Содержание

Статья 10. Специальные категории персональных данных / КонсультантПлюс

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 настоящей статьи.

(в ред. Федерального закона от 24.04.2020 N 123-ФЗ)

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;

(п. 2 в ред. Федерального закона от 30.

12.2020 N 519-ФЗ)

2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

(п. 2.1 введен Федеральным законом от 25.11.2009 N 266-ФЗ)

2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ “О Всероссийской переписи населения”;

(п. 2.2 введен Федеральным законом от 27.07.2010 N 204-ФЗ)

2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

(п. 2.3 введен Федеральным законом от 25.07.2011 N 261-ФЗ, в ред. Федерального закона от 21.07.2014 N 216-ФЗ)

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

(п. 3 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

(п. 6 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

(п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

7.1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;

(п. 7.1 введен Федеральным законом от 23.07.2013 N 205-ФЗ)

8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

(п. 8 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;

(п. 9 введен Федеральным законом от 25.07.2011 N 261-ФЗ)

10) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.

(п. 10 введен Федеральным законом от 04.06.2014 N 142-ФЗ)

2.1. Обработка персональных данных, касающихся состояния здоровья, полученных в результате обезличивания персональных данных, допускается в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года N 123-ФЗ “О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона “О персональных данных” и Федеральным законом от 31 июля 2020 года N 258-ФЗ “Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации”, в порядке и на условиях, которые предусмотрены указанными федеральными законами.

(часть 2.1 введена Федеральным законом от 24.04.2020 N 123-ФЗ; в ред. Федерального закона от 02.07.2021 N 331-ФЗ)

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

Статья 10. Специальные категории персональных данных

Читайте также

Статья 74-1 . Обработка персональных данных с наруше нием законодательства о защите персональных данных

Статья 74-1.

Обработка персональных данных с нарушением законодательства о защите персональных данных (1) Несоблюдение требований по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных влечет наложение штрафа

Статья 85. Понятие персональных данных работника. Обработка персональных данных работника

Статья 85. Понятие персональных данных работника. Обработка персональных данных работника Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.Обработка персональных данных работника

Статья 88. Передача персональных данных работника

Статья 88. Передача персональных данных работника При передаче персональных данных работника работодатель должен соблюдать следующие требования:не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев,

Статья 85.

Понятие персональных данных работника. Обработка персональных данных работника

Статья 85. Понятие персональных данных работника. Обработка персональных данных работника Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.Обработка персональных данных работника

Статья 88. Передача персональных данных работника

Статья 88. Передача персональных данных работника При передаче персональных данных работника работодатель должен соблюдать следующие требования:не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев,

Статья 5. Принципы обработки персональных данных

Статья 5. Принципы обработки персональных данных Комментарий к статье 51. Комментируемой статьей законодатель устанавливает основополагающие начала в работе с персональными данными, сбор и обработка которых осуществляется на законных основаниях. Последние

Статья 6. Условия обработки персональных данных

Статья 6. Условия обработки персональных данных Комментарий к статье 61. Соблюдение принципов обработки персональных данных, представленных предшествующей статьей, не является единственным условием, гарантирующим защищенность прав и законных интересов граждан, чьи

Статья 7. Конфиденциальность персональных данных

Статья 7. Конфиденциальность персональных данных Комментарий к статье 71. Обеспечение конфиденциальности персональных данных в процессе их обработки наряду с установленными принципами работы с ними и получением согласия на обработку является обязательным условием,

Статья 8.

Общедоступные источники персональных данных

Статья 8. Общедоступные источники персональных данных Комментарий к статье 81. По смыслу комментируемого Закона общедоступными признаются источники персональных данных, доступ к которым не ограничен и не требует получения предварительного согласия субъектов

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных Комментарий к статье 91. Комментируемая статья определяет порядок, условия и основания получения согласия субъекта персональных данных на их обработку. Законодатель подчеркивает, что

Статья 12. Трансграничная передача персональных данных

Статья 12. Трансграничная передача персональных данных Комментарий к статье 121. Законопроект определяет принципы трансграничной передачи персональных данных. Эти принципы гармонизированы с основными международно-правовыми актами в области персональных данных, что

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации Комментарий к статье 151. Комментируемая статья своим содержанием апеллирует к положениям ст.150 ГК

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных Комментарий к статье 161. Комментируемая статья определяет права субъектов персональных данных по отношению к принятию

Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных

Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных Комментарий к статье 201. Нормы комментируемой статьи во

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных Комментарий к статье 211. Положения комментируемой статьи определяют процедуру

Статья 22. Уведомление об обработке персональных данных

Статья 22. Уведомление об обработке персональных данных Комментарий к статье 221. Процедура уведомления об обработке персональных данных по смыслу комментируемого Закона выступает одной из гарантий соблюдения прав и законных интересов субъектов персональных данных в

Какие персональные данные являются общедоступными | Что такое общедоступные персональные данные

Каждый день физические лица предоставляют личную информацию в различные инстанции. За обработку сведений отвечают операторы персональных данных. Это банки, работодатели, медицинские организации, интернет-сайты и другие структуры. В соответствии с законом операторы обязаны защищать персональную информацию. Для создают источники, где содержатся общедоступные персональные данные (ПД).

Что такое общедоступные ПД?

К общедоступным относят сведения о человеке, которые он или она самостоятельно предоставляет в инстанции. Чтобы к открыть свободный доступ к информации, требуется письменное разрешение человека – субъекта персональных данных. Субъект – это физическое лицо, ПД которого собирает, хранит и обрабатывает оператор. Оператор – это юридическое или физическое лицо, муниципальный или государственный орган власти.

К общедоступным ПД относят сведения о субъекте, по которым его можно идентифицировать:

  • ФИО;
  • дата и место рождения;
  • домашний адрес;
  • номер телефона;
  • профессия;
  • индивидуальный налоговый номер;
  • место работы или учебы и другие сведения.

В состав общедоступных данных может входить любая информация, которая с точки зрения закона не является конфиденциальной. ПД субъекта могут классифицироваться по объему и степени важности информации личного характера.

К общедоступным данным относится также персональная информация, которая предоставляется:

  • при трудоустройстве, заключении контракта или трудового договора;
  • во время переписи населения;
  • при оформлении договорных отношений во время торговых операций и других подобных ситуациях.

Персональные данные субъекта, которые распространяются через СМИ, не относятся к конфиденциальным, так как являются общедоступными в соответствии с «Перечнем сведений конфиденциального характера».

Письменное согласие субъекта на получение, передачу, обработку и другие действия с ПД требуется не всегда. В отдельных случаях, например, при участии в анкетировании или подписке на новостную рассылку, достаточно поставить галочку в графе, которая разрешает использование ПД.

Данные общего типа допускает размещать в источниках, которые являются общедоступными. Это означает, что источники просматривает и использует огромное количество заинтересованных лиц. Пример такого источника – телефонные справочники.

Обработка общедоступных данных

Обработкой общедоступных данных занимаются отделы и подразделения, в обязанности которых входит сбор, систематизация, хранение, изменение, использование и уничтожение ПД. Физические лица вправе запросить сведения об операторе данных и узнать, какую цель преследует оператор во время обработки ПД.

Контроль соблюдения законов при обработке возложен на Роскомнадзор. Определенными ревизионными и контролирующими полномочиями обладают ФСБ и ФСТЭК. Операторы создают системы защиты личных данных для собственных нужд поэтому, в связи с этим лицензировать такую деятельность.

ПД обрабатывают организации, которым для осуществления своей деятельности необходимо собирать, накапливать, обрабатывать и хранить информацию о сотрудниках, поставщиках и клиентах. В определенных случаях такие данные входят в состав открытых.

Права субъектов общедоступных данных

Субъекты ПД могут подать заявление с требованием заблокировать, уничтожить, уточнить или изменить общедоступные данные, если сведения утратили актуальность, являются неполными или не требуются для целей обработки. Субъекты праве также запросить доступ к своим ПД и узнать, какие средства использует оператор для их обработки.

Информация должна использоваться в соответствии с требованиями законодательства и быть защищенной независимо от того, является она конфиденциальной или общедоступной. В обязанности операторов входит обеспечить полную защиту ПД субъекта и ограничить доступа к данных посторонних лиц.

Оператор начинает обрабатывать персональные данные только после получения письменного разрешения субъекта на обработку. Согласие включает информацию о физическом лице и данные оператора: название компании, фамилия, имя и отчество оператора, должность. Также в согласии требуется указать цель обработки и список данных с описанием операций, которые будут выполняться с информацией. Физическое лицо имеет право на отзыв своих ПД и аннулирование своего согласия на обработку.

В случае недееспособности или смерти субъекта согласие на обработку и использование ПД запрашивается у наследников или законных представителей. При этом нужно руководствоваться Федеральным законом о персональных данных.

