Содержание

Включить в договор согласие на обработку персональных данных

]]>

Подборка наиболее важных документов по запросу Включить в договор согласие на обработку персональных данных (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).

Судебная практика: Включить в договор согласие на обработку персональных данных Открыть документ в вашей системе КонсультантПлюс:
Определение Четвертого кассационного суда общей юрисдикции от 25.02.2020 по делу N 88-4143/2020
Требование: О защите прав потребителей, взыскании стоимости некачественного товара, неустойки, компенсации морального вреда, штрафа.
Обстоятельства: Истец приобрел у ответчика товар, в процессе его эксплуатации проявился недостаток.
Решение: Требование удовлетворено.Проанализировав условия договора оказания услуг по гарантийному ремонту, заключенного между В.М.Н. и ООО “М.Тайм”, суд первой инстанции указал, что истец при передаче телефона для гарантийного ремонта дала свое согласие на выполнение ремонта тем способом, который необходим по регламенту производителя в данном случае (включая ремонт путем замены самого устройства при необходимости), о чем имеется ее подпись в договоре на оказание услуг N от ДД.
ММ.ГГГГ. В ходе проведения диагностики по гарантийному ремонту ООО “М.Тайм” удалось зафиксировать проблему, в системе производителя был размещен гарантийный заказ N на N 64GB, Space Gray GSM iPhone X CI/AR RUS. 02.11.2018 RU661-08694 64GB Space Gray, GSM, iPhone X, CI/AR, RUS серийный номер N был получен от производителя, и работы по гарантийному обслуживанию были завершены в полном объеме, о чем истец была проинформирована по телефону 02.11.2018.

Статьи, комментарии, ответы на вопросы: Включить в договор согласие на обработку персональных данных Открыть документ в вашей системе КонсультантПлюс:
Статья: Какие данные являются персональными: позиция суда
(Бычков А.)
(“Кадровая служба и управление персоналом предприятия”, 2021, N 5)Если бы в договоре с фитнес-клубом было зафиксировано согласие клиента на обработку его персональных данных, включая биометрические, определенными способами, то никаких сомнений в правомерности такой обработки не возникло бы. Вообще отметим, что договор является наиболее гибким и удобным инструментом для выстраивания отношений между участниками гражданского оборота, поскольку позволяет в оптимальной форме урегулировать их отношения, а также предусмотреть порядок действий в конфликтной ситуации.

Нормативные акты: Включить в договор согласие на обработку персональных данных

Соглашение на обработку персональных данных

Общие положения

Настоящим я, далее — «Субъект Персональных Данных», во исполнение требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (с изменениями и дополнениями) свободно, своей волей и в своем интересе даю свое согласие АО «ЭР-Телеком Холдинг» (далее — «Оператор связи», юридический адрес: 614000, г. Пермь, ул. Монастырская, д. 15, ОГРН 1065902028620) на обработку своих персональных данных, указанных при регистрации путем заполнения веб-формы на сайте Оператора связи domru.

market, domru.ru и его поддоменов *. domru.ru (далее — Сайт), направляемой (заполненной) с использованием Сайта.

Под персональными данными я понимаю любую информацию, относящуюся ко мне как к Субъекту Персональных Данных, в том числе мои фамилию, имя, отчество, дату рождения, адрес, образование, профессию, должность, контактные данные (телефон, факс, электронная почта, почтовый адрес). Под обработкой персональных данных я понимаю сбор, запись, систематизацию, накопление, уточнение, обновление, изменение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, хранение).

Цели обработки персональных данных

Обработка персональных данных Субъекта Персональных Данных осуществляется исключительно в целях регистрации Субъекта Персональных Данных в информационных системах Оператора связи, заключения и исполнения Договора на предоставление услуг связи, соблюдения требований ст.  24 Конституции Российской Федерации; Федерального закона № 152-ФЗ «О персональных данных»; Федерального закона № 374-ФЗ «О связи», Постановлений Правительства РФ № 575 «Об утверждении Правил оказания телематических услуг связи», № 32 “Об утверждении Правил оказания услуг связи по передаче данных, с последующим направлением Субъекту Персональных Данных почтовых сообщений, смс-уведомлений, звонков, в том числе рекламного содержания, от Оператора связи, его аффилированных лиц и/или субподрядчиков и иных третьих лиц, информационных и новостных рассылок, приглашений и другой информации рекламно-новостного содержания, а также с целью подтверждения личности и идентификации Субъекта Персональных Данных при взаимоотношениях с Оператором связи.

Правила обработки персональных данных

Датой выдачи согласия на обработку персональных данных Субъекта Персональных Данных является дата отправки регистрационной веб-формы с Сайта Оператора связи. Обработка персональных данных Субъекта Персональных Данных может осуществляться с помощью средств автоматизации и/или без использования средств автоматизации в соответствии с действующим законодательством РФ и внутренними положениями Оператора связи, в т.ч. в том числе Политикой АО «ЭР-Телеком Холдинг» в отношении обработки персональных данных (размещённой на: https://ertelecom.ru/storage/politika-ao-2020_11db90fd.pdf).

Оператор связи принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, а также принимает на себя обязательство сохранения конфиденциальности персональных данных Субъекта Персональных Данных. Оператор вправе привлекать для обработки персональных данных Субъекта Персональных Данных субподрядчиков, иных третьих лиц, а также вправе передавать персональные данные для обработки своим аффилированным лицам, иным третьим лицам, обеспечивая при этом принятие такими субподрядчиками, третьими лицами и аффилированными лицами соответствующих обязательств в части конфиденциальности персональных данных.

Реализованные требования по обеспечению безопасности персональных данных

Я ознакомлен(а), что:

1. настоящее согласие на обработку моих персональных данных, указанных при регистрации на Сайте Оператора связи, направляемых (заполненных) с использованием Cайта, действует в течение действия Договора на предоставления услуг связи и после его расторжения в течение срока, необходимого для исполнения Оператором связи обязательств по хранению документации и сведений о пользователях и абонентах с момента регистрации на Cайте Оператора связи;

2.

согласие может быть отозвано мною на основании письменного заявления, направленного Оператору связи в произвольной форме;

3. предоставление персональных данных третьих лиц без их согласия влечет ответственность в соответствии с действующим законодательством Российской Федерации.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я – Пользователь сайта: howtoeat.ru (далее – Сайт), оставляя свои данные на Сайте, путем заполнения полей онлайн-заявки,

подтверждаю, что указанные персональные данные принадлежат мне лично;

признаю и подтверждаю, что ознакомился с Политикой обработки персональных данных (далее – Политика) и содержащимися в нем условиями обработки персональных данных;

признаю и подтверждаю, что все положения Политики и условия обработки персональных данных мне понятны;

даю согласие на обработку Сайтом предоставляемых персональных данных в целях регистрации на Сайте и/или оформления заказа;

выражаю согласие с условиями обработки персональных данных без каких-либо оговорок и ограничений.

Настоящим Пользователь Сайта в целях:

регистрации/авторизации Пользователя на Сайте;

обработки заказов Пользователя и выполнения ООО «ХАУ ТУ ИТ» (далее – Администрации сайта) взятых на себя обязательств перед Пользователем;

предоставления Пользователю справочной информации;

продвижения продукции, услуг в виде отправки Пользователем сообщений, в т.ч. рассылок;

анализа покупательских особенностей Пользователя,

дает свое согласие ООО «ХАУ ТУ ИТ» на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.

Настоящее согласие предоставляется Администрации сайта, а также третьим лицам, действующим на основании договора с Администрацией сайта, для исполнения обязательств перед Пользователем и только в рамках договоров.

Настоящим Пользователь дает согласие на обработку следующих персональных данных:

фамилия, имя, отчество;

дата рождения;

номера контактных телефонов;

адрес электронной почты;

адрес место доставки заказа/ место проживания;

иной информации, размещенной в свободном доступе в аккаунтах социальных сетей.

Пользователь ознакомлен, что в ходе обработки с персональными данными будут или могут быть совершены следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Передача персональных данных третьим лицам осуществляется в соответствии с действующим законодательством Российской Федерации и соглашением между Сторонами.

Согласие на обработку персональных данных может быть отозвано Пользователем путем направления письменного заявления Исполнителю на электронный адрес: [email protected] .

