Содержание

Федеральный закон о персональных данных — Российская газета

Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года

Глава 1. Общие положения

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

4) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

5) использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

6) блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

7) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

8) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

9) информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

11) трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Статья 4. Законодательство Российской Федерации в области персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных.

Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

Глава 2. Принципы и условия обработки персональных данных

Статья 5. Принципы обработки персональных данных

1. Обработка персональных данных должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Статья 7. Конфиденциальность персональных данных

1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обеспечение конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Статья 8. Общедоступные источники персональных данных

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные являются общедоступными;

3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима в связи с осуществлением правосудия;

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

Статья 11. Биометрические персональные данные

1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Статья 12. Трансграничная передача персональных данных

1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных;

2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;

4) исполнения договора, стороной которого является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Глава 3. Права субъекта персональных данных

Статья 14. Право субъекта персональных данных на доступ к своим персональным данным

1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

2) способы обработки персональных данных, применяемые оператором;

3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:

1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) предоставление персональных данных нарушает конституционные права и свободы других лиц.

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

Статья 17. Право на обжалование действий или бездействия оператора

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Глава 4. Обязанности оператора

Статья 18. Обязанности оператора при сборе персональных данных

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.

2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных

1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.

3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных.

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.

Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:

1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

5. Уполномоченный орган по защите прав субъектов персональных данных обязан:

1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;

2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

3) вести реестр операторов;

4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;

5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;

7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.

6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.

8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.

9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Глава 6. Заключительные положения

Статья 25. Заключительные положения

1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.

2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.

3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

Президент
Российской Федерации
В. Путин

Персональные данные в облаке, часть 1 — «ИТ-ГРАД»

Что такое персональные данные (ПДн) и как этот термин трактуется с позиции российского законодательства? В этой статье мы уделили внимание тонкостям определений и подготовили развернутый пост-ответ, который поможет во многом разобраться.

Что такое ПДн

Почему так важно определиться с понятиями? Дело в том, что, если этого не сделать сейчас, в дальнейшем будет трудно о чем-либо договариваться. Важно понимать, что относится к персональным данным и что необходимо защищать при размещении их в облаке.

Итак, законодательство РФ понимает под персональными данными (ПДн) «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных».

Обратите внимание, что это определение довольно широкое и здесь не сказано про идентификацию конкретного лица. Хотя на портале персональных данных, официальном сайте Роскомнадзора, вопрос подобного характера уже задавался и звучал так: каков минимальный набор персональных данных, достаточный для идентификации человека? На что Роскомнадзор ответил: «Указанный минимальный перечень действующим законодательством не установлен. Более того, по результатам мониторинга законодательства, проведенного Роскомнадзором, было установлено, что 75 международных правовых актов, 13 кодексов РФ, более 100 федеральных законов и 250 актов Правительства Российской Федерации устанавливают различные перечни запрашиваемых персональных данных».

На этом также сделан акцент в научно-практическом комментарии к закону «О персональных данных». В документе поясняется, что «при буквальном трактовании рассматриваемой нормы к понятию «персональные данные» можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте».

То есть здесь нет указания на связь между информацией, прямой или косвенной определенностью или «определяемостью» физического лица. Отсюда напрашивается вывод, что на сегодняшний день отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные относятся к персональным, а в каких — нет.

Как быть, если отсутствует однозначность определений

В таком случае следует обратиться к научно-практическому комментарию Роскомнадзора, который рекомендует использовать следующий подход:

Если совокупность данных необходима и достаточна для идентификации лица, эти данные следует считать персональными, даже если они не содержат никаких документов, удостоверяющих личность. Если же без дополнительной информации установить конкретное лицо, к которому относятся персональные данные, невозможно, их нельзя считать персональными данными.

Оцените преимущества защищенного облака ФЗ-152. Воспользуйтесь готовым решением для безопасности персональных данных ваших клиентов и сотрудников.

Запросить КП

Подробнее

Для лучшего понимания ситуации рассмотрим пример:

Иванов Иван Иванович — сочетание этих трех слов не является персональными данными, ведь если мы не знаем человека и не имеем о нем дополнительных сведений, невозможно определить, что это за личность. Если же говорить об Иванове Иване Ивановиче, менеджере по развитию в группе компаний «ИТ-ГРАД» — эти данные относятся к ПДн, поскольку явно определяют сотрудника, о котором идет речь.

Зачем Роскомнадзор вводит понятие "идентификатора"

И снова обратимся к научно-практическому комментарию Роскомнадзора: здесь вводится понятие идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:

  • Номер и серия паспорта.
  • Страховой номер индивидуального лицевого счета (СНИЛС).
  • Идентификационный номер налогоплательщика (ИНН).
  • Биометрические данные.
  • Банковский счет, номер банковской карты.

Кроме того, Роскомнадзор выделяет в отдельную категорию данные, которые рассматриваются как персональные, несмотря на то что в их отношении остается некоторый аспект вероятностного совпадения. К ним относятся:

  • Фамилия, имя, отчество, дата рождения, место прописки.
  • Фамилия, имя, отчество, дата рождения, должность.
  • Фамилия, имя, отчество (возможно — фамилия и инициалы) плюс любая информация, которая однозначно выделяет среди прочих лиц для идентификации его как конкретной личности.

При этом фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения не могут в отдельности друг от друга рассматриваться как персональные данные. Хотя в этом вопросе происходят определенные трансформации: в одном из интервью Роскомнадзора говорилось, что фамилия с электронным адресом (а иногда и электронный адрес) могут рассматриваться как персональные данные, если корпоративные правила компании предусматривают формирование электронной почты в виде сочетания полного имени, фамилии сотрудника и названия компании (например, [email protected]). Такие данные с большой вероятностью позволяют определить конкретного человека. Следовательно, персональные данные считаются таковыми, когда имеются какие-либо признаки или идентификаторы, позволяющие установить конкретное лицо, к которому они относятся.

Файлы cookie и персональные данные

Также важно заметить, что за последние два года в отношении файлов cookie и следов, которые пользователь оставляет в Интернете, позиция Роскомнадзора радикально изменилась. На это стоит обратить внимание, поскольку появилась новая зона риска. Теперь, по мнению регулятора, если используются файлы cookie и они передаются аналитическим службам типа Google Analytics, Webtrends, Яндекс.Метрика, эти данные в совокупности после их обработки позволяют определить уникального пользователя сайта, сформировать сведения о его предпочтениях и поведении на сайте, что говорит об обработке персональных данных. Следовательно, необходимо получить согласие пользователя на обработку таких ПДн.

Теперь обратим внимание на то, что Google Analytics и Webtrends работают из американского облака, а США — это страна, не обеспечивающая адекватную защиту прав субъектов персональных данных, а значит, используя такие инструменты, нужно получить согласие в письменной форме или в форме электронного документа, подписанного в соответствии с законодательством.

Решение проблемы

Напрашивается единственный выход: если на сайте используются файлы cookie, необходимо предусмотреть пользовательское соглашение или баннер, который позволяет подтвердить, что пользователь, пусть даже анонимный, согласен с обработкой ПДн.

Пользователь должен поставить галочку в соответствующей форме, выражая тем самым согласие. В таком случае необходимо сделать раздел в отношении обработки следов в Интернете или сформировать отдельную политику в отношении файлов cookie. Чтобы понимать, какие данные, содержащие файлы cookie, относятся к персональным данным гражданина по мнению Роскомнадзора, приведем выписку:

  • Операционная система.
  • Часовой пояс и время браузера в 24-часовом формате.
  • Язык браузера.
  • Глубина цвета и разрешение экрана.
  • Поддерживает ли браузер и/или включен JavaScript.
  • Версия JavaScript, поддерживаемая браузером.
  • Тип соединения, используемый для передачи данных.
  • Размер окна браузера.

Новый европейский регламент GDPR

Правила, устанавливаемые относительно персональных данных на уровне закона, — не только российская тенденция. Так, 25 мая этого года вступает в силу новый европейский регламент GDPR (General Data Protection Regulation) — большой, сложный и подробный закон. И, в частности, 30 пункт преамбулы к закону обращает внимание на то, что к персональным данным относятся онлайн-идентификаторы, поскольку они ассоциируются с конкретными физическими лицами, к которым относятся адреса интернет-протоколов (IP-адреса), идентификаторы cookies и другие следы, радиочастотные метки, предпочтения по выбору сайта и так далее. В соответствии с новым европейским регламентом (как и с трактовкой российского регулятора) онлайн-идентификаторы позволяют идентифицировать конкретного интернет-пользователя. В целом же стоит признать, что однозначно определить персональные данные в полном объеме мы не можем, поскольку многие аспекты зависят от соответствующего контекста и контента.

Остались вопросы?

Проходите по ссылке на запись вебинара «Облако в соответствии с законом «О персональных данных» и следите за новыми материалами первого блога о корпоративном IaaS. В следующих статьях мы расскажем о принципах и условиях обработки ПДн с точки зрения российского законодательства, поговорим о видах согласия со стороны субъекта ПДн и уделим внимание зонам ответственности заказчика и облачного провайдера при размещении персональных данных в облаке.

Что такое персональные данные и как их защитить?

Что такое персональные данные и как их защитить?

 

В 2006 году Государственной думой Федерального Собрания Российской Федерации был принят базовый нормативный правовой акт в этой сфере — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», который чётко регламентировал все вопросы, касающиеся получения, использования, передачи и других действий с персональными данными, а также вопросы их защиты.

Законодательство Российской Федерации защищает права человека при обработке его персональных данных, в том числе право на неприкосновенность частной жизни, личную и семейную тайну. При этом в соответствии с указанным законом персональными данными является абсолютно любая информация, которая относится к определённому или определяемому (прямо или косвенно) физическому лицу. Основными персональными данными, которые встречаются в повседневной жизни, являются фамилия, имя, отчество субъекта (физического лица), дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии и т.п.

Сбор, хранение, использование и распространение такой информации допускается только в соответствии с правилами, установленными Федеральным законом «О персональных данных».

Лица, получившие доступ к персональным данным, обязаны сохранять их конфиденциальность, если не имеют согласия конкретного лица на их распространение.

В силу ст. 9 закона субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора.

Вместе с тем, обработка персональных данных допускается в случаях, которые прямо определены законом.

Например: для осуществления правосудия, в целях защиты жизни и здоровья субъекта персональных данных, при осуществлении профессиональной деятельности журналиста, научной, литературной или иной творческой деятельности.

