Согласие на обработку персональных данных на сайте правила размещения: Политика конфиденциальности: обработка персональных данных интернет-магазина

Согласие на обработку персональных данных на сайте правила размещения: Политика конфиденциальности: обработка персональных данных интернет-магазина

Правила сбора и обработки персональных данных на сайте: как не нарушить закон

Многие из нас постоянно регистрируются на разных ресурсах в Сети, подписываются на рассылки, заполняют формы и оставляют комментарии. Все эти действия так или иначе подразумевают сбор персональных данных. Мы расскажем, как обрабатывать персональные данные пользователей сайта и при этом избежать серьёзных нарушений и штрафов.

Если вы собираете данные пользователей из России, то основной документ, на который нужно полагаться — Федеральный закон № 152-ФЗ «О персональных данных». Давайте разберёмся, в чём его суть и как организовать сбор персональных данных законным путём.

Что такое персональные данные?

В соответствии с определением вышеупомянутого закона: «Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)». 

То есть, к персональным данным (далее ПД) можно отнести: ФИО, дату рождения, телефон, адрес, ИНН, сведения о работе, ссылки на аккаунты в соцсетях или личный сайт и другую подобную информацию. 

На любые данные найдётся тот, кто их обрабатывает — то есть делает все те вещи, которые описаны в соглашениях на обработку ПД (вы наверняка это знаете, если когда-нибудь читали подобные документы). А именно сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Человек, обрабатывающий ПД, называется оператором персональных данных. Он несёт ответственность за незаконную обработку ПД и может быть как юридическим, так и физическим лицом.

Вас можно считать оператором персональных данных, если на вашем сайте есть формы:

• подписки на рассылку;
• регистрации личного кабинета;
• заявки или обратной связи;
• системы онлайн-чата или онлайн-консультанта;
• размещения комментариев.

Обратите внимание, что не все данные являются персональными сами по себе, но их совокупность позволяет им приобрести такой статус. Например, если пользователь укажет только своё имя, то этого явно не хватит для идентификации его личности. А вот имя и e-mail уже дают более полноценное определение. В то же время такие сведения, как номер телефона или ИНН, сами по себе уже являются ПД, так как при наличии доступа к соответствующей базе данных они позволяют получить полную информацию о человеке.

Поэтому определить, являетесь ли вы оператором ПД, можно в зависимости от того, какие именно данные вы собираете через формы обратной связи на сайте.

Что делать, если я обрабатываю ПД у себя на сайте?

Собирая информацию о пользователях, вы можете задаться вопросом: «Как обрабатывать ПД, чтобы избежать штрафных санкций?». Сущесвтует ряд условий обработки персональных данных для сайта. Вам необходимо:

1. Установить защищённый протокол передачи персональных данных на сайте (SSL-сертификат). В выборе сертификата вам поможет хостинг-провайдер: например в REG.RU базовый SSL-сертификат можно получить даже бесплатно.
2. Составить политику конфиденциальности и разместить её на сайте.
3. Спрашивать согласие посетителей на обработку их ПД.
4. Уведомить Роскомнадзор, что вы собираете персональные данные.

На всякий случай подчеркнём, что нужно выполнить все эти шаги. Пройдёмся по каждому из пунктов.

SSL-сертификат

SSL-сертификат — стандарт безопасности для обмена данными между сайтом и пользователем. Главное преимущество SSL-сертификата — зашифрованное соединение, которое защищает трафик, не давая перехватить его и использовать оставленные на сайте персональные данные в мошеннических целях.

Критически важно перейти на протокол SSL всем сайтам, где есть информация первой и второй категории (подробнее о категориях информации можно узнать здесь). Это, например, данные банковских карт, логины и пароли от аккаунтов, формы с указанием полного имени и адреса и прочее.

Политика конфиденциальности

Составляя политику конфиденциальности, обратите внимание на принципы обработки персональных данных. В ней необходимо указать следующую информацию:

1. Наименование оператора обработки персональных данных. Если сайт принадлежит ИП или просто физическому лицу — указать ФИО, если юридическому лицу — название компании и ИНН.
2. Адрес оператора: юридический (для юридических лиц) или фактический (для физических лиц).
3. Список собираемых данных: ФИО, почта, телефон, файлы-cookies, паспортные данные и другое. Список должен быть максимально полным и подробным. 
4. Цель сбора данных. Обязательно укажите, для чего будут использоваться ПД. Собирайте только необходимые данные.
5. Сроки обработки данных. Персональные данные после их использования по назначению подлежат удалению. Их обработка возможна только в течение ограниченного времени. 
6. Факт привлечения третьих лиц к обработке данных. Сюда относятся также различные партнёрские программы, например партнёрская программа REG.RU. Если вы приводите новых клиентов в другую компанию, то она является третьим лицом, которое будет обрабатывать ПД.
7. Свои контактные данные. В реквизитах политики конфиденциальности укажите контакты, по которым с вами можно связаться. Такая информация будет полезна для ваших клиентов, если они захотят удалить или изменить свои персональные данные.
8. Меры обеспечения безопасности данных. Расскажите клиентам, что их персональные данные хранятся на защищённых серверах, располагающихся на территории России (да, по закону хранить данные российских граждан можно только на серверах, находящихся в РФ).

