Роскомнадзор политика в отношении обработки персональных данных: Политика обработки персональных данных
Роскомнадзором даны рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных
- Главная
- Правовые ресурсы
- “Горячие” документы
- “Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года N 152-ФЗ “О персональных данных”
“Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года N 152-ФЗ “О персональных данных”
Оператором персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Роскомнадзор рекомендует включать в указанный документ, в частности, следующие структурные компоненты:
– цели сбора персональных данных;
– правовые основания обработки персональных данных;
– объем и категории обрабатываемых персональных данных, категории субъектов персональных данных;
– порядок и условия обработки персональных данных;
– актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.
Даны рекомендации по составлению каждого из указанных компонентов.
Перейти в текст документа »
Больше документов и разъяснений по коронавирусу и антикризисным мерам – в системе КонсультантПлюс.
Зарегистрируйся и получи пробный доступ
Дата публикации на сайте: 03.08.2017
Поделиться ссылкой:
Политика в отношении обработки персональных данных
Политика ООО Компания «НоркПалм» в отношении обработки персональных данных Юридический адрес: 121471, г. Москва, Рябиновая ул., д. 61А, стр. 51. Назначение и область действия документа
- «Политика ООО Компания „НоркПалм“ (далее по тексту также — Общество) в отношении обработки персональных данных» (далее — Политика) определяет позицию и намерения Общества в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
- Политика неукоснительно исполняется руководителями и работниками всех структурных подразделений ООО Компания «НоркПалм».
- Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Обществе с применением средств автоматизации и без применения таких средств.
2. Определения
- Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (гражданину). Т.е. к такой информации, в частности, можно отнести: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, сведения о состоянии здоровья, а также другую информацию.
- Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данным, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) можно отнести: сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3. Субъекты персональных данных ООО Компания «НоркПалм» обрабатывает персональные данные следующих лиц:
- клиентов ООО Компания «НоркПалм»;
- представителей юридических лиц;
- поставщиков (индивидуальных предпринимателей).
4. Принципы и условия обработки персональных данных
- Под безопасностью персональных данных ООО Компания «НоркПалм» понимает защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных и принимает необходимые правовые, организационные и технические меры для защиты персональных данных.
- Обработка и обеспечение безопасности персональных данных в ООО Компания «НоркПалм» осуществляется в соответствии с требованиями Конституции Российской Федерации, Федерального закона № 152-ФЗ «О персональных данных», подзаконных актов, других определяющих случаи и особенности обработки персональных данных федеральных законов Российской Федерации, руководящих и методических документов ФСТЭК России и ФСБ России.
- При обработке персональных данных ООО Компания «НоркПалм» придерживается следующих принципов:
- законности и справедливой основы;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
- недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработки персональных данных, которые отвечают целям их обработки;
- соответствия содержания.
- Общество обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
- ООО Компания «НоркПалм» вправе поручить обработку персональных данных граждан третьим лицам, на основании заключаемого с этими лицами договора. Лица, осуществляющие обработку персональных данных по поручению ООО Компания «НоркПалм», обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных». Для каждого лица определены перечень действий (операций) с персональными данными, которые будут совершаться юридическим лицом, осуществляющим обработку персональных данных, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.
- В случаях, установленных законодательством Российской Федерации, ООО Компания «НоркПалм» вправе осуществлять передачу персональных данных граждан.
- В целях информационного обеспечения в Общества могут создаваться общедоступные источники персональных данных работников, в том числе справочники и адресные книги. В общедоступные источники персональных данных с согласия работника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты. Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника либо по решению суда или иных уполномоченных государственных органов.
5. Права субъекта персональных данных
Гражданин, персональные данные которого обрабатываются ООО Компания «НоркПалм», имеет право:
- Пполучать от ООО Компания «НоркПалм»:
- подтверждение факта обработки персональных данных ООО Компания «НоркПалм»;
- правовые основания и цели обработки персональных данных;
- сведения о применяемых ООО Компания «НоркПалм» способах обработки персональных данных;
- наименование и местонахождения ООО Компания «НоркПалм»;
- сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ООО Компания «НоркПалм» или на основании федерального закона;
- перечень обрабатываемых персональных данных, относящихся к гражданину, от которого поступил запрос и источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
- сведения о сроках обработки персональных данных, в том числе о сроках их хранения;
- сведения о порядке осуществления гражданином прав, предусмотренных Федеральным законом «О персональных данных» № 152-ФЗ;
- информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
- наименование и адрес лица, осуществляющего обработку персональных данных по поручению ООО Компания «НоркПалм»;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» № 152-ФЗ или другими федеральными законами;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отозвать свое согласие на обработку персональных данных;
- требовать устранения неправомерных действий ООО Компания «НоркПалм» в отношении его персональных данных;
- обжаловать действия или бездействие ООО Компания «НоркПалм» в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если гражданин считает, что ООО Компания «НоркПалм» осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
6. Ответственность
В случае неисполнения положений настоящей Политики ООО Компания «НоркПалм» несет ответственность в соответствии действующим законодательством Российской Федерации.
Обращаем ваше внимание!
Получить разъяснения по интересующим Вас вопросам обработки Ваших персональных данных, обратившись в ООО Компания «НоркПалм», направив официальный запрос по Почте России по адресу: 121471, г. Москва, Рябиновая ул., д. 61А, стр. 5.
В случае направления официального запроса в ООО Компания «НоркПалм» в тексте запроса необходимо указать:
- ФИО;
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие Ваше участие в отношениях с ООО Компания «НоркПалм» либо сведения, иным способом подтверждающие факт обработки персональных данных ООО Компания «НоркПалм»;
- подпись гражданина (или его законного представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
На сайте www.norkpalm.ru публикуется актуальная версия «Политики «ООО Компания „НоркПалм“ в отношении обработки персональных данных».
7. Сведения о реализуемых требованиях к защите персональных данных
ООО Компания «НоркПалм» при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
К таким мерам в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» относятся:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
- учет машинных носителей персональных данных;
- размещение технических средств обработки персональных данных в пределах охраняемой территории;
- поддержание технических средств охраны, сигнализации в постоянной готовности;
- проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных.
В целях координации действий по обеспечению безопасности персональных данных в ООО Компания «НоркПалм» назначены лица, ответственные за обеспечение безопасности персональных данных.
Чтобы всегда быть в курсе новинок интересующих вас брендов подпишитесь на рассылку
Хотите проконсультироваться
или заказать товар?
Понедельник-Воскресенье с 11:00 до 20:00 по Москве
Политика в отношении обработки персональных данных
1. Общие положения
1.1. Политика в отношении обработки персональных данных (далее — Политика) направлена на защиту прав и свобод физических лиц, персональные данные которых обрабатывает ООО «ДЕ-ФАКТО».
1.2. Политика разработана в соответствии с п. 2 ч .1 ст. 18.1 Федерального закона «О персональных данных» №152-ФЗ от 27 июля 2006 года (далее — Закон).
1.3. Оператор ведет свою деятельность по адресу: 188691, Ленинградская область, Всеволожский муниципальный район, Заневское городское поселение, д. Кудрово, Европейский пр., д. 8, пом. 24-H
2. Область применения
2.1. Настоящая Политика распространяется на персональные данные, полученные как до, так и после ввода в действие настоящей Политики.
3. Определения
3.1. Под персональными данными (далее — Данные) понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. К такой информации, в частности, относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, номер телефона, адрес электронной почты, информация о кандидатах на вакантные должности, оставленная такими кандидатами при заполнение анкеты, включая информацию, содержащуюся в резюме кандидата, а также другая информация.
3.2. Под обработкой Данных понимается любое действие (операция) или совокупность действий (операций) с Данными, совершаемых с использованием средств автоматизации и/или без использования таких средств. К таким действиям (операциям) относятся сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Данных.
3.3. Под безопасностью Данных понимается защищенность Данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных.
4. Правовые основания и цели обработки Данных
4.1. Обработка и обеспечение безопасности Данных Оператором осуществляется в соответствии с требованиями Конституции РФ, Закона, ТК РФ, подзаконных актов, других определяющих случаи и особенности обработки Данных федеральных законов РФ.
4.2. Субъектами Данных, обрабатываемых Оператором, являются:
- кандидаты на вакантные должности, включая кандидатов, заполняющих анкету кандидата и/или резюме на сайте Оператора
- работники Оператора; родственники работников Оператора, в пределах, определяемых законодательством РФ, если сведения о них предоставляются работником
- контрагенты-физические лица
- представители юридических лиц — контрагентов Оператора
- клиенты
- посетители сайта Оператора (далее — «Сайт»)
4.3. Оператор осуществляет обработку Данных субъектов в целях осуществления возложенных на Оператора законодательством РФ функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь, Гражданским кодексом РФ, Налоговым кодексом РФ, Трудовым кодексом РФ, Семейным кодексом РФ, Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 27. 07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 28.03.1998 г. № 53-ФЗ «О воинской обязанности и военной службе», Федеральным законом от 26.02.1997 г. № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации», Федеральным законом от 8.02.1998 г. №14-ФЗ «Об обществах с ограниченной ответственностью», Федеральным законом от 07.02.1992 №2300-1 «О защите прав потребителей», Федеральным законом от 21.11.1996 г. № 129-ФЗ «О бухгалтерском учете», Федеральным законом от 29.11.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», а также операторами Данных, уставом и локальными актами Оператора.
Оператор осуществляет обработку Данных кандидатов на вакантные должности в целях:
- принятия решения о возможности заключения трудового договора с лицами, претендующими на открытые вакансии
Оператор осуществляет обработку Данных Работников в целях:
- соблюдения трудового, налогового и пенсионного законодательства РФ, а именно:
- содействия работникам в трудоустройстве, обучении и продвижении по службе
- расчета и начисления заработной платы
- организации деловых поездок (командировок) работников
- оформления доверенностей (в том числе для представления интересов Оператора перед третьими лицами)
- обеспечения личной безопасности работников
- контроля количества и качества выполняемой работы
- обеспечения сохранности имущества
- соблюдения пропускного режима в помещениях Оператора
- учета рабочего времени
- пользования различного вида льготами в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, а также Уставом и нормативными актами Оператора
- добровольного страхования жизни, здоровья и/или от несчастных случаев
Оператор осуществляет обработку Данных родственников работников Оператора в целях:
- исполнения требований законодательства РФ
- предоставления дополнительных льгот
Оператор осуществляет обработку Данных контрагентов-физических лиц в целях:
- заключения и исполнения договора, одной из сторон которого является физическое лицо
- рассмотрения возможностей дальнейшего сотрудничества
Оператор осуществляет обработку Данных представителей юридических лиц — контрагентов Оператора в целях:
- ведения переговоров
- заключения и исполнения договоров, по которым предоставляются Данные работников такого юридического лица для целей исполнения договора по различным направлениям хозяйственной деятельности Оператора
Оператор осуществляет обработку Данных клиентов и посетителей Сайта в целях:
- предоставления информации по товарам/услугам, проходящим акциям и специальным предложениям
- анализа качества предоставляемого Оператором сервиса и улучшению качества обслуживания клиентов Оператора
- информирования о статусе заказа
- исполнения договора, в т. ч. договора купли-продажи, в.т.ч. заключенного дистанционным способом на Сайте, договора возмездного оказания услуг
- сбора обратной связи, отзывов, предложений, комментариев
- обработки входящих запросов физических лиц с целью оказания услуг или выполнения работ
- продвижения товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с субъектом Данных с помощью средств связи
- достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на Оператора функций, полномочий и обязанностей
5. Принципы и условия обработки Данных
5.1. При обработке Данных Оператор придерживается принципов, изложенных в ст. 5 Закона.
5.2. Оператор может осуществлять обработку данных о состоянии здоровья субъекта Данных в следующих случаях:
в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством РФ о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях
для защиты жизни, здоровья или иных жизненно важных интересов работника либо для защиты жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта Данных невозможно
для установления или осуществления прав работника или третьих лиц, а равно и в связи с осуществлением правосудия
в соответствии с законодательством об обязательных видах страхования, со страховым законодательством
5. 3. Оператор не осуществляет обработку Данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.
5.4. Биометрические Данные Оператором не обрабатываются.
5.5. Оператор не осуществляет трансграничную передачу Данных.
5.6. В случаях, установленных законодательством РФ, Оператор вправе осуществлять передачу Данных третьим лицам (федеральной налоговой службе, государственному пенсионному фонду и иным государственным органам) в случаях, предусмотренных законодательством РФ.
5.7. Оператор вправе поручить обработку Данных субъектов Данных третьим лицам с согласия субъекта Данных, на основании заключаемого с этими лицами договора.
5.8. Лица, осуществляющие обработку Данных на основании заключаемого с Оператором договора (поручения оператора), обязуются соблюдать принципы и правила обработки и защиты Данных, предусмотренные Законом. Для каждого третьего лица в договоре определяются перечень действий (операций) с Данными, которые будут совершаться третьим лицом, осуществляющим обработку Данных, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность Данных при их обработке, указываются требования к защите обрабатываемых Данных в соответствии с Законом.
5.9. В целях исполнения требований действующего законодательства РФ и своих договорных обязательств обработка Данных Оператором осуществляется как с использованием, так и без использования средств автоматизации.
5.10. Запрещается принятие на основании исключительно автоматизированной обработки Данных решений, порождающих юридические последствия в отношении субъекта Данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством РФ.