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет административную ответственность по ст. 13.11 Кодекса Российской Федерации об административных правонарушениях.

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям указанного Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Юридическая информация компании Renault Авторусь Подольск

ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ


ПОЛОЖЕНИЕ О ПОРЯДКЕ ХРАНЕНИЯ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЕЙ САЙТА

1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Сайты – совокупность программных и аппаратных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ в сети Интернет. Под Сайтами в Соглашении понимаются Сайты, расположенные в сети Интернет по адресу: www.renault-avtoruss.ru

Пользователь – пользователь сети Интернет и, в частности, Сайта, в том числе, имеющий свою личную страницу (профиль/аккаунт).

Федеральный закон (ФЗ) – Федеральный закон от 27 июля 2006 г. № 152 ФЗ «О персональных данных».

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. 

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных – действие, направленное на раскрытие персональных данных определенному кругу лиц по предварительному согласию, в случаях, предусмотренных законом.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных.

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Положение о порядке хранения и защиты персональных данных Пользователей Сайта (далее — Положение) разработано с целью соблюдения требований законодательства РФ, содержащих персональные данные и идентификации Пользователей, находящихся на Сайте.

2.2. Положение разработано в соответствии с Конституцией РФ, Гражданским кодексом РФ, действующим законодательством РФ в области защиты персональных данных.

2.3. Положение устанавливает порядок обработки персональных данных Пользователей Сайта: действия по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению), уничтожению персональных данных.

2.4. Положение устанавливает обязательные для сотрудников Оператора, задействованных в обслуживании Сайта, общие требования и правила по работе со всеми видами носителей информации, содержащими персональные данные Пользователей Сайта.

2.5. В Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну Российской Федерации.

2.6. Целями Положения являются:

обеспечение требований защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
исключение несанкционированных действий сотрудников Оператора и любых третьих лиц по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению) персональных данных, иных форм незаконного вмешательства в информационные ресурсы и локальную вычислительную сеть Оператора, обеспечение правового и нормативного режима конфиденциальности недокументированной информации Пользователей Сайта; защита конституционных прав граждан на личную тайну, конфиденциальность сведений, составляющих персональные данные, и предотвращение возникновения возможной угрозы безопасности Пользователей Сайта.


2.7. Принципы обработки персональных данных:

  • обработка персональных данных должна осуществляться на законной и справедливой основе;
  • обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
  • при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
  • хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором, стороной которого является Пользователь;
  • обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.


2.8. Условия обработки персональных данных.

2.8.1. Обработка персональных данных Пользователей Сайта осуществляется на основании Гражданского кодекса РФ, Конституции РФ, действующего законодательства РФ в области защиты персональных данных.

2.8.2. Обработка персональных данных на Сайте осуществляется с соблюдением принципов и правил, предусмотренных Положением и законодательством РФ.

  • Обработка персональных данных допускается в следующих случаях:
  • обработка персональных данных необходима для использования Сайта, стороной которого является Пользователь;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Пользователя Сайта, если получение согласия невозможно;
  • обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Пользователей Сайта.

2.9. Цели обработки персональных данных.

2.9.1. Обработка персональных данных Пользователей Сайта осуществляется в целях предоставления Пользователю возможности взаимодействовать с Сайтом, а также с Оператором.

2.9.2. Сведениями, составляющими персональные данные на Сайте, является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

2.10. Источники получения персональных данных Пользователей.

2.10.1. Источником информации обо всех персональных данных Пользователя является непосредственно сам Пользователь.

2.10.2. Источником информации о персональных данных Пользователя являются сведения, полученные вследствие предоставления Пользователем своих персональных данных, путем заполнения сведений на Сайте.

2.10.3. Персональные данные Пользователей относятся к конфиденциальной информации ограниченного доступа.

2.10.4. Обеспечения конфиденциальности персональных данных не требуется в случае их обезличивания, а также в отношении общедоступных персональных данных.

2.10.5. Оператор не имеет права собирать и обрабатывать персональные данные Пользователя о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, частной жизни, за исключением случаев, предусмотренных действующим законодательством.

2.10.6. Оператор не имеет права получать и обрабатывать персональные данные Пользователя о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Федеральным законом.

2.11. Способы обработки персональных данных.

2.11.1. Персональные данные Пользователей Сайтов обрабатываются исключительно с использованием средств автоматизации.

2.12. Права субъектов (Пользователей) персональных данных.

2.12.1. Пользователь имеет право на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к конкретному субъекту персональных данных (Пользователю), а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона «О персональных данных».

2.12.2. Пользователь имеет право на получение от Оператора следующей информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных Оператором, а также цель такой обработки;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен Федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом или другими федеральными законами;
  • требовать изменения, уточнения, уничтожения информации о самом себе;
  • обжаловать неправомерные действия или бездействие по обработке персональных данных и требовать соответствующей компенсации в суде;
  • на дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения;
  • определять представителей для защиты своих персональных данных;
  • требовать от Оператора уведомления обо всех произведенных в них изменениях или исключениях из них.

2.12.3. Пользователь имеет право обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке действия или бездействие Оператора, если считает, что последний осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы.

2.12.4. Пользователь персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

2.13. Обязанности Оператора.

2.13.1. При получении письменного запроса субъекта персональных данных о предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных, Оператор, при наличии оснований, обязан в течение 30 дней с даты обращения либо получения запроса субъекта персональных данных или его представителя предоставить сведения в объеме, установленном Федеральным законом. Такие сведения должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

2.13.2. В случае отказа в предоставлении субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя информации о наличии персональных данных о соответствующем субъекте персональных данных Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта персональных данных или его представителя, либо с даты получения запроса субъекта персональных данных или его представителя.

2.13.3. В случае получения запроса от уполномоченного органа по защите прав субъектов персональных данных о предоставлении информации, необходимой для осуществления деятельности указанного органа, Оператор обязан сообщить такую информацию в уполномоченный орган в течение 30 дней с даты получения такого запроса.

2.13.4. В случае выявления неправомерной обработки персональных данных при обращении или по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.

2.13.5. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, последний в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных. Об устранении допущенных нарушений Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

2.13.6. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных.

2.13.7. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

2.14. Режим конфиденциальности персональных данных.

2.14.1. Оператор обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями законодательства РФ.

2.14.2. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия на это субъекта персональных данных, если иное не предусмотрено Федеральным законом.

2.14.3. В соответствии с перечнем персональных данных, обрабатываемых на сайте, персональные данные Пользователей Сайтов являются конфиденциальной информацией.

2.14.4. Лица, осуществляющие обработку персональных данных, обязаны соблюдать требования регламентирующих документов Оператора в части обеспечения конфиденциальности и безопасности персональных данных.

3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Перечень обрабатываемых персональных данных Пользователей:

  • Фамилия, имя, отчество;
  • Год, месяц, дата рождения;
  • Место регистрации/фактического проживания;
  • Пол;
  • Контактные телефоны;
  • Контактный адрес;
  • Контактный email адрес;
  • Сведения о профессиональной деятельности;
  • Модель приобретенного / обслуживаемого автомобиля;
  • Название дилерского центра, где приобретен / обслуживался / ремонтировался а/м;
  • Дата выдачи автомобиля при покупке / из сервиса;
  • Государственный номерной знак автомобиля;
  • VIN –номер автомобиля;
  • Пробег автомобиля;
  • Перечень работ, проведенных с автомобилем;
  • Перечень замененных деталей;
  • Иная любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу.

3.2. Лица, имеющие право доступа к персональным данным.

3.2.1. Правом доступа к персональным данным субъектов обладают лица, наделенные соответствующими полномочиями в соответствии со своими служебными обязанностями.

3.2.2. Перечень лиц, имеющих доступ к персональным данным, утверждается генеральным директором Оператора.

3.3. Порядок и сроки хранения персональных данных на Сайте.

3.3.1. Оператор осуществляет хранение персональных данных Пользователей на Сайте.

3.3.2. Сроки хранения персональных данных Пользователей на Сайте устанавливаются с момента принятия (акцепта) Пользователем Согласия на обработку данных на Сайте и действуют до тех пор, пока Пользователь не заявит о своем желании удалить свои персональные данные с Сайта.

3.3.3. В случае удаления данных с Сайта по инициативе одной из сторон, а именно прекращения использования Сайтов, персональные данные Пользователя хранятся в базах данных Оператора пять лет в соответствии с законодательством РФ.

3.3.4. По истечении вышеуказанного срока хранения персональных данных Пользователя персональные данные Пользователя удаляются автоматически заданным алгоритмом, который задает Оператор.

3.3.5. Оператором не ведется обработка персональных данных Пользователей на бумажных носителях информации.

3.4. Блокирование персональных данных.

3.4.1. Под блокированием персональных данных понимается временное прекращение Оператором операций по их обработке по требованию Пользователя при выявлении им недостоверности обрабатываемых сведений или неправомерных, по мнению субъекта персональных данных, действий в отношении его данных.

3.4.2. Оператор может передавать персональные данные организациям/агентствам, с которыми сотрудничает Общество и поручать им обработку персональных данных. Персональные данные Пользователей Сайтов могут обрабатывать как сотрудники Оператора (администраторы баз данных и т. д.), так и сотрудники организаций/агентств, сотрудничающих с Обществом, допущенные установленным порядком к обработке персональных данных Пользователей.

3.4.3. Блокирование персональных данных на Сайте осуществляется на основании письменного заявления от субъекта персональных данных.

3.5. Уничтожение персональных данных.

3.5.1. Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных на Сайте и/или в результате которых уничтожаются материальные носители персональных данных.

3.5.2. Субъект персональных данных вправе в письменной форме требовать уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

3.5.3. В случае отсутствия возможности уничтожения персональных данных Оператор осуществляет блокирование таких персональных данных.

Уничтожение персональных данных осуществляется путем стирания информации с использованием сертифицированного программного обеспечения с гарантированным уничтожением (в соответствии с заданными характеристиками для установленного программного обеспечения с гарантированным уничтожением). Система защиты персональных данных должна соответствовать требованиям постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

4. СИСТЕМА ЗАЩИТЫ

4.4.1. Система защиты персональных данных должна обеспечивать:

  • своевременное обнаружение и предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
  • недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
  • возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • постоянный контроль за обеспечением уровня защищенности персональных данных.

4.4.2. Средства защиты информации, применяемые в информационных системах, должны в установленном порядке проходить процедуру оценки соответствия.

4.5. Методы и способы защиты информации в информационных системах персональных данных.

4.5.1. Методы и способы защиты информации в информационных системах персональных данных Оператора должны соответствовать требованиям:

  • приказа ФСТЭК РФ от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • приказа ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (в случае определения Оператором необходимости использования средств криптографической защиты информации для обеспечения безопасности персональных данных).

4.5.2. Основными методами и способами защиты информации в информационных системах персональных данных Пользователей являются методы и способы защиты информации от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий (далее – методы и способы защиты информации от НСД).

4.5.3. Выбор и реализация методов и способов защиты информации на Сайтах осуществляется в соответствии с рекомендациями регуляторов в области защиты информации – ФСТЭК России и ФСБ России, с учетом определяемых Оператором угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы.

4.5.4. Выбранные и реализованные методы и способы защиты информации на Сайтах должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке.

4.6. Меры защиты информации, составляющей персональные данные.

4.6.1. Меры по охране баз данных, содержащих персональные данные, принимаемые Оператором, должны включать в себя:

определение перечня информации, составляющей персональные данные;
ограничение доступа к информации, содержащей персональные данные, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка.
4.6.2. Меры по охране конфиденциальности информации признаются разумно достаточными, если:

  • исключается доступ к персональным данным любых третьих лиц без согласия Оператора;
  • обеспечивается возможность использования информации, содержащей персональные данные, без нарушения законодательства о персональных данных;
  • при работе с Пользователем устанавливается такой порядок действий Оператора, при котором обеспечивается сохранность сведений, содержащих персональные данные Пользователя.

4.6.3. Персональные данные не могут быть использованы в целях, противоречащих требованиям Федерального закона, защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

4.7. Ответственность.

4.7.1. Все сотрудники Оператора, осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные, в соответствии с Положением, требованиями законодательства РФ.

4.7.2. Лица, виновные в нарушении требований Положения, несут предусмотренную законодательством РФ ответственность.

4.7.3. Ответственность за соблюдение режима персональных данных по отношению к персональным данным, находящимся в базах данных Сайта, несут ответственные за обработку персональных данных.

ООО «АВТОРУСЬ М»   

Юридический адрес: 142111 г. Подольск, Московская область, город Подольск, проспект Юных Ленинцев, дом 1И, помещение 2.1
ИНН/КПП 5036094001/503601001
ОГРН 1125074006551

Тел./факс: +7 (495) 276-87-77

Политика обработки персональных данных

Политика в отношении обработки персональных данных

Юридический и фактический адрес ООО «Медицинский центр «Медснаб»:

650000, Кемеровская область, город Кемерово, улица 50 лет Октября, дом  25, пом 3.

1. Назначение и область действия документа

1.1. «Политика ООО «Медицинский центр «Медснаб» (далее по тексту также — Общество) в отношении обработки персональных данных (далее – Политика)» определяет позицию и намерения Общества в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

1.2. Политика неукоснительно исполняется руководителями и работниками всех структурных подразделений  ООО «Медицинский центр «Медснаб».

1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Обществе с применением средств автоматизации и без применения таких средств.

1.4. К настоящей Политике имеет доступ любой субъект персональных данных.

2. Определения

2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (гражданину). Т.е. к такой информации, в частности, можно отнести: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, сведения о состоянии здоровья, а также другую информацию.

2.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данным, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) можно отнести: сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3. Субъекты персональных данных

ООО «Медицинский центр «Медснаб» обрабатывает персональные данные следующих лиц:

  • работников ООО «Медицинский центр «Медснаб»;
  • субъектов, с которыми заключены договоры гражданско-правового характера;
  • кандидатов на замещение вакантных должностей ООО «Медицинский центр «Медснаб»;
  • клиентов  ООО «Медицинский центр «Медснаб»;
  • зарегистрированных пользователей сайта ООО «Медицинский центр «Медснаб»;
  • представителей юридических лиц;
  • поставщиков (индивидуальных предпринимателей).

4. Принципы и условия обработки персональных данных

4.1. Под безопасностью персональных данных ООО «Медицинский центр «Медснаб»  понимает защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных и принимает необходимые правовые, организационные и технические меры для защиты персональных данных.

4.2. Обработка и обеспечение безопасности персональных данных в ООО «Медицинский центр «Медснаб» осуществляется в соответствии с требованиями Конституции Российской Федерации, Федерального закона № 152-ФЗ «О персональных данных», подзаконных актов, других определяющих случаи и особенности обработки персональных данных федеральных законов Российской Федерации, руководящих и методических документов ФСТЭК России и ФСБ России.

4.3. При обработке персональных данных ООО «Медицинский центр «Медснаб» придерживается следующих принципов:

  • законности и справедливой основы;
  • ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
  • недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
  • недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработки персональных данных, которые отвечают целям их обработки;
  • соответствия содержания.

4.4. Общество обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

4.5. ООО «Медицинский центр «Медснаб» вправе поручить обработку персональных данных граждан третьим лицам, на основании заключаемого с этими лицами договора.

Лица, осуществляющие обработку персональных данных по поручению ООО «Медицинский центр «Медснаб», обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных». Для каждого лица определены перечень действий (операций) с персональными данными, которые будут совершаться юридическим лицом, осуществляющим обработку персональных данных, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.

4.6. В случаях, установленных законодательством Российской Федерации, ООО «Медицинский центр «Медснаб»  вправе осуществлять передачу персональных данных граждан.

4.7. В целях информационного обеспечения в Обществе могут создаваться общедоступные источники персональных данных работников, в том числе справочники и адресные книги. В общедоступные источники персональных данных с согласия работника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты. Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника либо по решению суда или иных уполномоченных государственных органов.

4.8. Общество уничтожает либо обезличивает персональные данные по достижении целей обработки или в случае утраты необходимости достижения цели обработки.

5. Права субъекта персоналбных данных

Гражданин, персональные данные которого обрабатываются ООО «Медицинский центр «Медснаб», имеет право:

1) получать от ООО «Медицинский центр «Медснаб»:

  • подтверждение факта обработки персональных данных ООО «Медицинский центр «Медснаб»;
  • правовые основания и цели обработки персональных данных;
  • сведения о применяемых ООО «Медицинский центр «Медснаб»  способах обработки персональных данных;
  • наименование и местонахождения ООО «Медицинский центр «Медснаб»;
  • сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ООО «Медицинский центр «Медснаб»  или на основании федерального закона;
  • перечень обрабатываемых персональных данных, относящихся к гражданину, от которого поступил запрос и источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
  • сведения о сроках обработки персональных данных, в том числе о сроках их хранения;
  • сведения о порядке осуществления гражданином прав, предусмотренных Федеральным законом «О персональных данных» № 152-ФЗ;
  • информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
  • наименование и адрес лица, осуществляющего обработку персональных данных по поручению  ООО «Медицинский центр «Медснаб»;
  • иные сведения, предусмотренные Федеральным законом «О персональных данных» № 152-ФЗ или другими федеральными законами;

2) требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

3) отозвать свое согласие на обработку персональных данных;

4) требовать устранения неправомерных действий  ООО «Медицинский центр «Медснаб»  в отношении его персональных данных;

5) обжаловать действия или бездействие ООО «Медицинский центр «Медснаб»  в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если гражданин считает, что  ООО «Медицинский центр «Медснаб»  осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы;

6) на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

6. Ответственость

В случае неисполнения положений настоящей Политики  ООО «Медицинский центр «Медснаб»  несет ответственность в соответствии действующим законодательством Российской Федерации.

 

ОБРАЩАЕМ ВАШЕ ВНИМАНИЕ!

Получить разъяснения по интересующим Вас вопросам обработки Ваших персональных данных, обратившись лично в ООО «Медицинский центр «Медснаб»  либо направив официальный запрос по Почте России по адресу: 650000, Кемеровская область, город Кемерово, улица 50 лет Октября, дом  25, пом 3.

В случае направления официального запроса в ООО «Медицинский центр «Медснаб»  в тексте запроса необходимо указать:

  • ФИО;
  • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие Ваше участие в отношениях с ООО «Медицинский центр «Медснаб»   либо сведения, иным способом подтверждающие факт обработки персональных данных ООО «Медицинский центр «Медснаб»;
  • подпись гражданина (или его законного представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

На сайте www.mcmedsnab.ru публикуется актуальная версия «Политики «ООО «Медицинский центр «Медснаб»   в отношении обработки персональных данных».

 

Сведения о реализуемых требованиях к защите персональных данных

ООО «Медицинский центр «Медснаб» при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

К таким мерам в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» относятся:

  • определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
  • учет машинных носителей персональных данных;
  • размещение технических средств обработки персональных данных в пределах охраняемой территории;
  • поддержание технических средств охраны, сигнализации в постоянной готовности;
  • проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных.
  • В целях координации действий по обеспечению безопасности персональных данных в ООО «Медицинский центр «Медснаб»  назначены лица, ответственные за обеспечение безопасности персональных данных.

 

Информация о защите персональных данных пациента

ИНФОРМАЦИЯ

о защите персональных данных пациента в ООО «МЕДИС»


1. К персональным данным относятся любые сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Персональные данные пациента всегда являются конфиденциальной, охраняемой информацией.

2. Под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, накопление, хранение, уточнение, обновление, изменение, использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.


3. Конфиденциальная информация - это документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации:

  • Конституция РФ;
  • Федеральный закон от 21.11.2011г. № 323-ФЗ «Об основах охраны здоровья граждан Российской Федерации»;
  • Федеральный Закон «О персональных данных» No152-ФЗ от 27.07.2006 г;
  • Федеральный Закон от 27.07.2006 г. No149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • другие действующие нормативно-правовые акты РФ.

4. Основные понятия:

Информация ограниченного доступа в структурных подразделениях – это профессиональная (медицинская) тайна и конфиденциальные персональные данные пациентов.

Режим конфиденциальности - принятие правовых, организационных и технических мер,

направленных на исключение и ограничение свободного доступа к информации не уполномоченных лиц.

Медицинская тайна - это информация о состоянии здоровья пациента, полученная при его обращении за медицинской помощью, в процессе обследования и лечения, в отношении которой введен режим конфиденциальности.

Персональные данные пациента - это любая информация о пациенте и членах его семьи, полученная при обращении за медицинской помощью, обследовании и лечении.

Неуполномоченное лицо - лицо, не имеющее допуска к информации.

Допуск к информации - это разрешение на ознакомление и использование информации, составляющей медицинскую тайну и персональные данные пациента.