В случае отзыва Пользователем согласия на обработку персональных данных Исполнитель вправе продолжить обработку персональных данных без согласия Пользователя при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ от 27.07.2006 г. «О персональных данных».

Персональные данные обрабатывается до момента ликвидации Исполнителя либо до момента ликвидации сайта Исполнителя, либо до момента положительного рассмотрения заявления Пользователя об отзыве согласия на обработку персональных данных

Мы принимаем к оплате:

Согласие на обработку персональных данных

СОГЛАСИЕ

на обработку персональных данных

 

Настоящим я, при регистрации в личном кабинете даю свое согласие ООО «Иркутскэнергосбыт», расположенному по адресу: 664033, г. Иркутск, ул. Лермонтова, 257 (далее оператор) на обработку моих персональных данных указанных в электронном виде, на любое действие (операцию) или совокупность действий (операций), совершаемых с моими персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение с использованием средств автоматизации и без использования таких средств в целях приобретения предоставляемых оператором коммунальных услуг, в целях заключения и исполнения договоров, осуществления, возложенных на оператора законодательством РФ обязанностей.

Настоящим я подтверждаю, что переданные мной ООО «Иркутскэнергосбыт» персональные данные фамилия, имя, отчество; данные документа, удостоверяющего личность; идентификационный номер налогоплательщика (ИНН), страховой номер индивидуального лицевого счета (СНИЛС), данные о месте проживания, адресе регистрации, контактные данные (номер телефона, адрес электронной почты), любые иные данные обо мне, которые станут известны в ходе исполнения договоров, а также иная информация обо мне, которая сообщается мной оператору, являются достоверными и обрабатываются в соответствии с заявленной целью.

Настоящим я даю разрешение на обмен (прием, передачу, обработку) моих персональных данных между оператором и третьими лицами в соответствии с заключенными договорами, соглашениями и законодательством Российской Федерации в целях соблюдения моих законных прав и интересов, а также на обработку персональных данных другим лицом при заключении им договора с ООО «Иркутскэнергосбыт», в т.ч. на снятие показаний индивидуальных приборов учета (далее-ИПУ), составление актов, предусмотренных правилами предоставления коммунальных услуг, начисление платы, подготовке и доставке платежного документа.

Настоящим я даю разрешение ООО «Иркутскэнергосбыт» оправлять мне электронные письма/электронные сообщения на указанный мной адрес электронной почты и/или номер мобильного телефона с информацией о плановых отключениях коммунальных услуг, сумме задолженности за потребленные коммунальные услуги, порядке передачи показаний ИПУ и другой информации, необходимой для обеспечения обязательств.

Обработка персональных данных осуществляется до достижения цели обработки, если иное не предусмотрено действующим законодательством. Отзыв согласия осуществляется посредством составления письменного документа и вручения его Оператору под отметку о получении.

В случае уточнения (обновления, изменения) моих персональных данных, обязуюсь уведомить оператора о таких уточнениях, путем направления мной соответствующего письменного уведомления в адрес оператора, не позднее 30 дней с момента уточнения. В случае если сведения об уточнении (обновлении, изменении) моих персональных данных были получены от третьих лиц, то оператор вправе не уведомлять меня об этом.

 

Указанное согласие предоставляется на срок до уведомления Оператора об отзыве настоящего согласия. Отзыв согласия осуществляется посредством составления письменного документа и вручения его Оператору под отметку о получении.

Почему не нужно всегда получать согласие на обработку персональных данных в рамках GDPR

Статья для тех, у кого клиенты в Евросоюзе. Я работаю юристом в компании ISPsystem и уже пару месяцев разбираюсь в тонкостях GDPR. В этой статье поделюсь своими мыслями о нем и расскажу, почему не надо по любому поводу спрашивать у клиента разрешение на обработку персональных данных.

Лайфхак по 152-ФЗ

Для начала небольшое, но важное отступление.

Недавно знакомый из торговой компании попросил посмотреть их договор с веб-студией. Те собирались дорабатывать сайт магазина. Первым делом я открыл техзадание и увидел, что ребята планируют зарегистрировать владельца сайта в Роскомнадзоре как оператора персональных данных. Я подумал: «Они это серьезно?» И сам же ответил: «К сожалению, да».

Такой же совет будет в семи из десяти статей-инструкций по соблюдению закона «О персональных данных» (152-ФЗ). Советчики говорят: «Первым делом подайте заявление о включении в реестр операторов персональных данных». И многие этой рекомендации следуют.

А теперь внимание! Статья 22 того же закона определяет, что если обработка данных необходима для исполнения договора, то уведомлять Роскомнадзор не нужно.

Вы продаёте товары/услуги через интернет? Отлично! Если не используете данные ни для чего больше, то и уведомление в Роскомнадзор подавать не надо. Вот такой простой рецепт.
Ну а теперь к теме.

О GDPR и почве для ошибок

25 мая в силу вступает европейский аналог нашего 152-ФЗ —

GDPR (General Data Protection Regulation)

. Документ касается всех, кто продает на территории Евросоюза товары и услуги. Мы в ISPsystem делаем

ПО для хостинга и дата-центров

, которое покупают по всему миру, в том числе в Евросоюзе. Поэтому для нас тема очень актуальна.

Разобраться в GDPR сложно, а за нарушение грозят штрафы до 20 000 000 евро или 4% от годовой общемировой выручки. Поэтому о нем говорят много, и как в истории со 152-ФЗ дают якобы универсальный совет: «получайте согласие на обработку персональных данных».

Европейский интернет пестрит такими заявлениями (вырвано из контекста):

«You should always get consent for the data you wish to collect. Not only will that meet the requirement of a legal basis to collect, but it’s also a general requirement under the GDPR».

Если перевести совсем вольно, то выходит: «вы должны всегда получать согласие».

После таких статей хочется сделать 100500 «галочек о согласии». Но действительно ли всегда нужно согласие на обработку персональных данных? Нет, не нужно! Как минимум — не всегда.

«Попытайся понять главное. Ложки не существует» ((С) фильм «Матрица»).

Мы привыкли воспринимать согласие пользователя как единственно возможное основание для обработки данных. Но это неверно. Надо воспринимать его как отдельный правовой базис, как одно из оснований. Согласие как зеленка: помогает, но не от всего.

Основания для работы с персональными данными

Обработка персональных данных законна, только если она производится в соответствии с принципами ст. 5 и на основании одного из шести правовых базисов ст. 6 GDPR.

Несмотря на то что слово «согласие» встречается в тексте GDPR 72 раза, это всего лишь одно из оснований обработки, и не более.

Согласно п. 7 ст. 14 нашего 152-ФЗ, оператор (в терминологии GDPR «контролер», лицо, которое определяет цели и средства обработки) тоже должен определить правовые основания и цели обработки персональных данных. Но для этого нужно изучить много нормативов и сослаться на конкретные положения законов. В GDPR проще: закон требует определить только правовой базис.

С позиции ст. 6(1) GDPR к таким базисам относятся:

  • a) согласие субъекта данных на обработку персональных данных для одной или нескольких конкретных целей;
  • b) обработка для исполнения договора, в котором субъект данных является одной из сторон, а равно и в отношении шагов, предшествующих заключению договора;
  • c) обработка необходима для соблюдения законных обязанностей, субъектом которых является контролёр;
  • d) обработка для защиты жизненных интересов субъекта данных, либо иного физического лица;
  • e) обработка в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера;
  • f) обработка для целей обеспечения законных интересов контролёра или третьего лица.

Согласие субъекта данных нужно, только если никакой другой базис не подходит. Везде и всегда его получать не надо. Тем более что по GDPR у субъекта данных должна быть возможность легко изменить свое решение: как поставить галочку, так и снять ее.

Поэтому до начала верстки формы с «галочками» определите, какие данные и зачем вы собираете, установите применимый базис. Откажитесь от сбора информации, которую вы собираете на всякий случай. Не исключено, что после этого вам вообще не потребуется получать согласие на обработку. Об этом и расскажу подробнее.

Персональные данные и договор: обрабатываем и не спрашиваем

Базис по своему содержанию аналогичен российскому законодательству (вспомним историю из введения).

Согласно подп. (b) ст. 6(1) GDPR, если обработка данных необходима для исполнения договора, вы можете без труда — и, главное, без согласия — ее производить. Даже до заключения договора, но при условии, что действия были запрошены самим субъектом данных (например, он отправил заявку).