6. Права и обязанности субъектов Данных, а также Оператора в части обработки Данных
6. 1.Субъект, Данные которого обрабатываются Оператором, имеет право:
- получать от Оператора:
- подтверждение факта обработки Данных и сведения о наличии Данных, относящихся к соответствующему субъекту Данных
- сведения о правовых основаниях и целях обработки Данных
- сведения о применяемых Оператором способах обработки Данных
- сведения о наименовании и местонахождении Оператора; сведения о лицах (за исключением работников Оператора), которые имеют доступ к Данным или которым могут быть раскрыты Данные на основании договора с Оператором или на основании федерального закона
- перечень обрабатываемых Данных, относящихся к субъекту Данных, и информацию об источнике их получения, если иной порядок предоставления таких Данных не предусмотрен федеральным законом
- сведения о сроках обработки Данных, в том числе о сроках их хранения
- сведения о порядке осуществления субъектом Данных прав, предусмотренных Законом
- наименование (либо фамилию, имя, отчество) и адрес лица, осуществляющего обработку Данных по поручению Оператора
- иные сведения, предусмотренные Законом или другими нормативно-правовыми актами
- требовать от Оператора уточнения своих Данных, их блокирования или уничтожения в случае, если Данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
- отозвать свое согласие на обработку Данных в любой момент
- требовать устранения неправомерных действий Оператора в отношении его Данных
- обжаловать действия или бездействие Оператора в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект Данных считает, что Оператор осуществляет обработку его Данных с нарушением требований Закона или иным образом нарушает его права и свободы
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке
6. 2. Оператор в процессе обработки Данных обязан:
- предоставлять субъекту Данных по его запросу информацию, касающуюся обработки его Данных, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта Данных или его представителя
- разъяснить субъекту Данных юридические последствия отказа предоставить Данные, если предоставление Данных является обязательным в соответствии с федеральным законом
- до начала обработки Данных (если Данные получены не от субъекта Данных) предоставить субъекту Данных следующую информацию, за исключением случаев, предусмотренных частью 4 статьи 18 Закона:
- наименование либо фамилия, имя, отчество и адрес Оператора или его представителя
- цель обработки Данных и ее правовое основание
- предполагаемые пользователи Данных
- установленные Законом права субъектов Данных
- источник получения Данных
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты Данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных
- опубликовать в сети Интернет и обеспечить неограниченный доступ с использованием сети Интернет к документу, определяющему его политику в отношении обработки Данных, к сведениям о реализуемых требованиях к защите Данных
- предоставить субъектам Данных и/или их представителям безвозмездно возможность ознакомления с Данными при обращении с соответствующим запросом в течение 30 дней с даты получения подобного запроса
- осуществить блокирование неправомерно обрабатываемых Данных, относящихся к субъекту Данных, или обеспечить их блокирование (если обработка Данных осуществляется другим лицом, действующим по поручению Оператора) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки Данных при обращении субъекта Данных или его представителя либо по запросу субъекту Данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных
- уточнить Данные либо обеспечить их уточнение (если обработка Данных осуществляется другим лицом, действующим по поручению Оператора) в течение 7 рабочих дней со дня представления сведений и снять блокирование Данных, в случае подтверждения факта неточности Данных на основании сведений, представленных субъектом Данных или его представителем
- прекратить неправомерную обработку Данных или обеспечить прекращение неправомерной обработки Данных лицом, действующим по поручению Оператора, в случае выявления неправомерной обработки Данных, осуществляемой Оператором или лицом, действующим на основании договора с Оператором, в срок, не превышающий 3 рабочих дней с даты этого выявления
- прекратить обработку Данных или обеспечить ее прекращение (если обработка Данных осуществляется другим лицом, действующим по договору с Оператором) и уничтожить Данные или обеспечить их уничтожение (если обработка Данных осуществляется другим лицом, действующим по договору с Оператором) по достижения цели обработки Данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект Данных, в случае достижения цели обработки Данных
- прекратить обработку Данных или обеспечить ее прекращение и уничтожить Данные или обеспечить их уничтожение в случае отзыва субъектом Данных согласия на обработку Данных, если Оператор не вправе осуществлять обработку Данных без согласия субъекта Данных
- вести журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов Данных на получение Данных, а также факты предоставления Данных по этим запросам
7. Требования к защите Данных
7.1. Оператор при обработке Данных принимает необходимые правовые, организационные и технические меры для защиты Данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных.
7.2. К таким мерам в соответствии с Законом, в частности, относятся:
- назначение лица, ответственного за организацию обработки Данных, и лица, ответственного за обеспечение безопасности Данных
- разработка и утверждение локальных актов по вопросам обработки и защиты Данных
- применение правовых, организационных и технических мер по обеспечению безопасности Данных:
- определение угроз безопасности Данных при их обработке в информационных системах персональных данных
- применение организационных и технических мер по обеспечению безопасности Данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите Данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности Данных
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации
- оценка эффективности принимаемых мер по обеспечению безопасности Данных до ввода в эксплуатацию информационной системы персональных данных
- учет машинных носителей Данных, если хранение Данных осуществляется на машинных носителях
- обнаружение фактов несанкционированного доступа к Данным и принятие мер по недопущению подобных инцидентов в дальнейшем
- восстановление Данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним
- установление правил доступа к Данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с Данными в информационной системе персональных данных
- контроль за принимаемыми мерами по обеспечению безопасности Данных и уровнем защищенности информационных систем персональных данных
- оценка вреда, который может быть причинен субъектам Данных в случае нарушения требований Закона, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом
- соблюдение условий, исключающих несанкционированный доступ к материальным носителям Данных и обеспечивающих сохранность Данных
- ознакомление работников Оператора, непосредственно осуществляющих обработку Данных, с положениями законодательства РФ о Данных, в том числе с требованиями к защите Данных, локальными актами по вопросам обработки и защиты Данных, и обучение работников Оператора
8. Сроки обработки (хранения) Данных
8.1. Сроки обработки (хранения) Данных определяются, исходя из целей обработки Данных, в соответствии со сроком действия договора с субъектом Данных, требованиями федеральных законов, основными правилами работы архивов организаций, сроками исковой давности.
8.2. Данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение Данных после прекращения их обработки допускается только после их обезличивания.
9. Порядок получения разъяснений по вопросам обработки Данных
9.1. Лица, чьи Данные обрабатываются Оператором, могут получить разъяснения по вопросам обработки своих Данных, направив письменный запрос по адресу местонахождения Оператора.
9.2. В тексте запроса необходимо указать:
- фамилию, имя, отчество субъекта Данных или его представителя
- номер основного документа, удостоверяющего личность субъекта Данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе
- сведения, подтверждающие наличие у субъекта Данных отношений с Оператором
- информацию для обратной связи с целью направления Оператором ответа на запрос
- подпись субъекта Данных (или его представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
10. Особенности обработки и защиты Данных, собираемых с использованием сети Интернет
10.1. Оператор обрабатывает и защищает Данные, поступающие от пользователей Cайта, в том числе Данные Кандидатов на вакантные должности, а также поступающие на адреса корпоративной почты Оператора.