Доступ к информации - это возможность ознакомления и использования информации, составляющей медицинскую тайну и персональные данные пациента.

Обладатель информации ограниченного доступа (оператор) – структурные подразделения Медицинских центров ООО «МЕДИС» или иное лицо, которому принадлежит или которого касается данная информация.

Субъект персональных данных - пациент в отношении своих персональных данных.

Общедоступные персональные данные - персональные данные, к которым пациентом предоставлен доступ неограниченного круга лиц или на которые, в соответствии с законом, не распространяется требование о сохранении конфиденциальности.


5. В целях обеспечения прав и свобод человека и гражданина, оператор при обработке персональных данных пациента обязан соблюдать следующие требования:

  • обработка персональных данных пациента может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, приказов Министерств здравоохранения РФ и Нижегородской области, договоров, заключенных между оператором и Территориальным фондом ОМС, другим оператором;
  • при определении объема и содержания обрабатываемых персональных данных пациента, оператор должен руководствоваться п.1.3 настоящего Положения;
  • перед обработкой и передачей персональных данных пациента оператор должен получить на это действие письменное согласие пациента (его законного представителя), за исключением случаев, предусмотренных действующим законодательством;
  • оператор не имеет права получать и обрабатывать персональные данные пациента о его политических, религиозных и иных убеждениях, частной жизни, за исключением случаев, предусмотренных действующим законодательством;

6. В соответствии с законодательством медицинскую тайну составляют сведения:

  • о факте обращения пациента за медицинской помощью
  • о состоянии здоровья пациента
  • о диагнозе заболевания пациента
  • др. сведения, полученные при обследовании и лечении пациента.

7. Под персональными данными пациентов понимается информация, необходимая оператору в связи с исполнением им деятельности при проведении лечебно-профилактических, оздоровительных мероприятий и касающаяся конкретного пациента, а также сведения о фактах, событиях и обстоятельствах жизни пациента, позволяющие идентифицировать его личность.


8. Состав персональных данных пациента:

  • фамилия, имя отчество
  • число, месяц, год и место рождения
  • адрес, домашний телефон
  • сведения о составе семьи, фамилии, имена, отчества, даты рождения, адрес места прописки и проживания, телефоны, социальное положение, место работы, занимаемая должность родителей, иных законных представителей,
  • свидетельство о рождении
  • паспортные данные
  • реквизиты полиса ОМС
  • страховой номер Индивидуального лицевого счета в пенсионном фонде России (СНИЛС)
  • справка МСЭ
  • наименование посещаемого образовательного учреждения (МДОУ, школы, ПУ, ССУЗ, ВУЗ),
  • в том числе номер группы, класса, курса
  • место работы, занимаемая должность
  • данные о состоянии здоровья, заболеваниях
  • данные о проведенных профилактических мероприятиях
  • иные сведения, относящиеся к персональным данным пациента

9. Лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев обезличивания персональных данных и за исключением общедоступных персональных данных.

10. В целях установления режима конфиденциальности сведений, составляющих медицинскую тайну и персональные данные пациентов в структурных подразделениях ООО «МЕДИС», руководство мед. центра принимает следующие меры:

  • осуществляет разработку локальных нормативных актов и инструкций по обеспечению защиты информации, ограниченного доступа и регламентации конфиденциального делопроизводства;
  • обеспечивает ограничение доступа к сведениям, составляющим медицинскую тайну и персональные данные;
  • принимает необходимые технические меры, направленные на ограничение доступа посторонних лиц к сведениям, составляющим медицинскую тайну и персональные данные;
  • организует работу персонала с информацией ограниченного доступа, в том числе с материальными носителями такой информации.

11. К лицам, обязанным обеспечивать конфиденциальность сведений, составляющих медицинскую тайну и персональные данные пациентов, относятся:

  • медицинский персонал структурных подразделений ООО «МЕДИС», включая врачей, средний медицинский персонал;
  • иные лица, получившие доступ к сведениям, составляющим медицинскую тайну и персональные данные пациентов, при осуществлении своей трудовой функции.

12. Допуск к информации ограниченного доступа включает в себя:

  • ознакомление работника с законодательством о защите медицинской тайны и персональных данных, об ответственности за его нарушение и с локальными нормативными актами о защите информации ограниченного доступа в структурных подразделениях ООО «МЕДИС»,
  • принятие работником на себя обязанности по обеспечению конфиденциальности информации, полученной при осуществлении своей трудовой функции в структурных подразделениях ООО «МЕДИС», а также после прекращения трудовых отношений на период действия режима конфиденциальности данных сведений.

13. Обработка персональных данных может осуществляться с согласия субъекта персональных данных, выраженного в письменном виде, за исключением обработки персональных данных, осуществляемой:

  • в целях исполнения договора об оказании платных медицинских услуг, стороной которого является пациент;
  • в статистических или иных целях в отношении обезличенных персональных данных пациента;
  • в иных случаях, установленных федеральным законом.

14. Предоставление сведений, составляющих медицинскую тайну, без согласия пациента или его законного представителя иным лицам допускается:

  • в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;
  • при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
  • по запросу органов дознания и следствия и суда в связи с проведением расследования или судебным разбирательством;
  • в случае оказания помощи несовершеннолетнему для информирования его родителей
  • или законных представителей;
  • при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий.
  • двери помещения после окончания рабочего дня запираются.
  • в течение рабочего дня не допускается оставлять помещение открытым.
  • все медицинские документы должны храниться в шкафах, оборудованных замками в закрытых помещениях.

15. Использование сведений, составляющих медицинскую тайну или персональные данные пациентов, в структурных подразделениях ООО «МЕДИС» допускается только в

16. В целях обеспечения защиты персональных данных, хранящихся у оператора, пациенты имеют право на:


  • полную информацию об их персональных данных и обработке этих данных;
  • доступ к своим персональным данным, определенный Конституцией РФ, другими нормативными актами;
  • отказ от обработки персональных данных, оформленный и предоставленный оператору надлежащим образом;
  • обжалование в суд любых неправомерных действий или бездействия оператора при обработке и защите персональных данных пациента.

для тех, кому нужно быстро разобраться

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

Биометрические персональные данные

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.

Иные персональные данные

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

  1. Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
  2. Иные данные — это просто дополнительная информация, они часто могут меняться.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

  1. Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
  2. Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Кратко: Кто является оператором персональных данных? Тот, кто собирает ПДн, хранит их у себя на серверах, анализирует, изменяет и передает.

Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

  1. Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
  2. Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
  3. Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
  4. В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе Mail.ru Cloud Solutions вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты MCS, что позволит быстрее пройти необходимые процедуры.

Что такое личная информация? | Офис Комиссара по информации Квинсленда

Раздел 12 Закона о конфиденциальности информации 2009 г.

Личная информация

Личная информация - это информация или мнение, включая информацию или мнение, составляющие часть базы данных, независимо от того, являются ли они правдой или нет, и записаны ли они в материальной форме или нет, о лицо, личность которого очевидна или может быть обоснованно установлена ​​на основании информации или мнения.

Понятие личной информации занимает центральное место в Законе о конфиденциальности информации 2009 г. (Qld) ( Закон об интеллектуальной собственности ).Целями Закона об интеллектуальной собственности являются:

  • справедливый сбор и обработка личной информации в среде государственного сектора.
  • предоставить законное право физическим лицам на доступ и изменение их личной информации, хранимой организациями в среде государственного сектора. 1

Личная информация определяется в разделе 12 Закона об интеллектуальной собственности и используется как в Законе об интеллектуальной собственности, так и в Законе о праве на информацию 2009 г. (Qld) ( Закон о праве на информацию, закон ).

В соответствии с Законом об интеллектуальной собственности:

  • личная информация, находящаяся в распоряжении государственных учреждений Квинсленда 2 , защищена принципами конфиденциальности, указанными в приложениях три и четыре Закона об интеллектуальной собственности
  • , на которые накладываются ограничения при отправке личной информации из Австралии
  • физические лица могут подать заявку на доступ к своей личной информации без уплаты пошлины
  • физические лица могут подать заявку на изменение своей личной информации, если они считают ее неточной, неполной, устаревшей или вводящей в заблуждение, без необходимости платить платеж.

В соответствии с Законом о праве на информацию:

  • физические лица могут подавать заявки на доступ к информации, включая личную информацию других людей, но с уплатой комиссии. противоречить общественным интересам
  • попытки ввести в заблуждение или обман человека с целью получения доступа к чьей-либо личной информации
  • являются правонарушением.
  • Агентствам не разрешается публиковать личную информацию заявителя в своих журналах раскрытия информации.

Что такое личная информация?

Личной информацией может быть практически любая информация, связанная с идентифицируемым живым человеком. Он может включать переписку, аудиозаписи, изображения, буквенно-цифровые идентификаторы и их комбинации. 3

Для того, чтобы информация была личной информацией, должны быть выполнены два критерия. 4

  • Это должно быть около человека.
  • Личность человека должна быть обоснованно установлена ​​на основе информации или мнения.

Информация не обязательно должна быть правдивой, чтобы быть личной информацией, и ее не нужно записывать или записывать в другой материальной форме, такой как фотография или аудиозапись. На нем можно говорить или общаться по-другому, например, с помощью языка жестов.

Когда будет информация о человеке?

Если информация не является однозначной о человеке, например, имя, дата рождения и т. Д., Необходимо будет рассмотреть контекст, в котором появляется эта информация.Ключевой вопрос, который следует задать, заключается в том, принимая во внимание все обстоятельства, при которых появляется информация, существует ли достаточная связь между фактом или мнением и человеком, чтобы раскрыть что-то об этом человеке?

Очевидно, что некоторая информация будет касаться человека: медицинские записи, финансовые записи, банковские реквизиты или зарплата. Что касается другой информации, связь между человеком и информацией не будет столь очевидной. Даже если кажется, что информация о чем-то другом, а не о человеке - например, об автомобиле или участке земли, - все равно может относиться к человеку.Например, информация о том, что с учетом ставок за конкретную собственность не выплачивалась в течение года, касается земли, но она также раскрывает факт о владельце, что они не оплатили счет по ставкам, который они должны местному совету. 5

Контрольный список «Что такое личная информация» OIC поможет определить, относится ли информация к физическому лицу.