Здесь стоит сделать ремарку: данные должны обрабатываться только в том объеме, который необходим для исполнения договора. Если информация нужна для заполнения полей CRM, то она остается вне этого базиса.

Простой пример. Компания продает товары через интернет. При оформлении покупки клиент предоставляет персональные данные, магазин обрабатывает их в связи с исполнением договора. Надо получать согласие? Нет, если данные не избыточны и не будут использоваться иным способом.

Необходимо только сообщить пользователю, что данные все-таки обрабатываются, а также рассказать о способах обработки, мерах по защите и ознакомить с иной информацией в соответствии с GDPR (ст. 5, ст. 13, 14).

В форму заказа магазину надо добавить только уведомление об ознакомлении с политикой. Требовать поставить пресловутую галочку о согласии, создавать технические условия с целью возможности подтверждения получения согласия (п. 42 преамбулы) не нужно. Отмечу, что хорошо бы иметь галочку об ознакомлении с политикой.

Однако, если компания хочет использовать персональные данные, например, для точечных рекламных рассылок, то это уже не подпадает под договорный базис. В этом случае обработка имеет две цели, вторая из которых должна строиться на основании согласия или на основании законного интереса (о нем ниже).

Законный интерес или базис без согласия

Вторым наиболее пластичным базисом является «законный интерес» (legitimate interest).

Законный интерес не является новым для сферы защиты данных. Отличия в деталях.

Пункт 47 преамбулы GDPR раскрывает смысл базиса. Думаю, полезно привести его полное содержание. По тексту под «законным интересом» понимается именно сам базис.


«(47) Законные интересы контролёра <…> или третьей стороны могут создать правовые основания для обработки, при условии, что они не имеют преимущественной силы над интересами или основными правами и свободами субъекта данных, с учётом разумных ожиданий субъектов данных, основанных на взаимоотношении с контролёром. Такой законный интерес может иметь место, например, если между субъектом данных и контролёром существуют соответствующие отношения в ситуациях, когда субъект данных является клиентом или является работником. В любом случае наличие законного интереса нуждается в тщательной оценке, в том числе относительно того, может ли субъект данных при сборе персональных данных разумно ожидать, что обработка будет осуществляться для указанной цели <…> Обработка персональных данных, необходимая в целях предотвращения мошенничества, также является законным интересом соответствующего контролёра данных. Обработка персональных данных в целях директ-маркетинга может рассматриваться в качестве обработки, служащей законному интересу».

Выделим основные критерии для применения данного базиса:

  1. Вы преследуете законную цель.
  2. Обработка необходима, то есть цели нельзя достигнуть иным способом.
  3. Обработка сбалансирована, а потенциальный вред не является существенным.
  4. Обработка очевидна для субъекта данных.

Базис многогранный и непростой. Возможные ситуации его применения: предотвращение мошенничества, правовая защита, директ-маркетинг. В случае с директ-маркетингом следует обратиться также к ст. 21 GDPR и актам регулирования электронной коммерции, например,

European Directive 2002/58/EC

.

Для иллюстрации основания законного интереса расскажу про абсурдный случай из российской судебной практики. Суть в двух словах: компания из сферы ЖКХ передала юрфирме данные о неплательщиках, чтобы та подготовила исковое заявление в суд. В свою очередь, один из должников добился привлечения компании к административной ответственности по ст. 13.11 КоАП РФ, так как согласия на передачу своих данных не давал. Абсурд! Фактически 152-ФЗ ущемил права участников гражданского оборота и привел к возможности злоупотребления со стороны должника. Этого бы не случилось, если в законе применялся базис законного интереса. В GDPR он создает вполне законную почву для такой передачи данных.

Базис законного интереса на практике

Предположим, компания-разработчик предоставляет доступ к веб-сервису по лицензии. Персональные данные использует для заключения договора и сбора статистики (не обезличенной). Налицо две цели обработки данных: исполнение договора и улучшение продукта, решение технических проблем.

Первая цель относится к договорному базису (подп. (b) ст. 6(1)) и не требует согласия.

Вторая цель может реализовываться на основании:

а) согласия (подп. (b) ст. 6(1)),
б) базиса законного интереса (подп. (f) ст. 6(1)).

Если компания решит применять базис согласия, ей придется добавить в форму заказа не отмеченный заранее чекбокс. Много ли пользователей согласится предоставлять данные для сбора статистики? Вряд ли.

При применении базиса законного интереса компания только рассказывает о правах, не требуя активных действий (ст. 21 (4) GDPR). Более того, если преобладающий интерес над правами субъекта данных обоснован, компания вправе обрабатывать данные независимо от отказа.

Сможет ли компания ответить на вопросы для применения базиса законного интереса? Проверим:

Цель использования Повышение стабильности продукта для соблюдения интересов лицензиата.
Необходимость Иным способом получить статистику в совокупности необходимых параметров невозможно.
Баланс интересов Обработка сбалансирована, а потенциальный вред не является существенным.
Открытость Обработка данных открытая и очевидная для субъекта данных.

Как видим, у компании есть все основания не получать согласия. Но следует помнить об ограничениях:


  • До сбора персональных данных субъекту должно быть сообщено о целях и законном интересе обработки (пункт (d) ст. 13 (1), пункт (b) ст. 14(2) GDPR). То есть применение должно быть публично мотивировано и документировано.
  • Субъекту данных должно быть предоставлено право на возражение против обработки (ст. 21), право на удаление и ограничение.

С другой стороны, при сборе статистики просто соблюсти закон можно другим способом: обезличить данные. Обработка анонимизированных данных не регламентируется GDPR.

Выводы


  1. Не спешите получать согласие на обработку персональных данных. Сначала ответьте на вопросы: чьи и какие данные вы собираете, с какой целью, какие меры защиты применяете, кому эти данные раскрываете, какой из базисов будет наиболее применим.
  2. Если вы поняли, что собираете избыточные данные, откажитесь от их сбора. Основания для сбора остальных, меры по их защите и потенциальные каналы передачи зафиксируйте в политике обработки персональных данных. Более того, обработку и передачу необходимо документировать. Information Commissioner’s Office рассказывает, как это сделать и рекомендует форму учетного документа.
  3. Если вы собираете данные только для оказания услуг и продажи товаров, то вам не нужно получать согласие (но все еще надо оформить политику и выполнять иные формальности).
  4. Если вы собираете данные еще и для анализа, защиты от мошенничества, нелегальной активности, определите, подпадает ли этот сбор под базис законного интереса, если да, напишите об этом в политике. Или анонимизируйте данные, или, если вам так проще, получайте согласие на обработку.
  5. Получая согласие на обработку, предусмотрите возможность отзыва этого согласия.
  6. Каждое ваше решение должно быть обосновано исходя из специфики вашей деятельности, собираемых данных, а также детально документировано.

GDPR – это крайне обширная тема, детали которой охватить в одной статье невозможно.

Здесь я не коснулся вопросов обработки специальных категорий данных, а также тонкостей и особенностей применения проиллюстрированных базисов, прав и обязанностей сторон, вовлеченных в обработку, вопросы трансграничной передачи и множество иных связанных с GDPR проблем.

GDPR подчеркивает, что персональные данные принадлежат не вам, а субъекту данных. Именно он должен иметь над ними полный контроль — от получения информации, редактирования до права ограничения обработки или удаления.

