Содержание

Что относится к персональным данным физического лица

]]>

Подборка наиболее важных документов по запросу Что относится к персональным данным физического лица (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).

Судебная практика: Что относится к персональным данным физического лица Открыть документ в вашей системе КонсультантПлюс:
Подборка судебных решений за 2020 год: Статья 7 “Конфиденциальность персональных данных” Федерального закона “О персональных данных””Действующее правовое регулирование в качестве общего правила закрепляет конфиденциальность персональных данных, которая предполагает, что операторы и иные лица, получившие доступ к персональным данным, т.е. любой информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (статья 7 Федерального закона “О персональных данных”).

Статьи, комментарии, ответы на вопросы: Что относится к персональным данным физического лица Путеводитель по госуслугам для юридических лиц. Представление уведомления об обработке персональных данныхПерсональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Закона). Такой информацией являются фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных (п. 2.5 Рекомендаций). Открыть документ в вашей системе КонсультантПлюс:
Статья: Проблемы соотношения защиты права на неприкосновенность частной жизни и права на защиту персональных данных
(Рузанова В.Д.)
(“Законы России: опыт, анализ, практика”, 2019, N 9)Сторонники узкого подхода обосновывают ограничительное толкование понятия “персональные данные”, предполагающее в качестве ключевого признака правовой квалификации такой информации возможность идентифицировать физическое лицо на основе сведений, имеющихся в распоряжении оператора . По мнению И.А. Михайловой, за минувшие 20 лет произошло решительное расширение, а вернее, ликвидация границ информации, относящейся к персональным данным физических лиц, и такое расширение, по ее мнению, имеет скорее негативное, чем позитивное значение .

Нормативные акты: Что относится к персональным данным физического лица Федеральный закон от 29.11.2007 N 282-ФЗ
(ред. от 11.06.2021)
“Об официальном статистическом учете и системе государственной статистики в Российской Федерации”9. Субъекты официального статистического учета в целях формирования официальной статистической информации получают от респондентов первичные статистические данные и административные данные, в том числе содержащие сведения, отнесенные к государственной тайне, сведения, отнесенные к коммерческой тайне, сведения о налогоплательщиках, о персональных данных физических лиц и другую информацию, доступ к которой ограничен федеральными законами, и обеспечивают ее защиту в соответствии с законодательством Российской Федерации об этих категориях информации ограниченного доступа.

Новые правила распространения персональных данных – Аналитика

21 января 2021

Новые правила распространения персональных данных

30 декабря 2020 года принят закон¹, устанавливающий новые правила распространения (раскрытия неопределенному кругу лиц) персональных данных и обработки персональных данных из открытых источников. Изменения вступают в силу 1 марта 2021 года.

Новые правила касаются всех операторов персональных данных и любого распространения персональных данных с согласия гражданина (не только онлайн, но и офлайн).

Особенно важно обратить внимание на новые правила владельцам (операторам) онлайн-ресурсов и сервисов, которые позволяют пользователям делиться информацией с неограниченным кругом лиц, а также операторам, использующим в своей деятельности информацию из открытых источников (в частности, СМИ, компаниям, использующим системы мониторинга поведения в сети Интернет).

ОСНОВНЫЕ НОВОВВЕДЕНИЯ      

1. Изменена терминология

Понятие «персональные данные, сделанные общедоступными субъектом персональных данных» исключено и введено понятие «персональные данные, разрешенные субъектом персональных данных для распространения». При этом сохранилось отдельное понятие «общедоступные источники персональных данных» (например, справочники, адресные книги), которые могут создаваться в информационных целях и в которые (с письменного согласия гражданина) могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные данные. Пока не ясно, будут ли положения об особенностях распространения персональных данных и получения соответствующего согласия, установленные новым законом, применяться на практике при формировании и использовании общедоступных источников персональных данных.

Также новым законом не разъяснены статус персональных данных, содержащихся в публичных реестрах, и основания их обработки. Исходя из положений Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», есть основания полагать, что персональные данные, содержащиеся в публично доступных разделах реестров, могут рассматриваться как общедоступная информация, которая может использоваться любыми лицами при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

2. Необходимость получения отдельных и более конкретных согласий на раскрытие

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения (далее – «согласие на распространение»), должно быть оформлено отдельно от иных согласий субъекта персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение. Молчание или бездействие гражданина ни при каких обстоятельствах не может считаться согласием.

Согласие на распространение может быть предоставлено оператору непосредственно или с использованием специальной информационной системы Роскомнадзора (она еще не функционирует).

Особое внимание на новые требования необходимо обратить владельцам (операторам) онлайн-ресурсов и сервисов, которые позволяют пользователям делиться информацией с неограниченным кругом лиц. Например, социальные сети, сайты объявлений и пр. могут быть вынуждены либо сделать профили своих клиентов полностью закрытыми, либо получать дополнительное расширенное согласие. При этом не ясно, будет ли требоваться такое отдельное согласие на распространение персональных данных пользователей, чьи профили были зарегистрированы до 1 марта 2021 г.

Ранее операторы зачастую оформляли право распространять персональные данные, просто включив в текст общего согласия на обработку персональных данных слово «распространение» при указании перечня действий с персональными данными, на которые дается согласие, или сделав отсылку к п.

3 ст. 3 Федерального закона «О персональных данных», который содержит определение «обработки персональных данных», или указав, что согласие дается на любые не запрещенные законом действия с персональными данными. Теперь формулировки согласия должны прямо и недвусмысленно разрешать распространение персональных данных, при этом должен быть указан четкий перечень персональных данных, в отношении которых разрешено распространение. Неоднозначные и неясные формулировки будут трактоваться в пользу субъекта персональных данных.

Важно: Закон не содержит требования об обязательной письменной форме согласия на распространение. При этом закон предполагает, что требования к содержанию (но не к форме) согласия на распространение будут установлены Роскомнадзором. На данный момент соответствующих актов регулятора нет, и пока не ясно, насколько жесткими могут оказаться требования к таким согласиям. Неопределенность в этом вопросе создаст дополнительные риски для операторов, если не будет устранена своевременно.

3. Право субъекта персональных данных установить запреты на обработку / условия обработки раскрытых данных

В согласии на распространение могут быть установлены запреты на передачу (кроме предоставления доступа) персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) персональных данных неограниченным кругом лиц. Это означает, в частности, что пользователи социальных сетей и иных Интернет-ресурсов, позволяющих пользователям делиться информацией с неограниченным кругом лиц, смогут установить запрет на обработку опубликованных ими персональных данных неограниченным кругом лиц или в определенных целях.

Оператор не может отказать в установлении субъектом персональных данных таких запретов и условий.

Установленные субъектом персональных данных запреты / условия обработки не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

Данное исключение, на наш взгляд, станет одним из краеугольных камней при толковании и применении новых правил.

Важно:

  • В согласии на распространение следует четко указать, в отношении каких персональных данных установлены запреты и условия последующей обработки раскрытых данных, а факт отсутствия каких-либо запретов или условий обработки должен недвусмысленно следовать из формулировок согласия. Если из согласия не следует отсутствие запретов / условий обработки раскрытых данных или не определено, в отношении каких персональных данных они установлены, то такие персональные данные обрабатываются оператором, которому они предоставлены, без передачи и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.
  • Операторы обязаны в срок не позднее 3 рабочих дней с момента получения согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

4. Обязанность каждого оператора доказать законность обработки персональных данных из открытых источников

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, а также в случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку. На практике данное требование может создать дополнительные сложности при использовании компаниями различных систем мониторинга активности в сети Интернет, например, при подборе кадров HR-службами.

До обработки персональных данных из открытых источников будет необходимо убедиться в наличии согласия субъекта персональных данных на распространение его персональных данных оператором, раскрывшим персональные данные, и проверить наличие условий / ограничений на обработку данных другими операторами. При отсутствии информации о согласии субъекта персональных данных на распространение его персональных данных или в случае раскрытия персональных данных неограниченному кругу лиц самим субъектом персональных данных (например, при публикации на своем сайте) будет необходимо проверить наличие иных законных оснований для обработки из числа указанных в ч. 1 ст. 6 Федерального закона «О персональных данных».

Важно: с 1 марта 2021 г. утрачивает силу п. 10 ч. 1 ст. 6 Федерального закона «О персональных данных», допускающий обработку персональных данных, сделанных общедоступными субъектом персональных данных, любым лицом без согласия субъекта персональных данных.  

5. Право субъекта персональных данных в любой момент потребовать прекращения передачи персональных данных

Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена оператором в любое время по требованию субъекта персональных данных. Субъект персональных данных вправе обратиться с аналогичным требованием к любому лицу, обрабатывающему его персональные данные в нарушение новых правил, или в суд.

РЕКОМЕНДАЦИИ

  • Оцените текущие процессы и решения, используемые при обработке персональных данных, на предмет их соответствия новым требованиям и при необходимости скорректируйте их.
  • Отслеживайте рекомендации регулирующих органов и правоприменительную практику.

Авторы: советник Елена Агаева, юрист Елена Квартникова, паралигал Марина Петрова


¹Федеральный закон от 30.12.2020 N 519-ФЗ “О внесении изменений в Федеральный закон “О персональных данных”.

Роскомнадзор о персональных данных в 2021 году

26 ноября 2020 г. Роскомнадзор провел онлайн-трансляцию по вопросам персональных данных и фактически рассказал, как будет применять Закон  152-ФЗ в следующем году.

На семинаре прозвучали доклады:

Дмитрия Рудакова, заместителя начальника отдела ведения реестра операторов, осуществляющих обработку персональных данных. Он рассказал о реестре. Его презентация.

Второй спикер, Альфия Гафурова, заместитель начальника Управления по защите прав субъектов персональных данных Роскомнадзора, озвучила основные вопросы по жалобам граждан. Ее презентация содержит информацию о типовых нарушениях:

  • в банковской сфере;
  • в ЖКХ;
  • в интернете;
  • в связи;
  • в торговле.

Во время трансляции Юрий Контемиров, начальник Управления по защите прав субъектов персональных данных Роскомнадзора, ответил на самые актуальные вопросы. Здесь полная двухчасовая версия:

Получилось много информации, поэтому я отказался от стенографирования и написал как мне нравится: без потери смысла, сокращая фирменный стиль выступления  чиновников.

Читайте и имейте в виду, что практика в регионах может отличаться. Некоторые тезисы выступления спорные, но они показывают, как Роскомнадзор будет применять законодательство о персональных в данных в 2021 году.


GDPR и российские компании

GDPR  может применяться к российским компаниям в нескольких случаях:

  1. Российская компания имеет филиалы на территории Европы.
  2. Компания из России действует по поручению европейской компании и отвечает перед ней за обработку персональных данных.
  3. Российская компания работает не только на территории России, но и направлена на европейского потребителя. Например, интернет-магазин предлагает продажу товаров в Европу, при этом одновременно выполняются два условия:
  1. сайт доступен на языках стран ЕС;
  2. предусмотрены расчеты в евро.

Если одно из этих условий не выполняется, то требования GDPR на такой магазин не распространяются.


Будет ли приведено российское законодательство к требованиям GDPR

По словам Контемирова, это дискуссионный вопрос. Специалисты изучают практику применения европейского законодательства, но как это будет реализовано в России будет видно в ближайшем будущем.


Трудовые отношения

Как передавать персональные данные сотрудников в рамках групп компаний

Например, при ведении кадрового учета, разработках программ повышения квалификации иностранная компания присваивает логины и пароли для работы в единой информационной системе.

Поскольку каждая компания выступает как отдельный оператор, то необходимо получать письменное согласие работника на передачу его персональных данных от одной компании в другую (ч. 4 ст. 9 Закона “О персональных данных”).

Если  в группу компаний входит иностранное юридическое лицо, то необходимо оформлять не только согласие, но и договор поручения на обработку персональных данных.


Нужно ли согласие работника для передачи его персональных данных в аутсорсинговые компании

Да, нужно. Более того, передача данных в другие фирмы для ведения кадрового учета или бухгалтерского предполагает делегирование части обязанностей оператора и это требует оформление договора поручения (ч. 3 ст. 6 Закона “О персональных данных”).

В таком согласии должна быть указана конкретно одна цель, для достижения которой передаются данные сотрудника.


Порядок уничтожения персональных данных

Терминатор – оператор обработки персональных данных

Порядок уничтожения персональных данных работников и иных лиц должен быть закреплен локальных актах оператора. С актами должны быть ознакомлены все заинтересованные лица.

Оператором должен быть обеспечен неограниченный доступ к этим документам, а если сбор персональных данных осуществляется с помощью сайта, то Роскомнадзор рекомендует размещать ссылки на политику обработки персональных данных непосредственно рядом с веб-формами.


Что относится к персональным данным по мнению Роскомнадзора

Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных. Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2021 года.


Сбор копий документов, содержащих персональные данные

Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”.

Паспорт — это носитель биометрических персональных данных. Для получения копии документа согласия, предусмотренного ч. 4 ст. 9 ФЗ № 152 не требуется. Но должно быть получено согласие, которое отвечает требованиям ч. 1 ст. 9 Закона: согласие должно быть информированным, конкретным и сознательным.

Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными. В течение какого срока, кто будет иметь доступ к персональным данным.

Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге.


Являются ли идентификаторы персональными данными

Такие идентификаторы как ИНН, СНИЛС, электронная почта  и т.п. являются персональными данным. Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому.

Даже без дополнительной информации идентификаторы являются персональными данными.

Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным. Но когда MAC- адрес добавляется сведениями, например, о геолокации или  кукис, то в совокупности эта информация является персональными данными.

Комбинация: фамилия, имя и телефон — персональные данные.
Но отдельно номер телефона – не персональные данные, т.к он относится не к пользователю, а к абонентскому устройству.


Фотографии и видеозаписи в контексте персональных данных 

Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных”

Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ.

Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.

Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные.


Профилирование и оценка личностных качеств

Например в мобильном приложении осуществляется сбор информации в объеме: имя, телефон, история заказов, выявление предпочтений пользователя. По мнению Роскомнадзора такой набор информации является персональными данными, поскольку на его анализе осуществляется подготовка маркетинговых предложений. И дальнейшее использование этих данных в рекламе должно осуществляться в соответствии со ст. 15 Закона “О персональных данных” и предполагает согласие на обработку персональных данных

Оценка поведений и личных качеств работников, например, при проведении психологических тестов, представляет собой некую модель профилирования физического лица на основании которой вырабатываются рекомендации: о занятости, приеме или отказе в приеме на работу, на замещение вакантной должности. Для проведения профилирования необходимо получать согласие на обработку персональных данных.


О согласиях на обработку персональных данных

Несколько целей в одном согласии

Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.

Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.

Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.


Получение согласия на обработку персональных данных при заключении договора

Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется.

Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.

Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.

Если впоследствии по этим видам обработки субъект направит отзыв своего согласия, то оператор обязан ее прекратить, поскольку она не является основной применительно к предмету договора.


 Согласия на обработку персональных данных соискателя и близких родственников

Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие.

Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников. В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников. 

Например, сообщить о необходимости проверки конфликта интересов.


Обработка персональных данных родственников сотрудника имеет ряд особенностей

Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.


Электронные копии согласий на обработку персональных данных

Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?

Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо  предоставить суду подлинники письменных доказательств. Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски.


Срок согласия на обработку персональных данных

По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора.

Нельзя указывать, что согласие дается на неограниченный срок или указывать сроки, не предусмотренные законодательством или ничем не мотивированные. Например, неправильно установить срок согласия на 15, 50 или 70 лет. 

Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.


 Форма согласия на получение рассылки от иностранного сайта

Достаточно ли получения согласия в электронной форме в виде проставления галочки в  чек-боксе, если сайт или его администратор находятся за пределами РФ?

Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в  частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.


Передача персональных данных третьим лицам

Что делать, если персональные данные передаются третьим лицам? Причем этот список может изменяться.

Если для обработки персональных данных  необходимо получать письменное согласие (ч. 4 ст. 9 Закона “О персональных данных”) например, трансграничная передача, обработка биометрических данных и т. д, то в этом случае обязательно поименное указание организаций, которые действуют по поручению оператора. В случае изменения этих организаций, согласие придется переподписывать.

Во всех остальных случаях согласие может содержать отсылку на сайт оператора, где можно разместить список третьих лиц, которым передаются персональные данные. В самом согласии необходимо указать цели, в которых ПД передаются этим третьим лицам. 

Об изменении списка Роскомнадзор рекомендует уведомлять субъектов персональных данных. Срок такого уведомления законом не определен, но РКН считает разумным делать это в течение 10 дней.


Договоры поручения на обработку персональных данных

Является ли провайдер облачных услуг оператором?

Конечно, провайдер облачных услуг является оператором, поскольку на его серверах осуществляется хранение персональных данных.


Требуется ли при использовании облачных услуг заключать договор поручения на обработку персональных данных?

Да, потому что один оператор передает для хранения ПД другому оператору. А этот случай предполагает заключение договора поручения. Дополнительно нужно получать согласие субъекта на передачу его персональных данных по договору поручения.


Можно ли в согласии работника указывать всех третьих лиц, которым передаются ПД в рамках договоров поручений?

Можно, но только при условии, что третьи лица привлекаются для достижения единой цели, которая предусмотрена в тексте согласия на обработку персональных данных.

Например, для целей кадрового учета привлекается две организации. В согласии указывается цель: ведение кадрового учета. В этом случае согласие составлено корректно.


Должны ли третьи лица, которые осуществляют обработку персональных данных по договору поручения, направить в Роскомнадзор уведомления об обработке?

Да, эти лица являются операторами и обязаны предоставлять уведомления по общим правилам.

Исключение, предусмотренное для договорных отношений, в этом случае не применяется, поскольку субъекты персональных данных не являются стороной договора поручения, заключаемого оператором с третьим лицом.


Обязан ли оператор предоставлять по договору поручения сведения о правовых основаниях обработки персональных данных?

Действующим законодательством такая обязанность не предусмотрена,  поскольку ответственность перед субъектом несет только оператор, даже за действия третьего лица. 

Поэтому РКН рекомендует урегулировать этот вопрос в договоре поручения на обработку персональных данных, если необходимо.


Персональные данные представителей компаний в договоре

Типичная ситуация: два юридических лица заключили между собой договор. С одной стороны договор подписал представитель по доверенности. 

Организация, которая выдала доверенность своему работнику, обязана получить от него согласие на передачу персональных данных контрагенту по договору.

Для контрагента, получившего доверенность этого работника, получать отдельное согласие на обработку не нужно, т.к. обработка ПД доверенного лица осуществляется в рамках договора.


Ответственное лицо

Будет ли привлечен оператор к ответственности, если он не назначил ответственное лицо за обработку персональных данных?

К административной ответственности РКН привлекать не будет. Но если в ходе проверки такой факт будет выявлен, то проверяющий выдаст предписание с указанием срока его исполнения. И если оператор в этот срок не устранит нарушение, то будет привлечен к административной ответственности по ст. 19.5 КоАП РФ.


Можно ли назначить нескольких лиц, ответственных за обработку ПД?

В уведомлении о намерении осуществлять обработку персональных данных должно быть указано только одно физическое лицо, ответственное за обработку персональных данных. Конечно, ответственный может делегировать часть своего функционала, но об этом нужно указать только в локальных актах оператора.


Можно ли указывать в уведомлении юридическое лицо, ответственное за обработку ПД?

Да, если к обработке привлечено юридическое лицо, то оно может быть указано в уведомлении о намерении осуществлять обработку персональных данных в дополнение к информации, предусмотренной ст. 22 Закона № 152-ФЗ.


Заключение 

Если вы дочитали и не нашли каких-то ответов — это нормально. Отрасль развивается и даже регулятор не может дать четких рекомендаций. Судебная практика охватывает частные случаи, поэтому ее нужно изучать в контексте  вашей ситуации. 

Контемиров пообещал, что по результатам работы Центров компетенций в 2021 году будут опубликованы: матрица персональных данных, портфель оператора, включающий в себя шаблоны документов, актов, форм, необходимых для работы с персональными данными. РКН хочет, чтобы такой портфель был хорошим подспорьем.

Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.

Почитайте пост о Реестре операторов персональных данных.

Отвечаю на вопросы в Телеграм-чате. Больше полезной информации в Телеграм-канале.

ps. Чатик придумал, чтобы избежать включения в реестр ОРИ, но быть с вами на связи.

37 116

Поделитесь в соцсетях

ПЕРСОНАЛЬНЫЕ ДАННЫЕ – ЭТО… – ИСПДн.инфо

29.05.2019

Прошло уже больше 10 лет, как действует закон «О персональных данных». И как бы это абсурдно не звучало, но до сих пор нет четких границ того, что можно отнести к персональным данным.
Конечно, в первую очередь, нужно обратиться к 152-ФЗ, в котором есть определение:
«персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)»

Понятия в нормативных документах указаны для того, чтобы конкретизировать действие документа, но в нашем случае, такое определение оставляет больше вопросов, чем ответов. Например, под данными, относящимися к определяемому физическому лицу, можно отнести почти все, что угодно: скорость печати на клавиатуре, данные об активности в интернете, номер школы, которую закончили, размер одежды, модель телефона, цвет рабочего стола и т.д. Ведь все эти данные позволят косвенно определить то, к кому они относятся.
То есть если Вы про что-то можете сказать, что это «Ваше», то информация об этом считается персональными данными. С одной стороны, такая трактовка упрощает понимание термина, но в то же время достаточно усложняет выполнение требований законодательства.

Ведь определение начинает включать себя очень обширный массив данных, с которой организация ежедневно работает.
Давайте теперь обратимся к мнению Роскомнадзора, так как он является уполномоченным органом, защищающим права субъектов персональных данных, и оказывает контроль за соответствием обработки персональных данных требованиям законодательства Российской Федерации. Во время своего отчетного семинара по результатам первого полугодия 2018 года сотрудники регулятора озвучили планы о разработке матрицы персональных данных и их публикации на своем портале до конца прошлого года. К сожалению, пока подобной информации нет.

 Регулятор периодически организовывает мероприятия и отвечает на вопросы, интересующие операторов персональных данных. Но нужно понимать, что конкретный сотрудник высказывает лишь свое собственное мнение, которое не всегда совпадает с мнение инспектора, который будет проводить проверку в Вашей организации. Также Роскомнадзор периодически выпускает комментарии к 152-ФЗ, где освещает свое видение на ряд вопросов. В 2015 г. был выпущен научно-практический комментарий под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой.

 В данном труде достаточно подробно расписан подход регулятора ко всем статьям закона «О персональных данных». В частности, про сам термин персональных данных говориться, что он является слишком емким, но более подходящего определения они дать не могут.
Свое видение работники Роскомнадзора выразили следующим образом:
«В целом члены рабочей группы согласны в том, что если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо»
В данном комментарии приводится ряд примеров персональных данных. Например, паспортные данные, ИНН и СНИЛС. Проблема в том, что на одном из своих семинаров в прошлом году было отмечено, что серия и номер паспорта не являются персональными данными (ПДн), а являются идентификаторами документа. Недавно Минфин заявил, что ИНН так же просто номер записи в реестре, а не ПДн, с чем не соглашается регулятор. Мнение Роскомнадзора очень важно знать и учитывать, но как видим, ему свойственно меняться, и оно не всегда едино у всех инспекторов регулятора.

 Также стоит обратиться к судебной практике, чтобы увидеть, в каких конкретных случаях данные были признаны персональными.
1. Фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация.
Определение Верховного Суда РФ от 24.06.15 №18-АПГ 15-7, которое не отменило решение суда первой инстанции и в результате была прекращена деятельность СМИ, которое опубликовало ПДн без получения на то согласия.
2. Паспортные данные.
Постановление Верховного Суда РФ от 15.06.15 №25-АД15-3, которое отменило решение об избыточности обработки ПДн клиента магазином, который запросил паспортные данные для оформления возврата товара.
3. Место работы, должность и политические взгляды.
Определение суда апелляционной инстанции от 28.03.2019 №33-13627/2019, которое подтвердило верность решение суда первой инстанции и определило, что ПДн субъекта на были размещены на сайте истца с нарушением 152-ФЗ.
Также интересно рассмотреть дела, в результате которых было определено, что к ПДн не относится та или иная информация. Например, суд апелляционной инстанции от 02.04.2019 №33-14515/2019 определил, что управляющая компания не нарушала 152-ФЗ, вывешивая на стендах список задолжников. Так как в этих списках были указаны только номер квартиры и размер задолженности. Этой информации по мнению суда недостаточно, чтобы определить принадлежность персональных данных конкретному субъекту.
Данное дело еще важно тем, что суд не принял во внимание материалы с сайта Роскомнадзора, которые были представлены истцом. Объясняется это тем, что суду принадлежит право оценки доказательств по своему внутреннему убеждению, основанному на всестороннем, полном, объективном и непосредственном исследовании имеющихся в деле доказательств.

 Помимо изучения мнений и нормативных документов стоит задуматься о том, как на практике выглядит процесс обработки персональных данных. Организация всегда собирает эти данные для идентификации конкретного человека. Если Вы ведете базу клиентов с историей покупок, то данные этой базы являются персональными, так как Вы храните данные о конкретном человеке и в дальнейшем можете адресовать ему свои маркетинговые активности. Такой же подход действует с обработкой данных контрагентов и сотрудников, они собираются с целью получения более подробной информации о человеке и использованию этих данных в своей работе. То есть, сотрудник для решения своих рабочих задач часто запрашивает данные разных лиц (ФИО, номер телефона, адрес, должность, данные о доходах, расходах, платежные данные и т.д.) они все являются персональными, так как нужны не абстрактные данные, а данные конкретного человека. Иначе они будут бесполезны и никак не повлияют на взаимодействие с конкретным лицом.

 В итоге, мы имеем ситуацию, когда нет единых и конкретных границ того, что относится к персональным данным. Учитывая букву закона, мнение регулятора и судебную практику можно выстроить процесс, в рамках которого будет проводится обработка данных таким образом, чтобы минимизировать риски организации. То есть организации нужны механизмы, позволяющие оперативно реагировать на изменения в трактовках норм закона, а также профессионально работать с органами Исполнительной и Судебной власти.