10.2. Оператор получает Данные с использованием сети Интернет двумя способами.
10.2.1. Предоставление Данных
Предоставление Данных (включая фамилию, имя, возраст (дата рождения), место работы, должность, контактный телефон, адрес электронной почты, адрес и др.) субъектами Данных путем заполнения соответствующих форм на Сайте и посредством направления электронных писем на корпоративные адреса Оператора.
10.2.2. Автоматически собираемая информация
Данные, которые автоматически передаются в процессе использования Сайта с помощью установленного на устройстве пользователя программного обеспечения, в том числе IP-адрес, данные файлов cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к Сайту), технические характеристики оборудования и программного обеспечения, используемых пользователем, дата и время доступа к Сайту, адреса запрашиваемых страниц и иная подобная информация.
10.3. Использование Данных
Оператор вправе пользоваться предоставленными Данными в соответствии с заявленными целями их сбора при наличии согласия субъекта Данных, если такое согласие требуется в соответствии с требованиями законодательства РФ в области Данных.
Полученные Данные в обобщенном и обезличенном виде могут использоваться для лучшего понимания потребностей покупателей товаров и услуг, реализуемых Оператором, и улучшения качества обслуживания.
10.4. Передача Данных
Оператор может поручать обработку Данных третьим лицам исключительно с согласия субъекта Данных.
Также Данные могут передаваться третьим лицам в следующих случаях:
- B качестве ответа на правомерные запросы уполномоченных государственных органов, в соответствии с законами, решениями суда и пр.
- Данные не могут передаваться третьим лицам для маркетинговых, коммерческих и иных аналогичных целей, за исключением случаев получения предварительного согласия субъекта Данных
10. 5. Сайт содержит ссылки на иные веб-ресурсы, в том числе ссылки на социальные сети. Действие Политики не распространяется на такие иные сайты. Пользователям, переходящим по ссылкам на другие сайты, рекомендуется ознакомиться с политиками об обработке Данных, размещенными на таких сайтах.
10.6. Пользователь Сайта может в любое время отозвать свое согласие на обработку Данных, направив письменный запрос по адресу местонахождения Оператора. После получения такого сообщения обработка Данных пользователя будет прекращена, а его Данные будут удалены, за исключением случаев, когда обработка может быть продолжена в соответствии с законодательством.
Заключительные положения
Настоящая Политика является локальным нормативным актом Оператора.
Настоящая Политика является общедоступной. Общедоступность настоящей Политики обеспечивается публикацией на Сайте Оператора.
Настоящая Политика может быть пересмотрена в любом из следующих случаев:
- при изменении законодательства РФ в области обработки и защиты персональных данных
- в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Политики
- по решению руководства Оператора
- при изменении целей и сроков обработки Данных
- при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых)
- при применении новых технологий обработки и защиты Данных (в т. ч. передачи, хранения)
- при появлении необходимости в изменении процесса обработки Данных, связанной с деятельностью Оператора
Настоящая Политика может быть изменена Оператором в одностороннем порядке путем размещения новой редакции в сети Интернет. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики.
В случае неисполнения положений настоящей Политики Оператор и его работники несут ответственность в соответствии с действующим законодательством РФ.
Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки Данных Оператора, а также за безопасность персональных данных.
Требование согласия в России – Securiti
В современном цифровом мире согласие человека считается одним из основных правовых оснований для сбора и обработки персональных данных. Согласие означает, что субъекты данных разрешают организациям собирать и обрабатывать их персональные данные. Точные требования для получения согласия могут варьироваться в зависимости от юрисдикции. Однако большинство глобальных законов о защите данных, основанных на GDPR Европейского союза, требуют, чтобы согласие было предоставлено свободно, конкретно, информировано и недвусмысленно.Такие законы основаны на системе добровольного согласия, требующей от организаций получения согласия субъекта данных до выполнения определенных действий по обработке данных.
Правило по умолчанию в России тоже opt-in. Фактически, Федеральный закон Российской Федерации № 152-ФЗ «О персональных данных», который является основным законодательством о защите данных в России, налагает определенные уникальные требования для получения согласия от субъектов данных. Давайте подробно рассмотрим требования о согласии российской правовой базы по защите данных.
Согласие является одним из оснований на обработку персональных данных:
В соответствии с Федеральным законом № 152-ФЗ «О персональных данных» согласие субъекта данных является одним из десяти оснований для осуществления организациями сбора и обработки персональных данных.
Иные основания, по которым допускается обработка персональных данных:
- Выполнение контракта,
- Соблюдение юридического обязательства,
- Защита жизненно важных интересов субъекта данных,
- Обработка, необходимая для исполнения судебного акта,
- Обработки, необходимые для осуществления полномочий федеральных органов исполнительной власти,
- Обработка, необходимая для статистических или исследовательских целей,
- Обработка для реализации прав и законных интересов контроллера данных,
- Обработка для профессиональной деятельности журналиста или законной деятельности СМИ и
- Обработка подлежит обязательной публикации или раскрытию в соответствии с законом.
Для действий по обработке данных, где требуется согласие, субъекты данных должны иметь возможность добровольно дать согласие на обработку.
В соответствии с законодательством Российской Федерации согласие субъекта данных должно быть:
- Даром
- Специальный
- Информированный
- Добросовестный
Федеральный закон о персональных данных требует, чтобы организации разрешали субъектам данных отзывать свое согласие в любое время. В случае отзыва согласия контролеры данных должны прекратить обработку персональных данных.Если хранение персональных данных больше не требуется, организации должны уничтожить данные в срок, не превышающий тридцати дней с даты получения запроса на отзыв согласия.
Письменное согласие:
В Федеральном законе «О персональных данных» не указан формальный способ получения согласия. Однако для определенных действий по обработке данных согласие должно быть в письменной форме. Эти действия по обработке данных включают следующее:
- Получение согласия на трансграничную передачу данных из России в страны, не обеспечивающие адекватную защиту данных.
- Получение согласия на обработку конфиденциальных персональных данных.
- Получение согласия на обработку биометрических персональных данных.
- Получение согласия на обработку персональных данных для автоматизированного принятия решений.
- Получение согласия на обработку данных работников или передачу данных работников третьим лицам.
Письменное согласие должно содержать следующее:
- Личность субъекта данных, адрес, данные документа, удостоверяющего личность.
- Данные представителя субъекта данных (при наличии).
- Цель обработки персональных данных.
- Список персональных данных, на которые дается согласие.
- Способ переработки.
- Срок действия согласия.
- Подпись субъекта данных.
Согласие на публичное распространение данных:
Март 2021 г. Поправки к Федеральному закону «О персональных данных», вступившие в силу с 1 июля 2021 г., ввели новое требование о согласии на «публично распространяемые данные».Согласно Поправкам, для распространения или разрешения распространения персональных данных неограниченному кругу лиц требуется согласие субъекта данных. Это может иметь значение для компаний или организаций, рассматривающих возможность предоставления персональных данных неопределенному кругу лиц, например, для размещения персональных данных на общедоступном веб-сайте или использования сбора и обработки персональных данных из общедоступных источников.