Главная страница – 404 Страница не найдена

Выберите интересующий Вас вопрос,
чтобы увидеть полную схему системы голосового самообслуживания ПАО «Россети Московский регион»

кнопка 1

Вопросы по отключениям электроэнергии

Переключение на оператора КЦ
ПАО «Россети Московский регион»

кнопка 2

Вопросы по технологическому присоединению

Кнопка 0

Переключение на оператора КЦ
ПАО «Россети Московский регион»

Соединение с оператором
ПАО «Россети Московский регион»

Возможность оставить голосовое сообщение для операторов
ПАО «Россети Московский регион»

Кнопка 1

Получение статуса в автоматическом режиме
(ввод штрихкода)

Кнопка 2

Уведомление о выполнении Технических условий
(ввод штрихкода)

кнопка 3

Вопросы по подаче электронной заявки и работе в личном кабинете

Соединение с оператором
ПАО «Россети Московский регион»

Возможность оставить голосовое сообщение для операторов
ПАО «Россети Московский регион»

кнопка 4

Вопросы по дополнительным услугам

Соединение с оператором
ПАО «Россети Московский регион»

Возможность оставить голосовое сообщение для операторов
ПАО «Россети Московский регион»

кнопка 5

Сообщение о противоправных действиях в отношении объектов ПАО «Россети Московский регион»

Соединение с оператором
ПАО «Россети Московский регион»

Возможность оставить голосовое сообщение для операторов
ПАО «Россети Московский регион»

кнопка 6

Справочная информация

Соединение с оператором
ПАО «Россети Московский регион»

Возможность оставить голосовое сообщение для операторов
ПАО «Россети Московский регион»

Виртуальный помощник

Дача согласия на обработку персональных данных

Наверняка те, кому доводилось заниматься не только практической юриспруденцией, согласятся с высказыванием: «Хочешь понять предмет (учебную дисциплину) — начни преподавать его». Вот мне довелось рассказать студентам про персональные данные (почему и какими судьбами — отдельная история).

В конце первой лекции задал им вопрос на размышление, растянувшийся в итоге в пятнадцатиминутную дискуссию. Вопрос я взял из публиковавшихся тут, на сайте, чтобы показать, насколько всё сложно: возможен ли частичный отзыв согласия на обработку персональных данных? Но доказать эту сложность не получилось: первая же реплика свелась к вопросу о том, зачем давать частичный отзыв, если субъект может в любой момент отозвать согласие на обработку персональных данных (всех) и тут же дать новое, в котором “разрешений” оператору будет содержаться меньше, чем в исходном. Гениальная по своей простоте и чрезвычайно красивая идея. Жалею, что пришла первой не в мою голову 🙂

Как выяснилось спустя четыре дня, мысль крепко засела где-то внутри и искала, за что бы зацепиться. Понял я это, когда однажды проснулся с совершенно неожиданным чётким осознанием факта: ни одна крупная российская социальная сеть не получает согласия пользователей на обработку их персональных данных в том виде, в котором это предусмотрено законом (частью 1 статьи 9 закона о персональных данных).

Это согласие должно отвечать шести требованиям: быть конкретным, информированным, сознательным и даваться субъектом свободно, своей волей и в своём интересе. Сомнения в свободности такого согласия возникли ещё на лекции. Действительно, если пользователю говорят: мы отказываемся заключать с тобой публичный договор, если ты не дашь нам того согласия на обработку персональных данных, которое мы тебе скажем, — то это не что иное, как принуждение к даче согласия. Но есть ещё один момент.

Тогда же, к четвёртому дню, я понял, почему гражданское законодательство не распространяется на отношения между оператором и субъектом. Причина проста: в нём нет равенства сторон. Оператор занимает подчинённую позицию. Он вынужден обрабатывать персональные данные при тех ограничениях, которые дал ему субъект в своём свободно! данном согласии. Ограничения могут касаться перечня персональных данных, способов, срока и целей их обработки, стран, на территорию которых запрещается трансграничная передача, и так далее. И если от пользователя социальной сети не получено согласие на распространение (раскрытие неопределённому кругу лиц) информации о том, находится ли пользователь сейчас «онлайн» (а если нет, то когда был последний раз и с какого устройства), или на сбор номера мобильного телефона (чтобы потом с его помощью можно было бы восстановить утраченный пароль), то ничего из перечисленного делать нельзя.

Поскольку свобода дачи согласия пользователем соцсети на обработку его персональных данных предполагает возможность отказаться от дачи такого согласия, что не должно влиять на обязанность оператора заключить договор (в ст. 426 ГК ничего не говорится про персональные данные), что, осмелюсь предположить, не соблюдается ни одной социальной сетью, — вывод соответствующий. (Скорее всего,) ни одна российская социальная сеть не получает согласия на обработку персональных данных её пользователей, того согласия, которое предусмотрено законом.

Кстати, этот принцип можно распространить и дальше. Например, иду я в банк за кредитом, а мне пихают на подпись чёрт-те что из серии “я согласен, чтобы мои персональные данные обрабатывались до конца света в любых целях, любыми способами и при любых условиях”. И ведь имею полное право гордо отложить в сторону этот псевдоюридический бред, а вместо него дать собственное согласие. Ну, правда, и банк имеет полное право не давать кредит.

А вот на сайте одной микрозаёмной организации обнаружил такое безобразие (это фрагмент согласия на обработку персональных данных, которое, как считают авторы, даётся путём акцепта оферты, то есть получения займа):

Естественно, это согласие даётся субъектом исключительно в своих интересах (и ни в коем случае не подумайте, что в интересах оператора!).

Равно как и вот это чудо, уже от банка:

Напомню, согласие должно быть конкретным, информированным и сознательным и даваться субъектом свободно, в своей воле и в своём интересе. Конкретика так и хлещет из всех щелей этого документа! И, разумеется, субъект исключительно и категорически заинтересован в том, чтобы его персональные данные распространялись — сейчас внимание — в целях получения услуг (или в целях получения информации об услугах банка?). Это вообще, простите, как? Может, я чего-то не знаю про технологию их оказания? При чём тут кредит?..

Спасибо вам, студенты. Открыли глаза 🙂

Когда «необходимо» обрабатывать персональные данные для выполнения контракта?

Европейский совет по защите данных принял окончательные рекомендации по обработке персональных данных, используя законную основу « необходимо выполнить договор » в соответствии со статьей 6 (1) (b) GDPR в контексте предоставления онлайн-услуг. .

Статья 6 (1) (b) GDPR обеспечивает законную основу для обработки персональных данных в той степени, в которой обработка составляет:

  • Необходимо для выполнения контракта , стороной которого является субъект данных; или
  • Для того, чтобы предпринял шаги по запросу субъекта данных до заключения договора.

В Руководящих принципах излагаются элементы законной обработки в соответствии со статьей 6 (1) (b) и делается акцент, в частности, на концепции «необходимости». Они начинают с изучения взаимосвязи между этим правовым основанием и другими обязательствами в соответствии с GDPR.

Законная, справедливая и прозрачная обработка

В Руководстве поясняется, что для того, чтобы обработка персональных данных на этом основании была «законной» [1], договор на предоставление онлайн-услуг должен быть действительным.Например, когда речь идет о детях, обеспечение соблюдения национальных законов, касающихся правоспособности детей заключать контракты.

Требование справедливости и законности обработки также требует от контролера выполнения других связанных юридических обязательств, например, связанных с несправедливыми условиями в потребительских договорах. [2]

В целях соблюдения обязательств по прозрачности в соответствии с GDPR, контролеры должны убедиться, что они избегают путаницы в отношении того, что является правовым основанием, в частности, убедитесь, что субъекты данных не имеют ошибочного впечатления, что они дают свое согласие на обработку их личные данные в соответствии со статьей 6 (1) (a) GDPR, когда они подписывают договор или принимают условия обслуживания. Руководящие принципы напоминают нам, что это две совершенно разные концепции с разными требованиями и последствиями.

Как удовлетворить требования статьи 6 (1) (b) и необходимость

Тест для оценки того, удовлетворяется ли статья 6 (1) (b) как законное основание, заключается в том, является ли обработка « объективно необходимым » для (i) выполнения контракта с субъектом данных; или (ii) для принятия преддоговорных шагов по запросу субъекта данных.

В Руководстве используется узкая интерпретация «необходимости», которая включает «комбинированную, основанную на фактах оценку обработки» для преследуемой цели и рассмотрение того, существует ли какой-либо менее интрузивный способ достижения той же цели.Если да, то обработка не является «необходимой» для выполнения контракта или принятия преддоговорных шагов.

Встраивание ссылок на обработку персональных данных в условия контракта, недостаточно для включения обработки в сферу действия статьи 6 (1) (b), и, наоборот, обработка может быть объективно необходимой для выполнения контракта, даже если это не упоминается в контракте. Контракт не может искусственно расширять категории персональных данных или типы обработки, которые необходимы для выполнения контракта в соответствии со статьей 6 (1) (b), например, путем включения условий, налагающих дополнительные условия, касающиеся рекламы или файлов cookie.Ключевой вопрос заключается в том, является ли обработка объективно необходимой для цели, которая является неотъемлемой частью предоставления контрактных услуг субъекту данных.