В Региональный совет Томкинса и Рокхэмптона 6 помощник комиссара по информации рассмотрел, были ли «выстроенные» фотографии собак и записи интервью с человеком, на которого напали определенные собаки, касались конкретного владельца собаки.Записи были посвящены рассказу потерпевшей о нападении и ее рассмотрению фотографий собаки, «выстроенной в очередь». На фотографиях, относящихся к владельцу собаки, не было никакой информации, только номера, написанные от руки.

Комиссар решил, что ни записи, ни фотографии не относились к владельцу собаки: не было выявлено фактов или мнения о владельце собаки, а также отсутствовала достаточная связь или связь между информацией в записи или фотографиях и владельцем собаки. 7

Когда личность человека станет очевидной или обоснованно установленной?

Личность человека будет очевидна там, где ее можно будет определить из самой информации, без ссылки на какую-либо другую информацию.Например:

  • , где информация включает имя человека
  • , где информация включает фотографию человека, где его можно четко увидеть на фотографии; или
  • , где информация настолько уникальна, что не может быть никем другим, например, если в информации говорится о «женщине, которая носит корону и была королевой Англии в 2008 году».

«Разумно устанавливаемая» позволяет сравнивать информацию или делать перекрестные ссылки с другой информацией для идентификации личности.Насколько далеко могут зайти перекрестные ссылки, и насколько они будут разумными, будет зависеть от ряда факторов, таких как:

  • Насколько доступна другая информация?
  • Насколько сложно получить?
  • Сколько шагов требуется, чтобы идентифицировать человека?
  • Насколько надежна будет идентификация? Будет ли он идентифицировать одного конкретного человека или группу людей?
  • Может ли лицо, получающее информацию, использовать ее для идентификации личности? Например, если информация представляет собой отпечаток пальца, средний человек не будет иметь доступа к базе данных, которая позволит ему сопоставить ее с человеком, в то время как полицейский может иметь доступ к такой базе данных.

Примеры личной информации

Определение личной информации очень широкое и охватывает большой объем информации. Примеры личной информации:

  • имя человека, адрес, номер телефона или адрес электронной почты
  • фотография человека
  • видеозапись человека, будь то CCTV или иное, например, запись событий в в классе, на вокзале или на семейном барбекю
  • зарплата человека, банковский счет или финансовые данные
  • заявления о правонарушениях против человека или подробности правонарушений или правонарушений, которые они могли совершить
  • подробные сведения о собственности человека на землю или споры, связанные с землей. встречи
  • медицинские данные или информация о здоровье человека
  • отпечатки пальцев человека или группа крови
  • сведения о религиозной или религиозной принадлежности человека сексуальные предпочтения
  • сведения о членстве человека в профсоюзе или профессиональной организации.

Личная информация включает в себя некоторую информацию, которую люди обычно не считают частной. Например:

  • рабочий адрес электронной почты или номер телефона
  • мнения, данные в рамках работы человека
  • факт, что человек является автором отчета
  • имя человека, фигурирующее в рабочих документах
  • письменное письмо в официальном качестве человека, например, письмо президента клуба.

Однако это не обязательно означает, что обычная личная рабочая информация государственных служащих не подходит для разглашения.Дополнительную информацию по этому вопросу см. В Руководстве: информация о повседневной личной работе государственных служащих.

Дополнительная литература

Веб-сайт Офиса Уполномоченного по информации содержит руководящие принципы Закона об интеллектуальной собственности.

Что такое личная информация? Определение и примеры личной информации.

Личная информация имеет как хорошие, так и плохие стороны для компаний. Все компании записывают личную информацию своих клиентов (имена, дебетовые / кредитные карты, ssn и т. Д.).) для их идентификации и выполнения определенных бизнес-операций. Эти бизнес-операции могут варьироваться от расчета заработной платы до выполнения заказов и даже рекламы. Это значительно ускоряет и упрощает работу пользователей и бизнес-операций.

Однако, когда PI (личная информация) клиента не защищена должным образом и попадает в чужие руки, это может привести к катастрофе как для клиента, так и для компании. Информация может быть использована для кражи личных данных, мошенничества, программ-вымогателей и т. Д. Чтобы предотвратить это, требуется знание PI (Персональная информация) и PPI (Защита личной информации).

Что такое личная информация?

Ответ на вопрос «что такое личная информация?» можно просто ответить как «информация, которая может быть использована для идентификации человека». Вся эта информация определена в Законе о конфиденциальности 1988 года как информация, связанная с людьми, группами и корпорациями.

Когда что-то считается личным, это означает, что оно должно позволять идентифицировать только одного человека. В некоторых случаях информация может иметь более одного предмета, то есть часть информации может относиться к отдельному человеку, а другая - целиком, например, к автомобилю, земле и т. Д.Итак, что считается личной информацией? Чтобы информация считалась «личной», она должна удовлетворять двум критериям, а именно:

  1. Информация должна относиться к одному человеку.
  2. Личность рассматриваемого лица должна быть установлена ​​на основе информации.

В дополнение к нашему определению личной информации, чтобы информация считалась личной, она не обязательно должна быть истинной . Правдивость информации не делает ее менее личной.Не только это, но и личная информация не обязательно должна быть записана или записана, как видео, аудиозаписи или фотографии. Вместо этого его также можно передать в других формах, например, на языке жестов.

Кроме того, информация об умершем человеке больше не может считаться личной информацией. Закон о конфиденциальности определяет личную информацию как информацию о живом организме, а не о мертвом человеке. При этом, если информация о мертвом человеке включает информацию о живом человеке, такая информация все равно может рассматриваться как личная информация.

Согласно GDPR, личной информацией являются не только религиозные убеждения и информация о здоровье, но и сведения о судимости.

В большинстве случаев для доступа к PPI (защищенной личной информации), такой как дата рождения человека, домашний адрес, контактная информация и т. Д., Он должен использоваться только для официальных целей (и только после вашего согласия), поскольку не все должны быть возможность получить к ним доступ.

ТОП-10 проблем безопасности и соответствия для SharePoint.

Какие типы личной информации?

В соответствии с законом о конфиденциальности существует несколько категорий личной информации, с которой нельзя обращаться небрежно.Ниже приведены типы личной информации, включенной в закон:

  1. Личная информация
  2. Конфиденциальная личная информация
  3. Медицинская информация
  4. Налоговая информация
  5. Информация о сотрудниках
  6. Информация о кредитной карте

Личная личная информация

Личная информация это просто информация, связанная с жизнью человека или группы. Они включают данные, факты и другие материалы с ограниченным доступом, которые определяют личность и поведение человека.Это может или не может быть связано напрямую с человеком, но имеет значение для его личности. Примеры частной информации:

  • Ваш телефонный пароль
  • PIN-код вашего банка Банкомат
  • Выбор для голосования и т. Д.

Конфиденциальная личная информация

Как следует из названия, конфиденциальная личная информация является разновидностью личной информации это включает в себя глубокую и деликатную информацию о ком-то. Неудивительно, что уровень защиты конфиденциальности конфиденциальных данных выше, чем у других типов личной информации.Примеры конфиденциальной личной информации о человеке могут включать:

  • Расовое происхождение
  • Политическая принадлежность
  • Сведения о судимости человека
  • Сексуальные предпочтения или ориентация
  • Религиозные взгляды или обычаи
  • Генетическая информация
  • Информация о здоровье
  • Биометрическая информация такие как ваши отпечатки пальцев, электронная подпись и т. д.

Разберитесь в управлении SharePoint и улучшите аспекты управления безопасностью вашего сайта.

Личная информация о здоровье

Информация о здоровье может рассматриваться как другой тип личной информации, которая содержит такую ​​информацию о здоровье, как индивидуальные нарушения здоровья, аллергии, травмы и многое другое. Информация о здоровье также может рассматриваться как конфиденциальная личная информация.

Примеры медицинской информации включают:

  1. Все типы результатов анализов
  2. Все типы медицинских отчетов
  3. Медицинский анамнез
  4. Любые формы рецептов
  5. Информация о индивидуальном выборе донорства органов
  6. Стоматологические записи
  7. Информация о генетике человека
  8. Информация об аллергии и т. д.

Налоговая личная информация

Для каждого налогоплательщика бывают случаи, когда у нас практически нет выбора, кроме как разглашать свою финансовую «жизнь» или деятельность. Налоговая информация может считаться личной информацией и должна разглашаться только по требованию соответствующего агентства, действующего от вашего имени и в ваших интересах. Примеры налоговой информации включают налоговые декларации, финансовые отчеты, платежные ведомости, претензии и т. Д.

Личная информация кредитной карты

Кредитные карты обычно выдают своим клиентам финансовые учреждения, такие как банки, для проведения операций.Это связано с тем, что некоторые деловые сделки не требуют, чтобы клиенты платили наличными за оказанные услуги, вместо этого они должны платить с помощью своей кредитной карты. Обычно это наблюдается при онлайн-покупках, где большинство продавцов предпочитают кредитные карты.

После этого информация о вашей кредитной карте также является личной информацией, поскольку информация на ней позволяет идентифицировать живущих человек. Следовательно, вся информация о кредитной карте должна храниться в безопасности.

В дополнение к этому, физическое лицо также должно ознакомиться с политикой конфиденциальности своего эмитента карты, чтобы узнать, как лучше всего отказаться от любого потенциального обмена данными.

Примеры информации на этих кредитных картах, которая может использоваться для идентификации человека, включают:

  1. Индивидуальное местоположение или адрес.
  2. Номер телефона или другие каналы связи.
  3. Биометрическая информация, такая как отпечатки пальцев, электронные подписи и т. Д.

На протяжении многих лет имели место различные случаи мошенничества и кражи личных данных в результате утечки информации о кредитных картах.

Найдите личную информацию и надежно защитите ее от несанкционированного доступа.

Личная информация сотрудников

Для каждого коммерческого предприятия, независимо от размера и многолетнего опыта, информация их сотрудников должна оставаться защищенной. Таким образом, эта информация не должна разглашаться или передаваться третьим лицам. Закон о конфиденциальности прямо требует, чтобы информация, которая может быть идентифицирована для каждого из ваших сотрудников, должна обрабатываться с осторожностью. Примеры такой информации:

  1. Контактная информация вашего сотрудника.
  2. Информация об их здоровье
  3. Их сексуальные предпочтения
  4. Религиозные взгляды
  5. Их политическая принадлежность
  6. Дата рождения

Утечка такой информации может повлечь за собой штраф или другие более серьезные наказания, предусмотренные Законом о конфиденциальности 1988 года.

Защита личной информации

Защита личной информации - очень простая задача, но временами может быть сложной задачей. Вот почему важно прилагать усилия для защиты личной информации:

  1. Чтобы предотвратить кражу личных данных. В случае утечки личной информации личность может быть украдена (т. Е. Кто-то может начать выдавать себя за вас в Интернете)
  2. Для защиты вашей финансовой информации . Когда ваша налоговая / финансовая информация попадает в чужие руки, особенно к киберпреступникам, они могут осуществить несанкционированное снятие средств или переводы с вашего банковского счета
  3. Чтобы защитить ваш статус работы .Большинство компаний действительно проводят отбор своих новых или существующих сотрудников. Следовательно, если у вас есть компрометирующая информация о вас, просочившаяся в сеть и противоречащая политике или требованиям компании, вы можете потерять работу в этом процессе.
  4. Помогает поддерживать вашу деловую репутацию . Что идет рука об руку с вышеуказанным пунктом

Как вы можете защитить свою личную информацию?

  • Всегда ищите имитаторов .Будьте осторожны с тем, кому и где вы отправляете свою личную информацию на номер
  • . Используйте шифрование для своих конфиденциальных данных . Это дополнительно защитит вашу информацию. Даже если вы потеряете свой компьютер или мобильный телефон, если информация зашифрована, высока вероятность того, что она не будет доступна третьим лицам.
  • Сохраните свой номер социального страхования. Задавайте правильные вопросы по запросу, чтобы определить, следует ли вам поделиться ими или нет.
  • Установите антивирус / брандмауэр на свою компьютерную систему, чтобы обуздать кибератаки
  • Будьте бдительны, , в отношении типа писем и веб-сайтов, к которым вы обращаетесь
  • И, что наиболее важно, прочтите политику конфиденциальности веб-сайта, прежде чем соглашаться с что угодно

Заключение

Без сомнения, вашу личную информацию вполне можно назвать «вашим существованием».Совершенно верно, потому что он включает в себя все, что касается вас. Учитывая этот факт, необходимость хранить вашу личную информацию в безопасности почти равносильна сохранению здоровья.

То же самое и с компаниями. Компании, которые не могут обеспечить целостность конфиденциальной личной информации своих клиентов, понесут убытки, если информация будет скомпрометирована, утекла или злонамеренно изменена.

Безопасность неструктурированных данных - главный приоритет для защиты SharePoint.

Личная информация, личная информация, личная информация… В чем разница?

Когда фанаты конфиденциальности говорят «конфиденциальность», они нередко используют определенные термины взаимозаменяемо - личные данные, личная информация, личная информация, личная информация, индивидуально идентифицируемая информация, защищенная медицинская информация или индивидуально идентифицируемая медицинская информация. Они могут даже говорить аббревиатурами - PI, PII, PHI, NPI и т. Д.Размытие этих различий может быть приемлемым для случайного разговора, но по мере того, как организации разрабатывают программы обеспечения конфиденциальности и безопасности данных, значения этих терминов могут иметь серьезные последствия. Хороший пример - Закон штата Калифорния о защите прав потребителей (CCPA) и его взаимодействие с другими законами.

CCPA, вступающий в силу 1 января 2020 г., содержит расширенное определение «личной информации». См. Cal. Civ. Код Сек. 1798.140 (о). Основное определение - это информация, которая идентифицирует, относится к, описывает, разумно способна быть связана или может быть разумно связана, прямо или косвенно, с конкретным потребителем или домохозяйством.Далее в определении перечисляются, без ограничения, определенные категории информации (например, идентификаторы, активность на веб-сайте, биометрическая информация, геолокация), если они идентифицируют, относятся к, описывают, разумно могут быть связаны или могут быть разумно связаны, прямо или косвенно, с конкретным потребителем или домохозяйством. В отношении этого широкого набора данных CCPA предоставляет потребителям в Калифорнии существенные права, включая право требовать удаления этих данных или отказаться от их продажи.

Однако частное право CCPA на предъявление иска в связи с утечкой данных применяется к гораздо более узкому подмножеству «личной информации», определенной выше. В частности, CCPA включает еще один раздел закона Калифорнии, Cal. Civ. Код Сек. 1798.81.5 (d) (1) (A), чтобы определить личную информацию, которая в случае нарушения и которую владелец не смог разумно защитить, может подвергнуть владельца установленному законом ущербу в размере до 750 долларов на человека. Для этого под персональной информацией понимается:

Имя или инициалы физического лица и фамилия физического лица в сочетании с одним или несколькими из следующих элементов данных…:

(i) Номер социального страхования.

(ii) Номер водительского удостоверения, номер калифорнийской идентификационной карты, налоговый идентификационный номер, номер паспорта, военный идентификационный номер или другой уникальный идентификационный номер, выданный в правительственном документе, обычно используемом для проверки личности конкретного человека.

(iii) Номер счета или номер кредитной или дебетовой карты в сочетании с любым требуемым кодом безопасности, кодом доступа или паролем, который разрешает доступ к финансовому счету физического лица.

(iv) Медицинская информация.

(v) Информация о медицинском страховании.

(vi) Уникальные биометрические данные, полученные на основе измерений или технического анализа характеристик человеческого тела, таких как отпечаток пальца, сетчатка глаза или изображение радужной оболочки глаза, используемые для аутентификации конкретного человека.

Также обратите внимание, что CCPA исключает определенную информацию из своего общего определения личной информации, такую ​​как «защищенная медицинская информация», хранимая покрываемыми организациями и деловыми партнерами в соответствии с Законом о переносимости и подотчетности медицинского страхования («HIPAA»).

Но загадка PI, PII, PHI… не заканчивается CCPA. Организация с обязательствами CCPA также может хранить «личную информацию» жителей Нью-Йорка. В соответствии с Законом штата Нью-Йорк о прекращении взломов и улучшении безопасности электронных данных («Закон SHIELD») эта организация должна будет принять разумные меры предосторожности для защиты «частной информации», которая определяется как, в целом, любая информация, касающаяся физического лица, которая: из-за идентификатора может использоваться для идентификации такого физического лица, если он находится в сочетании с одним или несколькими из следующих элементов данных:

  • номер водительского удостоверения или номер не-водительского удостоверения личности;
  • номер счета или номер кредитной или дебетовой карты, который сам по себе или вместе с требуемым кодом позволяет получить доступ к финансовому счету физического лица;
  • биометрическая информация, означающая данные, полученные путем электронных измерений уникальных физических характеристик человека, таких как отпечаток пальца, голосовой отпечаток, изображение сетчатки или радужной оболочки, или другое уникальное физическое представление или цифровое представление биометрических данных, которые используются для аутентификации или установить личность человека.

Личная информация также включает имя пользователя или адрес электронной почты в сочетании с паролем или контрольным вопросом и ответом, позволяющим получить доступ к онлайн-аккаунту.

Еще не запутались? Возможно, ваша организация не подпадает под действие CCPA или NY SHIELD Act, но вы владеете и управляете веб-сайтом, который собирает личную информацию от потребителей, проживающих в Калифорнии и Делавэре. Законы в этих штатах требуют наличия частной политики веб-сайта, которая описывает определенные методы, касающиеся «информации, позволяющей установить личность», согласно определению в Делавэре:

любая личная информация,… собранная оператором онлайн… от этого пользователя… включая имя и фамилию, физический адрес, адрес электронной почты, номер телефона, номер социального страхования или любой другой идентификатор, который позволяет физический или онлайн-контакт с пользователем, а также любая другая информация, касающаяся пользователя, собираемая оператором… от пользователя и сохраняемая в форме, позволяющей установить личность, в сочетании с любым идентификатором, описанным в этом параграфе.

Аналогичное определение существует в законе Калифорнии. Эти различия лишь поверхностные и усложняют зарождающееся лоскутное одеяло закона о конфиденциальности и безопасности данных в Соединенных Штатах.

Итак, думая о личной информации, важно помнить, что не только определение выходит за рамки только имени и номера социального страхования, но и сам термин и его определение, вероятно, будут отличаться в зависимости от конкретных законодательных или нормативных актов, которые вы анализируете. .При оценке угроз и уязвимостей личной информации в организации или при разработке политик и процедур для ее защиты обязательно разработайте соответствующее определение, которое учитывает необходимые элементы данных.

Персональные данные | Общий регламент по защите данных (GDPR)

Термин «личные данные» - это начало применения Общего регламента защиты данных (GDPR). Только если обработка данных касается личных данных, применяется Общий регламент защиты данных.Термин определен в ст. 4 (1). Персональные данные - это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.

Субъекты данных поддаются идентификации, если они могут быть прямо или косвенно идентифицированы, особенно посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или одну из нескольких специальных характеристик, которые выражают физические, физиологические, генетическая, ментальная, коммерческая, культурная или социальная идентичность этих физических лиц.На практике они также включают в себя все данные, которые каким-либо образом назначены или могут быть присвоены человеку. Например, телефон, кредитная карта или личный номер человека, данные учетной записи, номерной знак, внешний вид, номер клиента или адрес - все это личные данные.

Поскольку определение включает «любую информацию», следует предположить, что термин «личные данные» следует толковать как можно более широко. Это также предлагается в прецедентном праве Европейского суда, который также рассматривает менее явную информацию, такую ​​как записи рабочего времени, которые включают информацию о времени, когда сотрудник начинает и заканчивает свой рабочий день, а также перерывы или время, в которое не попадают в рабочее время, как личные данные.Кроме того, письменные ответы кандидата во время теста и любые замечания экзаменатора относительно этих ответов являются «личными данными», если кандидата можно теоретически идентифицировать. То же самое относится и к IP-адресам. Если у контролера есть законная возможность обязать поставщика передать дополнительную информацию, которая позволяет ему идентифицировать пользователя по IP-адресу, это также личные данные. Кроме того, необходимо отметить, что личные данные не обязательно должны быть объективными. Субъективная информация, такая как мнения, суждения или оценки, может быть личными данными.Таким образом, это включает оценку кредитоспособности человека или оценку выполнения работы работодателем.

И последнее, но не менее важное: в законе говорится, что информация для справки о персонале должна относиться к физическому лицу. Другими словами, защита данных не распространяется на информацию о юридических лицах, таких как корпорации, фонды и учреждения. С другой стороны, для физических лиц защита начинается и прекращается с дееспособностью. По сути, человек получает эту способность с рождением и теряет ее после смерти.Следовательно, данные должны быть присвоены идентифицированным или идентифицируемым живым лицам, чтобы считаться личными.