Поправки также разъясняют следующие обязательства организаций по получению согласия в отношении публично распространяемых данных:
- Согласие на публичное распространение данных должно быть получено отдельно от других видов согласия.
- При получении согласия от субъекта данных контролеры данных должны предоставить субъекту данных возможность выбирать категории персональных данных, которые они разрешают для распространения.
- Согласие на обработку персональных данных для распространения может быть предоставлено напрямую или с использованием информационной системы контролирующего органа (Роскомнадзора).
- Молчание или бездействие субъекта данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных для распространения.
- При предоставлении согласия на публичное распространение данных субъект данных вправе устанавливать запреты на передачу персональных данных, а также запреты на обработку или условия обработки. Эти запреты, однако, не распространяются на доступ, т. е. не препятствуют тому, чтобы контроллер данных позволял третьим лицам получать доступ к персональным данным. Любые запреты, установленные субъектом данных, не распространяются на случаи обработки данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
- Субъект данных имеет право отозвать согласие, и в случае запроса отзыва согласия от субъекта данных передача (распространение, предоставление, доступ) персональных данных должна быть прекращена.
Кроме того, содержание согласия должно содержать определенные элементы, такие как имя субъекта данных, цели обработки персональных данных, категории и списки персональных данных, на которые дается согласие, и срок действия согласия . Кроме того, если персональные данные распространяются и обрабатываются, становятся общедоступными без согласия, бремя доказывания ложится на каждого контроллера данных, который распространял или иным образом обрабатывал данные.
Согласие на прямой маркетинг:
В соответствии с российской системой защиты данных согласие субъекта данных является единственным законным основанием для отправки сообщений прямого маркетинга. Прямой маркетинг может включать обработку персональных данных с целью продвижения товаров и услуг потенциальным потребителям. Во всех случаях требуется предварительное согласие субъекта данных. В случае отзыва согласия на получение маркетинговых сообщений контролер данных должен немедленно прекратить обработку данных и выполнить запрос на отзыв согласия.
Согласие на персональные данные сотрудников:
В соответствии с главой 14 ТК РФ согласие работников должно быть получено в письменной форме. Организации не должны раскрывать персональные данные своих работников третьим лицам без письменного согласия работника (за исключением случаев, когда раскрытие требуется по закону или необходимо для предотвращения угрозы жизни и здоровью работника). Точно так же организации не должны раскрывать личные данные своих сотрудников в коммерческих целях без письменного согласия сотрудника.
Согласие на персональные данные детей:
Федеральным законом «О персональных данных» установлено, что в случае отсутствия у субъекта данных дееспособности согласие на обработку его персональных данных должно быть получено от законного представителя субъекта данных. В соответствии с передовой практикой, распространенной в России, согласие должно быть получено от законного представителя/родителя, если ребенку не исполнилось восемнадцати лет.
Согласие на использование файлов cookie:
Поскольку файлы cookie считаются личными данными, к сбору файлов cookie применяются те же правила.Это означает, что перед использованием необязательных файлов cookie или любых файлов cookie, используемых в маркетинговых целях, необходимо получить предварительное согласие пользователей.
Что дальше?
Организации, стремящиеся соблюдать российское законодательство о защите данных, должны учитывать вышеупомянутые требования согласия.
Решение Securiti Universal Consent Management Solution позволяет маркетологам адекватно рекламировать и продвигать свои продукты в соответствии с требованиями, регистрируя согласие и автоматизируя его отзыв.
Решение Securitiдля баннеров с согласием на использование файлов cookie позволяет компаниям создавать баннеры с согласием на использование файлов cookie в соответствии с применимыми правовыми требованиями при сборе персональных данных для второстепенных целей на цифровых объектах.
Попросите ДЕМО-версию сегодня, чтобы понять, как Securiti может с легкостью помочь вам соблюдать требования о согласии глобальных законов и правил о конфиденциальности данных.
Кроме того, загрузите наш информационный документ о состоянии глобальных требований к согласию, чтобы узнать о требованиях к согласию, характерных для вашей страны.
Последние изменения в регулировании персональных данных в России | Международная сеть юристов
[автор: Ольга Новинская]
Защита персональных данных (ПДн) становится главной темой последних дней, поэтому российское законодательство в этой сфере стремительно меняется. Статья представляет собой обзор обновлений регулирования персональных данных за 3 квартал 2020 года.
ПОПЫТКИ ПРОТИВОДЕЙСТВИЯ СБОРУ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОТРЕБИТЕЛЕЙ
Росздравнадзор разработал поправки в Закон от 07.02.1992 № 2300-1 «О защите прав потребителей», пресечение недобросовестного поведения хозяйствующих субъектов, осуществляющих сбор ПДн клиентов в целях, не связанных с заключением и исполнением договоров.
Законопроектом запрещается отказ в заключении, изменении, расторжении или исполнении договора с покупателем в случае его отказа от предоставления персональных данных продавца. Исключение из этого правила применяется в случаях, когда предоставление персональных данных предусмотрено законом или необходимо для совершения сделки.
Кроме того, проект предоставляет потребителям право требовать объяснений в случае отказа продавца от совершения сделки в связи с его отказом от предоставления персональных данных.
Принятие закона может повлиять на практику использования ПДн хозяйствующими субъектами, взаимодействующими с российскими заказчиками. В частности, продавцу необходимо точно указать данные, необходимые для заключения договора, и быть готовым давать мотивированные разъяснения покупателям.
Доводим до вашего сведения, что упомянутая ранее новая редакция КоАП дополняет данный законопроект штрафами для субъектов хозяйствования, осуществляющих избыточную обработку персональных данных.Вы можете найти наш обзор здесь.
Проект Закона «О внесении изменений в статью 16 Закона Российской Федерации «О защите прав потребителей» (подготовлен Росздравнадзором, идентификатор проекта 04.02.09-20/00108592)
МОЖЕТ БЫТЬ СОКРАЩЕНО КОЛИЧЕСТВО СОГЛАСИЙ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Государственная Дума рассматривает в первом чтении законопроект, которым вводится возможность получения согласия на обработку персональных данных сразу для нескольких целей или несколькими лицами, обрабатывающими данные по поручению оператора.
Авторы законопроекта убеждены, что предлагаемые изменения сократят количество письменных согласий, предоставляемых физическими лицами, и могут оптимизировать цифровое взаимодействие в различных сферах.
Для каждой цели обработки данных должна быть указана следующая информация:
- Список персональных данных;
- Лицо, которое будет осуществлять обработку персональных данных по поручению оператора;
- Описание способов переработки;
- Срок действия согласия;
- Способ отзыва согласия.
Законопроектом также предпринята попытка решить вопрос анонимизации персональных данных. Предлагается возложить на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) определение требований к обеспечению анонимности и ее способам.