Теги: персональные данные, закон, как выполнить требования

Персональные данные

5.1 Клиника обрабатывает персональные данные пациента путем: сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), обезличивания, использования, уничтожения неавтоматизированным способом.

5.2 Срок обработки Клиникой персональных данных пациента соответствует сроку хранения первичной медицинской документации. Пациент имеет право отозвать свое согласие на обработку его персональных данных посредством составления соответствующего письменного документа, который может быть направлен в адрес Клиники по почте заказным письмом с уведомлением, либо вручен лично под расписку представителю Клиники. В случае получения письменного заявления об отзыве согласия на обработку персональных данных, Клиника обязана прекратить обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной пациенту медицинской помощи.

5.3 Персональные данные пациентов хранятся в помещения архива, регистратуры, кабинетов Клиники, доступ в которые имеют только сотрудники Клиники, имеющие право доступа к персональным данным.

5.4 Директор Клиники утверждает Перечень лиц, имеющих доступ в помещения Клиники, в которых обрабатываются (в том числе хранятся) персональные данные, и несущих ответственность за нарушение режима защиты этих персональных данных в соответствии с законодательством РФ.

5.5 Директор Клиники может передавать персональные данные пациента третьим лицам, без его согласия только в случаях, прямо предусмотренных действующим законодательством РФ. При передаче персональных данных пациента третьим лицам главный врач Клиники предупреждает лиц, получающих данную информацию, о том, что эти данные могут быть использованы ими лишь в целях, для которых персональные данные сообщены, и требует от этих лиц письменное подтверждение соблюдения этого условия.

5.6 Персональные данные пациента уточняются, в случае их изменения, ежегодно при первом посещении пациентом Клиники в соответствующем году.

5.7 В случае обнаружения факта несоблюдения условий хранения носителей персональных данных, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, администрацией Клиники проводится разбирательство и по результатам этого разбирательства составляется соответствующий акт.

5.8 Персональные данные пациентов являются конфиденциальной информацией, не подлежащей разглашению, и не могут быть использованы для целей, не перечисленных в п. 4.1 настоящего Положения. Не допускается распространение персональных данных пациента без его письменного согласия или наличия иного законного основания.

5.9 При хранении материальных носителей персональных данных сотрудниками Клиники должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

5.10 Неавтоматизированная обработка персональных данных пациентов должна осуществляться сотрудниками Клиники с учетом особенностей и правил обработки персональных данных, предусмотренных в Постановлении Правительства РФ №687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и в соответствии с Правилами обработки персональных данных (политикой) Клиники.

5.11 Приказом директора Клиники назначаются сотрудники, ответственные за хранение документов, содержащих персональные данные пациентов.

5.12 иные права, обязанности, действия работников, в трудовые обязанности которых входит обработка персональных данных пациентов, определяются должностными инструкциями.

Персональные данные

Согласие на обработку персональных данных

Настоящим я, далее – «Субъект Персональных Данных», во исполнение требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (с изменениями и дополнениями) свободно, своей волей и в своем интересе принял(а) решение о предоставлении своих персональных данных ООО “Регистратура.Ру” (Оператор), ведущему свою деятельность по адресу 127473, г. Москва, ул. Краснопролетарская, д.16, стр.2, 5 подъезд, 2 этаж и даю свое согласие на обработку своих персональных данных, указанных при заполнении форм обратной связи и/или регистрации путем заполнения веб-формы, на любых страницах сайта https://registratura.ru и его поддоменов (далее – Сайт), направляемой (заполненной) с использованием Сайта.

Я даю согласие на обработку следующих категорий моих персональных данных и любой информацию, относящейся ко мне как к Субъекту Персональных Данных, в том числе мои фамилию, имя, отчество, адрес, образование, профессию, контактные данные (телефон, факс, электронная почта, почтовый адрес), фотографии, иную другую информацию. Под обработкой персональных данных я понимаю сбор, запись, систематизацию, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, распространение, передачу (предоставление, доступ), в том числе трансграничную, обезличивание, блокирование, уничтожение, бессрочное хранение), удаление и любые другие действия (операции) с персональными данными.

Я даю согласие на передачу и (или) поручение обработки указанных моих персональных данных третьим лицам: Аффилированным лицам Оператора, третьим лицам, привлеченным Оператором в целях оказания услуг Оператору.

Я ознакомлен и согласен с тем, что сбор и обработка персональных данных Субъекта Персональных Данных осуществляется исключительно в целях регистрации Субъекта Персональных Данных в базе данных Оператора с последующим направлением Субъекту Персональных Данных почтовых сообщений и смс-уведомлений, в том числе рекламного содержания, от Оператора, его аффилированных лиц и/или субподрядчиков, информационных и новостных рассылок, приглашений на мероприятия Оператора, осуществления видов деятельности, предусмотренных учредительными документами Оператора, заключать и исполнять обязательства по договорам с Клиентами (и/или потенциальными Клиентами), Контрагентами и/или потенциальными Контрагентами, и другой информации рекламно-новостного содержания, а также с целью подтверждения личности Субъекта Персональных Данных при посещении мероприятий Оператора.

Датой выдачи согласия на обработку персональных данных Субъекта Персональных Данных является дата отправки регистрационной веб-формы и/или формы обратной связи на Сайте.

Я ознакомлен(а), что:

1. настоящее согласие на обработку моих персональных данных, указанных при регистрации на Сайте, направляемых (заполненных) с использованием Cайта, действует в течение неограниченного периода действия;

2. согласие может быть отозвано мною на основании письменного заявления в произвольной форме по адресу: 127473, г. Москва, ул. Краснопролетарская, д.16, стр. 2 или путём направления такого письма по электронной почте – [email protected].

Обработка персональных данных / Официальный сайт МБОУ “Школа №70”

Главная / Документы / Работа с персональными данными

1. Общие положения

Настоящая Политика разработана на основании Конституции РФ, Гражданского Кодекса РФ, Трудового Кодекса РФ, и в соответствии с требованиями Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных», Постановления Правительства РФ от 21.03.2012 N 211″Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами”.

Цель данной Политики – обеспечение прав граждан при обработке их персональных данных, и принятие мер от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных Субъектов.

Персональные данные могут обрабатываться только для целей, непосредственно связанных с деятельностью учреждения, в частности для:

  • предоставления образовательных услуг;
  • проведения олимпиад, консультационных семинаров; направление на обучение; направление работ сотрудников (учащихся, воспитанников) на конкурсы;
  • дистанционного обучения;
  • ведения электронного дневника и электронного журнала успеваемости (для школ, О(С)ОШ, интернатов;

«МБОУ «Школа №70»» собирает данные только в объеме, необходимом для достижения выше названных целей.

Передача третьим лицам, персональных данных без письменного согласия не допускаются.

Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.

Сотрудники, в обязанность которых входит обработка персональных данных Субъекта, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом, а также настоящей Политикой.

Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

Настоящая политика утверждается Директором МБОУ «Школа №70» и является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным Субъекта.

2. Понятие и состав персональных данных

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее – Субъекту).

К персональным данным Субъекта, которые обрабатывает «Школа №70» относятся:

  • фамилия имя отчество;
  • адрес места жительства;
  • паспортные данные;
  • данные свидетельства о рождении;
  • контактный телефон;
  • результаты успеваемости и тестирования;
  • номер класса;
  • иная необходимая информация, которую субъект добровольно сообщают о себе для получения услуг предоставляемых МБОУ «Школа №70», если ее обработка не запрещена законом.

3. Принципы обработки персональных данных Субъекта

Обработка персональных данных – любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

МБОУ «Школа №70» ведет обработку персональных данных Субъекта с использованием средств автоматизации (автоматизированная обработка), и без использования таких средств (неавтоматизированная обработка).

Обработка персональных данных должна осуществляться на основе принципов:

  • законности целей и способов обработки персональных данных и добросовестности;
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям МБОУ «Школа №70»;
  • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
  • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
  • недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
  • уничтожения персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;
  • личной ответственности сотрудников МБОУ «Школа №70» за сохранность и конфиденциальность персональных данных, а также носителей этой информации.

4. Обязанности

В целях обеспечения прав и свобод человека и гражданина МБОУ «Школа №70» при обработке персональных данных Субъекта обязано соблюдать следующие общие требования:

  • обработка персональных данных Субъекта может осуществляться исключительно в целях оказания законных услуг Субъектам;
  • персональные данные Субъекта следует получать у него самого. Если персональные данные Субъекта, возможно, получить только у третьей стороны, то Субъекта должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Сотрудники МБОУ «Школа №70» должны сообщить Субъектам о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Субъекта дать письменное согласие на их получение;
  • МБОУ «Школа №70» не имеет права получать и обрабатывать персональные данные о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом. В частности, вправе обрабатывать указанные персональные данные Субъекта только с его письменного согласия;
  • предоставлять Субъекту или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя;
  • хранение и защита персональных данных Субъекта от неправомерного их использования или утраты обеспечивается МБОУ «Школа №70», за счет его средств в порядке, установленном действующим законодательством РФ;
  • в случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу Субъекта либо уполномоченного органа по защите прав субъектов персональных данных МБОУ «Школа №70» обязано осуществить блокирование персональных данных на период проверки;
  • в случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных Субъектом либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование;
  • в случае достижения цели обработки персональных данных МБОУ «Школа №70» обязано незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней, и уведомить об этом Субъекта, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
  • в случае отзыва Субъектом согласия на обработку своих персональных данных МБОУ «Школа №70» обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней, если иное не предусмотрено соглашением между МБОУ «Школа №70» и Субъектом. Об уничтожении персональных данных МБОУ «Школа №70» обязан уведомить Субъекта;

5. Права Субъекта

  • Право на доступ к информации о самом себе.
  • Право на определение форм и способов обработки персональных данных.
  • Право на отзыв согласия на обработку персональных данных.
  • Право ограничивать способы и формы обработки персональных данных, запрет на распространение персональных данных без его согласия.
  • Право требовать изменение, уточнение, уничтожение информации о самом себе.
  • Право обжаловать неправомерные действия или бездействия по обработке персональных данных и требовать соответствующей компенсации в суде.
  • Право на дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения.
  • Право определять представителей для защиты своих персональных данных.
  • Право требовать от МБОУ «Школа №70» уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные Субъекта, обо всех произведенных в них изменениях или исключениях из них.

6. Доступ к персональным данным Субъекта

Персональные данные Субъекта могут быть предоставлены третьим лицам только с письменного согласия Субъекта.

Доступ Субъекта к своим персональным данным предоставляется при обращении либо при получении запроса Субъекта. МБОУ «Школа №70» обязано сообщить Клиенту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение тридцати рабочих дней с момента обращения или получения запроса.

Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Клиент имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных МБОУ «Школа №70», а также цель такой обработки;
  • способы обработки персональных данных, применяемые МБОУ «Школа №70»;
  • сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
  • перечень обрабатываемых персональных данных и источник их получения;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • сведения о том, какие юридические последствия для Клиента может повлечь за собой обработка его персональных данных.

Сведения о наличии персональных данных должны быть предоставлены Субъекта в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

Право Субъекта на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.

7. Защита персональных данных

Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.

Регламентация доступа персонала к документам и базам данных с персональными сведениями входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий руководителями и специалистами компании. Для защиты персональных данных субъектов необходимо соблюдать ряд мер:

  • осуществление пропускного режима в служебные помещения;
  • назначение должностных лиц, допущенных к обработке ПД;
  • хранение ПД на бумажных носителях в охраняемых или запираемых помещениях, сейфах, шкафах;
  • наличие необходимых условий в помещении для работы с документами и базами данных с персональными сведениями;
  • в помещение, в котором находится вычислительная техника;
  • организация порядка уничтожения информации;
  • ознакомление работников, непосредственно осуществляющих обработку ПД, с требованиями законодательства РФ в сфере ПД, локальными актами оператора в сфере ПД и обучение указанных работников.
  • осуществление обработки ПД в автоматизированных информационных системах на рабочих местах с разграничением полномочий, ограничение доступа к рабочим местам, применение механизмов идентификации доступа по паролю и электронному ключу, средств криптозащиты;
  • осуществление внутреннего контроля соответствия обработки ПД требованиям законодательства.

Для защиты персональных данных создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур.

Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.

Для защиты персональных данных Субъектов необходимо соблюдать ряд мер:

  • порядок приема, учета и контроля деятельности посетителей;
  • технические средства охраны, сигнализации;
  • порядок охраны помещений, транспортных средств;
  • требования к защите информации, предъявляемые соответствующими нормативными документами.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

8. Ответственность за разглашение персональных данных и нарушение

МБОУ «Школа №70» ответственно за персональную информацию, которая находится в его распоряжении и закрепляет персональную ответственность сотрудников за соблюдением, установленных в организации принципов уважения приватности.

Каждый сотрудник МБОУ «Школа №70», получающий для работы доступ к материальным носителям персональным данных, несет ответственность за сохранность носителя и конфиденциальность информации.

МБОУ «Школа №70» обязуется поддерживать систему приема, регистрации и контроля рассмотрения жалоб Субъектов, доступную как посредством использования Интернета, так и с помощью телефонной, телеграфной или почтовой связи.

Любое лицо может обратиться к сотруднику МБОУ «Школа №70» с жалобой на нарушение данной Политики. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в течение тридцати рабочих дней с момента поступления.

Сотрудники МБОУ «Школа №70» обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб Субъектов, а также содействовать исполнению требований компетентных органов. Лица, виновные в нарушении требований настоящей политики, привлекаются к дисциплинарной ответственности.


Внесены изменения в связи с переименованием
Утверждено на собрании трудового коллектива

Протокол № 01 от 27.08. 2015 г.
«Утверждаю»
Директор МБОУ «Школа №70»
Г.Н.Лежнева
Приказ № 87 от 28.08.2015г.

Положение


о защите персональных данных сотрудников
МБОУ «Школа №70»

1 Общие положения

1.1. Целью данного Положения является защита персональных данных работников от несанкционированного доступа, неправомерного их использования или утраты.

1.2. Настоящее Положение разработано на основании статей Конституции РФ, Трудового Кодекса РФ, Федерального Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Кодекса об административных правонарушениях РФ, Гражданского Кодекса РФ, Уголовного Кодекса РФ, а также Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информатизации и защите информации».

1.3. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

1.4. Настоящее Положение утверждается и вводится в действие приказом Директора и является обязательным для ознакомления всеми работниками муниципального бюджетного общеобразовательного учреждения «Школа № 70» ( далее – Школа).

2 Понятие и состав персональных данных

2.1. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.

2.2. В состав персональных данных работника входят данные, указанные в утвержденном Перечне персональных данных информационной системы персональных данных (ИСПДн) Школы.

2.3. Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения – соответствующий гриф ограничения на них не ставится.

3 Обработка персональных данных

3.1 Под обработкой персональных данных работника понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

3.2 В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

  • 3.2.1 обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  • 3.2.2 при определении объема и содержания, обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами;
  • 3.2.3 персональные данные следует получать у него самого. Если персональные данные работника, возможно, получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
  • 3.2.4 работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни работника (информация о жизнедеятельности в сфере семейных, бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия;
  • 3.2.5 работодатель не имеет право получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

3.3 К обработке, передаче и хранению персональных данных работника могут иметь доступ сотрудники бухгалтерии.

3.4 Использование персональных данных возможно только в соответствии с целями, определившими их получение:

  • 3.4.1 персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

3.5 Передача персональных данных работника третьим лицам возможна только с согласия работника или в случаях, прямо предусмотренных законодательством:

  • 3.5.1 при передаче персональных данных работника работодатель должен соблюдать следующие требования:
    • не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
    • не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
    • предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
    • разрешать доступ к персональным данным работников только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
    • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
    • передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций;
  • 3.5.2 передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных;
  • 3.5.3 при передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы организации работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.

3.6 Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.7 Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

3.8 Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.

3.9 При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель учитывает личные качества работника, его добросовестный и эффективный труд.

4 Доступ к персональным данным

4.1 Внутренний доступ (доступ внутри организации): 4.1.1 право доступа к персональным данным имеют лица, указанные в утвержденном Списке пользователей ИСПДН Школы.

4.2 Внешний доступ:

  • 4.2.1 к числу потребителей персональных данных вне организации можно отнести государственные и негосударственные функциональные структуры:
    • налоговые инспекции;
    • правоохранительные органы;
    • органы статистики;
    • страховые агентства;
    • военкоматы;
    • органы социального страхования;
    • пенсионные фонды;
    • подразделения муниципальных органов управления;
    • банки;
  • 4.2.2 надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции;
  • 4.2.3 организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения;
  • 4.2.4 другие организации.

Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только по письменному запросу на бланке организации с письменного согласия работника.

Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.

5 Защита персональных данных

5.1 Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

5.2 Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

5.3 Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.

5.4 Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.

5.5 «Внутренняя защита»:

  • 5.5.1 регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами организации;
  • 5.5.2 для обеспечения внутренней защиты персональных данных работников предусматривается:
    • назначение должностных лиц, допущенных к обработке ПД;
    • хранение ПД на бумажных носителях в охраняемых или запираемых помещениях, сейфах, шкафах;
    • наличие необходимых условий в помещении для работы с документами и базами данных с персональными сведениями;
    • организация порядка уничтожения информации;
    • ознакомление работников, непосредственно осуществляющих обработку ПД, с требованиями законодательства РФ в сфере ПД, локальными актами оператора в сфере ПД и обучение указанных работников.
    • осуществление обработки ПД в автоматизированных информационных системах на рабочих местах с разграничением полномочий, ограничение доступа к рабочим местам, применение механизмов идентификации доступа по паролю и электронному ключу, средств криптозащиты;
    • осуществление внутреннего контроля соответствия обработки ПД требованиям законодательства;
    • не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только Директору, и в исключительных случаях, по письменному разрешению Директора, – начальникам отделов (например, при подготовке материалов для аттестации работника).

5.6 «Внешняя защита»:

  • 5.6.1 для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для несанкционированного доступа и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.;
  • 5.6.2 под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала;
  • 5.6.3 для обеспечения внешней защиты персональных данных сотрудников необходимо соблюдать ряд мер:
    • порядок приема, учета и контроля деятельности посетителей;
    • пропускной режим организации;
    • технические средства охраны, сигнализации;
    • порядок охраны территории, зданий, помещений;
    • требования к защите информации при интервьюировании и собеседованиях.

5.7 Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников.

5.8 По возможности персональные данные обезличиваются.

6 Права и обязанности работника

6.1 В целях защиты персональных данных, хранящихся у работодателя, работник имеет право:

  • требовать исключения или исправления неверных или неполных персональных данных.
  • на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
  • персональные данные оценочного характера дополнить заявлением, выражающим его собственную точку зрения;
  • определять своих представителей для защиты своих персональных данных;
  • на сохранение и защиту своей личной и семейной тайны.

6.2 Работник обязан:

  • передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ.
  • своевременно сообщать работодателю об изменении своих персональных данных
  • ставить работодателя в известность об изменении фамилии, имени, отчества, что получает отражение в трудовой книжке на основании представленных документов. При необходимости изменяются данные об образовании, профессии, специальности, присвоении нового разряда и пр.

6.3 В целях защиты частной жизни, личной и семейной тайны работники не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.

7 Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

7.1 Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональных данных и обязательное условие обеспечения эффективности этой системы.

7.2 Сотрудники, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

7.3 Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

7.4 Каждый сотрудник организации, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

7.5 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами:

  • 7.5.1 за неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания;
  • 7.5.2 должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации – влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях;
  • 7.5.3 в соответствии с Гражданским Кодексом РФ лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников;
  • 7.5.4 уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.

7.6 Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.


ПАМЯТКА

Уважаемые родители!

В соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ “О персональных данных” и вступлением его в силу, в целях защиты персональных данных, обрабатываемых в МБОУ «Школа № 70», родителям (законным представителям) обучающихся необходимо заполнить листы согласия на обработку персональных данных (далее – сокращенно – ПДн).

Сейчас в нашей школе собираются, хранятся и обрабатываются ПДн Ваших детей. Поэтому администрации школы необходимо сделать все, чтобы было соблюдено действующее законодательство в области защиты персональных данных.

Для этого школа должна получить от родителей каждого ученика согласие на обработку или передачу его персональных данных.

Информация о ребенке и его законных представителях в образовательном учреждении используется в образовательном и воспитательном процессах. Данные об обучающихся используются и передаются в медицинские учреждения (в поликлинику при прохождении медосмотра), в санитарно-эпидемиологическую службу (при возникновении нештатных ситуаций), охранные службы в экстренных ситуациях (пожар), в военкомат (при постановке юношей на воинский учет), в Управление образования и молодежной политики города Рязани (статистические отчетность по численности и успеваемости, организация и проведение Г(И)А в 9 и ЕГЭ в 11 классах, при проведении конкурсов и олимпиад и др).

Лист согласия заполняется родителем (законным представителем) ребенка и прикрепляется к личному делу обучающегося.

В соответствии со ст.9 от 27 июля 2006 г. № 152-ФЗ “О персональных данных” письменное согласие должно включать в себя:

  • 1) фамилию, имя, отчество, номер основного документа (паспорта), удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • 2) цель обработки персональных данных;
  • 3) перечень персональных данных, на обработку которых дается согласие субъекта ПДн;
  • 4) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн.

    Например, в соответствии с п. 38 Порядка проведения Единого Государственного Экзамена проводится автоматизированное распределение участников ЕГЭ и организаторов по аудиториям. Если нет согласия на обработку персональных данных, то обучающиеся 11 классов будут отсутствовать в списках при распределении аудиторий и не будут внесены в Российскую базу данных выпускников, что приведет к невозможности участия в сдачи ЕГЭ (получение бланков, контрольно измерительных материалов). Участие в дистанционных конкурсах и олимпиадах (отправка заявки на участие по сети Интернет), выставление на сайте школы информации о победителях олимпиад и конкурсов и т.д.

  • 5) срок, в течение которого действует согласие, а также порядок его отзыва.

Настоятельно просим дать своё согласие на обработку указанных в согласии ПДн.

Мы гарантируем, что такое согласие будет храниться в школе, его содержание будет недоступно другим, действие согласия будет распространяться только на нашу школу. Любой другой оператор ПДн должен будет получать от Вас разрешение на обработку ПДн Ваших детей.

Просим отнестись с пониманием.
С уважением, администрация школы

Персональные данные

GDPR – какую информацию они охватывают?

Практически все наши взаимодействия с организациями включают обмен личными данными. Примеры включают имя, номер телефона и адрес.

Одного из этих фрагментов данных может быть недостаточно для идентификации человека. Однако, собранные вместе, они могут идентифицировать конкретное лицо и, следовательно, представляют собой личные данные. Вот почему ее часто называют информацией, позволяющей установить личность, или PII .

Данные перестают быть личными, когда они становятся анонимными, и физическое лицо перестает быть идентифицируемым. Но для того, чтобы данные были действительно анонимными, анонимизация должна быть необратимой.

Данные, которые были зашифрованы, деидентифицированы или псевдонимизированы. , но могут использоваться для повторной идентификации человека, по-прежнему являются личными данными.

GDPR существует для защиты наших личных данных на всех уровнях. Он защищен на всех платформах, независимо от используемой технологии, и применяется как для ручной, так и для автоматизированной обработки.Законы о персональных данных также применяются независимо от того, как данные хранятся, будь то ИТ-система, бумага или видеонаблюдение.

GDPR и личные данные

GDPR был запущен в 2016 году с целью предоставить единый набор законов о конфиденциальности для Европейского Союза.

GDPR содержит руководящие принципы для организаций и предприятий относительно того, как они обрабатывают информацию, относящуюся к лицам, с которыми они взаимодействуют. Это помогло гражданам Европейского Союза понять свои права, когда речь идет об их личной информации, и ее следует использовать.

Это важно, потому что технологии меняются быстрее, чем когда-либо, и персональные данные развиваются вместе с ними. Смартфон стал центральным элементом современного мира, и почти половина населения мира имеет учетные записи в социальных сетях.

Это радикально изменило характер передаваемой нами личной информации. Теперь он включает биометрические данные, такие как идентификация отпечатков пальцев и сканирование сетчатки глаза, а также данные о местоположении с IP-адресов и Google Maps. По этой причине наша личная информация более уязвима, чем когда-либо.

Определение персональных данных

Персональные данные занимают центральное место в Общем регламенте защиты данных (GDPR). Однако некоторые люди до сих пор не знают, что конкретно относится к «личным данным».

Основное определение персональных данных – это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту данных).

Другими словами, любая информация, которая явно относится к конкретному человеку и может быть использована для его идентификации.

GDPR гласит, что данные классифицируются как «личные данные». Физическое лицо может быть идентифицировано прямо или косвенно с помощью сетевых идентификаторов, таких как его имя, идентификационный номер, IP-адреса или данные об их местонахождении.

И если эти онлайн-идентификаторы предоставляют информацию, относящуюся к физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.

В некоторых случаях даже информация, касающаяся работы, цвета волос или политических взглядов человека, может считаться персональными данными.Обычно это сводится к контексту, в котором были собраны данные, и к тому, можно ли прямо или косвенно идентифицировать субъекта данных.

Примеры личной информации

Определение личных данных – это любая информация, относящаяся к «идентифицированному или идентифицируемому физическому лицу». Когда большинство людей думают о личных данных, они думают о телефонных номерах и адресах; однако личные данные охватывают ряд идентификаторов.

  • Имя и фамилия.
  • Адрес электронной почты.
  • Телефон.
  • Домашний адрес.
  • Дата рождения.
  • Гонка.
  • Пол.
  • Политические взгляды.
  • Номера кредитных карт.
  • Данные, хранящиеся в больнице или у врача.
  • Фотография, на которой можно идентифицировать личность.
  • Номер удостоверения личности.
  • Идентификатор файла cookie.
  • IP-адрес
  • Данные о местоположении (например, данные о местоположении с мобильного телефона).
  • Рекламный идентификатор вашего телефона.

Персональные данные, относящиеся к GDPR, не покрывают:

  • Информация об умершем.
  • Правильно анонимные данные.
  • Информация о государственных органах и компаниях.

Идентификаторы GDPR

Человека можно идентифицировать, если его отличить от другого человека. GDPR просит компании учитывать:

  • Если они могут идентифицировать отдельного человека, просто взглянув на данные, которые они обрабатывают.
  • То, что вам не нужно имя для идентификации человека, это может быть комбинация других фрагментов данных, которые выступают в качестве идентификатора.
  • Как они оценивают данные, которые они обрабатывают, и могут ли другие лица использовать их для идентификации личности.
  • Есть ли в будущем вероятность того, что данные могут быть использованы для идентификации кого-либо.
  • Содержание данных и касается ли они человека или того, чем он занимается.
  • Причина обработки данных.
  • Возможные последствия обработки данных для человека.

Как организации должны обращаться с личными данными

Все организации должны проявлять осторожность при обработке персональных данных.

GDPR предполагает, что они должны гарантировать, что обработка любой личной информации ограничивается тем, что необходимо.

Организации должны хранить эти данные только до тех пор, пока они соответствуют своему назначению. Им также следует попытаться псевдонимизировать и / или зашифровать эту информацию, особенно если она классифицируется как конфиденциальные данные.

Псевдонимизация

Псевдонимизация – это маскировка данных путем замены любой идентифицированной или идентифицируемой информации искусственными идентификаторами.

Хотя это может быть отличный способ защитить безопасность и конфиденциальность личных данных, псевдонимизация ограничена. Хотя псевдонимные данные не позволяют идентифицировать человека напрямую, их можно относительно легко идентифицировать косвенно.

Некоторые примеры этого типа персональных данных включают

  • Имя пользователя в Интернете, например имя, используемое для публикации сообщений на онлайн-форуме.
  • Любые данные социальных сетей, такие как список друзей и данные для входа в систему.
  • Данные, создаваемые пользователями Интернета – данные, которые сознательно генерируются отдельным лицом, например сообщения на дискуссионных форумах, поисковые запросы в Интернете и личные данные, которые они вводят в свои профили в социальных сетях.
  • RFID-коды (радиочастотная идентификация) – RFID-чипы обычно содержат идентифицируемый уникальный номер, который индивидуализирует любое свойство, к которому он прикреплен, и, следовательно, может использоваться для идентификации кого-либо.
  • Уникальные идентификационные номера на личных устройствах. Например, Mac-адреса, IP-адрес, номер Bluetooth, номер международного идентификатора мобильного оборудования (IMEI) или номер для беспроводной связи ближнего радиуса действия.

Шифрование

Шифрование работает аналогично псевдониму. Он скрывает личную информацию, заменяя уникальные идентификаторы другими данными.

Но в отличие от псевдонимизации, которая позволяет любому лицу, имеющему законный доступ к данным, просматривать часть набора данных, шифрование позволяет только утвержденным пользователям просматривать полный набор данных.

GDPR гласит, что шифрование и псевдонимизация могут использоваться вместе или по отдельности, и многие организации предпочитают использовать оба метода для защиты своих субъектов данных.

Важность контекста

Организации собирают различные типы персональных данных – это нормально. Для них важно учитывать, что даже если одна часть информации не идентифицирует человека, она может стать актуальной в сочетании с другой информацией.

Например, контролер данных в организации может спросить своих клиентов, чем они занимаются, и с помощью одной только этой информации их невозможно идентифицировать. Следовательно, эта информация сама по себе не попадает в сферу персональных данных в соответствии с GDPR, поскольку название должности обычно не относится к одному человеку.

Однако, если контролер данных также спросит их, в какой компании они работают, совокупность этих фрагментов информации может сузить число физических, живых лиц в компании с определенным занятием и, возможно, идентифицировать человека.Другими словами, если вы ссылаетесь на человека, имеющего определенную должность в определенной компании, может быть один человек, который подходит под это описание.

Конечно, это не всегда так, например, если вы знаете, что человек – бариста в Starbucks, маловероятно, что вы сможете его идентифицировать, и, следовательно, эти две части информации вместе не будут считается персональными данными согласно GDPR.

Конфиденциальные данные

Хотя термины «личные данные» и «конфиденциальные данные» часто используются для описания одного и того же, GDPR проводит четкое различие между этими двумя терминами.

Согласно постановлению, конфиденциальные данные представляют собой набор специальных категорий, которые должны обрабатываться с повышенной безопасностью. Этими специальными категориями являются:

  • Этническое или расовое происхождение.
  • Политические взгляды.
  • Культурная или социальная идентичность.
  • философских или религиозных убеждений;
  • Членство в профсоюзах.
  • Генетические данные.
  • Биометрические данные (которые можно использовать для однозначной идентификации).

Обработка конфиденциальных персональных данных

Есть некоторые дополнительные правила, когда дело доходит до обработки конфиденциальных личных данных.Вы должны документально подтвердить законную причину обработки этой информации в соответствии со статьей 6 GDPR.

Согласно Статье 6 организации должны иметь:

  • Действующий договор с физическим лицом – Например, трудовой договор или договор на поставку товаров или услуг.
  • Юридическое обязательство – Организация может быть юридически обязана обрабатывать данные.
  • Общественное задание – Сюда входят официальные функции или задачи в общественных интересах.Например, школы и другие образовательные учреждения, государственные органы, такие как правительственные учреждения, больницы и правоохранительные органы.
  • Законные интересы – У организации может быть законная и реальная причина (например, коммерческая выгода) для обработки личной информации без согласия.
  • Согласие – Если субъект данных соглашается на обработку своих данных, после того, как ему будет дано четкое и честное объяснение причины их сбора и для чего они будут использоваться.

GDPR и согласие

Существует распространенное предположение, что согласно GDPR все организации должны получить согласие на обработку персональных данных, но это не так.

Согласие – это лишь один из вариантов, которые есть у компаний, как показано в этой статье, и на самом деле это не всегда лучший вариант. Физические лица могут в любой момент отозвать контент, и в результате могут возникнуть сложности.

Когда организации не уделяют время изучению требований GDPR, они могут попасть в ловушку, и это может нанести длительный ущерб, от штрафов регулирующих органов и принудительных мер до потери клиентов и негативной прессы.

Нарушение личных данных

GDPR устанавливает очень строгие правила в отношении личных данных и их использования.

Если какая-либо информация, относящаяся к другому лицу, случайно или незаконно потеряна, изменена, раскрыта, уничтожена или получен доступ, это классифицируется как нарушение данных.

Персональные данные являются ключевым аспектом идентификации в Интернете, но, к сожалению, ими можно воспользоваться. Некоторые люди могут изменять личные данные, чтобы захватывать почтовые ящики, создавать поддельные документы и использовать контактную информацию людей, чтобы преследовать их.

Они могут даже совершить кражу финансовой личности, которая обычно связана с кражей данных кредитной карты и банковского счета для использования или продажи. В других случаях личные данные, которые были взломаны, используются для создания ложных сетевых идентификаторов, таких как поддельные профили в социальных сетях.

Это обычно называется мошенничеством с использованием личных данных или клонированием личных данных.

Как только человек получает доступ к определенным личным данным, таким как ваше имя, дата рождения, документы, удостоверяющие личность, номер социального страхования и пароли, он может использовать их для входа на различные веб-сайты, чтобы получить доступ к еще большей информации, которую они могут использовать. в их пользу.

Утечки личных данных не всегда являются результатом взлома киберпреступников в системе компании.

На самом деле, многие из этих инцидентов происходят, когда сотрудник случайно раскрывает личную информацию.

Это может быть электронное письмо, отправленное не тому человеку, техническая ошибка на веб-странице компании, потеря ноутбука или другого личного устройства, содержащего личные данные.

Руководство по защите информации, позволяющей установить личность

Информация, позволяющая установить личность, определяется как:

Любое представление информации, позволяющее сделать разумный вывод о личности человека, к которому она относится, прямым или косвенным образом.Кроме того, PII определяется как информация: (i) которая напрямую идентифицирует человека (например, имя, адрес, номер социального страхования или другой идентификационный номер или код, номер телефона, адрес электронной почты и т. Д.) Или (ii) посредством которой агентство предназначен для идентификации конкретных лиц в сочетании с другими элементами данных, т. е. косвенная идентификация. (Эти элементы данных могут включать комбинацию пола, расы, даты рождения, географического показателя и других дескрипторов). Кроме того, информация, позволяющая установить физический или онлайн-контакт с конкретным лицом, аналогична информации, позволяющей установить личность.Эта информация может храниться на бумажных, электронных или других носителях.

Подрядчикам Министерства труда (DOL)

напоминают, что защита конфиденциальной информации является важной обязанностью, к которой следует всегда серьезно относиться. Внутренняя политика DOL определяет следующие политики безопасности для защиты PII и других конфиденциальных данных:

  • Отдельный пользователь несет ответственность за защиту данных, к которым у него есть доступ. Пользователи должны придерживаться правил поведения, определенных в соответствующих планах безопасности систем, DOL и руководствах агентства.
  • Подрядчики
  • DOL, имеющие доступ к личной информации, должны уважать конфиденциальность такой информации и воздерживаться от любого поведения, которое указывало бы на небрежное или небрежное отношение к такой информации. Сотрудники, работающие по контракту, также должны избегать офисных сплетен и не должны допускать несанкционированного просмотра записей, содержащихся в системе записей DOL. Только лица, которым “необходимо знать” в своем официальном качестве, имеют доступ к таким системам записей.

Утрата PII может привести к значительному ущербу для людей, включая кражу личных данных или другое мошенническое использование информации.Поскольку сотрудники и подрядчики DOL могут иметь доступ к личной идентифицируемой информации о физических лицах и другим конфиденциальным данным, мы несем особую ответственность за защиту этой информации от потери и неправомерного использования.

Выполняя эти обязанности, подрядчики должны гарантировать, что их сотрудники:

  • Защитите информацию DOL, к которой их сотрудники имеют доступ в любое время.
  • Получите письменное разрешение руководства DOL, прежде чем забирать любую конфиденциальную информацию DOL из офиса.Утверждение менеджера DOL должно определять деловую необходимость удаления такой информации из объекта DOL.
  • При получении разрешения на удаление конфиденциальной информации из офиса сотрудник должен придерживаться политики безопасности, описанной выше.

Подрядчики должны убедиться, что их контрактные сотрудники осведомлены о своих обязанностях в отношении защиты PII в Министерстве труда. В дополнение к вышесказанному, если сотрудники, работающие по контракту, узнают о краже или потере PII, они должны немедленно сообщить своему менеджеру по контрактам DOL.В случае, если их менеджер по контрактам DOL недоступен, они должны по телефону немедленно сообщить о краже или потере в группу реагирования на инциденты компьютерной безопасности DOL (CSIRC) по адресу [email protected].

Общий регламент ЕС о защите данных

Общий регламент Европейского Союза о защите данных

  • Общий регламент о защите данных (GDPR) – это постановление, которое гармонизирует национальные законы о конфиденциальности данных на всей территории ЕС и усиливает защиту всех жителей ЕС в отношении свои личные данные.
  • Эта гармонизация создает новые права для физических лиц и набор более строгих и четких правил для предприятий.
  • GDPR применяется ко всем компаниям, обрабатывающим персональные данные резидентов ЕС, включая компании, созданные за пределами ЕС, если они предлагают товары или услуги резидентам ЕС или следят за их поведением.
  • GDPR вступил в силу 25 мая 2018 года.

Что нового в GDPR?

  • Обновленное определение личных данных: Данные о местоположении и онлайн-идентификаторы теперь прямо включены в определение личных данных.
  • Обязательство по всестороннему ведению документации: Записи используются для подтверждения соответствия.
  • Более строгое определение согласия: Конкретное, осознанное и недвусмысленное согласие должно даваться свободно в форме заявления или четких позитивных действий. Физические лица могут отозвать свое согласие в любое время.
  • Новые права для физических лиц: Физические лица имеют право на доступ, передачу, исправление и ограничение своих личных данных, а также требовать их уничтожения.
  • Новое требование о назначении сотрудника по защите данных: Компании, обрабатывающие персональные данные в больших объемах, должны назначить сотрудника по защите данных.
  • Новое требование об уведомлении об утечке данных: Компетентные надзорные органы в ЕС должны быть проинформированы в течение 72 часов с момента утечки персональных данных.
  • Разнообразный инструментарий механизмов: Инструментарий предоставляется для законной передачи данных за пределы ЕС; перевод подлежит особым условиям и гарантиям.
  • Штрафы за несоблюдение: Компании будут подвергаться штрафам в размере до 4% от глобального годового оборота или 20 миллионов евро, в зависимости от того, какая сумма больше.

Уровень обязательств варьируется в зависимости от размера и деятельности компании, от конфиденциальности персональных данных и от их использования. Также могут применяться определенные исключения.

Что могут делать организации?

  • Для получения дополнительной информации о GDPR.
  • Оцените свою коммерческую деятельность и использование личных данных, чтобы определить, применяется ли к вам GDPR.
  • Обсудите со своим сотрудником по защите данных или обратитесь за юридической консультацией о том, применяется ли к вам GDPR и что вам нужно делать.
  • Если к вам применяется GDPR, примите необходимые меры для его соблюдения.

А как насчет решения ЕС о достаточности Канады?

  • В 2001 году ЕС признал Закон Канады о защите личной информации и электронных документов (PIPEDA) как обеспечивающий надлежащую защиту.
  • Статус соответствия Канады гарантирует, что данные, обработанные в соответствии с GDPR, могут быть впоследствии переданы из ЕС в Канаду без дополнительных мер защиты данных (например, стандартных договорных правил) или разрешения на передачу данных.
  • GDPR обеспечивает преемственность существующих решений ЕС о достаточности, в том числе Канады.

Полезные ресурсы

GDPR

Другие документы, подготовленные Службой торгового комиссара (TCS)

Дата изменения:

Служба торгового комиссара

Закон о защите данных

На этих страницах описывается Общий режим защиты данных, применяемый в Великобритании.Общий регламент защиты данных (GDPR) был адаптирован и включен в законодательство Великобритании Законом о защите данных 2018 года.

Закон о защите данных 2018 г. («Закон») применяется к «личным данным», то есть к информации, относящейся к физическим лицам. Он дает людям право доступа к своим личным данным через запросы на доступ субъектов и содержит правила, которые необходимо соблюдать при обработке личных данных.

Закон действует двумя способами:

  • он предоставляет людям права, включая право знать, какая информация о них хранится, и право доступа к этой информации.
  • говорится, что любой, кто обрабатывает личную информацию, должен соблюдать принципы Закона.

Вы должны исходить из того, что любые личные данные, относящиеся к идентифицируемому живому лицу, хранящиеся в Университете в любой форме, подпадают под действие Закона о защите данных.

Если у вас есть доступ к личным данным, вы должны ознакомиться и соблюдать следующие ресурсы университета:

Если вы собираетесь работать удаленно или с помощью мобильного устройства, также ознакомьтесь с разделом «Безопасность данных за пределами кампуса».

Закон о защите данных распространяется на обработку всех «Персональных данных». Это данные, которые представляют собой информацию, относящуюся к живому человеку («Субъект данных»), из которых (либо самостоятельно, либо вместе с другой имеющейся информацией) это лицо идентифицируемо, поэтому данные, хранящиеся исключительно в анонимной форме, не покрываются. .

Закон о защите данных распространяется на данные, хранящиеся в электронном и бумажном виде, независимо от того, где хранятся данные. Он охватывает данные, хранящиеся в кампусе и за его пределами, а также на мобильных устройствах сотрудников или студентов, если они хранятся для университетских целей, независимо от того, кому принадлежит устройство, на котором они хранятся.

«Обработка» имеет широкое определение и включает в себя все возможные формы действий, которые могут быть предприняты в отношении данных, включая:

  • получение данных
  • запись данных
  • хранение данных
  • использование данных любым способом
  • обмен или раскрытие данных
  • стирание и / или уничтожение данных.

Университет должен иметь действующую законную основу для обработки личных данных и, в большинстве случаев, должен быть уверен, что обработка личных данных «необходима» для достижения соответствующей цели.

Возможных законных оснований для обработки персональных данных всего шесть:

  1. Общедоступная задача – применяется, когда обработка необходима Университету для выполнения задачи в общественных интересах или в рамках своих официальных функций.
  2. Законные интересы – это применяется, когда обработка необходима для законных интересов Университета или третьей стороны (если нет веской причины для защиты личных данных человека, которая имеет приоритет над этими законными интересами).
  3. Контракт – это применяется, когда обработка необходима для контракта, который Университет имеет с физическим лицом (любая обработка персональных данных в рамках этой категории должна быть целевой и соразмерной).
  4. Юридическое обязательство – применяется, когда обработка необходима Университету в соответствии с законом. Это может относиться к юридическим, нормативным и другим обязательствам по соблюдению, а также к таким вопросам, как предотвращение или раскрытие преступлений.
  5. Жизненные интересы – обработка необходима для защиты жизненных интересов кого-либо, обычно это означает защиту их жизни.
  6. Согласие – физическое лицо свободно предоставило Университету четкое и осознанное согласие на обработку его персональных данных (это всегда будет для определенной цели).

Данные специальной категории (которые раньше назывались «Конфиденциальные персональные данные») – это персональные данные, которые являются более конфиденциальными и нуждаются в большей защите. Для законной обработки любых таких данных особой категории, помимо наличия законного основания для их обработки, Университету потребуется дополнительное условие для обработки.

Существует десять таких возможных дополнительных условий, которые позволяют обрабатывать данные специальной категории. Наиболее актуальные в контексте университета изложены ниже:

  • Физическое лицо дало явное согласие на обработку для одной или нескольких указанных целей.
  • Обработка необходима в связи с законодательством о занятости, социальном обеспечении и социальной защите;
  • Обработка необходима для – – защиты жизненно важных интересов человека, если он физически или юридически неспособен дать согласие;
  • Обработка относится к личным данным, которые уже находятся в открытом доступе;
  • Обработка необходима для предъявления, исполнения или защиты судебных исков или всякий раз, когда суды действуют в своем судебном качестве;
  • Обработка необходима для профилактической медицины или медицины труда, например, для оценки работоспособности сотрудника и предоставления медицинского или социального дела.

Дополнительную информацию о правовой основе для обработки личных данных и условиях обработки особых категорий данных можно найти на веб-сайте Управления комиссара по информации.

Закон о защите данных устанавливает шесть правовых принципов, которые Университет должен соблюдать при обработке персональных данных. В них указано, что данные должны:

1 «Справедливо, законно и прозрачно» Чтобы мы могли «справедливо» обрабатывать данные, нам необходимо:

  • убедиться, что у нас есть законные основания для получения или обработки данных
  • Субъект данных никогда не должен быть обманут или введен в заблуждение – он обычно должен иметь четкое представление о причинах, по которым предлагается использовать их данные.
  • необходимо позаботиться о том, чтобы личные данные были получены только от лица, имеющего законные полномочия на их предоставление.
  • Основные вопросы, возникающие в связи с этим принципом:

    • Все персональные данные, обрабатываемые Университетом, должны быть зарегистрированы Комиссаром по информации. Большинство обычных случаев использования персональных данных персоналом будет покрываться нашей регистрацией. Однако, если вы обрабатываете какие-либо данные (например, ведете базу данных или запускаете исследовательский проект, связанный с использованием личных данных) и считаете, что это может потребовать от нас обработки новых личных данных в первый раз или использования личных данных для новой цели, напишите в команду по защите данных по адресу dataprotection-questions @ lists.Bath.ac.uk за советом.
    • личные данные, хранящиеся для одной цели, не должны использоваться для другой
    • Персональные данные
    • не должны раскрываться третьим лицам (кроме тех, которые описаны в регистрации Университета при определенных обстоятельствах), поэтому будьте очень осторожны, когда получаете запрос данных от третьей стороны (см. Руководство по раскрытию данных).

    3 «Быть ​​адекватными, актуальными и не чрезмерными по отношению к цели или задачам, для которых они предназначены»

    Для обеспечения соответствия:

    • вы не должны собирать какие-либо личные данные, которые не являются строго необходимыми для указанной цели.Если вы получаете или храните данные какой-либо специальной категории, обратите особое внимание на то, чтобы должным образом учесть их необходимость.
    • Записи
    • также должны быть однозначными, точными и профессионально сформулированными. Сокращения должны быть широко согласованы. Мнения должны четко отличаться от фактов.

    4 «Будьте точны и, при необходимости, обновляйте»

    Персональные данные не должны быть неточными или вводить в заблуждение по какому-либо факту. Это относится к информации от третьей стороны.Источник информации всегда должен быть включен в записи.

    5 «Хранить не дольше, чем это необходимо для указанной цели»

    Поскольку Университету необходимо хранить и обрабатывать персональные данные по разным законным причинам, не всегда возможно указать, как долго должны храниться определенные данные.

    В университете существует набор политик по хранению и удалению различных типов записей. Для других типов данных часто необходимо в каждом конкретном случае решать, когда их следует уничтожить.

    6 «Быть ​​обработанным безопасным способом, принимая соответствующие меры безопасности в отношении прав случайного или несанкционированного доступа к персональным данным, или случайного или несанкционированного уничтожения, потери, использования, изменения или раскрытия персональных данных»

    Доступ к личным данным будет предоставлен сотрудникам только в той мере, в какой это необходимо для законных рабочих целей. Личное или частное использование личных данных, хранящихся в университете, строго запрещено.

    Все сотрудники, имеющие доступ к личным данным, должны помнить о своей роли в обеспечении их надежного хранения.Они должны ознакомиться с Политикой защиты данных Университета и следовать нашим рекомендациям по безопасности данных.

    Университет обязуется защищать права и свободы всех людей в отношении обработки их личных данных и предоставляет Политику защиты данных, которой каждый может следовать.

    • Сфера действия данной политики
    • Определения
      • Персональные данные
      • Данные особой категории
      • Конфиденциальные данные
    • Правовая основа
    • Обязанности сотрудников и студентов
      • Персональные данные в открытом доступе
    • Законное основание для обработки персональных данных
    • Дополнительные условия для данных специальной категории
    • Принципы Закона о защите данных
    • Безопасность данных
      • Обеспечение безопасности личных данных
    • Запрещенные действия
    • Право на доступ к информации
    • Исследования – особенности
    • Последствия нарушения этой политики
    • Заключение

    Мы должны соблюдать Закон о защите данных (с внесенными в него время от времени поправками) в отношении всех персональных данных, обрабатываемых Университетом.Чтобы это произошло, он разработал эту политику, в которой излагаются обязанности персонала в этом отношении.

    Настоящая политика и Закон о защите данных применяются ко всем личным данным, обрабатываемым Университетом, как в бумажных файлах, так и в данных, хранящихся в электронном виде. Поскольку обработка данных осуществляется для университетских целей, она также применяется независимо от того, где хранятся данные (например, она охватывает данные, хранящиеся в кампусе и на мобильных устройствах, таких как электронные ноутбуки или ноутбуки) и независимо от того, кто владеет ПК / устройством, на котором он хранится.

    «Обработка» данных имеет широкое определение и включает в себя все возможные действия, которые могут быть предприняты в отношении данных, такие как получение, запись и хранение, или их использование любым способом; делиться или раскрывать его; стирая и разрушая его.

    Персональные данные

    Данные, относящиеся к живому человеку, которого можно идентифицировать по этим данным и другой информации, которая находится во владении или может стать владельцем контроллера данных.Университет является контролером данных.

    Примерами личных данных являются имя и адрес физического лица или номер студенческого билета, который в сочетании с другой информацией, хранящейся в университете, может идентифицировать студента, сотрудника или участника опроса исследователя. Таким образом, большинство сотрудников (включая всех линейных руководителей) будут обрабатывать личные данные хотя бы время от времени.

    Данные специальной категории (ранее называвшиеся конфиденциальными персональными данными)

    Некоторые личные данные имеют более конфиденциальный характер и поэтому требуют более высокого уровня защиты.Законодательство называет обработку определенных данных «особыми категориями персональных данных». Это личные данные о физическом лице:

    • Раса или этническое происхождение субъекта данных
    • их политические взгляды
    • их религиозные или философские убеждения
    • , состоят ли они в профсоюзе
    • их физическое или психическое здоровье или состояние
    • их сексуальная жизнь
    • сексуальная ориентация
    • биометрические данные (если они используются для идентификации)
    • любое совершение или предполагаемое совершение ими какого-либо правонарушения
    • любое судебное разбирательство по любому правонарушению, совершенному или предположительно совершенное ими, распоряжение о таком разбирательстве или приговор любого суда по такому разбирательству.

    Персонал, работающий в определенных областях исследований (например, психология / здоровье) или на определенных ролях (например, Консультационная служба по вопросам инвалидности учащихся, HR, SREO), будет иметь регулярный доступ к данным специальной категории, другие, скорее всего, будут делать это очень редко, если вообще .

    Конфиденциальные данные

    Данные, предоставленные конфиденциально, или данные, которые были согласованы как конфиденциальные (другими словами, секрет между двумя сторонами) и не являющийся общественным достоянием.

    Некоторые конфиденциальные данные также будут личными данными и / или конфиденциальными личными данными и, следовательно, подпадают под условия этой политики.Персонал, выполняющий определенные функции и занимающий руководящие должности, будет регулярно обрабатывать конфиденциальные данные.

    Университет также обрабатывает данные исследований, которые включают материалы, собранные или созданные для целей анализа, чтобы получить оригинальные результаты исследований. Некоторые данные исследований будут содержать личные данные и / или конфиденциальные личные данные, и во всех таких случаях применяются положения настоящей политики. Для получения информации о том, как работать с другими аспектами данных исследований, см. Управление данными исследований.