В дополнение к общим персональным данным необходимо учитывать прежде всего особые категории персональных данных (также известные как конфиденциальные персональные данные), которые имеют большое значение, поскольку они подлежат более высокому уровню защиты. Эти данные включают генетические, биометрические данные и данные о состоянии здоровья, а также личные данные, раскрывающие расовое и этническое происхождение, политические взгляды, религиозные или идеологические убеждения или членство в профсоюзах.

Внешние ссылки

Органы власти

  • Европейский надзорный орган по защите данных ► Меры безопасности при обработке персональных данных (ссылка)
  • Управление по защите данных Остров Мэн ► Знайте свои данные - нанесение на карту 5 W (Ссылка)
  • Data Protection Authority UK ► Ключевые определения (Ссылка)
  • Европейская комиссия ► Что такое личные данные? (Ссылка)
  • Европейская комиссия ► Какие личные данные считаются конфиденциальными? (Ссылка)
  • Публикации ЕС ► Справочник по европейскому законодательству о защите данных - Персональные данные, стр. 83 (Ссылка)

Экспертный вклад

  • A&L Goodbody ► GDPR: Руководство для бизнеса - Определение личных и конфиденциальных данных, стр. 8 (Ссылка)
  • Bird & Bird ► Конфиденциальные данные и законная обработка (ссылка)

Что такое личная информация (PII)? Как защитить его согласно GDPR

Личная информация (PII) - это любые данные, которые могут быть использованы для идентификации конкретного человека.Номера социального страхования, почтовый или электронный адрес и номера телефонов чаще всего считаются PII, но технологии значительно расширили сферу действия PII. Он может включать IP-адрес, идентификаторы входа, сообщения в социальных сетях или цифровые изображения. Геолокационные, биометрические и поведенческие данные также можно классифицировать как PII.

Это широкое определение PII создает проблемы для безопасности и конфиденциальности, особенно когда конкретные и строгие меры предосторожности прописаны в таких нормативных актах, как Общий регламент Европейского Союза (ЕС) о защите данных (GDPR).Он вступит в силу 25 мая 2018 года и повлияет на любую компанию во всем мире, которая обрабатывает или хранит персональные данные жителей ЕС.

Новые правила предоставляют людям больше прав в отношении того, как компании обрабатывают их личную информацию (PII), и налагают большие штрафы за несоблюдение и утечку данных - до 4 процентов годового дохода компании. GDPR также требует, чтобы компании сообщали об утечках данных в течение 72 часов. (См. «Требования, сроки и факты Общего регламента защиты данных (GDPR)» для получения более подробной информации о регулировании.)

Даже если вы не ведете дела с ЕС, это может повлиять на глобальные стандарты безопасности в будущем. Следовательно, компании, работающие в ЕС или с данными, затронутыми GDPR, быстро пытаются прийти к соблюдению требований раньше срока. Для групп безопасности это означает обеспечение надлежащей защиты PII и наличие надлежащих процессов отчетности.

Как говорит Брайан Веччи, технологический евангелист компании Varonis, «большинство компаний совершенно не подготовлены. Есть компании, расположенные на Среднем Западе Соединенных Штатов, которые, поскольку кто-то из ЕС подписался на их информационный бюллетень, внезапно подпадают под действие одного из самых обременительных правил конфиденциальности, когда-либо существовавших.Вот что меня так великого в GDPR. Он пронизывает все вертикали. Это влияет не только на финансовые организации или больницы. Если у вас есть PII от одного из 28 государств-членов, это повлияет на вашу организацию.

Хорошо это или плохо, но GDPR не определяет каких-либо конкретных мер защиты данных, которым должна следовать организация. Каждой организации разрешено определять для себя необходимые меры безопасности для собранных данных, конфиденциальности и рисков.

Оливье Ван Хоф, менеджер по предварительным продажам Collibra в Европе, говорит, что GDPR начинается с управления данными: «Вам необходимо создать платформу управления данными, прежде чем вы действительно сможете приступить к защите данных.Это намного больше, чем просто техническая защита данных. Большинство организаций начинают с рассмотрения своих бизнес-процессов, затем - с логических процессов, которые собирают данные, а затем - с самих физических данных. GDPR также подразумевает понимание того, что данные действительно принадлежат физическому лицу. На самом деле вы просто размещаете данные ».

Что такое личные данные? | Европейская комиссия

Ответ

Персональные данные - это любая информация, которая относится к идентифицированному или идентифицируемому живому физическому лицу .Различные части информации, которые собираются вместе, могут привести к идентификации конкретного человека, также являются личными данными.

Персональные данные, которые были деидентифицированы, зашифрованы или псевдонимизированы , но могут использоваться для повторной идентификации человека, остаются личными данными и подпадают под действие GDPR.

Персональные данные, которые были предоставлены анонимно таким образом, что личность не может быть идентифицирована или больше не может быть идентифицирована, больше не считаются персональными данными.Чтобы данные были действительно анонимными, анонимизация должна быть необратимой.

GDPR защищает личные данные независимо от технологии, используемой для обработки этих данных. - это технологически нейтрально и применяется как к автоматизированной, так и к ручной обработке, при условии, что данные организованы в соответствии с заранее определенными критериями (например, в алфавитном порядке). Также не имеет значения, как данные хранятся - в ИТ-системе, при видеонаблюдении или на бумаге; во всех случаях к персональным данным применяются требования защиты, изложенные в GDPR.

Примеры личных данных

  • имя и фамилия;
  • домашний адрес;
  • адрес электронной почты, например [email protected];
  • номер удостоверения личности;
  • данные о местоположении (например, функция данных о местоположении на мобильном телефоне) *;
  • IP-адрес;
  • идентификатор файла cookie *;
  • рекламный идентификатор вашего телефона;
  • данные, хранящиеся в больнице или у врача, которые могут быть символом, однозначно идентифицирующим человека.

* Обратите внимание, что в некоторых случаях существует специальное отраслевое законодательство, регулирующее, например, использование данных о местоположении или использование файлов cookie - Директива о конфиденциальности ( , Директива 2002/58 / EC Европейского парламента и Совет от 12 июля 2002 г. (OJ L 201, 31.7.2002, стр. 37) и Регламент (ЕС) № 2006/2004 ) Европейского парламента и Совета от 27 октября 2004 г. (OJ L 364, 9.12.2004, с. 1).

Примеры данных, не считающихся персональными данными

  • регистрационный номер компании;
  • адрес электронной почты, например [email protected];
  • анонимные данные.

Список литературы

Мнения

американцев о конфиденциальности и обмене информацией

Большинство американцев рассматривают проблемы конфиденциальности в коммерческих условиях как случайные и контекстно-зависимые. Новое исследование Pew Research Center, основанное на опросе 461 человека в США.взрослые и девять онлайн-фокус-групп из 80 человек обнаружили, что существует множество обстоятельств, при которых многие американцы делятся личной информацией или разрешают слежку в обмен на получение чего-то представляемого. Например, большинство американцев считают, что для работодателей было бы приемлемым (с разницей от 54% до 24%) установить камеры наблюдения после серии краж на рабочем месте. Почти половина (47%) считает, что базовая сделка, предлагаемая розничными картами лояльности, а именно то, что магазины отслеживают свои покупки в обмен на периодические скидки, является для них приемлемой, даже тогда как треть (32%) считает это неприемлемым.

Тем не менее, хотя многие американцы готовы делиться личной информацией в обмен на ощутимые выгоды, они часто осторожно относятся к раскрытию своей информации и часто недовольны тем, что происходит с этой информацией после того, как компании ее собирают. Например, когда им представлен сценарий, в котором они могут сэкономить деньги на счетах за электроэнергию, установив «умный термостат», который будет отслеживать их передвижения по дому, большинство взрослых считают это неприемлемым компромиссом (с разницей от 55% до 27%). ).Как объяснил один из респондентов опроса: «В этом доме не будет ничего« ​​SMART ». Сейчас у меня достаточно личных данных, которые правительство крадет и продает [компаниями] спамерам ».

В онлайн-фокус-группах и в открытых ответах на общенациональный репрезентативный онлайн-опрос многие люди выражали озабоченность по поводу безопасности своих личных данных в свете многочисленных громких утечек данных. Они также регулярно выражали гнев по поводу шквала нежелательных электронных писем, телефонных звонков, персонализированной рекламы или других контактов, которые неизбежно возникают, когда они решают поделиться некоторой информацией о себе.В ответ на вопрос об отслеживании их поведения в сети в обмен на получение доступа к бесплатному онлайн-сервису один из респондентов опроса написал: « Я хочу контролировать, какие рекламные объявления« отодвигают »мне: меня не интересует» портреты щенков », но меня могут заинтересовать фотоаппараты, оборудование и т. д. В попытке« настроить таргетинг »на мои предпочтения мой почтовый ящик наполняется [ругательствами], не имеющими отношения ко мне».

Эти данные позволяют предположить, что фраза, которая лучше всего отражает мнение американцев о выборе между конфиденциальностью и конфиденциальностью.раскрытие личной информации: «Это зависит от обстоятельств». Взгляды людей на ключевой компромисс современной цифровой экономики, а именно на то, что потребители предлагают информацию о себе в обмен на что-то ценное, формируются как условиями сделки, так и обстоятельствами их жизни. В расширенных комментариях в Интернете и в фокус-группах люди указали, что их интерес и общий уровень комфорта зависят от компании или организации, с которыми они торгуются, и от того, насколько надежной или безопасной они считают эту фирму.Это зависит от того, что происходит с их данными после их сбора, особенно если данные предоставляются третьим лицам. И это также зависит от того, как долго хранятся данные.

Очевидно, что сценарии не полностью охватывают широкий спектр возможностей, при которых люди рассматривают возможность обмена личной информацией в обмен на выгоду. Но интересно отметить, что 17% взрослых говорят, что они не пойдут ни на одну из сделок, описанных в шести сценариях, а 4% говорят, что они согласятся на все сделки.Подавляющее большинство указывает, что по крайней мере одна из этих транзакций потенциально приемлема для них.

Кроме того, заметные представители общественности говорят, что их рассмотрение каждого отдельного сценария является условным: их ответ зависит от обстоятельств предложения, их доверия к тем, кто собирает и хранит данные, и их понимания того, какие последствия может иметь обмен данными. выглядит как.

Результаты опроса, которые легли в основу настоящего отчета, в некоторых отношениях отличаются от традиционных опросов общественного мнения.В этом исследовании респондентам было предложено шесть гипотетических сценариев, каждый из которых предполагал передачу определенного уровня личных данных в обмен на использование продукта или услуги. Затем их спросили, была ли сделка, предложенная им в обмен на обмен этой информацией, приемлемой, неприемлемой или «это зависит» от контекста выбора. После того, как они сделали свой выбор, их попросили описать своими словами, какие факторы повлияли на их выбор.