В случае нарушения требований законодательства виновные несут административную, уголовную и другие виды ответственности. Неважно, являются ли ПД конфиденциальными или общедоступными, в соответствии со статьей 8 ФЗ-152 о персональных данных общедоступные ПД могут размещаться в общедоступных источниках только с согласия субъекта данных. Персональные данные должны быть исключены из источников, если этого требует субъект или уполномоченные органы: Роскомнадзор, суд или другие госструктуры.

Политика обработки персональных данных

Добро пожаловать на glavstore.com! Этот веб-сайт принадлежит АО «Главкосмос» (далее – «Общество» или «мы»).

Мы серьезно относимся к вопросам конфиденциальности и хотели бы ознакомить Вас с тем, как мы собираем, используем и раскрываем информацию. Эта Политика обработки персональных данных (далее – Политика) описывает наши методы работы с информацией, которую мы собираем через веб-сайт или веб-объекты (включая, например, мобильный веб-сайт или мобильное приложение), управляемые или контролируемые нами, откуда Вы получаете доступ к данной Политике (веб-сайт и каждый веб-объект по отдельности — «Сайт»). Предоставляя нам свои персональные данные, либо используя Сайт, Вы соглашаетесь с условиями и положениями настоящей Политики.

Настоящие условия обработки Ваших персональных данных являются независимыми от иных согласий на обработку персональных данных, предоставленных Вами в адрес Общества, и Вы понимаете, что Общество может обрабатывать Ваши персональные данные на основании одного или нескольких согласий одновременно.

 

1. Сбор информации

1.1. Предоставляемая Вами информация

Мы собираем информацию (включая Ваши персональные данные), которую Вы по своему выбору предоставляете или даете нам тем или иным образом.

Для того чтобы воспользоваться преимуществами некоторых функций Сайта (например, регистрацией в личном кабинете, заключением договора розничной купли-продажи (в форме акцепта публичной оферты, размещенной на Сайте), подпиской на рассылку новостей и предложений) потребуется предоставить Ваши персональные данные. Мы Вас предупредим о том, какая информация является обязательной, а какая — нет.

Вы не обязаны делиться с нами информацией, когда мы просим Вас об этом, однако, в случае Вашего отказа Вы можете не получить доступ к определенным сервисам Общества/Сайта или не сможете воспользоваться всеми их функциональными возможностями.

1.2. Сбор и использование информации

Мы собираем информацию тремя основными способами:

– Вы предоставляете нам определенную информацию напрямую (например, при регистрации в личном кабинете на Сайте (учетной записи)).

– Мы фиксируем определенную информацию автоматически (в том числе с помощью таких технологий как cookie (куки)).

– Мы получаем определенную информацию от третьих лиц (например, из социальных сетей).

При регистрации в личном кабинете на Сайте Вы предоставляете нам следующую информацию: Фамилия, Имя, E-mail (адрес электронной почты).

При оформлении заказа на Сайте без регистрации в личном кабинете, Вы предоставляете нам следующую информацию: Фамилию, Имя, Отчество, E-mail (адрес электронной почты), телефон, а также адрес, в случае оформления доставки.

При оформлении заказа на Сайте после регистрации в личном кабинете, Вы дополнительно предоставляете нам следующую информацию: телефон, а также адрес, в случае оформления доставки.

Для обеспечения доставки Вам товаров, проведения расчетов, исполнения Ваших заказов и осуществления иных видов обслуживания мы можем запросить у Вас дополнительную информацию.

Конкретные виды собираемой нами информации обычно зависят от того, каким образом Вы взаимодействуете с нами, например, какие сервисы Общества/Сайта вы используете и как вы это делаете.

Обрабатывая Ваши персональные данные, мы совершаем с ними следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление), блокирование, удаление, уничтожение.

1.3. Информация, которую мы собираем у третьих лиц

Мы можем собирать для наших законных целей информацию у третьих лиц в дополнение к информации, предоставленной Вами и собранной нами автоматически.

 

 

Например:

Мы получаем информацию от третьих лиц, если Вы используете их сервисы в связи с сервисами Общества/Сайта (например, при регистрации в личном кабинете через учетную запись в Facebook, Facebook может делиться с нами информацией в соответствии с политикой конфиденциальности Facebook и Вашими настройками конфиденциальности в Facebook. Facebook также делится с нами информацией об использовании Вами наших официальных страниц). Ваши настройки конфиденциальности на стороннем сервисе регулируют объем информации, которую он может нам предоставить – информация может включать Ваше имя, фото профиля, пол, возраст, имя пользователя, язык, страну, Ваших друзей и иную информацию, которую Вы предоставили на данной платформе. Пожалуйста, убедитесь в том, что Вас устраивает объем предоставляемой сторонними сервисами информации, изучив опубликованные ими правила, и при необходимости внесите изменения в ваши настройки конфиденциальности непосредственно на стороннем сервисе.

Мы собираем рекламную и аналитическую информацию у третьих лиц для поддержки наших маркетинговых инициатив, совершенствования сервисов Общества/Сайта и более эффективного управления нашей деятельностью (например, за счет показа более персонализированной рекламы и оценки ее эффективности).

1.4. Пассивный сбор информации

Во время навигации по данному Сайту возможен пассивный сбор информации (то есть без передачи Вами этой информации активным способом) с использованием различных технологий. Мы пассивно собираем и используем информацию различными способами, в том числе:

– Через Ваш браузер: определенная информация собирается большинством браузеров, например, Ваш адрес управления доступом к среде передачи данных (Media Access Control, MAC), тип и версия операционной системы Вашего компьютера, разрешающая способность экрана, тип и версия Интернет-браузера. Мы можем собирать такую информацию, как, например, тип и идентификатор Вашего устройства, если Вы заходите на Сайт через мобильное устройство.

– Используя файлы cookie: файлы cookie — это фрагменты информации, которая хранится непосредственно на используемом Вами пользовательском устройстве. Файлы cookie позволяют нам собирать такую информацию, как тип браузера, время, проведенное на Сайте, просмотренные страницы и предпочтения языка. Мы и наши поставщики услуг используем эту информацию в целях обеспечения Вашей безопасности и безопасности Сайта, чтобы облегчить навигацию, более эффективно отображать информацию и персонализировать использование Вами Сайта. Мы также используем файлы cookie, чтобы распознавать Ваш компьютер или устройство, что облегчает использование Вами Сайта. Кроме того, мы используем файлы cookie для того, чтобы собрать статистическую информацию об использовании Сайта в целях постоянного усовершенствования его дизайна и функциональности, понимания того, как отдельные лица используют его, и содействия при разрешении вопросов, связанных с ним. Мы не используем файлы cookie для целей онлайн-рекламы. Вы можете отказаться принимать файлы cookie, выполнив инструкции своего браузера, однако, если Вы не примете их, Вы можете столкнуться с некоторыми неудобствами при использовании Сайта.

– Веб-маяки и аналогичные технологии: «Веб-маяки» – это прозрачные пиксельные изображения, которые позволяют интернет-сервисам собирать информацию о способах Вашего взаимодействия с ними (например, о том, открыли ли Вы электронное письмо или нажали ли Вы на объявление). Аналогичные широко используемые технологии включают такие вещи как теги, скрипты, локальные общие объекты, локальное хранение (например, HTML5) и связанные с ними инструменты.

Сайты Общества используют веб-маяки и аналогичные технологии для автоматического сбора, хранения и чтения файлов на Вашем устройстве. Эти инструменты помогают Сайтам Общества работать и функционировать более эффективно, а также получать информацию о Вашем взаимодействии с нами.

Мы также используем наши серверы в связи с этими технологиями для сбора информации о Вашем взаимодействии с Сайтами Общества и храним ее в файлах системного журнала (лог-файлы). Эта информация может включать, например, информацию, которую Ваше устройство, Ваш браузер или Ваша операционная система направляет нам при осуществлении Вами доступа к Сайтам Общества (такую как идентификационные номера устройства (ID), IP-адреса, спецификации оборудования или программного обеспечения), и сведения об использовании Вами личного кабинета на Сайте Общества (такие как конкретные используемые Вами функции, статистика, а также иную аналогичную информацию).

– Используя IP-адрес: Ваш IP-адрес — это номер, который автоматически присваивается Вашему устройству Вашим провайдером интернет-услуг. IP-адрес идентифицируется и автоматически регистрируется в файлах нашего сервера каждый раз, когда Вы посещаете Сайт, кроме того, регистрируются время визита и просмотренные страницы. Сбор IP-адресов является стандартной практикой в Интернете и производится автоматически многими веб-сайтами. Мы используем IP-адреса в таких целях, как расчет уровня посещаемости Сайта, диагностика проблем на сервере и администрирование Сайта.

1.5. Как мы используем и раскрываем информацию

Мы используем и раскрываем информацию, предоставленную нам Вами, как это указано в момент ее сбора.