    Университету необходимо собирать и хранить определенную информацию о людях, с которыми он имеет дело. Сюда входит информация, касающаяся ее сотрудников, студентов и других лиц. Ей необходимо обрабатывать «личные данные» по разным причинам, например, для найма и оплаты своего персонала, для регистрации академической успеваемости своих студентов и для соблюдения установленных законом обязательств (например, требований по охране здоровья и безопасности).

    Закон о защите данных применяется ко всем «личным данным», обрабатываемым Университетом, и в соответствии с законом все личные данные должны собираться и использоваться справедливо, безопасно храниться и не разглашаться третьим лицам.

    Обязанности сотрудников и студентов

    Все сотрудники и студенты должны:

    1. Помните о том, что люди имеют право видеть свои «личные данные» (и это может включать, например, информацию, полученную от потенциальных студентов или сотрудников, написанную в связи с подачей заявки в университет, или любые комментарии, написанные о них в электронных письмах. ). Таким образом, они не должны записывать комментарии или другие данные о людях, которые им было бы неудобно видеть, ни в электронных письмах, ни где-либо еще.
    2. Немедленно сообщите об этом своему непосредственному руководителю и доведите до сведения группы защиты данных, если они обнаружат какие-либо потерянные или отброшенные данные, которые, по их мнению, содержат личные данные (например, могут включать карту памяти).
    3. Немедленно сообщите об этом своему непосредственному руководителю и доведите его до сведения группы защиты данных, если им станет известно, что личные данные были случайно потеряны, украдены или непреднамеренно раскрыты (например, если их ноутбук украден или их телефон потерян и на нем хранятся личные данные),
    4. Надежно хранить содержимое любых личных данных, которые поступают в их распоряжение.
    5. Убедитесь, что все личные данные, которые они предоставляют университету (например, их контактные данные), являются точными.
    6. Незамедлительно уведомлять Университет о любых изменениях в своих личных данных (например, об изменении адреса или контактных данных для экстренных случаев).
    7. Всегда получать или использовать личные данные, относящиеся к третьим сторонам, только для утвержденных рабочих или учебных целей.

    Сотрудники и студенты, которые обрабатывают «личные данные», должны:

    1. Убедитесь, что они обрабатывают личные данные только в соответствии с требованиями Закона о защите данных, в частности:
    2. убедиться, что у них есть действительное законное основание для обработки данных до начала обработки; и
    3. обрабатывает «данные особой категории» только в том случае, если обработка соответствует одному из дополнительных условий для данных особой категории; а также
      • соблюдать 6 принципов защиты данных.Лучший способ обеспечить соответствие – ознакомиться с этой политикой и нашими рекомендациями. Ключевые моменты в том, что касается соблюдения, включают:
      • Справедливая обработка – например, убедиться, что физическое лицо дает согласие на использование их данных и знает, для чего они будут использоваться, а также гарантировать, что они впоследствии не будут использоваться для чего-то еще.
      • Безопасность данных – убедитесь, что любые личные данные, которые хранятся, всегда надежно хранятся и удаляются (с учетом любых соображений кибербезопасности).
      • Неразглашение – убедитесь, что личные данные не разглашаются неавторизованным третьим лицам.
    4. Ознакомьтесь с инструкциями и другой информацией, опубликованной на нашем сайте защиты данных, и всегда им следуйте.
    5. Если они собираются работать удаленно или использовать мобильное устройство для хранения данных (например, ноутбук, планшет или мобильный телефон), жизненно важно, чтобы они были знакомы с нашим Руководством по удаленной работе и использованию мобильных устройств и соблюдали его требования. с ним и Политикой ИТ-безопасности Университета в качестве особых соображений.
    6. Помните о сфере действия правил защиты данных. Это включает в себя тот факт, что «личные данные» имеют широкое определение (и, таким образом, охватывают, например, комментарии, сделанные о человеке в электронном письме кому-либо еще), и тот факт, что они охватывают данные, хранящиеся на удаленных устройствах (таких как планшеты и другие устройства). мобильные телефоны) независимо от того, кому принадлежит фактическое устройство и где оно хранится.
    7. Обращаться за советом всякий раз, когда рассматривается новая или новая форма обработки персональных данных или если когда-либо возникают какие-либо проблемы, связанные с защитой данных.
    Персональные данные в открытом доступе

    Мы храним определенную информацию о сотрудниках и студентах в открытом доступе. Персональные данные, классифицируемые как находящиеся в «общественном достоянии», относятся к информации, которая будет общедоступна во всем мире и может быть раскрыта третьим лицам без обращения к субъекту данных.

    Наша практика заключается в обеспечении свободного доступа к следующим элементам данных, если отдельные лица не возражают:

    • фамилии членов Совета и Сената
    • Адреса электронной почты и номера телефонов рабочих мест
    • адреса электронной почты студентов университета
    • биографии преподавателей и биографические данные, в которых представлены
    • фамилии и академическая квалификация академического и вспомогательного персонала, если необходимо
    • любая дополнительная информация, относящаяся к субъектам данных, которую они согласились разместить в открытом доступе и которая может быть в автоматизированной и / или ручной форме.

    Аналогичным образом, в рамках своей обычной деловой деятельности Университет может обрабатывать личную информацию о третьих лицах, которая уже находится в открытом доступе, если такая обработка осуществляется в соответствии с принципами Закона о защите данных, изложенными ниже, и вряд ли вызовет любой ущерб или беспокойство для субъекта данных.

    Принципы Закона о защите данных

    Любой, кто использует персональные данные, должен соблюдать 6 принципов защиты данных, содержащихся в Законе о защите данных 2018, поскольку они определяют, как персональные данные могут быть законно обработаны: В итоге в них говорится, что персональные данные должны:

    1. Получать и обрабатывать справедливо, законно и прозрачно.
    2. Обрабатывать в указанных явных и законных целях и не обрабатывать каким-либо образом, несовместимым с этими целями.
    3. Быть адекватным, актуальным и не чрезмерным для этих целей.
    4. Будьте точны и всегда в курсе.
    5. Не хранить дольше, чем это необходимо.
    6. Быть обработанным безопасным способом.

    Безопасность данных

    Надлежащая защита личных данных – ключ к соблюдению Закона о защите данных.Таким образом, все сотрудники несут ответственность за обеспечение того, чтобы в случае хранения личных данных они надежно хранились и не разглашались (устно, письменно или случайно) какой-либо неуполномоченной стороне.

    Дополнительную информацию по этому вопросу см. В руководстве по раскрытию данных.

    Обеспечение безопасности личных данных

    Это включает как минимум:

    1. Обеспечение того, чтобы любые личные данные, записанные в бумажной форме или в бумажных документах, хранились в запираемых картотечных шкафах, запираемых ящиках или в запираемых офисах.
    2. Обеспечение того, чтобы те же меры были приняты в отношении любых дисков, карт памяти или аналогичных устройств, на которых хранятся личные данные, например, они также должны храниться в безопасном и запертом месте.
    3. Убедитесь, что если какие-либо личные данные хранятся на мобильном устройстве, они защищены паролем и, если необходимо, зашифрованы.
    4. Обеспечение особой осторожности при передаче данных из одного места в другое, чтобы гарантировать, что безопасность данных имеет первостепенное значение (например, во избежание потери карты памяти при транспортировке или во избежание передачи конфиденциальных личных данных на ПК, который не защищен паролем и зашифрован).

    Дополнительные сведения и правила безопасности см. В разделе о безопасности данных и Политике ИТ-безопасности университета.

    Запрещенные виды деятельности

    Строго запрещены следующие виды деятельности:

    • с использованием данных, полученных для одной цели, для другой дополнительной цели (например, с использованием контактных данных, предоставленных для целей, связанных с кадрами, в маркетинговых целях)
    • разглашение персональных данных третьим лицам за пределами Университета без согласия субъекта данных.

    Право на доступ к информации

    Физические лица имеют право доступа к любым относящимся к ним личным данным, хранящимся в Университете. Любой человек, желающий воспользоваться этим правом, должен увидеть страницу прав субъектного доступа для получения подробной информации о том, как это сделать.

    Исследования – особое внимание

    Перед началом любого исследования, которое будет включать получение или использование личных данных, исследователь (будь то студент или сотрудник) и его научный руководитель или руководитель группы должны должным образом рассмотреть эту политику и рекомендации, содержащиеся на наших веб-страницах по защите данных и нашу Политику в отношении данных исследований и то, как они будут должным образом соблюдаться.

    В частности, им необходимо будет рассмотреть тип персональных данных, которые могут быть собраны, применимое законное основание для обработки, будут ли обрабатываться какие-либо данные специальной категории, и если да, то какое дополнительное условие для данных специальной категории будет использоваться и какие дополнительные меры безопасности требуются, как должно регистрироваться этическое согласие, в какой степени такие данные могут законно потребоваться для академических целей, как данные будут надежно храниться и в течение которого они будут храниться.

    Персональные данные, полученные или используемые для исследований, должны быть ограничены минимальным объемом данных, который разумно требуется для достижения желаемых академических целей, и по возможности любые такие персональные данные должны быть анонимными, чтобы нельзя было идентифицировать субъектов данных.

    Для получения дополнительной информации см. Политику в отношении данных исследований.

    Последствия нарушения этой политики

    Это условие приема на работу в случае персонала и зачисления в случае студентов, что сотрудники и студенты будут соблюдать политику и правила Университета.Любое нарушение этой политики будет считаться дисциплинарным нарушением и может привести к дисциплинарным взысканиям. Серьезное нарушение Закона о защите данных может также привести к привлечению к ответственности Университета и / или физического лица по закону.

    Заключение

    Соблюдение Закона о защите данных является обязанностью всех членов Университета. Любые вопросы по этой политике или любые вопросы, касающиеся вопросов защиты данных, следует задавать группе защиты данных

    .

    Комиссар по информации ведет публичный реестр организаций, использующих персональные данные.Университет имеет запись в этом реестре, в которой указаны основные типы данных, которые мы храним (например, личные данные, информация об образовании и обучении), основные цели, для которых мы используем данные (например, управление персоналом, поддержка студентов и персонала. услуги, образование, исследования и т. д.) и тех, кому это может быть раскрыто (например, советы по финансированию, центральное правительство).

    Регистрационный номер университета – Z62

  • . Наша регистрация продлевается ежегодно, хотя мы можем вносить в нее дополнения или изменения в любое время (например, если мы начинаем обрабатывать новый тип данных).

    На практике большинство обычных случаев использования персональных данных персоналом будет покрываться нашей регистрацией. Однако, если вы обрабатываете какие-либо данные (например, ведете базу данных или запускаете исследовательский проект, связанный с использованием личных данных) и считаете, что это может потребовать от нас обработки новых личных данных в первый раз или использования личных данных для новой цели, отправьте электронное письмо в команду по защите данных для получения совета и внесения изменений в нашу регистрацию при необходимости.

    Текущую регистрацию университета можно просмотреть с помощью поисковой системы на веб-сайте Уполномоченного по информации.

    Общий регламент по защите данных (GDPR)

    Правовые основы обработки ваших личных данных

    Мы включили информацию о том, как мы обрабатываем ваши данные, и здесь мы объясняем основу, на которой мы это делаем:

    • Когда вы подписываетесь на какой-либо из наших продуктов или услуг, мы обрабатываем ваши персональные данные для выполнения нашего договора с вами;
    • Мы можем обрабатывать ваши личные данные, если этого требует закон ЕС;
    • Если у нас есть законный интерес в обработке данных, например, для целей прямого маркетинга или исследований; или
    • Мы также будем обрабатывать ваши личные данные, если вы дали нам согласие на это.

    Ваши дополнительные права в соответствии с GDPR

    GDPR также дает вам дополнительные права на защиту данных, и вы можете запросить у нас следующее, с учетом юридических исключений и ограничений, предусмотренных GDPR:

    • Чтобы подтвердить нам, обрабатываются ли ваши личные данные нами, определенную другую информацию об этой обработке и копию ваших личных данных, подвергающихся указанной обработке.
    • Чтобы попросить нас удалить ваши личные данные;
    • Чтобы попросить нас ограничить (прекратить любую активную) обработку ваших личных данных;
    • Для исправления неверных или неполных личных данных;
    • Возражать против обработки нами ваших личных данных, при определенных обстоятельствах по веским и законным причинам, если мы обрабатываем их на основании нашего законного интереса;
    • Возражать против любого автоматизированного принятия решений, основанного на вашем поведении, например от аналитики для прямого маркетинга, проводимой нами.Мы выполняем автоматическую обработку при использовании файлов cookie, размещенных на сторонних веб-сайтах, для измерения веб-аудитории, которые измеряют, как вы взаимодействуете и используете веб-сайты разных издателей, или для анализа привычек просмотра телепрограмм, в которых вы участвуете в одном из наших исследовательских сообществ, и от наших участников. ;
    • Отказать или отозвать ваше согласие на обработку ваших персональных данных в любое время без каких-либо неблагоприятных негативных последствий. Законность любой обработки ваших персональных данных, которая произошла до отзыва вашего согласия, не будет затронута;
    • Подать жалобу в национальный орган по защите данных в стране вашего проживания.