Контроллер должен иметь возможность продемонстрировать, что основной предмет конкретного контракта с субъектом данных не может, по сути, выполняться без конкретной обработки соответствующих персональных данных. Следует учитывать разумные ожидания субъекта данных – будет ли обычный пользователь службы разумно ожидать, что обработка будет иметь место для предоставления услуги?

Если несколько отдельных услуг или элементов услуги связаны вместе в одном контракте, но они могут разумно выполняться независимо, то при оценке того, удовлетворяется ли статья 6 (1) (b) в качестве правовой основы, каждая услуга или элемент должны быть оцениваться отдельно, чтобы определить, какая обработка объективно необходима для выполнения этой услуги или элемента.

Практические примеры

Руководящие принципы содержат некоторые более конкретные указания по применению статьи 6 (1) (b) к определенной обработке, например:

  • Поведенческая онлайн-реклама и связанное с ней отслеживание и профилирование субъектов данных, как правило, не являются необходимыми для выполнения контракта на онлайн-услуги, поскольку обычно трудно утверждать, что контракт не может быть выполнен без показа поведенческой рекламы. На статью 6 (1) (b) нельзя полагаться на том основании, что онлайн-реклама косвенно финансирует услугу.Хотя это может способствовать предоставлению услуги, этого недостаточно для подтверждения необходимости выполнения контракта.
  • Персонализация – Персонализация содержимого может быть необходима для выполнения контракта, если она является внутренним и ожидаемым элементом онлайн-службы, а не просто предназначена для увеличения взаимодействия с услугой. Это зависит от характера услуги и ожиданий среднего субъекта данных в свете условий обслуживания, от того, как она продвигается среди пользователей и может ли услуга быть предоставлена ​​без персонализации.
  • Контрактные гарантии – Для выполнения контракта может потребоваться хранение определенных данных в течение определенного времени после обмена товарами или услугами для целей договорных гарантий;
  • Улучшение услуг – Обработка личных данных с целью улучшения услуг, как правило, не является необходимой для выполнения контракта, поскольку услуга может быть предоставлена ​​без сбора этой информации. Однако контролер может полагаться на альтернативное правовое основание, такое как законные интересы или согласие.
  • Предотвращение мошенничества – Обработка персональных данных в целях предотвращения мошенничества может выйти за рамки того, что объективно необходимо для выполнения контракта. Однако такая обработка может соответствовать законным интересам контролера или может быть необходима им для выполнения юридического обязательства.

[1] В соответствии с требованиями статьи 5 (1) (а) GDPR

[2] Например, Директива 93/13 / EEC – Директива о недобросовестных условиях контрактов

Когда разрешена обработка персональных данных?

Правовые основы обработки персональных данных

Для обработки персональных данных всегда требуется правовая основа, которая должна быть определена до начала обработки.После того, как обработка персональных данных была привязана к основанию для обработки, основание не может быть изменено. Основа обработки существенно влияет на права субъектов данных по отношению к контроллеру.

Дополнительная информация: какие права имеют субъекты данных в различных ситуациях

Общий регламент по защите данных (GDPR) содержит шесть оснований, разрешающих обработку персональных данных:

Особые категории персональных данных, такие как данные об этническом происхождении или состоянии здоровья, принципиально запрещены. Однако такая обработка может быть разрешена, если исключение из запрета на обработку предусмотрено GDPR или национальным законодательством.

Дополнительная информация: Обработка особых категорий персональных данных

Согласие субъекта данных

Субъект данных может дать свое согласие на обработку личных данных субъекта данных. Такое согласие должно быть свободно данным, конкретным, информированным и недвусмысленным указанием согласия субъекта данных на обработку относящихся к нему персональных данных.Субъект данных может дать письменное или устное заявление о своем согласии или выразить его каким-либо другим четким позитивным действием, например, отметив поле на веб-сайте. Отозвать согласие должно быть так же легко, как и дать его.

Контроллер должен иметь возможность продемонстрировать, что субъект данных дал законное согласие на операцию обработки.

Дополнительная информация: Согласие субъекта данных

Контракт

Если субъект данных является стороной договора, его или ее личные данные могут быть обработаны для выполнения договора. Если, например, субъект данных заказывает товары через Интернет, компании разрешается обрабатывать его или ее адресные данные для доставки товаров.

Важно определить точное содержание и основную цель контракта, потому что они используются для оценки необходимости обработки. Обработка ограничивается необходимыми персональными данными.

Эта основа для обработки также охватывает операции обработки, выполненные до заключения контракта по запросу субъекта данных.Например, кредитор может обработать данные, необходимые для оценки кредитоспособности, до заключения кредитного соглашения.

Юридическое обязательство

От контролера может потребоваться обработка личных данных для выполнения юридического обязательства. Юридические обязательства могут в равной степени применяться к контролерам в частном и государственном секторах и могут включать, например, обязательство работодателя сообщать информацию о заработной плате своих сотрудников в налоговые органы или обязательство финансовых учреждений сообщать о подозрительных операциях в налоговые органы. власти.

Юридические обязательства могут быть основаны только на законодательстве Союза или государства-члена. Обязательства, основанные на законодательстве третьих стран, не подпадают под эту основу, если они не включены в правовой режим Европейского Союза или государства-члена, например, международным договором.

Защита жизненно важных интересов

Обработка персональных данных разрешается, когда это необходимо для защиты жизненно важных интересов субъекта данных или другого физического лица.Например, защита жизненно важных интересов является подходящей основой для обработки в ситуациях жизни и смерти или в случае угроз, которые могут нанести вред субъекту данных или другому лицу или иным образом нанести вред здоровью.

Обработка персональных данных может быть жизненно важной во время гуманитарных катастроф, таких как стихийные бедствия или эпидемии, когда это может быть необходимо для отслеживания распространения эпидемии.

Общественные интересы и авторитет

Обработка персональных данных разрешена, если этого требуют общественные интересы или осуществление государственных полномочий, возложенных на контролера.Эта основа для обработки может использоваться как в частном, так и в государственном секторах в ситуациях, которые связаны с общественными интересами или осуществлением государственных полномочий в Европейском Союзе или государстве-члене.

Задача, выполняемая в общественных интересах или в государственных органах, должна основываться на законе или других правовых положениях. Например, обработка в общественных интересах может включать обработку персональных данных для научных или исторических исследований или сбор статистики.

Законные интересы контролера

Обработка персональных данных разрешена, когда это необходимо для законных интересов, преследуемых контролером или третьей стороной. Легитимность интереса может быть определена с помощью так называемого теста баланса. В тесте интересы контролера или третьей стороны сопоставляются с интересами и основными правами субъекта данных.

Законный интерес может существовать, например, когда существуют соответствующие отношения между субъектом данных и контролером.На практике это означает, что субъект данных является заказчиком или подчиненным контролера.

Дополнительная информация: Законные интересы контролера

Когда вам разрешено собирать личные данные?

Фильм: Что такое правовая основа?

(Продолжительность: 1:37 мин.)

Содержание фильма соответствует тексту на этой странице.

Персональные данные могут быть собраны только для «конкретных, прямо заявленных и обоснованных целей и не могут впоследствии обрабатываться способом, несовместимым с этими целями». Таким образом, данные, которые собираются для определенной цели, не могут быть использованы позже для совершенно других целей.

Например, компания может оборудовать свои автомобили специальным оборудованием GPS, которое используется для электронной записи о вождении, чтобы упростить ее заявление в Налоговое управление Швеции. Однако работодателю не разрешается использовать данные, которые собирает GPS, для проверки того, как долго сотрудники делают перерывы.

Для обработки личных данных необходимо иметь поддержку в регулировании защиты данных.Это называется имеющим правовое основание. Существуют разные типы юридических оснований, которые может использовать компания. Самые важные из них:

Юридическое обязательство

В определенных случаях компании обязаны регистрировать личные данные, например, для выполнения своих бухгалтерских обязательств в соответствии с Законом о бухгалтерском учете.

Контракт

Трудовые договоры, договоры с клиентами и договоры с поставщиками являются примерами договоров, в соответствии с которыми компания обязана регистрировать и обрабатывать личные данные. Однако компания может зарегистрировать только те данные, которые необходимы для выполнения контракта.