Мы также используем информацию от Вас или о Вас:

  • для регистрации Вас в личном кабинете Сайта и для заключения с Вами договоров розничной купли-продажи товаров (оказания услуг), а также для реализации таких договоров, в том числе, если для такой реализации потребуется передача информации, предоставленной Вами третьим лицам;
  • для ответа на Ваши вопросы и выполнения Ваших запросов, например, отправки запрашиваемых Вами документов или предупреждений по электронной почте;
  • для отправки Вам важной информации о наших отношениях с Вами или о Сайте, включая изменения наших условий, положений и политик и (или) прочую информацию административного характера;
  • для анализа данных, расширения функций Сайта, идентификации тенденций использования Сайта, персонализации Вашего опыта работы на Сайте;
  • для направления Вам напоминаний и/или маркетинговых сообщений.

             Мы можем предоставлять Вашу информацию (включая персональные данные) партнерам (организациям, индивидуальным предпринимателям), которые работают с нами для предоставления Вам товаров и/или услуг, или тем из них, которые помогают нам реализовывать Вам товары и/или услуги. Данные партнеры (организации, индивидуальные предприниматели) могут предоставлять Вашу информацию (включая персональные данные) своим подрядчикам (соисполнителям) для целей предоставления Вам товаров и/или услуг.

            Мы предоставляем таким партнерам (организациям, индивидуальным предпринимателям) минимальный объем Ваших персональных данных, необходимый только для реализации Вам товаров (оказания услуги) или проведения необходимой транзакции.

Ваша информация (включая персональные данные) будет предоставляться нами только в целях обеспечения Вас товарами и/или услугами, а также для улучшения коммуникаций. В частности, мы предоставляем Ваши персональные данные нашим партнерам (организациям, индивидуальным предпринимателям), которые обеспечивают доставку товаров, проведение расчетов, исполнение Ваших заказов и иные виды обслуживания. Такие партнеры (организации, индивидуальные предприниматели) и/или их подрядчики (соисполнители) могут связываться с Вами и направлять Вам информацию (документы), связанную с предоставлением Вам товаров и/или услуг, и обязуются защищать Ваши персональные данные независимо от места своего расположения.

Кроме того, мы используем и раскрываем информацию (включая предоставленную Вами информацию), собранную через Сайт, которая, как мы считаем, необходима или уместна:

  1. в соответствии с применимым законодательством, включая законы, действующие за пределами Вашей страны проживания;
  2. в целях содействия судебному процессу;
  3. в качестве ответа на запросы государственных органов власти, включая государственные органы власти за пределами Вашей страны проживания;
  4. в целях принудительного применения наших условий и положений;
  5. в целях защиты нашей деятельности;
  6. в целях защиты наших и Ваших прав, конфиденциальной информации или имущества и (или) прав, конфиденциальной информации или имущества других лиц;
  7. чтобы позволить нам воспользоваться доступными средствами правовой защиты или ограничить объем ущерба, который мы можем понести.

Мы также можем использовать и раскрывать информацию, собранную через Сайт другими способами, с Вашего согласия.

 

2. Сайты и услуги третьих лиц

Эта Политика не относится к конфиденциальности, информации и другим аспектам любых третьих лиц, включая третьих лиц, управляющих любым сайтом или веб-объектом (включая, помимо прочего, любое приложение), доступное через Сайт или на которое Сайт содержит ссылку. Мы также не несем ответственности за конфиденциальность, информацию и другие аспекты любых третьих лиц. Наличие или включение ссылки на любой такой сайт или объект на Сайте не подразумевает подтверждение с нашей стороны.

 

 

3. Безопасность

Мы используем целесообразные организационные, технические и административные меры для защиты персональных данных, находящихся в нашем распоряжении. Тем не менее, ни одна система хранения или передачи данных через Интернет не может гарантировать полную безопасность. Мы стремимся обеспечивать безопасность информации и соблюдать наши обязанности по применимому законодательству о защите персональных данных, но не можем безусловно гарантировать безопасность Ваших данных, которые мы собираем. Принимая решение о передаче информации нам (или о ее передаче любому лицу электронным способом в наши дни), Вы признаете этот риск.

Мы принимаем необходимый и достаточный перечень мер, направленных на обеспечение выполнения нами обязанностей, предусмотренных Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), а также мер по обеспечению безопасности персональных данных при их обработке. Конкретный перечень таких мер определяется нашими локальными нормативными актами и внутренними политиками. Такой перечень определяется с учетом положений того законодательства, которое может быть к нам применимо как к иностранной компании по отношению к субъекту персональных данных, но при этом мы учитываем и реализовываем требования статьи 18. 1 Закона о персональных данных, которая предусматривает следующие меры:

  • назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
  • издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  • применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Закона о персональных данных;
  • осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
  • оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
  • ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Если у Вас есть основания полагать, что Ваш обмен информацией с нами не является безопасным (например, если Вам кажется, что безопасность какой-либо Вашей учетной записи у нас подвергается опасности), пожалуйста, известите нас об этом немедленно согласно разделу 10. «Связаться с нами».

 

4. Выбор и доступ

4.1. Мы предоставляем Вам выбор относительно использования нами Ваших персональных данных в маркетинговых целях. Вы можете отказаться от:

  • Получения маркетинговых сообщений от нас: если Вы не хотите получать маркетинговые сообщения от нас в будущем, Вы можете отказаться от этого, направив отказ Обществу по адресу: [email protected] В своем сообщении нам укажите свое имя, форму(-ы) маркетинговых сообщений, которую(-ые) Вы более не хотите получать, и адрес(-а), на который(-е) они отправляются. Например, если Вы более не хотите получать маркетинговые сообщения по электронной почте или прямой почтовой рассылкой от нас, сообщите нам об этом и укажите свои имя и адрес электронной почты или почтовый адрес. Кроме того, Вы можете отказаться от получения маркетинговых сообщений по электронной почте от нас, следуя указаниям по отказу от подписки, описанным в любом таком сообщении.
  • Получения напоминаний от нас: если Вы не хотите получать напоминания от нас в будущем, Вы можете отказаться от этого, направив отказ Обществу по адресу: [email protected] В своем сообщении нам укажите свои имя и адрес электронной почты или номер телефона, по которым Вы получаете напоминания от нас.

Мы постараемся выполнить Ваше(-и) требование(-я) как можно скорее. Обратите внимание, что, если Вы откажетесь от получения сообщений маркетингового характера от нас, мы, тем не менее, можем отправлять Вам важные сообщения административного характера, от которых Вы не можете отказаться.

4.2. Как просмотреть, изменить или удалить свои персональные данные.

Если Вы хотите просмотреть, откорректировать, изменить или удалить персональные данные, которые Вы предоставили через Сайт, свяжитесь с нами, направив соответствующий запрос по адресу: [email protected] ru. Мы постараемся выполнить Ваше требование как можно скорее.

 

5. Срок хранения данных

Мы храним Ваши персональные данные в течение периода времени, необходимого для целей, указанных в данной Политике, если только более длительный срок хранения не является необходимым или не разрешается действующим законодательством.

 

6. Использование Сайта несовершеннолетними

Сайт не нацелен на лиц в возрасте младше 18 лет, и мы требуем, чтобы такие лица не предоставляли персональные данные через Сайт. Если Ваш ребенок предоставил персональные данные, и Вы хотели бы потребовать удаления таких данных, пожалуйста, свяжитесь с нами, направив соответствующий запрос по адресу: [email protected] Мы постараемся выполнить Ваше требование как можно скорее.

 

7. Место обработки персональных данных

Ваши персональные данные будут обрабатываться (в т.ч. храниться) Обществом исключительно на территории Российской Федерации.

 

8. Специальные категории данных

Мы просим Вас не отправлять нам и не раскрывать специальные категории персональных данных (например, информацию, относящуюся к вопросам расового или этнического происхождения, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости или членства в профсоюзе) на Сайте или через него, или иным способом для нас. В тех случаях, когда мы можем запросить информацию, содержащую специальные категории персональных данных, мы сделаем это с Вашего явного письменного согласия.

 

9. Изменения настоящей Политики

Мы можем изменить данную Политику. Любые изменения данной Политики вступают в силу с момента публикации новой версии Политики на Сайте. Использование Вами Сайта после внесения изменений в Политику означает, что Вы принимаете пересмотренную Политику.

 

10. Связаться с нами

АО «Главкосмос»

129110, г. Москва, ул. Гиляровского, д. 39, стр.3

Тел.: +7 (499) 972-43-69

Факс: +7 (495) 609-21-63

E-mail: [email protected]

Согласие на обработку персональных данных

Политика в отношении обработки персональных данных в ООО ГРК «ЦИТАДЕЛЬ»

1. Общие положения

1.1. Настоящий документ определяет политику ООО ГРК «ЦИТАДЕЛЬ»
(далее – Гостиница) в отношении обработки и обеспечения безопасности персональных данных.

1.2. Настоящая политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлена на всемерное обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных в Гостинице.

1.3. Положения настоящей Политики являются обязательными для исполнения всеми работниками Гостиницы.

1.4. Положения настоящей Политики являются основой для организации всех процессов в Гостинице, связанных с обработкой и защитой персональных данных.