    Если мы собираем и обрабатываем ваши персональные данные для предоставления продуктов и услуг, которые вы запрашиваете, или для выполнения условий контракта, мы не сможем выполнить ваш запрос или наши договорные обязательства без таких персональных данных. Если вы хотите воспользоваться правом, мы можем запросить у вас дополнительную информацию, чтобы помочь нам проверить вас и помочь нам ответить на ваш запрос. Щелкните здесь, чтобы узнать больше о том, как реализовать свои права субъекта данных.

    Автоматизированная обработка

    Мы используем автоматизированную обработку для маркетинговых и медийных исследований, а также для измерения рекламы.Наши методы проведения этой формы обработки включают в себя: сбор данных с помощью наших технологий тегов, измерение размещения рекламы, видимости, вовлеченности пользователей, безопасности бренда и размера аудитории; получение информации о телезрителях от спутниковых, телекоммуникационных и кабельных операторов, включая телеприставки и просмотр видео по запросу (VOD); измерение валовой выручки и информации о посещаемости кинотеатров. Информация об использовании Интернета веб-аудиторией и просмотре телепередач и результаты опросов используются вместе с информацией, полученной от миллионов других членов исследовательской группы, для создания отчетов об исследованиях тенденций в Интернете, привычек просмотра телепередач, электронной коммерции и активности мобильных устройств.В большинстве случаев эта информация является псевдонимной и / или анонимной и не позволяет идентифицировать вас по имени или семье. В некоторых случаях мы используем данные лонгитюдного поведения для идентификатора, чтобы сделать вывод о членстве в сегменте аудитории (интересном и демографическом) для использования в наших отчетах. Это вероятность, а не прямое прочтение этого.

    Comscore участвует в Европейской системе прозрачности и согласия IAB и соблюдает ее спецификации и политики. (Идентификационный номер поставщика 77)

    Контактная информация сотрудника по защите данных

    Луи Цвагер, Нидерланды, gdpr @ comscore.com.

    Comscore B.V., Herikerbergweg 280, 1101 CT Амстердам, Нидерланды

    Обзор Общего регламента по защите данных (GDPR)

    Введение

    Многие организации, как государственные, так и частные, хранят информацию о вас. Это может быть так же просто, как ваши контактные данные, или может быть более подробным информацию, например историю просмотров в Интернете. У вас могут быть опасения по поводу конфиденциальности, или о точности и дальнейшем использовании информации собирающая организация и любая другая организация, которая решит поделиться этим информация с.

    Такие опасения привели к разработке законов о защите данных в Мир. В ЕС эта область обычно регулируется Общими данными. Положение о защите (GDPR). Конкретные законы ЕС также регулируют такие вопросы, как уголовные расследования. В каждой стране-члене ЕС есть дополнительные законы. В Ирландия, эти законы включают законы о защите данных и другие нормативные акты.

    Эти законы о защите данных означают, что ваши личные данные должны, как правило, храниться только при наличии законного основания, например, вашего согласия или законного обязательство.У вас есть ряд прав в соответствии с законами о защите данных, например право доступа к хранимым персональным данным и право на их исправление или стирается при определенных обстоятельствах.

    Язык защиты данных

    Персональные данные – это информация, которая относится или может идентифицировать вас либо отдельно, либо вместе с другой доступной информацией. Персональные данные могут включать:

    • Ваше имя
    • Ваш адрес
    • Ваши контактные данные,
    • Идентификационные номера (например, ваш номер PPS)
    • Ваш IP-адрес (это ваш интернет-адрес)
    • Запись с камер видеонаблюдения
    • Карты доступа
    • Ваши аудиовизуальные или аудиозаписи
    • Данные о местонахождении

    Согласно закону о защите данных, если организация или компания владеет или использует ваши личные данные, вы известны как субъект данных .

    Организация или компания, владеющая или использующая эти данные, известна как контроллер данных . Однако контроллер данных может разрешить другое лицо, организация или компания, известная как данных процессор для обработки ваших личных данных от его имени. Делать что-либо с вашими личными данными, включая их хранение, называется обработка .

    Общие принципы защиты данных

    Вы имеете право на получение личной информации:

    • Защищено
    • Используется честно и законно
    • Предоставляется вам, когда вы запрашиваете копию
    • Исправлено, если вы просите исправить информацию

    Законные основания для хранения данных

    Организации могут использовать или хранить ваши данные только при наличии законных оснований.GDPR устанавливает шесть законных причин в статье 6:

    .
    Вы дали свое свободное и осознанное согласие. Ваше согласие не может быть предполагается, поэтому тишина, предварительно отмеченные поля или бездействие не могут указывать на согласие. Вы должны прямо согласиться на любую предлагаемую обработку.
    Обработка необходима для выполнения контракта, которым вы являетесь участник, например, доставка товара.
    Обработка необходима для того, чтобы контроллер данных встретился с юридическое обязательство, такое как обязательный сбор данных для в целях борьбы с отмыванием денег или налогообложения.
    Обработка необходима для защиты ваших жизненно важных интересов или жизненно важные интересы кого-то еще, такие как доступ к медицинским записям в чрезвычайная ситуация.
    Обработка необходима для выполнения задачи, выполняемой в общественные интересы или если у контролера данных есть официальные полномочия, например, обработка данных для общественной безопасности.
    Обработка необходима в законных интересах обрабатывающая организация, если это не противоречит вашим правам

    Организации должны предоставлять вам информацию

    Вы должны получить достаточно информации простым и понятным языком, чтобы знать что организация собирается делать с вашими личными данными.Это часто можно найти в политиках конфиденциальности на веб-сайтах или в формах, которые вы можете прочитать или войти в систему человек. Например, вам должны сказать:

    • Личность и контактные данные контролера данных или его ЕС представитель
    • Контактные данные службы защиты данных организации или компании. Офицер
    • Причина предполагаемой обработки и ее правовое основание
    • Какие “законные интересы” контролера данных имеют в вашем личном данные, если они полагаются на «законный интерес» для обработки данные
    • Кто будет иметь доступ к вашим личным данным
    • Могут ли ваши личные данные быть переданы за пределы ЕС, и если да, защита данных в этой стране
    • Как долго будут храниться ваши личные данные или как этот период времени будет быть решенным
    • Требуется ли от вас по закону или по контракту предоставление ваших личных данные и последствия их непредоставления
    • Если ваши личные данные будут подлежать автоматическому принятию решений (решения принимаются компьютером без участия человека) или процессы профилирования

    Организация должна также сообщить вам о ваших правах, включая ваши право на:

    • Запросить доступ к вашим данным
    • Попросите исправить ваши данные
    • Попросить стереть ваши данные
    • Попросить ограничить ваши данные
    • Возражение против обработки ваших данных
    • Право на получение данных, хранящихся в форме, позволяющей передавать это другому человеку
    • Отозвать согласие, если согласие является основанием для хранения ваших личных данных обработано
    • Подать жалобу

    Как правило, только личные данные, необходимые для тех заявленных целей, для которых он собран, должен быть собран и обработан.Ваши личные данные должны храниться только до тех пор, пока это необходимо для той цели, для которой он был собраны.

    Во время хранения или обработки ваши личные данные должны храниться в безопасности, должны быть внедрены политики и процедуры, чтобы гарантировать, что нет несанкционированный доступ.

    Вы можете прочитать о том, как получить доступ ваши личные данные.

    Об обязательствах контроллеры и процессоры согласно GDPR.

    Особые категории данных и лимиты на переработке

    Некоторые типы конфиденциальных персональных данных подлежат дополнительному защита согласно GDPR.Они перечислены в статье 9 GDPR как «Особые категории» персональных данных. К особым категориям относятся:

    • Персональные данные, раскрывающие расовое или этническое происхождение.
    • Политические взгляды.
    • Религиозные или философские убеждения.
    • Членство в профсоюзе.
    • Генетические и биометрические данные, обрабатываемые с целью однозначно идентификация физического лица.
    • Данные о здоровье.
    • Данные о сексуальной жизни или сексуальной ориентации физического лица.

    Обработка этих специальных категорий запрещена, за исключением ограниченного обстоятельства, указанные в статье 9 GDPR.

    Некоторые типы обработки выходят за рамки GDPR, например, обработка An Garda Síochána в контексте уголовных расследований и преследований, а также обработка записей имен пассажиров для предотвращения террористической деятельности.

    Где применяется GDPR

    GDPR применяется к обработке персональных данных контролерами и переработчики в ЕС, независимо от того, происходит ли обработка в ЕС или нет.GDPR также применяется к обработке персональных данных лица в ЕС контролером или процессором, учрежденным за пределами ЕС, если эта деятельность по переработке связана с предложением товаров или услуг ЕС граждан или наблюдение за их поведением.

    Организации, не входящие в ЕС, обрабатывающие персональные данные граждан ЕС, должны назначить представителя в ЕС.

    Персональные данные детей

    Дети имеют те же права на защиту данных, что и взрослые, и могут Запросы.Однако им предоставляется особая защита в отношении их личные данные. Это потому, что они могут быть менее осведомлены о рисках и последствия передачи их личных данных. Кроме того, они могут быть менее осведомлены о доступные гарантии и их права в отношении того, как их личные информация обрабатывается.

    Родители и опекуны также могут делать запросы на доступ или выполнять упражнения. любые другие права на защиту данных от имени своих детей. Если запрос сделанные родителем или опекуном, контроллер данных должен учитывать характер и обстоятельства запроса, включая возраст, дееспособность и мнение ребенок и интересы ребенка.

    Цифровой возраст согласия

    Статья 8 GDPR предписывает странам устанавливать минимальный возраст, при достижении которого в Интернете поставщики услуг, в том числе компании, занимающиеся социальными сетями, могут полагаться на ребенка собственное согласие на обработку своих персональных данных. В Ирландии Закон о защите данных В 2018 г. установлен возраст цифрового согласия 16 лет. Это означает, что если организация полагается на согласие как на правовое основание (обоснование) для обработка личных данных ребенка и ребенок младше 16 лет, то согласие должны быть предоставлены или разрешены родителями или опекунами ребенка.

    Комиссия по защите данных

    Комиссия по защите данных (DPC) несет ответственность за соблюдение основных прав граждан в Европейский Союз, чтобы их личные данные были защищены. Он контролирует организации, чтобы убедиться, что они соответствуют GDPR и другим данным законодательство о защите. Он также может рассматривать жалобы на данные нарушения защиты.

    Дополнительная информация

    Дополнительная подробная информация о GDPR по защите данных.т.е.

    PDPC | Обзор PDPA

    Что такое личные данные?

    Персональные данные относятся к данным о человеке, которого можно идентифицировать по этим данным или по этим данным и другой информации, к которой организация имеет или может иметь доступ.

    Что такое НДПА?

    Закон о защите личных данных (PDPA) обеспечивает базовый стандарт защиты личных данных в Сингапуре. Он дополняет отраслевую законодательную и нормативную базу, такую ​​как Закон о банковской деятельности и Закон о страховании.

    Он включает в себя различные требования, регулирующие сбор, использование, раскрытие и хранение личных данных в Сингапуре.

    Он также предусматривает создание национального реестра «Не звонить» (DNC). Физические лица могут зарегистрировать свои номера телефонов в Сингапуре в реестре DNC, чтобы отказаться от получения нежелательных сообщений телемаркетинга от организаций.

    Цели НДПА

    PDPA признает как необходимость защиты личных данных физических лиц, так и потребность организаций в сборе, использовании или раскрытии личных данных в законных и разумных целях.

    Режим защиты данных необходим для защиты личных данных от неправомерного использования и поддержания доверия людей к организациям, которые управляют их данными.

    Регулируя поток личных данных между организациями, PDPA также стремится укрепить позиции Сингапура как надежного центра для бизнеса.

    Сфера действия НДПА

    PDPA распространяется на личные данные, хранящиеся в электронных и не электронных форматах.

    Обычно не применяется к:

    • Любое физическое лицо, действующее в личных или домашних условиях.
    • Любое физическое лицо, действующее в качестве сотрудника организации.
    • Любое государственное учреждение в отношении сбора, использования или раскрытия личных данных.
    • Деловая контактная информация, такая как имя, должность или должность, номер рабочего телефона, служебный адрес, рабочий адрес электронной почты, номер рабочего факса и аналогичная информация.

    Обязательства по защите данных

    Организации должны соблюдать различные обязательства по защите данных, если они предпринимают действия, связанные со сбором, использованием или раскрытием личных данных.Узнайте больше об обязательствах здесь.

    Разработка PDPA


    2013

    Создание НПКП 2 января.

    2014

    Положения о реестре DNC вступили в силу 2 января, а основные правила защиты данных – 2 июля.

    2020

    Поправки к НДПА были приняты 2 ноября.

    2021

    Поправки к НДПА вступили в силу поэтапно с 1 февраля.

    Закон

    Регламент
    Другое вспомогательное законодательство

    Стороны гражданского судопроизводства, касающегося НДПА, могут также пожелать сослаться на Регламент Суда, Приказ 105.