Имеется Приказ Роскомнадзора от 09.05.2013 № 996 об обезличивании персональных данных, который распространяется на операторов, являющихся государственными или муниципальными органами. Следует отметить, что, согласно комментариям должностных лиц Роскомнадзора, частные лица не имеют права обезличивать персональные данные.Практический смысл заключается в том, что оператор обязан уничтожить персональные данные в случаях, когда цель обработки достигнута.
Законопроект № 992331-7 «О внесении изменений в Федеральный закон «О персональных данных»
ШТРАФЫ ЗА РАСКРЫТИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ МОГУТ БЫТЬ УВЕЛИЧЕНЫ В 10 РАЗ
Законопроект об усилении ответственности за разглашение информации с ограниченным доступом находится на стадии первого чтения в Государственной Думе РФ.Информация ограниченного доступа включает персональные данные.
Действующая редакция статьи 13.14 КоАП РФ предусматривает штраф до 1000 рублей (около 13 долларов США) для физических лиц и до 5000 рублей (около 65 долларов США) для должностных лиц, если они получили доступ к информации ограниченного доступа в связи с выполнением служебных или профессиональных обязанностей. Как отмечают разработчики закона, такие штрафы незначительны и не достигают цели предотвращения нарушений безопасности данных.
В связи с этим предлагаемые положения значительно увеличили размер штрафов:
- До 10 000 руб. (ок.129 долларов США) для физических лиц,
- До 50 000 рублей (около 646 долларов США) для должностных лиц.
Следует отметить, что работа над новой редакцией Кодекса об административных правонарушениях продолжается. Проект устанавливает новые виды правонарушений в области защиты информации, в том числе нарушение конфиденциальности ПДн, нарушение правил обезличивания ПДн и др. Мы уже писали об этом законопроекте ранее.
Законопроект № 1023005-7 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях »
ВЕРХОВНЫЙ СУД РАЗЪЯСНИЛ ПРАВИЛА ЮРИСДИКЦИИ В ОТНОШЕНИИ ПРЕТЕНЗИЙ О ЗАЩИТЕ ПД
14.07.2020 Верховный Суд Российской Федерации вынес решение по делу, возбужденному Роскомнадзором в интересах гражданина России.Компания Whois Privacy Corp. (Багамские острова) разместила на своем сайте персональные данные гражданина России без его согласия.
Суды первой и апелляционной инстанций пришли к выводу, что заявленные требования связаны с регулированием интернет-ресурса как средства массовой информации и подлежат рассмотрению в административном порядке.
Верховный суд не согласился с таким решением и указал, что требования о защите персональных данных подлежат разрешению в порядке гражданского судопроизводства на основании положений ГПК РФ.Кроме того, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (Закон о персональных данных) позволяет Роскомнадзору предъявлять иски и представлять интересы физических лиц в суде.
Несмотря на то, что Закон о персональных данных не содержит четких положений относительно его территориальной сферы, толкование Верховного суда демонстрирует экстерриториальный принцип в отношении сферы действия Закона о персональных данных. Иностранным компаниям следует учитывать вопросы юрисдикции при обработке персональных данных граждан России.
Постановление Судебной коллегии по гражданским делам Верховного Суда Российской Федерации от 14 июля 2020 г. № 58-КГ20-2
Роскомнадзор опубликовал руководство по обеспечению конфиденциальности для операторов данных
17 августа 2017 г.
Российский орган по защите данных опубликовал руководство для операторов данных по составлению политики конфиденциальности 31 июля.
Российские операторы данных должны принять политику конфиденциальности для соблюдения Российский закон о защите данных.Политика должна описывать, как они обрабатывают персональные данные. Эта политика должна быть опубликована в Интернете, если персональные данные собираются в Интернете. В случае сбора персональных данных в автономном режиме должен быть обеспечен неограниченный доступ к политике.
Политика должна быть детализирована, чтобы субъекты данных знали обо всех возможных действиях.
Согласно руководству политика должна содержать в целом следующую информацию:
- основная цель политики и определения, используемые в политике
- основные права и обязанности оператора данных и субъектов данных,
- цели для персональных данных обработка,
- правовые основания обработки персональных данных
- объем и категории обрабатываемых персональных данных. Для каждой категории субъектов данных Роскомнадзор рекомендует компании перечислить все собираемые и обрабатываемые ею персональные данные, привязанные к конкретным целям, и указать все случаи обработки особых категорий персональных данных или биометрических данных,
- порядок и условия обработки персональных данных,
- процедуры обновления, исправления, удаления или уничтожения персональных данных и
- процедуры ответа на запросы субъектов данных.
Кроме того, руководство регулирует случай передачи персональных данных третьим лицам.Оператор данных должен объяснить принятые меры по защите персональных данных, а также цель передачи, объем персональных данных, подлежащих передаче, ограничения на использование данных и меры безопасности. Кроме того, имя и адрес третьей стороны должны быть опубликованы в политике.
Наконец, следует отметить, что руководство носит рекомендательный характер и не имеет обязательной силы. Тем не менее операторы данных должны строго учитывать эти рекомендации, если они разрабатывают новые политики конфиденциальности в соответствии с Законом о персональных данных.
Минута вопросов и ответов MoFo о конфиденциальности (9 сентября 2021 г.)
Это Минута конфиденциальности MoFo , где мы ответим на вопросы, которые задают нам наши клиенты, в течение шестидесяти секунд или меньше.
Вопрос: Я считаю, что требования о согласии на использование файлов cookie определяются европейским законодательством, в частности Директивой ЕС об электронной конфиденциальности. Но недавно я узнал, что в России также есть требование о согласии на использование файлов cookie. Это действительно так? Если да, то распространяются ли требования на бизнес, который не является российской компанией?
Ответ: Да, в России действительно есть требования о согласии на использование файлов cookie, хотя они вытекают не из законодательства, а из российской судебной практики.Они распространяются как на российские компании, так и на компании, не являющиеся российскими компаниями. При этом требования аналогичны требованиям Директивы ЕС по электронной конфиденциальности.
В 2016 году российские суды постановили, что данные, полученные от посетителей сайта с помощью файлов cookie, считаются персональными данными. На этом основании российский орган по защите данных (Роскомнадзор) требует, чтобы компании запрашивали явное согласие посетителей веб-сайтов на использование файлов cookie для сбора таких данных.
Роскомнадзор, по-видимому, считает согласие необходимым, когда файлы cookie используются для сбора, например, псевдонима пользователя, адреса пользователя или адреса устройства, IP-адреса, поисковых запросов, веб-адреса, введенного пользователем, тем, просмотренных пользователем, идентификатора пользователя , геолокация, операционная система, часовой пояс, тип браузера, язык браузера, глубина цвета экрана, разрешение экрана, поддержка сценариев Java, тип подключения и размер окна браузера.