Согласие

Еще одним правовым основанием является согласие, которое означает, что вы спрашиваете человека, о котором идет речь, можете ли вы зарегистрировать информацию, касающуюся его / ее. Согласие в соответствии с положением о защите данных – это «любое свободно данное, конкретное, информированное и недвусмысленное указание на пожелания субъекта данных, посредством которого он или она посредством заявления или четкого позитивного действия означает согласие на обработку персональных данных, относящихся к его или ее”.

Если ваша компания собирается собирать информацию, лицо должно сначала получить четкую информацию о том, какие данные будут собираться и для какой цели они будут использоваться, чтобы затем дать свое согласие.

Уравновешивание интересов

Также возможно обрабатывать личные данные после так называемого баланса интересов. Это тот случай, если компания может показать, что она имеет законный интерес в обработке данных и что этот интерес имеет больший вес, чем право отдельного лица на защиту данных.

Примеры правовых основ

Вот несколько примеров правовых основ, которые можно использовать при обработке персональных данных в различных ИТ-системах:

  • Система заработной платы, правовая основа = договор и юридические обязательства
  • Справочник клиентов, правовое основание = договор (для определенных данных требуется согласие)
  • Веб-сайт, правовое основание = согласие или баланс интересов

Соглашение об обработке данных – Snap Inc.

3. Обязательства Snap

a.Обработка персональных данных клиентов. Snap будет обрабатывать Персональные данные Клиента только в соответствии с Условиями предоставления бизнес-услуг и настоящим Соглашением и не будет использовать или обрабатывать Персональные данные Клиента для каких-либо целей, кроме как в качестве обработчика, назначенного Контроллером данных.

г. Безопасность данных. В соответствии со статьей 32 GDPR, GDPR Великобритании и LGPD, если применимо, и как описано в Приложении 2 к настоящему Соглашению, Snap будет применять и поддерживать все соответствующие технические, административные и организационные меры, необходимые для: (i) обеспечения определенного уровня конфиденциальности и безопасность, соответствующая рискам, связанным с обработкой и характером Персональных данных Клиента; и (ii) предотвращать несанкционированную или незаконную обработку Персональных данных Клиента, случайную потерю, раскрытие, уничтожение или повреждение Персональных данных Клиента.

г. Неразглашение. Snap не будет публиковать, раскрывать или разглашать (и будет гарантировать, что его персонал не будет публиковать, раскрывать или разглашать) Персональные данные Клиента третьим лицам, если Контроллер данных не дал своего предварительного письменного согласия.

г. Конфиденциальность. Snap гарантирует, что только персонал, который может потребоваться для оказания помощи в выполнении своих обязательств в соответствии с Условиями предоставления бизнес-услуг или настоящим Соглашением, будет иметь доступ к Персональным данным Клиента и что такой персонал будет связан соответствующими обязательствами конфиденциальности, и предпримет все разумные шаги. в соответствии с передовой отраслевой практикой для обеспечения конфиденциальности Персональных данных Клиента.

эл. Сотрудничество. Snap обеспечит разумное сотрудничество и помощь Контроллеру данных, поскольку Контроллер данных может обоснованно потребовать, чтобы Контроллер данных выполнял свои обязательства в соответствии со статьями 32–36 GDPR, GDPR Великобритании и LGPD, в зависимости от обстоятельств, в том числе в отношении безопасности данных, уведомление о нарушении данных, оценка воздействия на защиту данных, предварительные консультации с надзорными органами, соблюдение прав субъектов данных, а также любой запрос, уведомление или расследование со стороны надзорного органа, как более подробно описано в настоящем Соглашении.

ф. Субъект данных и запросы надзорных органов. Snap будет информировать Контролера данных незамедлительно и в любом случае в течение двух рабочих дней о любом запросе или жалобе, которые Snap получает от субъекта данных или надзорного органа в отношении Персональных данных Клиента. Snap будет помогать Контроллеру данных, насколько это коммерчески целесообразно, выполнять обязательства Контроллера данных по ответам на запросы субъектов данных и надзорных органов в соответствии с требованиями Закона о защите данных.

г.Оценка воздействия на защиту данных. По запросу Snap предоставит Контроллеру данных коммерчески обоснованную информацию и помощь с учетом характера обработки и информации, доступной Snap, чтобы помочь Контроллеру данных провести оценку воздействия на защиту данных в соответствии с требованиями Закона о защите данных. .

ч. Предоставление доказательств. В течение срока действия настоящего Соглашения и в течение одного года после этого Snap будет предоставлять Контроллеру данных или международно признанной аудиторской фирме, действующей от имени Контроллера данных, всю информацию, разумно необходимую для демонстрации соблюдения Snap настоящего Соглашения, и Snap будет разрешать и вносить свой вклад в аудиты, проводимые Контроллером данных или его представителями, которые связаны соответствующими обязательствами конфиденциальности; если: (i) Контроллер данных направляет Snap письменное уведомление не менее чем за десять рабочих дней; (ii) такая проверка проводится в обычные рабочие часы Snap и таким образом, чтобы не создавать необоснованного вмешательства в нормальные бизнес-операции Snap; (iii) такая проверка длится не более трех рабочих дней; (iv) ни при каких обстоятельствах Контроллер данных (или, во избежание сомнений, любой уполномоченный сторонний аудитор) не имеет права на доступ или получение частной или конфиденциальной информации Snap, за исключением случаев, когда это строго необходимо для демонстрации соблюдения настоящего Соглашения; и (v) Контроллер данных обязан возместить Snap за документально подтвержденные разумные расходы Snap, если в ходе аудита будет установлено, что Snap соблюдает условия настоящего Соглашения.В случае, если аудит определит, что Snap не соблюдает условия настоящего Соглашения, Snap будет обязан оплатить все разумные расходы на такой аудит.

и. Вернуть или уничтожить личные данные клиента. После выполнения обязательств Snap в отношении обработки Персональных данных Клиента в соответствии с настоящим Соглашением или по запросу Контроллера данных в любое время в течение срока действия настоящего Соглашения (и, если Контроллер данных этого требует, через регулярные промежутки времени, установленные Контроллером данных ), Snap: (i) вернет все или часть Персональных данных Клиента, которыми владеет Snap, Контроллеру данных; (ii) сделать все или часть Персональных данных Клиента анонимными таким образом, чтобы эти данные больше не являлись персональными данными; или (iii) безвозвратно удалить или сделать все или часть Персональных данных Клиента нечитаемыми.По запросу Контроллера данных Snap должен предоставить Контролеру данных письменное подтверждение анонимности, возврата и удаления Персональных данных Клиента.

Дж. Хешированные персональные данные клиентов. Если Snap получает Персональные данные Клиента в хэшированном или иным образом обфусцированном формате, Snap: (i) не будет пытаться реконструировать или иным образом повторно идентифицировать хешированные или запутанные Персональные данные Контроллера данных, если Контроллер данных не проинструктирует Snap сделать это; и (ii) передавать Персональные данные Клиента только в формате, полученном Snap от Контроллера данных.

Когда можно обрабатывать личные данные?

Какое правовое основание вам следует использовать, зависит от двух вещей:

  1. Тип обрабатываемых вами персональных данных. Правила защиты данных различают личные данные и конфиденциальные личные данные. Закон о защите данных также предусматривает особые правила, среди прочего, для обработки номеров социального страхования. Вы можете узнать больше об этой категоризации в разделе «Что такое личные данные?».
  2. Ситуация, при которой обработка персональных данных необходима.Это исполнение контракта? Юридическое обязательство? Это вопрос выполнения задач государственного органа? Часто контекст обработки персональных данных определяет, какая правовая основа имеет отношение к контроллеру.

Юридические основы

Персональные данные могут обрабатываться без согласия, если это необходимо для целей:

  1. Договор с субъектом данных
  2. Юридические обязательства контролера
  3. Жизненно важные интересы субъекта данных или другого физического лица
  4. Задача в общественных интересах или осуществление государственной власти
  5. Законный интерес, не превышающий интересы или права субъекта данных;

Пункт 5 не распространяется на обработку персональных данных государственными органами и чаще всего не должен использоваться для обработки персональных данных, касающихся детей.