На ближайшей диаграмме показаны шесть различных сценариев, которые были рассмотрены в этом исследовании.

Источник: опрос, проведенный 28 января - 16 февраля 2015 г.

Примечание. Отклоненные ответы не показаны.

Некоторые вопросы, о которых люди задумываются, рассматривая компромиссы в отношении конфиденциальности, включают вероятность получения спама, риск утечки данных, особую близость, связанную с данными о местоположении, и чрезмерное профилирование клиентов

Непредвиденные обстоятельства пронизывают реакцию на каждый из этих различных сценариев, но возник ряд других тем, особенно когда речь идет о компромиссах, которые люди считают неприемлемыми.Некоторые из общих тем, которые встречаются в открытых ответах и ​​ответах фокус-групп, включают:

  • Первоначальная сделка может быть хорошей, но последующие действия со стороны компаний, которые собирают данные, могут быть раздражающими и нежелательными. Люди неоднократно выражали гнев по поводу шквала нежелательных писем, которые часто приходят после первоначальной транзакции. Один из респондентов опроса написал: «Я согласен на сделку, если моя личная информация не будет передана третьей стороне, например, мое имя и контактная информация.Если это просто мои демографические данные - возраст, город, то, что я покупаю, - это нормально. Если они хотят напечатать на кассе купоны, ориентированные на меня как на потребителя, это нормально, но они не связываются со мной лично (по почте, электронной почте, телефону и т. Д.) С рекламой. Ненавижу, ненавижу, ненавижу все это ".
  • Мошенники и хакеры - постоянная угроза. Существует широко распространенное беспокойство по поводу уязвимости информации людей, даже когда компании, которые ее собирают, делают все возможное, чтобы обеспечить ее безопасность. Как резюмировал один респондент: «« Безопасные »сайты постоянно попадают в новости, когда их взламывают.У нас могут украсть нашу информацию из банков, компаний-эмитентов кредитных карт, больниц ... все в безопасности ... все это было взломано в прошлом. Чем больше я «выкладываю», тем больше вероятность того, что моя информация попадет куда-нибудь, опасное для моего благополучия ».
  • Данные о местоположении кажутся особенно ценными в эпоху смартфонов. Одни из наиболее резко отрицательных реакций были вызваны сценариями, связанными с обменом данными личного местоположения. Один респондент сказал следующее: « Я постоянно отказываю в услугах определения местоположения на моем телефоне, потому что не хочу, чтобы появлялась реклама. Участница фокус-группы сказала, что ее не беспокоит большая часть сбора личных данных , «за исключением того места, где я нахожусь, особенно дома. Если что-то связано с использованием камер, в том числе на моем телефоне или компьютере, для меня это худшее нарушение конфиденциальности ».
  • Профилирование иногда кажется неприятным. Слова «жуткий», «большой брат» и «преследование» регулярно использовались в ответах тех, кто беспокоился о своей личной информации. Один из участников фокус-группы резюмировал эту точку зрения: «Некоторые вещи, связанные с отслеживанием маркетинга, ужасны.Я смотрю на одну вещь в Интернете, а потом вижу ее на каждом сайте в течение нескольких недель. Поначалу - интригующе. Тогда жутко. Другой утверждал: «Возможно, нам нужно научить молодое поколение БОЛЬШОМУ БРАТУ. Кажется, его забыли. К которому другой член группы добавил: «Оруэлл был пророком».
  • Люди недовольны, когда данные собираются для одной цели, а используются для других, часто более инвазивных целей. Многие американцы подозревают, что сборщики данных (от работодателей до рекламодателей) имеют скрытые мотивы в погоне за личными данными.Один респондент сказал об этом так: « Я не доверяю страховым компаниям и считаю, что они могут использовать эти данные для повышения моих ставок под любым притворным предлогом. Страховые компании занимаются управлением рисками, и они не могут снизить этот риск за счет своих клиентов. Чем больше они знают, тем меньше для них риска и выше затраты для клиентов ».
Потенциальные выгоды от обмена личной информацией включают экономию денег, получение доступа к полезным услугам или информации, а также содействие коммерческим и социальным контактам

Тем не менее, даже несмотря на то, что они беспокоятся о негативных последствиях обмена своей личной информацией, эти результаты также показывают, что потребители понимают и ценят преимущества обмена - по крайней мере, при определенных обстоятельствах.Ключевые темы здесь:

  • Бесплатно - хорошая цена. Сценарий социальных сетей, в частности, вызвал ряд коротких ответов, которые ясно дали понять людям, что любят бесплатные услуги. Один из участников фокус-группы объяснил, почему ему было комфортно сообщать о себе технологической компании в обмен на бесплатную электронную почту: « Честно говоря, мне все равно. Это особенно актуально, когда я добровольно пользуюсь услугами в обмен на предоставление некоторой информации. Например, я использую Gmail бесплатно, но знаю, что Google получит некоторую информацию взамен.Меня это устраивает.
  • Совместное использование помогает смягчить коммерческое и социальное взаимодействие. Людям часто нужен удобный и недорогой доступ к информации, товарам и услугам. Более того, они обычно понимают, что раскрытие личной информации делает эти транзакции возможными - и, по сути, может сделать их более желательными для потребителей. Один из участников опроса нашел приемлемый сценарий карты лояльности и объяснил: « Если магазин поделится информацией, относящейся к типу вещей, которые я куплю, все будет в порядке.”
  • Определенные области не являются частными по своей сути, и применяются другие правила наблюдения и совместного использования. Определенные физические пространства или типы информации считаются менее конфиденциальными, чем другие. Один из респондентов опроса отметил, как эти нормы влияют на его взгляды на приемлемость камер наблюдения на рабочем месте: « Это бизнес компании - защищать свои активы любым способом, который они считают нужным».

Интересно, что не существует однозначных демографических закономерностей в ответах людей на разные сценарии.Иногда взгляды людей различаются в зависимости от возраста, семейного дохода или образования, а иногда - нет. И иногда, когда есть различия, они не всегда либо последовательно защищают конфиденциальность, либо постоянно готовы раскрывать информацию. Например, люди младше 50 лет с большей вероятностью, чем люди 50 лет и старше, сочтут приемлемым сценарий с использованием нового сайта социальной сети (от 40% до 25%). Тем не менее, люди старше 50 лет с большей вероятностью, чем те, кто моложе, сочтут приемлемым сценарий онлайн-медицинских карт (62–45%).Очевидно, что люди по-разному ценят разные виды обмена информацией.

Нет статистически значимых различий в ответах женщин и мужчин на любой из этих сценариев.

Куда это девается американцам? Многие участники фокус-группы неуверенны, смирились и раздражены - или того хуже. Тем не менее, некоторые считают, что это часть современной жизни, а другие надеются, что можно будет найти технологические и правовые решения

В девяти онлайн-фокус-группах, посвященных этим вопросам, 80 участников выразили ряд эмоций по поводу состояния конфиденциальности и ее будущего.Хотя фокус-группы нельзя рассматривать как репрезентативные для всего взрослого населения, часто бывает так, что при наличии выбора люди гораздо чаще говорят о темной стороне компромиссов личной информации, чем о преимуществах. Как выразился один из участников фокус-группы: «Я думаю, [шансы на достижение конфиденциальности] становятся все более безнадежными по мере развития технологий».

Одним из наиболее тревожных аспектов проблем конфиденциальности для многих участников фокус-группы является то, насколько сложно, по их мнению, получить информацию о том, что собирается, и неуверенность в том, кто собирает данные.Выборка этих просмотров:

«На мой взгляд, существует прискорбное отсутствие раскрытия информации о том, как компания использует личную информацию. Если вы читаете некоторые условия обслуживания, вы, по сути, даете компании право делать с вашей личной информацией практически все, что угодно ».

«Я понятия не имею, как я буду исследовать, какая информация обо мне собирается в таких местах, как Google и Facebook, кроме той информации, которую я им предоставил, например, данных моего профиля.”

На вопрос, были ли изменения в основном состоянии конфиденциальности «огромным вредом» для общества или чем-то более похожим на «раздражение, которое может быть устранено», люди получили широкий диапазон ответов:

«Это безнадежно. Поиск информации - это образ жизни, но он препятствует человеческому взаимодействию ».

«Для меня это не столько« безнадежно », сколько« ушло в отставку ».

«Это неприятно, но неизбежно».

«Я не чувствую себя безнадежным.Я просто чувствую, что мне нужно сохранять бдительность ».

«Я не думаю, что все безнадежно, какой-нибудь гений придумает, как все это обойти».

«На этом когда-нибудь заканчивается раздражение? Всегда есть те, кто хочет извлечь выгоду из знаний других и будет расширять эту область, чтобы собирать все больше и больше данных. Если не больше, чем раздражение [сейчас], то станет еще большим [в будущем] ».

Спросили, что нужно сделать, чтобы превратить их в активистов по защите конфиденциальности? Один из участников фокус-группы сказал: «Если я узнаю, что компания небрежно ввела разумный контроль для защиты моей информации, а затем откажется мне в помощи, это станет переломным моментом для меня.”

Когда дело доходит до будущего конфиденциальности, большинство участников фокус-групп были настроены мрачно. Многие ссылались на тенденцию к слежке и сбору данных, которая казалась им неумолимой. Многие также заявили, что, по их мнению, молодые американцы не чувствительны к личной жизни, и это определит будущее. Один респондент фокус-группы высказался от лица многих старших членов группы, заявив: «Следующее поколение скажет« конфиденциальность? … Что это?" Другой быстро добавил: « Я действительно думаю, что следующее поколение даже не поймет ценности конфиденциальности.Конфиденциальность уйдет в прошлое ».

Другой член фокус-группы утверждал, что тенденции в технологиях приводят к изменениям, которые ставят под угрозу конфиденциальность: « Поиск информации - это образ жизни, но он препятствует человеческому взаимодействию».

Другой утверждал: «[Утрата частной жизни] огромный вред - обнищание нашей культуры. Вероятно, самые великие научные и художественные достижения происходят в уединении ».

И еще один озвучил широко озвученную тему о том, что изменения конфиденциальности являются тонкими и кумулятивными: «Я думаю, что конфиденциальность будет лишена [от нас], потому что люди разрешают это - по одной сделке за раз.