Применяются российские требования согласия на использование файлов cookie:
- российским юридическим лицам, в этом случае баннер согласия на использование файлов cookie должен показываться всем пользователям, и
- для организаций, которые не находятся в России, но собирают персональные данные от российских пользователей, и в этом случае баннер согласия на использование файлов cookie должен быть представлен только российским пользователям. В этом случае стандартный подход — считать любого пользователя с российским IP-адресом российским пользователем.
Уведомления о файлах cookie и баннеры согласия, которые используются для соблюдения Директивы ЕС о конфиденциальности электронных данных, скорее всего, также могут использоваться для соблюдения требований согласия на использование файлов cookie в соответствии с законодательством России.Однако в этом случае презентация этих решений не должна ограничиваться посетителями из ЕС. Кроме того, российские правила локализации данных также применяются к персональным данным, собираемым с помощью файлов cookie, что может затруднить их соблюдение.
Неясно, насколько активно Роскомнадзор обеспечивает соблюдение требований России относительно согласия на использование файлов cookie. При этом Роскомнадзор включает в свои аудиторские анкеты вопросы о соблюдении требований к файлам cookie.
Возможные денежные штрафы за несоблюдение российских требований согласия на использование файлов cookie относительно невелики:
- При первом нарушении штрафы составляют до (i) штрафа в размере 40 000 рублей в отношении должностного лица компании и (ii) штрафа в размере 150 000 рублей в отношении юридического лица.
- За повторное нарушение предусмотрены штрафы в размере до (i) штрафа в размере 100 000 рублей в отношении должностного лица компании и (ii) штрафа в размере 500 000 рублей в отношении юридического лица.
Положительным моментом является то, что Роскомнадзор обычно дает организациям возможность исправить нарушение своего законодательства о конфиденциальности до наложения штрафов, и в этот момент может быть относительно легко добавить требуемый баннер согласия на использование файлов cookie или расширить сферу применения. тот, который уже действует для Директивы ЕС по электронной конфиденциальности.
Посетите нашу страницу Конфиденциальность + безопасность данных, чтобы просмотреть всю серию A MoFo Privacy Minute или получить дополнительную информацию из нашей библиотеки конфиденциальности и ресурсных центров по кибербезопасности, государственным законам о конфиденциальности и GDPR.
Российский интернет-провайдер подтверждает ляп Роскомнадзора о блокировке Twitter
- png” data-src=”https://cdn.arstechnica.net/wp-content/uploads/2021/03/roskomnadzor-speed-test-to-gulag-dot-link-e1615478144279.png” data-responsive=”https://cdn.arstechnica.net/wp-content/uploads/2021/03/roskomnadzor-speed-test-to-gulag-dot-link-980×417.png 1080, https://cdn.arstechnica.net/wp-content/uploads/2021/03/roskomnadzor-speed-test-to-gulag-dot-link-e1615478144279.png 2560″ data-sub-html=”#caption-1748775″>
Это https://speed.gulag.link/, приложение для тестирования скорости, которое демонстрирует регулирование Роскомнадзором российским пользователям, на которых оно влияет.
Джим Солтер
jpg” data-src=”https://cdn.arstechnica.net/wp-content/uploads/2021/03/translated-speedtest.jpg” data-responsive=”https://cdn.arstechnica.net/wp-content/uploads/2021/03/translated-speedtest-980×740.jpg 1080, https://cdn.arstechnica.net/wp-content/uploads/2021/03/translated-speedtest.jpg 2560″ data-sub-html=”#caption-1748772″>Это версия ГУЛАГа, переведенная Google.ссылка скриншот слева.
Джим Солтер
t.
.Наш источник сообщает нам, что Роскомнадзор распространяет среди всех российских интернет-провайдеров аппаратный пакет, который должен быть подключен сразу за основным маршрутизатором BGP этого интернет-провайдера. У своего небольшого интернет-провайдера пакет Роскомнадзора включает в себя систему глубокой проверки пакетов EcoFilter 4080, пару коммутаторов агрегации 10 Гбит/с российского производства и два сервера Huawei. Согласно нашему источнику, это оборудование является «огромным излишеством» для своей необходимой функции и их опытного уровня трафика — возможно, потому, что «в какой-то момент правительство планировало захватить весь имеющийся трафик.”
В настоящее время пакет Роскомнадзора осуществляет базовую фильтрацию списка запрещенных ресурсов, а с этой недели также начал оперативную модификацию DNS-запросов. Изменение DNS также вызвало проблемы при первом включении — согласно нашему источнику, DNS-запросы YouTube не работали большую часть дня. В конечном итоге Роскомнадзор планирует потребовать от всех российских интернет-провайдеров заменить настоящие корневые DNS-серверы своими собственными, но этот проект встретил сопротивление и трудности.
РекламаС основного BGP-маршрутизатора этого российского интернет-провайдера — к северу от системы Роскомнадзора — этот ресурс Microsoft загружается за 276 мс.
Джим Солтер
png” data-src=”https://cdn.arstechnica.net/wp-content/uploads/2021/03/russia-south-of-roskomnadbox.png” data-responsive=”https://cdn.arstechnica.net/wp-content/uploads/2021/03/russia-south-of-roskomnadbox-980×210.png 1080, https://cdn.arstechnica.net/wp-content/uploads/2021/03/russia-south-of-roskomnadbox.png 2560″ data-sub-html=”#caption-1748773″>
Из-за фильтрующего аппарата Роскомнадзора та же самая загрузка Microsoft занимает более десяти минут!
Джим Солтер
Примененное вчера регулирование Роскомнадзора лучше было бы назвать тарпитом — как видно на скриншотах выше, оно заставило загрузки со всех затронутых доменов ползти со скоростью всего несколько килобайт в секунду.Это делает затронутые домены фактически непригодными для использования, но также может рассматриваться как атака на серверы в этих доменах. Поддержание TCP/IP-соединений потребляет ресурсы памяти и ЦП на подключенных серверах, которых часто бывает меньше, чем чистой пропускной способности, и вполне вероятно, что Роскомнадзор надеялся на негативное влияние на сам Twitter, а также на его собственных граждан.
Однако, как сообщалось вчера и подтверждено нашим источником выше, атака tarpit затронула не только Twitter t.co
домен, как предполагалось, — это затронуло все домены, которые включали подстроку t.co
, например microsoft.com и российский государственный новостной сайт rt.com. Как вы можете видеть на снимках экрана, образец документа, который обычно загружается из Microsoft за четверть секунды, потребовал более десяти минут для загрузки из-за фильтрующего аппарата Роскомнадзора.
Согласно нашему источнику, ошибочная строка блока была наконец исправлена с правильным ограничением совпадений сегодня около 4 часов утра по восточному времени — твиттера.co
по-прежнему затронут, как и предполагалось, но Microsoft, Russia Today и другие сайты с «сопутствующим ущербом» снова могут просматриваться на полной скорости.
Изображение листинга Роскомнадзора
Российский канал заявил, что ему было приказано удалить сообщения о предполагаемом взяточничестве Об этом во вторник сообщил телеканал «Дождь».