Обработка конфиденциальных персональных данных

Термин «конфиденциальные персональные данные» охватывает, в частности, расу, политические убеждения, религиозные убеждения, информацию о здоровье и сексуальную ориентацию.

Как правило, обработка конфиденциальных персональных данных запрещена, но есть ряд исключений из этого запрета.

Во-первых, конфиденциальные личные данные могут обрабатываться без согласия, если субъект данных опубликовал данные заранее.

Кроме того, вы можете обрабатывать конфиденциальные личные данные, если это необходимо для целей:

  1. Обязанности и права контролера или субъекта данных
  2. Жизненные интересы субъекта данных или другого физического лица, если согласие невозможно;
  3. Отношение политической, философской, религиозной или профсоюзной некоммерческой организации к информации о членах
  4. Решение или рассмотрение судебного иска
  5. Основные социальные интересы
  6. Обработка медицинских профессий в сфере здравоохранения
  7. Обработка для архивов, научных или исторических исследований или для статистических целей

Помимо наличия правовой основы (см. Выше) для обработки конфиденциальной информации, вы также должны иметь возможность определить одно из исключений из запрета на обработку конфиденциальных данных.

Согласие

Как правило, обработка персональных данных всегда возможна, если субъект данных дал согласие.

Однако для того, чтобы согласие было действительным, оно должно быть добровольным, конкретным, информированным и явным. Это означает, среди прочего, что согласие не может быть дано молча и что отказ от согласия не может иметь связанных (ненужных) негативных последствий.

Кроме того, согласие всегда можно отозвать. Таким образом, согласие не всегда является наиболее подходящим правовым основанием.Кроме того, если вы инициировали обработку на основании согласия, вы обычно связаны целью, для которой субъект данных был проинформирован при получении согласия.

Термин «согласие» широко используется вне закона о защите данных, и его значение и требования к его действительности могут различаться. Если вы основываете обработку персональных данных на согласии, важно, чтобы вы соответствовали требованиям для получения согласия на защиту данных. Например, согласия, не связанные с защитой данных, используются в сфере здравоохранения или социального управления.Однако это часто относится к операциям обработки, когда согласие не является правовой основой для обработки, но когда, например, законодательство дает субъекту данных возможность воздержаться от обработки.

Обработка данных об уголовных преступлениях и номер социального страхования (номер СПП)

Информация об уголовных преступлениях не может обрабатываться государственной администрацией, за исключением случаев, когда это необходимо для выполнения задач органа.Кроме того, информация не может быть разглашена за исключением случаев:

  1. Субъект данных дал свое явное согласие на раскрытие,
  2. Раскрытие информации должно быть сделано для защиты частных или общественных интересов, которые явно превышают интересы, оправдывающие секретность, включая интересы субъекта данных,
  3. Раскрытие информации необходимо для осуществления деятельности органа или требуется для принятия решения органом; или
  4. Раскрытие информации необходимо для публичного выполнения частных или корпоративных задач.

Частные органы могут обрабатывать данные об уголовных преступлениях, если субъект данных дал свое явное согласие. Кроме того, обработка может происходить там, где это необходимо для защиты законного интереса, и этот интерес явно превышает рассмотрение субъекта данных. Частные организации не могут раскрывать информацию без явного согласия субъекта данных. Однако раскрытие информации может осуществляться без согласия, если оно предназначено для защиты общественных или частных интересов, в том числе интересов заинтересованного лица, которые явно выходят за рамки интересов конфиденциальности.

Государственные органы могут обрабатывать информацию о личном идентификационном номере для целей уникальной идентификации или в качестве регистрационного номера.

Частные лица могут обрабатывать персональные данные только когда:

  1. Следует из законодательства,
  2. Субъект данных дал свое согласие в соответствии со статьей 7 Регламента о защите данных;
  3. Обработка осуществляется исключительно в научных или статистических целях или в случае раскрытия информации, относящейся к идентификации личности, когда передача является естественной частью нормальной работы предприятий и т. Д.такого рода, и когда раскрытие важно для обеспечения однозначной идентификации субъекта данных или раскрытие требуется государственным органом; или
  4. Условия, изложенные в § 7, выполнены.

Персональные идентификационные номера не могут быть опубликованы, если не было дано согласие в соответствии со статьей 7 Общего регламента защиты данных.

Основные требования к обработке

Важно знать, что понятие «обработка» охватывает ряд различных способов обработки личных данных.Если у вас есть право выполнять одну конкретную форму обработки данных – например, сбор – это автоматически не означает, что вы также имеете право выполнять другие формы обработки – например, раскрытие – тех же данных.

Как правило, нет никаких сомнений в том, что, когда государственный орган или частная компания должны собирать определенную информацию, они также должны систематизировать, регистрировать, использовать и удалять ее. Однако не очевидно, что информация также может быть раскрыта другим лицам.Эти вопросы необходимо оценивать отдельно.

Кроме того, для обработки персональных данных предварительным условием является выполнение общих и основных принципов. Эти принципы не обеспечивают правовой основы для обработки персональных данных, но всегда должны соблюдаться в случае обработки в соответствии с правилами защиты данных.

Особые формы обработки

Ряд операций по обработке данных регулируется Законом о защите данных.

Это:

  • Правовые информационные системы (§ 9)
  • Обработка для статистических или научных исследований (статья 10)
  • Трудовые отношения (статья 12)
  • Маркетинг (§ 13)
  • Архивы (§ 14)
  • Агентства кредитной информации (§§ 15-21)

Заявление о конфиденциальности SAP

Кто является контролером данных? Контроллер данных www.sap.com – SAP America, 3809 West Chester Pike, Suite 200, Newtown Square, PA 19073, США («SAP»).Если регистрационная форма представлена ​​на этом веб-сайте, контроллер данных может варьироваться в зависимости от фактического предложения или цели сбора данных, но в любом случае он отображается в заявлении о конфиденциальности индивидуальной регистрационной формы. С ответственным за защиту данных SAP Group можно связаться по адресу [email protected].

Какие личные данные собирает SAP? Когда вы посещаете веб-сайты SAP, SAP сохраняет определенную информацию о вашем браузере, операционной системе и вашем IP-адресе.

Если вы используете регистрационную форму, SAP будет собирать информацию, которую вы предоставляете SAP, которая включает ваше имя и фамилию, адреса электронной почты, номера телефонов, местонахождение (страна, штат / провинция, город), название компании, должность и роль, отдел и функция, текущие отношения с SAP и отраслью вашей компании. Если вы предоставляете номер кредитной карты или банковские реквизиты для заказа товаров или услуг в SAP, SAP будет собирать эту информацию для обработки вашего платежа за запрошенные товары или услуги.

Зачем SAP ваши личные данные? SAP требует, чтобы ваши Персональные данные предоставили вам доступ к этому сайту; для доставки любых заказанных товаров или услуг; и соблюдать установленные законом обязательства, включая проверки, требуемые применимым экспортным законодательством. Дополнительную информацию о том, почему SAP нужны ваши Персональные данные, можно найти в Разделе B ниже, если SAP использует ваши Персональные данные на основании официального разрешения. Дополнительную информацию о том, зачем SAP нужны ваши Персональные данные, можно найти в Разделе C ниже, если SAP использует ваши Персональные данные на основании вашего согласия.Если SAP использует ваши Персональные данные на основе согласия, информацию в этом Заявлении о конфиденциальности о соответствующих заявлениях о согласии для определенных типов использования Персональных данных также можно найти в Центре ресурсов для получения согласия. В общем случае и хотя предоставление Персональных данных является добровольным, SAP может быть не в состоянии выполнить или удовлетворить ваш запрос без этого; например, SAP может потребовать ваши Персональные данные для обработки размещенного вами заказа или для предоставления вам доступа к запрошенному вами веб-предложению.В этих случаях SAP не может удовлетворить ваш запрос без определенных Персональных данных.

Обратите внимание, что вы можете заказывать товары или услуги без согласия на дальнейшие маркетинговые операции SAP.