Посетители вашего сайта должны иметь возможность беспрепятственно ознакомиться с политикой конфиденциальности, поэтому мы советуем разместить её в футере каждой страницы.

Согласие на обработку персональных данных

В соответствии с законом «О персональных данных» пользователь должен самостоятельно решать, предоставлять ли вам свои данные, и давать согласие на их обработку. При этом согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Сделайте чекбокс с уведомлением о том, что клиент соглашается на обработку ПД и ознакомлен с политикой конфиденциальности (не забудьте дать на неё ссылку). Посетитель сайта должен самостоятельно поставить галочку в чекбоксе, и делать это за него мы не рекомендуем.

Но есть ряд случаев, когда согласие на обработку ПД можно получить и другим способом. К ним относится, например, подписание договора, одной из сторон которого является пользователь. 

Уведомление Роскомнадзора

Закон «О персональных данных» гласит, что вам необходимо уведомить Роскомнадзор о сборе и обработке персональных данных посетителей вашего сайта. Сделать это можно через специальную форму.

Но есть и исключения, когда уведомлять Роскомнадзор не обязательно. Среди них, например, обработка общедоступной информации (то есть той, которую пользователь сделал доступной для неопределённого круга лиц, например данные о себе, опубликованные на личном сайте или в открытом профиле социальной сети) или данных, включающих в себя только ФИО.

Выводы

1. Персональные данные — это любая информация, по которой можно прямо или косвенно определить человека.

2. Если вы обрабатываете ПД — подключите к сайту SSL-сертификат, разместите политику конфиденциальности и уведомите Роскомнадзор.

3. У посетителей сайта необходимо брать согласие на обработку персональных данных — разместите под формой ввода данных соответствующую строку с чекбоксом и ссылкой на политику конфиденциальности.

4. Храните персональные данные людей, проживающих в РФ, на серверах, располагающихся на территории России.

Обработка персональных данных (ФЗ-152) для владельцев сайтов. Как не получить штраф и не попасть под блокировку?

Что относится к персональным данным? Чем отличается Политика конфиденциальности от Согласия на обработку персональных данных и от Пользовательского соглашения? Что всё-таки нужно делать с сайтом, чтобы не получить штраф или бан от Роскомнадзора. Мы потратили почти месяц, чтобы разобраться. Рассказываем обо всём простым языком.

О чём этот закон?

Если коротко, это закон о том, что такое персональные данные, кто имеет право их хранить и обрабатывать, и как это правильно делать. Главная цель закона — защищать персональные данные.

Что относится к персональным данным?

На этот вопрос до сих пор нет однозначного ответа. Поэтому коротко рассказываем о трактовке закона юристами и судами на сегодняшний день, после выхода нового постановления правительства в сентябре 2019 года.

В законе сказано, что персональные данные — это всё что связано с человеком, и по чему можно его опознать. Обычно это совокупность данных. Например, имя с фамилией и телефоном — это точно персональные данные.

Казалось бы, e-mail сам по себе не является персональными данными, если он не состоит из имени и фамилии. Однако, если вы отправляете на этот email рассылку рекламного характера в отсутствие соглашения на обработку персональных данных, то вы тоже нарушаете закон. (Постановление № 4А-288/2016 от 4 октября 2016 г. по делу № 4А-288/2016).

Адаптация сайта к изменениям в законе РФ о персональных данных, вступающим в силу 1 июля 2017 года

Выпущены обновления фреймворка Webasyst и приложений «Сайт» и Shop-Script 7 для соответствия новым требованиям федерального закона Российской Федерации о персональных данных (№152-ФЗ). Установите обновления в «Инсталлере» и сохраните настройки, описанные в этой статье.

Для Shop-Script 6 это обновление выпускаться не будет. Обновления этой версии мы будем выпускать только для устранения критических недостатков в системе безопасности.

Что изменилось

Во фреймворк и отдельные приложения добавлены настройки, с помощью которых посетители сайта смогут подтверждать свое согласие с политикой обработки персональных данных на вашем сайте. Подтверждать согласие необходимо при попытке явно отправить на сайт свои данные. