных лицензий или аннулировании разрешений на ведение бизнеса.Непосредственно ответственное лицо и другой непосредственно ответственный персонал оштрафованы на сумму от 100 000 до 1 миллиона юаней.

Статья 63: В случае совершения противоправных действий, предусмотренных настоящим законом, они будут занесены в кредитные файлы, как это предусмотрено соответствующими законами и административными постановлениями, и опубликованы.

Статья 64: В случае невыполнения государственными органами обязанностей по защите личной информации, предусмотренных настоящим Законом, их вышестоящие органы или подразделения, выполняющие обязанности и ответственность по защите личной информации, выносят постановление об исправлении; непосредственно ответственное лицо и другие непосредственно ответственные лица будут наказаны в соответствии с законом.

Статья 65: Если права и интересы в отношении личной информации нарушаются в результате действий по обработке личной информации, обработчик личной информации несет ответственность за компенсацию физическим лицам понесенных убытков или выгоды, полученной обработчиком личной информации; если трудно определить убытки, понесенные физическим лицом, или выгоды, полученные обработчиком личной информации, Народный суд определяет размер компенсации в соответствии с реальной ситуацией.Если обработчик личной информации сможет доказать, что он не виноват, он может быть освобожден от ответственности или освобожден от нее.

Статья 66: Если обработчики личной информации обрабатывают личную информацию в нарушение положений настоящего Закона, ущемляя права и преимущества многих лиц, Народной прокуратуры, ведомств, выполняющих обязанности и ответственность по защите личной информации, и государственной кибербезопасности Департамент информатизации может подать иск в Народный суд в соответствии с законом.

Статья 67: Если нарушение положений настоящего Закона составляет нарушение управления общественной безопасностью, наказание в отношении управления общественной безопасностью налагается в соответствии с законом; если это составляет преступление, уголовная ответственность расследуется в соответствии с законом.

Глава VIII: Дополнительные положения

Статья 68: Этот закон не применяется, если физическое лицо обрабатывает личную информацию в личных или домашних делах.

Если законы содержат положения об обработке личной информации в процессе статистической или архивной деятельности, организованной и осуществляемой народными правительствами всех уровней и соответствующими департаментами, эти положения соблюдаются.

Статья 69: Следующие термины этого Закона определены следующим образом:

1. «Обработчик личной информации» относится к организациям и частным лицам, которые самостоятельно определяют цели обработки, методы обработки и другие подобные вопросы обработки личной информации.