1.5. Настоящая Политика разработана в соответствии с федеральным законодательством Российской Федерации:

  • Конституцией Российской Федерации;
  • Федеральным законом от 27.07. 2006 г. № 152-ФЗ «О персональных данных»;
  • Трудовым кодексом Российской Федерации от 30.12.2001 №197-ФЗ;
  • Федеральным законом от 24.11.1996г. № 132-ФЗ «Об основах туристской деятельности в Российской Федерации;
  • «Правилами предоставления гостиничных услуг в Российской Федерации», утвержденных Постановлением Правительства РФ от 09.10.2015г. № 1085;
  • а также в соответствии с иными действующими федеральными законами и подзаконными актами Российской Федерации, определяющими правила и особенности обработки персональных данных и обеспечения безопасности и конфиденциальности такой обработки.

1.6. Настоящая Политика устанавливает:

  • цели обработки персональных данных;
  • общие принципы и правила обработки персональных данных;
  • классификацию персональных данных и Субъектов персональных данных;
  • права и обязанности Субъектов персональных данных и Гостиницы по их обработке;
  • порядок организации обработки персональных данных.

1.7. Настоящая Политика подлежит размещению на общедоступном ресурсе – на официальном сайте Гостиницы http://citadelpark.ru/ в неограниченном доступе.

1.8. Настоящая Политика вступает в силу с момента утверждения.

1.9. Настоящая Политика подлежит пересмотру в связи с изменением законодательства Российской Федерации в области обработки и защиты персональных данных, по результатам оценки актуальности, достаточности и эффективности принимаемых мер обеспечения безопасности обработки персональных данных в Гостинице.

1.10. Действие настоящей Политики распространяется на действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2. Основные термины и определения

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных — обязательное для соблюдения Гостиницей или иным получившим доступ к персональным данным лицом требование не допускать их раскрытие и распространение без согласия субъекта персональных данных или наличия иного законного основания.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Специальные категории персональных данных — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.

Субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью данных.

Другая информация —это данные, по которым нельзя идентифицировать физическое лицо или которые не имеют к нему прямого отношения.

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3. Цели обработки персональных данных

3.1. Гостиница осуществляет обработку персональных данных в целях:

  • оказания гостиничных и/или дополнительных услуг в парк – отеле «Цитадель» в соответствии с Правилами предоставления гостиничных услуг ООО ГРК «ЦИТАДЕЛЬ» утвержденных Приказом Генерального директора гражданским законодательством Российской Федерации и присвоенной Гостинице категорией.
  • предоставления Субъекту персональных данных подтверждения бронирования номера/номеров в ООО ГРК «Цитадель»
  • заключения с Субъектом персональных данных договоров на оказание гостиничных и дополнительных услуг в ООО ГРК «Цитадель» и их дальнейшего исполнения;
  • организации и ведением кадрового делопроизводства в Гостинице;
  • привлечения и отбора кандидатов на работу в Гостинице;
  • формирования статистической отчетности, в том числе для предоставления контролирующим органам государственной власти Российской Федерации;
  • предоставления Субъекту персональных данных информации об оказываемых услугах, о текущих маркетинговых акциях и новых услугах;
  • а также в других целей, достижение которых не запрещено федеральным законодательством, международными договорами Российской Федерации.

4. Классификация персональных данных и категории Субъектов, персональные данные, которые обрабатываются в Гостинице

4. 1. К персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), обрабатываемая Гостиницей для достижения указанных целей.

4.2. Гостиница не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, если иное не установлено законодательством Российской Федерации.

4.3. Гостиница осуществляет обработку персональных данных следующих категорий

Субъектов персональных данных:

  • физические лица, являющиеся сотрудниками Гостиницы;
  • физические лица, являющиеся кандидатами на должности сотрудников Гостиницы;
  • физические и юридические лица выполняющие работы и оказывающие услуги по заключенным с Гостиницей договорам гражданско-правового характера;
  • физические или юридические лица являющиеся клиентами Гостиницы (гостями) и/или на законных основаниях, представляющие интересы клиентов Гостиницы, или намеревающиеся стать таковыми;
  • физические или юридические лица приобретающие или намеревающиеся приобрести услуги третьих лиц при посредничестве Гостиницы при условии, что их персональные данные включены в автоматизированные системы Гостиницы в связи с оказанием им Гостиницей гостиничных и/или дополнительных услуг;
  • иные физические или юридические лица, выразившие согласие на обработку Гостиницей их персональных данных или обработка персональных данных которых необходима Гостинице для выполнения обязанностей, исполнения функций или полномочий, возложенных и/или предусмотренных международным договором Российской Федерации или законом Российской Федерации.

5. Основные принципы обработки персональных данных

5.1. Обработка персональных данных в Гостинице осуществляется на основе следующих принципов:

  • законности целей и способов обработки персональных данных;
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
  • соответствия состава и объема обрабатываемых персональных, а также способов обработки персональных данных заявленным целям обработки;
  • достоверности персональных данных, их достаточности для целей обработки;
  • недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
  • недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой;
  • обеспечения хранения персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных;
  • уничтожения или обезличивания персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации, договором, стороной которого является Субъект персональных данных;
  • обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.

6. Организация обработки персональных данных

6.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, установленных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».

6.2. Гостиница осуществляет обработку персональных данных, как с использованием средств автоматизации, так и без использования средств автоматизации.

6.3. Гостиница может включать персональные данные субъектов в общедоступные источники персональных данных, при этом Гостиница берет письменное согласие субъекта на обработку его персональных данных.

6.4. Биометрические персональные данные в Гостинице не обрабатываются.

6.5. Гостиница может осуществлять трансграничную передачу персональных данных (как в страны, обеспечивающие надлежащий уровень защиты персональных данных, так и в иные страны, которые могут не обеспечивать надлежащий уровень защиты персональных данных) в целях исполнения договора, стороной которого является субъект персональных данных, и/или с его согласия.

6.6. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.

6.7. При отсутствии необходимости письменного согласия субъекта на обработку его персональных данных согласие субъекта может быть дано субъектом персональных данных или его представителем в любой позволяющей получить факт его получения форме.

6.8. Гостиница вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение оператора). При этом Гостиница в договоре обязывает лицо, осуществляющее обработку персональных данных по поручению Гостиницы, соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.

6.9. Предоставление доступа органам государственной власти (в том числе, контролирующих, надзорных, правоохранительных и иных органов) к персональным данным, обрабатываемым Гостиницей осуществляется в объёме и порядке, установленным соответствующим законодательством Российской Федерации.

6.10. Сбор и обработка Другой информации

В целях настоящей Политики под «Другой информацией» понимаются данные, которые напрямую не идентифицируют посетителя сайта Гостиницы http://citadelpark.ru/, но используются Гостиницей с его согласия. Эти данные представляют собой фрагменты информации, которые используются сервером для обмена данными о состоянии с браузером интернет-пользователя, в частности, это информация об используемом посетителем сайта браузере и устройстве, истории посещений сайта и просматриваемых страницах. Сбор такой информации осуществляется Гостиницей с помощью файлов cookie, пиксельных тэгов («точечных маркеров») и других схожих технологий. Такая информация используется Гостиницей для проведения веб-анализа и сбора статистических данных, отслеживания потока посетителей и оценки их способа работы с сайтом, оптимизации работы с сайтом для посетителя, обмена данными со сторонними веб-сайтами и перенаправления пользователей на сайт Гостиницы.

Поскольку Другая информация не идентифицирует посетителя лично, она может быть раскрыта и использована для любых не запрещённых законом целей. В некоторых случаях (например, при оформлении подписки на сайте обращении пользователя через форму обратной связи) Гостиница может использовать Другую информацию в сочетании с персональными данными посетителя сайта. В таких случаях такие данные будут считаться персональными в соответствии с настоящей Политикой.

7. Права Субъекта персональных данных

7.1. Субъект персональных данных имеет право:

  • получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Законодательством о персональных данных;
  • требовать уточнения своих персональных данных, их Блокирования или Уничтожения

в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении Субъектом персональных данных согласия на обработку персональных данных;

  • принимать предусмотренные законом меры по защите своих прав;
  • отозвать свое согласие на обработку персональных данных.

7.2. Субъект персональных данных обязан предоставить полные, точные и достоверные сведения о своих персональных данных.

7.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

8. Права и обязанности Гостиницы при обработке персональных данных

8.1. Гостиница имеет право:

  • обрабатывать персональные данные Субъекта персональных данных в соответствии с заявленной целью;
  • требовать от Субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги,
  • идентификации Субъекта персональных данных, а также в иных случаях, предусмотренных Законодательством о персональных данных;
  • ограничить доступ Субъекта персональных данных к его персональным данным в случае, если таковой нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;
  • обрабатывать общедоступные персональные данные физических лиц;
  • осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;
  • уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
  • вести учет обращений Субъектов персональных данных;
  • поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных.

8.2. В соответствии с требованиями Федерального закона «О персональных данных»

Гостиница обязана:

  • предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ.
  • по требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональных данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
  • вести учет обращений субъектов персональных данных.
  • уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных за исключением предусмотренных законом Российской Федерации случаев.
  • в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между Гостиницей и субъектом персональных данных.
  • в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, установленный законодательством Российской Федерации. Об уничтожении персональных данных Гостиница обязано уведомить субъекта персональных данных.
  • Гостиница обязуется и обязывает иные лица, получившие доступ к персональным данным, не раскрывать их третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
  • Назначить лицо (лиц), ответственных за организацию обработки персональных данных.

9. Меры по обеспечению безопасности персональных данных при их обработке

9.1. При обработке персональных данных Гостиница принимает необходимые правовые,

организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

9.2. Обеспечение безопасности персональных данных достигается, в частности:

  • Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
  • Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
  • Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
  • Учетом машинных носителей персональных данных.
  • Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер.
  • Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
  • Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
  • Обучением персонала Гостиницы, участвующего в обработке персональных данных, вопросам обеспечения безопасности персональных данных.
  • Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

10. Ответственность Гостиницы

10.1. Контроль за выполнением требований настоящей Политики, правил и требований, применяемых при обработке персональных данных в Гостинице осуществляют лица, назначенные Приказом исполнительного органа Гостиницы.

10.2. Гостиница, а также его должностные лица и сотрудники несут уголовную, гражданско-правовую, административную и дисциплинарную ответственность за несоблюдение принципов и условий обработки персональных данных, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.

ст. 9 GDPR – Обработка особых категорий персональных данных

Ст. 9 GDPR – Обработка особых категорий персональных данных – Общий регламент по защите данных (GDPR) перейти к содержанию
  1. Обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных о здоровье или данных о половая жизнь или сексуальная ориентация физического лица запрещены.
  2. Параграф 1 не применяется, если применяется одно из следующих условий:
    1. субъект данных дал прямое согласие на обработку этих персональных данных для одной или нескольких указанных целей, за исключением случаев, когда законодательство Союза или государства-члена предусматривает, что запрет, указанный в пункте 1, не может быть отменен субъектом данных;
    2. обработка необходима для целей выполнения обязательств и осуществления конкретных прав контролера или субъекта данных в области занятости и законодательства о социальном обеспечении и социальной защите в той мере, в какой это разрешено законодательством Союза или государства-члена или коллективный договор в соответствии с законодательством государства-члена, предусматривающий надлежащие гарантии основных прав и интересов субъекта данных;
    3. обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица, если субъект данных физически или юридически неспособен дать согласие;
    4. обработка осуществляется в ходе его законной деятельности с соответствующими гарантиями фондом, ассоциацией или любым другим некоммерческим органом с политической, философской, религиозной или профсоюзной целью и при условии, что обработка относится исключительно к членам или бывшим членам органа или лицам, которые имеют с ним регулярные контакты в связи с его целями, и что личные данные не раскрываются за пределами этого органа без согласия субъектов данных;
    5. обработка относится к персональным данным, которые явно обнародованы субъектом данных;
    6. обработка необходима для установления, исполнения или защиты судебных исков или всякий раз, когда суды действуют в своем судебном качестве;
    7. обработка необходима по причинам, представляющим значительный общественный интерес, на основании законодательства Союза или государства-члена, которое должно быть соразмерно преследуемой цели, уважать сущность права на защиту данных и предусматривать подходящие и конкретные меры для защиты основных прав. и интересы субъекта данных;
    8. обработка необходима в целях профилактики или медицины труда, для оценки трудоспособности работника, медицинского диагноза, оказания медицинской или социальной помощи или лечения или управления системами и услугами здравоохранения или социальной помощи на основе в соответствии с законодательством Союза или государства-члена или в соответствии с контрактом со специалистом в области здравоохранения и при соблюдении условий и гарантий, указанных в пункте 3;
    9. обработка необходима по соображениям общественного интереса в области общественного здравоохранения, таким как защита от серьезных трансграничных угроз здоровью или обеспечение высоких стандартов качества и безопасности медицинского обслуживания и лекарственных средств или медицинских устройств, на основании Закон Союза или государства-члена, который предусматривает подходящие и конкретные меры для защиты прав и свобод субъекта данных, в частности, профессиональную тайну;
    10. обработка необходима для целей архивирования в общественных интересах, научных или исторических исследований или статистических целей в соответствии со статьей 89(1) на основании законодательства Союза или государства-члена, которое должно быть соразмерно преследуемой цели, уважать сущность права для защиты данных и предусмотреть подходящие и конкретные меры для защиты основных прав и интересов субъекта данных.
  3. Персональные данные, указанные в параграфе 1, могут обрабатываться для целей, указанных в пункте (h) параграфа 2, когда эти данные обрабатываются профессионалом или под его ответственностью, на которого распространяется обязательство хранить профессиональную тайну в соответствии с законодательством Союза или государства-члена. или правила, установленные национальными компетентными органами или другим лицом, на которое также распространяется обязательство о сохранении тайны в соответствии с законодательством Союза или государства-члена, или правила, установленные национальными компетентными органами.
  4. Государства-члены могут сохранять или вводить дополнительные условия, включая ограничения, в отношении обработки генетических данных, биометрических данных или данных, касающихся здоровья.

Что такое конфиденциальные данные и чем они отличаются от персональных данных?

Являются ли конфиденциальные данные такими же, как личные данные?

, конфиденциальные данные или конфиденциальные персональные данные имеют более строгие требования, которые должны быть соблюдены, чтобы ваша организация могла их обрабатывать. Требования к обработке персональных данных отличаются от , и мы рассмотрим это более подробно позже, а также примеры персональных данных и конфиденциальных данных.

Что такое конфиденциальные данные?

Конфиденциальные данные или данные специальной категории должны обрабатываться по-другому.

Данные специальной категории — это личные данные, которые нуждаются в более высоком уровне защиты, поскольку они являются конфиденциальными.

GDPR проводит четкое различие между конфиденциальными и неконфиденциальными персональными данными .

Статья 9 GDPR устанавливает особые категории, требующие особого внимания.

Конфиденциальные данные или данные особой категории согласно GDPR — это любые данные, которые раскрывают информацию о субъекте.

Окончительные примеры данных:

  • RACIAL или этническое возникновение
  • Политические убеждения
  • Религиозные верования
  • Генетические или биометрические данные
  • Генетические или биометрические данные
  • Сексуальное здоровье или сексуальное здоровье
  • Сексуальная ориентация
  • Профсоюзное союз

Обработка данные специальной категории

Для обработки данных специальной категории вам необходимо законное основание в соответствии со статьями 6 и 9 GDPR. Они могут включать:

  • Если заинтересованная сторона дала свое явное согласие (или субъект обнародовал данные)
  • Обработка необходима для того, чтобы организация могла выполнить обязательства в терминах занятости, социального обеспечения или социальной защиты, как это разрешено законодательством государства-члена
  • Обработка осуществляется в рамках законной деятельности фондом или некоммерческой организацией
  • Защита интересов субъекта данных , когда субъект Невозможно или неспособность предоставлять согласие
  • Совершенное здравоохранение общественного здравоохранения

бесплатно Webinar: 5 Общие ошибки соответствия и как избежать их

Для понимания Разница между личными данными и конфиденциальными данными чтобы установить, что мы на самом деле мне когда мы говорим об этих различных типах данных. Потому что они не одинаковые, и различие важно, потому что оно влияет на то, как обрабатываются данные .

Что такое неконфиденциальные персональные данные?

GDPR устанавливает четкое различие между конфиденциальными персональными данными и неконфиденциальными персональными данными. Примеры неконфиденциальных данных включают пол, дату рождения, место рождения и почтовый индекс .

Хотя этот тип данных не является конфиденциальным, его можно комбинировать с другими формами данных для идентификации личности .Псевдонимизация полезна здесь, чтобы предотвратить это.

Итак, теперь вы получили полное представление о том, что такое конфиденциальные данные, давайте перейдем к тому, что такое личные данные.

Что такое персональные данные?

Персональные данные — это любая информация, которая может быть использована для идентификации кого-либо , вот так просто!

Такая информация, как:

  • Имя и фамилия
  • Электронная почта
  • Данные о местоположении
  • Домашний адрес
  • IP-адрес

Каждый из них не обязательно классифицирует как свои личные данные t четко идентифицировать человека (источник, ICO). Ваш номер телефона считается личными данными, и в связи с этим у нас есть еще одна интересная статья о соблюдении GDPR при использовании WhatsApp для бизнеса, полезная для чтения, учитывая, что это одна из систем общения на рабочем месте.

Но вернемся к нюансам личных данных!

Возьмем вас в качестве примера.

Вполне вероятно, что кто-то где-то в мире носит то же имя, что и вы, и поэтому вас нелегко идентифицировать только по имени.Однако в сочетании с вашим адресом электронной почты или домашним адресом этой информации достаточно, чтобы четко идентифицировать вас как личность.

GDPR проводит четкое различие между прямой идентификационной информацией и псевдонимизированными данными . GDPR поощряет использование псевдонимизированной информации и прямо заявляет, что:

« Использование псевдонимизации в личных данных может снизить риск, связанный с управлением данными, и помочь контролерам и обработчикам выполнять свои обязательства по защите данных ».

Псевдонимизация не подразумевает полной анонимизации или полной диссоциации данных или невозможности их реверсирования. Это связано с тем, что всегда есть возможность идентифицировать заинтересованную сторону с помощью дополнительной информации. В отличие от анонимизации, GDPR считает это персональными данными.

Этот процесс предназначен для обеспечения большей конфиденциальности затронутых лиц, поскольку контроллер ограничивает доступ определенным уполномоченным лицам и, следовательно, сводит к минимуму риск обработки.

Когда можно обрабатывать данные специальной категории?

В статье 9 перечислены условия обработки данных особой категории:

(a) Явное согласие

(b) Занятость, социальное обеспечение и социальная защита (если это разрешено законом)

(c) Жизненно важные интересы

(d ) Некоммерческие организации

(e) Опубликованные субъектом данных

(f) Судебные иски или судебные акты

(g) Причины, представляющие значительный общественный интерес

(h) Здравоохранение или социальная помощь

( i) Общественное здравоохранение

(j) Архивирование, исследования и статистика

Особые соображения при обработке данных специальной категории:

Согласно ICO, при использовании условий B, H, I или J вам потребуется для выполнения соответствующего условия в законодательстве Великобритании, изложенного в Части 1 Приложения 1 DPA 2018.

Часто задаваемые вопросы о личных данных и конфиденциальных данных

Q1. Является ли имя и адрес конфиденциальными данными?

A. Да, потому что в сочетании они могут идентифицировать человека.

Q2. Являются ли конфиденциальные данные такими же, как личные данные?

A. Нет, конфиденциальные данные являются данными особой категории в соответствии со статьей 9 GDPR и поэтому отличаются от персональных данных с точки зрения требований к процессу.

Q3. Всегда ли мне нужно получать согласие на обработку данных потребителей?

А.Если вы не работаете в сфере здравоохранения и вам не нужно делиться информацией на благо широкой общественности (например, о недавней пандемии), то да, вам необходимо получить согласие пользователя.

Что такое персональные данные?

Персональные данные могут, например, включать информацию об имени, адресе, адресе электронной почты, персональном идентификационном номере, регистрационном номере, фотографии, отпечатках пальцев, диагностике, биологическом материале, когда по данным можно идентифицировать человека или в сочетании с другими данными. Говорят, что информация является «лично идентифицируемой».

Хотя информация об имени или адресе была заменена кодом, таким как AB123, она по-прежнему является персональными данными, если код можно отследить до исходных персональных данных. Это так до тех пор, пока кто-то может сделать информацию читаемой и идентифицировать причастного человека. Это часто называют псевдонимизированной информацией, и такая информация по-прежнему регулируется правилами защиты данных. С другой стороны, информация, сделанная анонимной, чтобы ни одно физическое лицо не могло быть идентифицировано по данным или в сочетании с другой информацией, больше не защищена правилами защиты данных.

Личная информация (неконфиденциальная личная информация)

К личной информации относится вся информация, не отнесенная к особым категориям информации (конфиденциальная личная информация). Это может быть, например, идентификационная информация, такая как имя, адрес, возраст и образование. Это также относится к финансовым вопросам, таким как налоги и долги. Информация в виде фото, отпечатков пальцев, родственных связей, жилья, автомобиля, экзамена, заявлений о приеме на работу, резюме, даты и должности трудоустройства, места работы и рабочего телефона – также являются личной информацией.

Специальные категории персональных данных (конфиденциальные персональные данные)

Конфиденциальные персональные данные прямо упоминаются в Регламенте о защите данных, и возможности обработки таких данных уже, чем в случае обычных персональных данных. Конфиденциальной информацией является информация о:

  • Раса и этническое происхождение
  • Политические убеждения
  • Религиозные или философские убеждения
  • Профсоюзная принадлежность
  • Генетические данные
  • Биометрические данные для уникальной идентификации
  • Медицинская информация
  • Сексуальные отношения или сексуальная ориентация.

Только упомянутая выше информация является конфиденциальной личной информацией.

Информация об уголовных преступлениях – статья 10 Постановления о защите данных и раздел 8 Закона Дании о защите данных

Информация об уголовных преступлениях считается персональными данными в соответствии с Положением о защите данных и отдельно регулируется Законом о защите данных Дании. Необходимо применять очень широкое понимание понятия уголовных преступлений. Таким образом, этот термин включает не только информацию о нарушениях законодательства, не повлекших или могущих повлечь фактическую уголовную ответственность, но и любые другие санкции, такие как дисквалификация.Однако не вся информация о возможном уголовном правонарушении, включая любое заявление в полицию, может считаться закрытой. Таким образом, сообщение в полицию должно в той или иной форме считаться обоснованным, прежде чем оно дойдет до информации об уголовных преступлениях.

Конфиденциальная информация – раздел 152 Уголовного кодекса Дании в сочетании с разделом 27 Закона Дании о государственном управлении

Конфиденциальная информация — это особая категория информации, которая прямо не упоминается в правилах защиты данных, но в отношении которой может иметь значение особая защита при применении правил защиты данных.Кроме того, конфиденциальная информация часто подлежит специальному регулированию в другом законодательстве. Номер социального страхования (номер CPR) — это конфиденциальная информация, которая отдельно регулируется Законом о защите данных. Решающим фактором для того, следует ли считать информацию конфиденциальной, будет оценка того, должна ли информация, по общему мнению общества, быть недоступной для общественности, ср. статья 152 Уголовного кодекса в сочетании со статьей 27 Закона о государственном управлении.И наоборот, конфиденциальная информация не всегда является конфиденциальной. Неконфиденциальная личная информация может быть конфиденциальной в определенных ситуациях. В зависимости от обстоятельств это относится к информации о доходах и материальном положении, занятости, образовании и условиях занятости. То же самое относится к информации о внутрисемейных отношениях, включая информацию, например, о попытках самоубийства и несчастных случаях. Информация, которая может быть отнесена к определенным лицам и в раскрытии которой нельзя отказать в соответствии с Законом о публичном доступе к информации, не будет носить конфиденциальный характер.Это относится, например, к сведения чисто объективного характера, такие как сведения о выдаче паспортов, водительских удостоверений, охотничьих удостоверений и т. д.

Псевдонимизация и обезличивание персональных данных

Понятие псевдонимизации определяется в GDPR как обработка персональных данных таким образом, что персональные данные больше не могут быть отнесены к конкретному субъекту данных без использования дополнительной информации, при условии, что такая дополнительная информация хранится отдельно и подлежит технические и организационные меры для обеспечения того, чтобы персональные данные не были присвоены идентифицированному или идентифицируемому физическому лицу.

Аналогичным образом, сводная обработка данных о нескольких лицах, которые были собраны и объединены без сосредоточения внимания на отдельных лицах, является анонимной только в том случае, если никто не может распознать лиц по информации или в сочетании с другой информацией. Эту информацию часто называют агрегированной информацией, и она будет зависеть от конкретной оценки того, распространяется ли такая информация на правила защиты данных или нет.

Информация, сделанная анонимной, чтобы ни одно физическое лицо не могло быть идентифицировано по данным или в сочетании с другой информацией, больше не защищена правилами защиты данных.Это связано с тем, что правила защиты данных применяются только до тех пор, пока данные можно отследить до идентифицируемого или идентифицированного физического лица. Это условие необратимости анонимизации.

Речь не идет об абсолютной границе между обезличенными данными и персональными данными. Необходимо конкретно оценить, достаточна ли анонимность или все же можно идентифицировать человека. При такой оценке должны учитываться все вспомогательные средства, которые могут быть разумно использованы для идентификации заинтересованного лица.Следует также иметь в виду, обладают ли другие лица информацией, позволяющей идентифицировать человека.

Обработка специальных категорий данных

Режим обработки специальных категорий данных не изменился или изменился?

В номинальном выражении режим обработки специальных категорий данных остался неизменным в соответствии с Общим регламентом ЕС по защите данных. Если вы сможете понять недостатки действующей системы и то, как Рабочая группа по статье 29 стремилась их устранить, то вы сможете увидеть, как эти недостатки теперь устранены в GDPR, и раскрывается новый изменяющийся ландшафт.

GDPR, по сути, вводит тест на законный интерес для обработки особых категорий данных через черный ход. Для обработки особых категорий данных, таких как согласие или выполнение конкретного соглашения, уже недостаточно иметь правовую основу. Крупномасштабная обработка специальных категорий данных также часто требует баланса интересов и реализации адекватных мер безопасности для смягчения ее воздействия на конфиденциальность лиц, чьи данные обрабатываются.

Давайте посмотрим, как работает GDPR и в чем кроется загадка.