От каких типов третьих лиц SAP получает персональные данные? В большинстве случаев SAP собирает ваши персональные данные. SAP также может получать Персональные данные от третьей стороны, если это разрешено применимым национальным законодательством.SAP будет обрабатывать эти Персональные данные в соответствии с настоящим Заявлением о конфиденциальности, а также любыми дополнительными ограничениями, налагаемыми третьей стороной, предоставившей их SAP, или применимым национальным законодательством. Эти сторонние источники включают в себя:

  • Деловые отношения SAP и / или SAP Group с вашим работодателем
  • третьи стороны, которых вы направили для передачи ваших Персональных данных SAP

Как долго SAP будет хранить мои Персональные данные ? SAP будет хранить ваши Персональные данные только до тех пор, пока это необходимо:

  • для предоставления вам запрошенных товаров и услуг, включая использование сока.com;
  • для SAP для выполнения своих законодательных обязательств, вытекающих, в частности, из применимого экспортного законодательства;
  • до тех пор, пока вы не возразите против такого использования SAP, если использование SAP ваших Персональных данных основано на законных деловых интересах SAP, как указано в настоящем Заявлении о конфиденциальности;
  • до тех пор, пока вы не отзовете свое согласие, предоставленное в этом Заявлении о конфиденциальности, если SAP обрабатывает ваши Персональные данные на основании вашего согласия

SAP также будет хранить ваши Персональные данные в течение дополнительных периодов времени, если это требуется по обязательному закону для более длительного хранения ваших Персональных данных или где ваши Персональные данные необходимы SAP для отстаивания или защиты от судебных исков.SAP будет хранить ваши Персональные данные до конца соответствующего периода хранения или до урегулирования спорных претензий.

Кто является получателем ваших Персональных данных и где они будут обрабатываться? Ваши Персональные данные будут переданы следующим категориям третьих сторон для обработки ваших Персональных данных:

  • компаний в составе SAP Group
  • сторонних поставщиков услуг; например, для консультационных услуг и других дополнительных сопутствующих услуг, для предоставления веб-сайта или рассылки информационных бюллетеней

В рамках глобальной группы компаний, работающих на международном уровне, SAP имеет аффилированные лица («Группа SAP») и сторонних поставщиков услуг. за пределами Европейской экономической зоны («ЕЭЗ») или из региона с юридическим ограничением международной передачи данных и будет передавать ваши Персональные данные в страны за пределами ЕЭЗ.Если эти переводы осуществляются в страну, для которой Комиссия ЕС не вынесла решения о достаточности, SAP использует стандартные договорные положения ЕС, чтобы по договору требовать для ваших Персональных данных уровень защиты данных, соответствующий ЕЭЗ. Вы можете получить копию (отредактированную для удаления коммерческой или нерелевантной информации) таких стандартных договорных положений, отправив запрос по адресу [email protected]. Вы также можете получить дополнительную информацию от Европейской комиссии о международном измерении защиты данных здесь.

Каковы ваши права на защиту данных?

Вы можете в любое время запросить у SAP доступ к информации о том, какие Персональные данные SAP обрабатывает о вас, а также об исправлении или удалении таких Персональных данных. Однако обратите внимание, что SAP может или удалит ваши Персональные данные только в том случае, если у SAP нет установленных законом обязательств или преимущественного права на их хранение. Обратите внимание, что если вы запросите у SAP удаление ваших Персональных данных, вы не сможете продолжать использовать какие-либо службы SAP, требующие использования SAP ваших Персональных данных.

Если SAP использует ваши Персональные данные на основании вашего согласия или для выполнения договора с вами, вы можете дополнительно запросить у SAP копию Персональных данных, которые вы предоставили SAP. В этом случае, пожалуйста, свяжитесь с адресом электронной почты, указанным ниже, и укажите информацию или действия по обработке, к которым относится ваш запрос, формат, в котором вы хотели бы получить эту информацию, и должны ли Персональные данные быть отправлены вам или другому получателю. SAP внимательно рассмотрит ваш запрос и обсудит с вами, как лучше всего его выполнить.

Кроме того, вы можете запросить у SAP, чтобы SAP ограничила ваши Персональные данные от дальнейшей обработки в любом из следующих событий: (i) вы заявляете, что Персональные данные SAP о вас неверны, с учетом времени SAP требует проверки точности соответствующих Персональных данных, (ii) для обработки ваших Персональных данных SAP отсутствует правовая основа, и вы требуете от SAP ограничить дальнейшую обработку ваших Персональных данных, (iii) SAP больше не требует ваших Персональных данных, но вы заявите, что вы требуете от SAP хранить такие данные, чтобы требовать или осуществлять законные права или защищаться от претензий третьих лиц, или (iv) если вы возражаете против обработки ваших Персональных данных SAP на основании законных интересов SAP (как дополнительно установлено ниже в разделе B), с учетом времени, необходимого SAP, чтобы определить, есть ли у нее преобладающий интерес или юридическое обязательство в обработке ваших Персональных данных.

Тем не менее, обратите внимание, что SAP может или будет удалять ваши Персональные данные только в том случае, если нет установленных законом обязательств или преимущественного права SAP на их хранение. Пожалуйста, обратите внимание, что если вы потребуете, чтобы SAP удалила ваши Персональные данные, вы не сможете продолжать использовать какие-либо услуги SAP, требующие использования SAP ваших Персональных данных.

Как вы можете реализовать свои права на защиту данных? Пожалуйста, направляйте любые запросы по реализации ваших прав на webmaster @ sap.com.

Как SAP будет проверять запросы на реализацию прав на защиту данных? SAP предпримет шаги, чтобы удостовериться, что ваша личность будет подтверждена с разумной степенью уверенности, прежде чем она обработает право на защиту данных, которое вы хотите использовать. Когда это возможно, SAP сопоставляет Персональные данные, предоставленные вами при отправке запроса на осуществление ваших прав, с информацией, которая уже хранится в SAP. Это может включать сопоставление двух или более точек данных, которые вы предоставляете при отправке запроса, с двумя или более точками данных, которые уже обслуживаются SAP.

SAP откажется обрабатывать запросы, которые являются явно необоснованными, чрезмерными, мошенническими или не требуются местным законодательством.

Право на подачу жалобы. Если вы считаете, что SAP не обрабатывает ваши Персональные данные в соответствии с требованиями настоящего Заявления о конфиденциальности или применимыми законами о защите данных, вы можете в любое время подать жалобу в орган по защите данных страны ЕЭЗ, в которой вы проживаете. или в орган по защите данных страны или штата, в котором зарегистрировано местонахождение SAP.

Могу ли я использовать товары и услуги SAP, если я несовершеннолетний или ребенок?

Дети . Как правило, веб-сайты и онлайн-сервисы SAP не предназначены для пользователей младше 16 лет или эквивалентного минимального возраста в соответствующей юрисдикции. Если вам меньше 16 лет, вы не можете зарегистрироваться и использовать эти веб-сайты или онлайн-сервисы.

Ваши права в соответствии с GDPR

Защита данных является основным правом, изложенным в статье 8 Хартии основных прав ЕС, которая гласит:

  1. Каждый имеет право на защиту своих личных данных.
  2. Такие данные должны обрабатываться справедливо для указанных целей и на основе согласия заинтересованного лица или на каком-либо другом законном основании, установленном законом. Каждый имеет право доступа к собранным в отношении него данным и право на их исправление.
  3. Соблюдение этих правил подлежит контролю со стороны независимого органа.

Это означает, что каждый человек имеет право на защиту своей личной информации, ее справедливое и законное использование и предоставление к ней доступа, когда они запрашивают копию.Если человек считает, что его личная информация неверна, он имеет право попросить исправить эту информацию.

Для обработки персональных данных организации должны иметь законное основание. Законные основания для обработки персональных данных изложены в статье 6 GDPR. Шесть законных причин для обработки персональных данных:

  1. Согласие.
  2. Для выполнения договора.
  3. Для того, чтобы организация выполняла юридические обязательства.
  4. Если обработка персональных данных необходима для защиты жизненно важных интересов человека.
  5. Если обработка персональных данных необходима для выполнения задачи, выполняемой в общественных интересах.
  6. В законных интересах компании / организации (за исключением случаев, когда эти интересы противоречат интересам или правам и свободам человека или наносят им ущерб).

Любая одна из шести приведенных выше причин может служить законным основанием для обработки персональных данных.

Вкладки сбоку на этой странице приведут вас к более подробной информации о:

  • ваши личные права при защите данных;
  • , как реализовать эти права для себя; и
  • , как сообщить о проблеме в Комиссию по защите данных в случаях, когда вы считаете, что ваши права не соблюдаются.