Роскомнадзор не ответил на просьбу прокомментировать отчет, и не было немедленного комментария от других СМИ, упомянутых телеканалом «Дождь» https://www.reuters.com/business/media-telecom/russia-declares-media- «outlet-tv-rain-foreign-agent-2021-08-20», который сделал себе имя, освещая уличные протесты против президента Владимира Путина.
В прошлом году власти распорядились о широкомасштабном пресечении политической сети Навального после того, как суд объявил ее «экстремистской» и объявил вне закона.
Правительство также усилило репрессии в отношении средств массовой информации, считающихся «иностранными агентами» — термин, который оно использует для обозначения организаций, финансируемых из-за рубежа, которые, по его словам, занимаются политической деятельностью.
Телекомпания «Дождь», которая входит в число СМИ, признанных «иностранными агентами», заявила, что Роскомнадзор приказал ему удалить шесть сообщений об обвинениях в коррупции, сделанных Навальным в период с 2017 по 2020 год, которые были сочтены нарушающими антиэкстремистское законодательство.
Канал заявил, что ему дали 24 часа на выполнение приказа, и что он снял репортажи.В нем говорится, что нескольким другим отечественным СМИ также было приказано удалить аналогичный контент.
«Это называется цензурой (хотя это по-прежнему запрещено изнасилованной конституцией России)», — сказал Леонид Волков, союзник Навального, который сейчас находится за пределами России. «Роскомнадзор требует изменить реальность, очистить интернет, отменить факты».
Отрицая репрессии, Кремль охарактеризовал российский медиарынок как динамично развивающийся, с множеством различных каналов на выбор.
Перед тем, как в прошлом году его посадили в тюрьму, Навальный создал сеть активистов по всей России и заработал в Интернете, отчасти за счет публикации антикоррупционных расследований в отношении высокопоставленных чиновников, включая Путина. Кремль отрицает какие-либо правонарушения со стороны президента.
(Репортаж Тома Бальмфорта; дополнительный репортаж Глеба Столярова и Антона Зверева; редакция Тимоти Херитэдж)
Ряд крупных биткойн-бирж выразили готовность открыть филиалы в России
Крупные криптовалютные биржи не возражают против открытия представительств в России, предложенного правительством в дорожной карте до конца 2022 года.Об этом ForkLog заявили представители торговых площадок.
Требования, указанные в документе, предусматривают «высадку» иностранных криптовалютных компаний на территории Российской Федерации, обязательство направлять информацию об операциях с цифровыми валютами в Росфинмониторинг в целях противодействия легализации доходов, полученных преступным путем. Дорожная карта также допускает применение закона «О деятельности иностранных лиц в информационно-телекоммуникационной сети Интернет на территории Российской Федерации» к криптоплощадкам.
Директор Binance GR по СНГ Ольга Гончарова в комментарии ForkLog заявила о готовности открыть филиал, представительство или отдельное юридическое лицо в России с регистрацией офиса на сайте Роскомнадзора, «если это будет способствовать удобство пользователей и безопасность операций».
Представители биржи Huobi подчеркнули, что рассмотрят все варианты продолжения работы в России. Они поддержали разработку и внедрение конструктивных правил, которые «помогут повысить доверие» к цифровым активам и биржам среди индивидуальных и институциональных инвесторов.
Платформа AAX не планирует открывать офис в РФ в ближайшее время, но может «начать работу в этом направлении» в случае утверждения нового регламента. Региональный директор платформы в России Антон Гулин в комментарии ForkLog заявил, что некоторые указания правительства выглядят чрезмерными и невыполнимыми в текущих условиях.
В том числе возможность вывода обменных средств только на кошельки, известные регулятору и зарегистрированные в госбазе.Для этого торговой платформе потребуется не только идентифицировать пользователя и сверить его данные с базой данных, но и ограничить транзакции между кошельком клиента и его аккаунтом на бирже.
«Смысл данного требования не совсем ясен. Подавляющее большинство бирж имеют системы, которые проверяют все входящие и исходящие транзакции. Целесообразнее было бы не привлекать к борьбе с «грязными» сделками дополнительные базы, а ввести единый формат взаимодействия регулятора с биржами и провайдерами KYT», — пояснил Гулин.
По его мнению, в действующей трактовке требование идентификации пользователей не уменьшит нелегальный оборот криптовалют, а лишь усложнит процесс рядовому законопослушному трейдеру. Тем самым регулятор смещает акцент с проверки «качества» криптовалют, которыми обмениваются пользователи, в том числе вне бирж.
«При этом не вижу препятствий для выполнения иностранными компаниями требований, направленных на повышение качества обслуживания граждан РФ.Чем ближе требования регулятора к рынку, тем выше вероятность их реализации и эффективной работы на практике», — добавил Антон Гулин.
Представители биржи Coinbase сообщили ForkLog, что у них нет никаких заявлений по этому вопросу.
Российский сегмент рынка криптовалют критичен для крупных бирж, считает Андрей Тугарин, управляющий партнер GMT Legal. Поэтому платформы, заинтересованные в пользователях из РФ, скорее всего, согласятся соблюдать требования регуляторов, поскольку они достаточно типичны и соответствуют рекомендациям ФАТФ.
&# 171;Стоп-фактором может стать отсутствие прозрачных требований для соблюдения Россией требований. Однако сегодня российские законы находятся в процессе модификации, в правительстве созданы рабочие группы. Все это направлено, в том числе, на создание достаточных условий для присутствия крупного криптобизнеса в России», — считает Тугарин.
С юридической точки зрения вполне реально ограничить регистрацию российских пользователей на зарубежных биржах.Для этого достаточно полностью запретить обращение криптовалюты в стране. В этом случае российский пользователь будет рискован для бирж и пройти KYC гражданам России станет сложнее.
«Технически такие ограничения можно обойти, но на этапе проверки биржа сможет отказать в регистрации пользователю с российским паспортом при наличии реальных законных оснований», — пояснил юрист.
При этом, по его словам, пример Китая показывает, что рынок может адаптироваться к любым запретам — китайские пользователи по-прежнему являются клиентами различных криптобирж.
ForkLog также отправил запросы на биржи Bittrex, Bitstamp, Bitfinex, Gate.io, Kraken, OKX, Poloniex, KuCoin и CEX.IO, но не получил оперативных ответов.
Напомним, на прошлой неделе в РФ была утверждена дорожная карта до конца 2022 года, предусматривающая обязательную регистрацию криптоплатформ в стране, а также ответственность за незаконный оборот цифровых активов и уклонение от декларирования сведений о сделках с их.
Ранее в комментарии ForkLog аналитик Exante Владимир Ананьев заявил, что биржа Binance наиболее готова к открытию представительства в России среди других площадок.
В свою очередь, представители биржи тогда подчеркнули, что главным условием выдачи лицензий и создания реестра будет появление прозрачных и понятных для рынка правил игры.