Текущая система

В соответствии с Директивой о защите данных обработка особых категорий персональных данных (данные, раскрывающие здоровье, расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах и т. д.) запрещена, если нет конкретного правового основания для обрабатывать такие данные. Эти основания состоят в основном из согласия физического лица, выполнения конкретных договоров (например,например, данные о состоянии здоровья могут обрабатываться в той мере, в какой это необходимо для выполнения договора страхования), или обработка для конкретных целей (например, расовые данные могут обрабатываться в той мере, в какой это неизбежно для идентификации кого-либо).

Почему режим для специальных категорий данных больше не является адекватным  

Все чаще становится неясным, являются ли определенные категории данных конфиденциальными. Скорее, использование данных может быть конфиденциальным. Компании используют потенциально «невинные» данные (некоторые из которых находятся в свободном доступе в открытом доступе), чтобы различать конфиденциальных лиц.Примером может служить американский брокер данных Acxiom, который, как сообщается, может идентифицировать людей с предрасположенностью к диабету на основе их моделей покупок.

Кроме того, некоторые типы данных не относятся к особым категориям данных в соответствии с законом, но, несомненно, являются конфиденциальными из-за потенциального воздействия на людей в случае потери или кражи данных. Сюда входят пароли для доступа к ИТ-системам и веб-сайтам, данные кредитных карт, номера социального страхования, номера паспортов и так далее.Конфиденциальность данных часто будет зависеть от их комбинации, потому что данные затем могут быть использованы, например, для создания убедительных фишинговых электронных писем. Адрес электронной почты сам по себе не является конфиденциальными данными, но в сочетании с паролем он становится очень конфиденциальным, поскольку многие люди используют одну и ту же комбинацию электронной почты и пароля для доступа к различным веб-сайтам и системам. Кроме того, бывают ситуации, когда обычные данные внезапно становятся конфиденциальными, когда они связаны с данными, которые могут быть косвенно конфиденциальными, такими как гражданство, страна происхождения и почтовый индекс.

И наоборот, существует множество примеров, когда специальные категории данных не являются конфиденциальными, когда они используются для целей, для которых они были собраны, что означает, что нет необходимости в более строгом режиме. Например, пенсионные записи включают имя и пол партнера сотрудника, тем самым раскрывая сексуальную ориентацию этого человека. Для контролеров данных необходимость особого режима (с более строгими требованиями безопасности) для этих данных не всегда очевидна.

Таким образом, споры о том, какие категории данных считать особыми, становятся неуместными. Практика показывает, что одни и те же данные могут быть конфиденциальными в одном контексте, но не в другом (особенно при объединении данных). Как следствие, существующий режим, основанный на обработке заранее определенного набора специальных категорий данных, не дает ожидаемого эффекта. Центральная проблема во всем этом заключается в том, что режим использования специальных категорий данных не включает проверку наличия законного интереса к такому использованию.В соответствии с Директивой законный интерес не используется в качестве правового основания для обработки особых категорий данных. Анализ конкретных правовых оснований также показывает, что ни одно из них не требует контекстуального баланса интересов, который включал бы оценку мер, принимаемых контролером данных для смягчения любых неблагоприятных последствий для конфиденциальности заинтересованных лиц. Считается, что эта оценка была сделана законодателями ЕС при определении соответствующих правовых оснований.В этом отношении основание законного интереса, вопреки тому, что часто думают, на самом деле может обеспечить большую защиту частной жизни для отдельных лиц. Это также было признано WP29 (мнение 06/2014, стр. 9-10).

Решение WP29

WP29 попытался решить эту проблему, потребовав, чтобы защита таких данных в соответствии со статьей 8 Директивы (режим для специальных категорий данных) не была меньше, чем если бы обработка основывалась на статье 7 (предоставление правового основания для обработки обычных персональных данных).Согласно WP29, основания статьи 7 применяются кумулятивно, если защита в соответствии со статьей 8 Директивы не столь надежна. Таким образом, WP29 применяет проверку законных интересов для обработки данных в дополнение к режиму для особых категорий данных (Мнение 06/2014, стр. 15-16):

«… очевидно, что целью политики является обеспечение дополнительной защиты особых категорий данных. Таким образом, окончательный результат анализа должен быть столь же ясным: применение статьи 8, будь то само по себе или в совокупности со статьей 7, направлено на обеспечение более высокого уровня защиты особых категорий данных.

На практике, хотя в некоторых случаях Статья 8 устанавливает более строгие требования… это не относится ко всем положениям. Некоторые исключения, предусмотренные статьей 8, не кажутся эквивалентными или более строгими, чем основания, перечисленные в статье 7. Было бы неуместно заключить, например, что тот факт, что кто-то сделал специальные категории данных явно общедоступными в соответствии со статьей 8(2)(e) будет – всегда и само по себе – достаточным условием для разрешения любого типа обработки данных, без оценки баланса интересов и прав на карту, как требуется в статье 7(f) …  ”

Позиция WP29 понятна с точки зрения защиты, но в равной степени ясно, что способ, которым это достигается, не является оптимальным. Во-первых, обоснование законного интереса статьи 7(f) не всегда применимо к текущей обработке. Это связано с тем, что некоторые основания в статьях 7 и 8 Директивы одинаковы. Например, одним из оснований для обработки данных, включенных в статью 7, является «исполнение договора». Что касается специальных категорий данных в статье 8, контракты более конкретны (но проверка не даст другого результата).В этом случае критерий законного интереса применяться не будет. Оба положения также включают основание «согласие». Для специальных данных это часто является основанием, используемым для обоснования обработки данных, в то время как такая обработка не проходит тест на законный интерес.

WP29 учитывает основание согласия, указывая, что применимы принципы статьи 6 Директивы (персональные данные должны обрабатываться добросовестно и законно, и применяются требования необходимости и пропорциональности) (Мнение 06/2014, стр.13):

«…получение согласия не отменяет обязательств контролера в соответствии со статьей 6 в отношении справедливости, необходимости и пропорциональности, а также качества данных. Например, даже если обработка персональных данных основана на согласии пользователя, это не узаконит сбор данных, который является чрезмерным по отношению к конкретной цели».

WP29 проявил изобретательность, предложив дополнительные тесты для достижения нужного результата. Фактически этот результат сводится к тому, что должен существовать законный интерес к обработке специальных данных.Поэтому неудивительно, что мнение WP29 о тесте на законный интерес показывает, что характер данных фактически формирует релевантный элемент при применении теста на законный интерес (Мнение WP29 06/2014, стр. 38).

«ii) Характер данных

Прежде всего важно оценить, включает ли обработка конфиденциальные данные либо потому, что они относятся к особым категориям данных в соответствии со статьей 8 Директивы, либо по другим причинам, как в случае биометрических данных, генетической информации, коммуникационных данных. , данные о местонахождении и другие виды личной информации, требующие особой защиты»

В свете упомянутых выше недостатков и дополнительных требований, введенных WP29, эффективности и легитимности GDPR способствовала бы отмена отдельного режима для особых категорий персональных данных. Вместо этого было бы предпочтительнее, если бы мы могли перейти к структуре, в которой основание законного интереса было бы основным (и единственным) критерием для различных этапов жизненного цикла всех типов персональных данных: сбор, использование, дальнейшее использование и уничтожение. Это значительно упростило бы систему и, скорее всего, привело бы к большему соответствию требованиям (подробнее об этих предложениях).

GDPR

Особый режим для особых категорий данных остается в силе в статьях 9 и 10 GDPR.Описанные выше недостатки в значительной степени компенсируются новым требованием о проведении оценки воздействия на защиту данных (DPIA), когда тип обработки может привести к высокому риску для прав и свобод людей (обратите внимание, что это шире, чем просто конфиденциальность), и это явное требование в случае крупномасштабной обработки специальных категорий данных (статья 35(3)(b) GDPR).

Кроме того, контролеры данных должны проконсультироваться со своими надзорными органами до начала обработки данных, если DPIA указывает, что такая обработка приведет к высокому риску в отсутствие смягчающих мер, принятых контролером (статья 36 (1) GDPR). DPIA требует контекстуальной оценки, включая оценку необходимости и соразмерности действий по обработке, анализ рисков для прав и свобод людей и смягчающие меры, которые контролер предусматривает для ограничения этих последствий (Статья 35(7) (d) Общего регламента по защите данных).

Эта оценка сводится к проверке законных интересов. Следовательно, это также должно быть выполнено, если юридическое основание для предполагаемой обработки особых категорий данных основано на согласии или исполнении контракта.

По сути, эти дополнительные требования вводятся через черный ход с помощью DPIA. Опять же, хотя это вполне понятно с точки зрения защиты данных, способ, которым GDPR стремится достичь этой цели, излишне сложен.

Вывод таков, что GDPR не принесет необходимых улучшений с точки зрения юридической сложности — как раз наоборот.

Загадка

Контроллеры данных должны проконсультироваться со своими надзорными органами до начала обработки данных, если DPIA указывает, что такая обработка приведет к высокому риску при отсутствии смягчающих мер , принятых контролером. Прочтите это предложение несколько раз, и вы увидите, что совершенно неясно, означает ли элемент «при отсутствии» необходимость проведения консультаций с надзорным органом (i) независимо от эффективности смягчающих мер, следовательно, и тогда, когда смягчающие меры действительно снизит риски, или (ii) только в том случае, если смягчающие меры не снизят риски.

По-видимому, эта двойственность была должным образом отмечена в законодательном процессе, но осталась нерешенной, поскольку мнения сильно различались, поэтому все государства-члены могли толковать это положение по своему усмотрению.Теперь, когда GDPR принят и компаниям придется приступить к его внедрению, пришло время получить четкие указания.

WP29 в своем плане действий GDPR указал, что он предоставит руководство по требованию DPIA в качестве одного из четырех приоритетных вопросов. Логическим толкованием было бы применение требования о консультации только в том случае, когда обработка после принятия смягчающих мер по-прежнему представляет высокий риск для отдельных лиц. GDPR основан на принципе подотчетности, который требует, чтобы компании несли ответственность ex-post , а не система, в которой соответствие проверяется ex-ante надзорными органами.

Любая другая интерпретация требования DPIA в GDPR завалила бы надзорные органы бесконечными уведомлениями, которые они вряд ли смогут просмотреть. Наложение административного бремени без увеличения материальной защиты является рецептом несоблюдения, что, в свою очередь, подрывает легитимность материальных правил, на защиту которых направлены эти нормы. Меньше иногда больше.

Обработка особых категорий персональных данных

Обработка «особых категорий» персональных данных запрещена, за исключением случаев, предусмотренных статьей 9(2).

«Особые категории» определены в статье 9(1) Применимого GDPR. В пунктах 51-54 Применимого GDPR содержится дополнительное описание данных особой категории.

Специальные категории включают раскрытие персональных данных:

  • расовое или этническое происхождение
  • политические взгляды
  • религиозные или философские убеждения
  • членство в профсоюзе
  • здоровье или половая жизнь
  • уникальная идентификация человека путем обработки биометрических или генетических данных

Прежде чем приступить к обработке данных специальной категории, вы должны быть в состоянии продемонстрировать, что применяется одно из исключений  из запрета на обработку, изложенное в статье 9(2), и, за исключением «явного согласия», необходимо для обработки данных этой специальной категории.

Итак, исключения:

  • явно выраженное согласие (если закон не запрещает обработку и этот запрет не может быть отменен лицом)
  • юридическое обязательство контролера в отношении занятости, социального обеспечения и т. д.
  • защита жизненно важных интересов субъекта данных или другого лица, если субъект данных юридически или физически не может дать согласие
  • законная деятельность некоммерческой организации с политической, философской или профсоюзной целью
  • персональные данные явно обнародованы субъектом данных
  • необходимо для предъявления, осуществления или защиты судебных исков или всякий раз, когда суды действуют в своем судебном качестве
  • существенный общественный интерес (основанный на законе острова Мэн или законодательстве Союза, применяемом к острову), который соразмерен преследуемой цели, уважает суть права на защиту данных и предусматривает конкретные меры для защиты основных прав и свобод субъекта данных
  • необходимо для целей профилактики или медицины труда, оценки трудоспособности, медицинского диагноза, предоставления медицинской или социальной помощи или лечения или управления системами и службами здравоохранения и социальной помощи (на основании закона острова Мэн или закона Союза, применяемого к остров)
  • общественное здравоохранение (на основании мэнского законодательства или законодательства Союза, применяемого к острову)
  • архивирование в общественных интересах, исследования и статистика (на основе мэнского законодательства или законодательства Союза, применяемого к острову)

Вы должны пройти оценку воздействия на защиту данных или «DPIA», если предполагаемая обработка может привести к высокому риску для прав и свобод физических лиц и если вы намерены обрабатывать данные особой категории в больших масштабах.

Персональные данные, относящиеся к уголовным судимостям и правонарушениям , не классифицируются как «данные особой категории», но определяются отдельно в статье 10 Применимого GDPR. Любая обработка таких персональных данных может осуществляться только в соответствии со статьей 10, то есть под контролем официального органа или в соответствии с законодательством острова Мэн или законодательством Союза, применимым к острову.

Контроллеры должны быть осведомлены о типах персональных данных, которые они обрабатывают, и о том, какое из соответствующих оснований для обработки или исключение из запрета на обработку соблюдается.

Что такое персональные данные? | Тилбургский университет

Примеры персональных данных

Очевидной информацией является чье-либо имя, адрес и место жительства. Но также номера телефонов, почтовые индексы с номерами домов и IP-адрес компьютера и фото в паспорте или чьи-то цифры являются личными данными.

Специальные персональные данные

Специальные персональные данные — это данные, которые настолько конфиденциальны, что их обработка может серьезно повлиять на чью-либо конфиденциальность.К особым персональным данным относятся следующие данные:

  • Личные данные, раскрывающие расовое или этническое происхождение;
  • Персональные данные, раскрывающие политические взгляды;
  • Персональные данные, раскрывающие религиозные или философские убеждения;
  • Персональные данные, раскрывающие членство в профсоюзе/объединении;
  • Генетические данные;
  • Биометрические данные для однозначной идентификации личности;
  • Данные о чьем-либо здоровье;
  • Данные, касающиеся сексуального поведения или сексуальной ориентации человека.

Особые персональные данные дополнительно охраняются законом. GDPR исходит из того, что обработка этих данных запрещена, но для некоторых операций обработки сделаны исключения. Одним из исключений является то, что субъект данных дал явное согласие на обработку. Для получения более подробной информации см. политику конфиденциальности и защиты персональных данных и возможную политику темы.

Обработка персональных данных: все, что вы делаете с персональными данными

Законодательство о конфиденциальности применяется к любой «обработке» персональных данных.Под обработкой понимается гораздо больше, чем предоставление персональных данных третьим лицам. Закон относится к «сбору, записи, организации, структурированию, хранению, обновлению или изменению, извлечению, консультированию, использованию, предоставлению путем передачи, распространению или иному предоставлению, выравниванию или объединению, блокированию». Короче говоря, все, что вы можете делать с личными данными, подпадает под термин «обработка» . Неважно, выполняется действие вручную или автоматически.

Защита персональных данных является юридическим обязательством

Каждый должен быть уверен, что его личные данные надежно защищены. Согласно AVG, Тилбургский университет по закону обязан защищать персональные данные. Как человек, вы должны быть в состоянии предположить, что ваши личные данные находятся в надежных руках. В конце концов, плохая безопасность может привести к неправомерному использованию ваших личных данных. Таким образом, вопросы конфиденциальности, защиты персональных данных и безопасности тесно взаимосвязаны. Все, кому приходится иметь дело с обработкой персональных данных, должны иметь дело с AVG.Вот почему университет включил правила в свою политику конфиденциальности и защиты персональных данных.

Что GDPR говорит об особых категориях данных

GDPR ограничивает способы обработки особых категорий персональных данных. Основные принципы обработки данных, определенные статьей 6, по-прежнему применяются, но существуют более строгие правила обработки особых категорий персональных данных, и для того, чтобы обработка была законной, должны быть соблюдены дополнительные основания для обработки.

Статья 9.1 : Существуют строгие правила обработки особых категорий персональных данных, к этим категориям относятся:

  • Расовое или этническое происхождение
  • Сексуальная ориентация
  • Политические взгляды
  • Религиозные или философские убеждения
  • Членство в профсоюзе
  • Генетические данные
  • Биометрические данные
  • Данные о здоровье
  • Информация о половой жизни человека

Статья 9.2 : По крайней мере одно из этих оснований для обработки должно быть соблюдено для законной обработки вышеуказанных категорий специальных данных.

  • Субъект данных дал явное согласие на обработку.
  • Обработка необходима для защиты жизненно важных интересов субъекта данных или другого лица, и субъект данных не может дать согласие.
  • Обработка осуществляется фондом, ассоциацией или некоммерческой организацией в рамках их законной деятельности и с соблюдением соответствующих мер безопасности.
  • Обработка персональных данных, обнародованных субъектом данных.
  • Обработка необходима для установления или осуществления юридических требований или защиты, или проводится судами в их судебном качестве.

Определенные законы ЕС или национальные законы также могут быть основанием для законной обработки.

  • Обработка связана с трудоустройством, социальным обеспечением или социальной защитой.
  • Обработка необходима в интересах общества.
  • Обработка необходима по медицинским показаниям.
  • Обработка необходима для здоровья населения.
  • Обработка необходима для целей архивирования.

Существует значительное совпадение между шестью стандартными основаниями для обработки (статья 6) и основаниями для обработки особых категорий персональных данных.

Если субъект данных дает явное согласие на обработку и/или если субъект данных не может дать согласие, но обработка отвечает его/ее жизненно важным интересам, то обработка является законной.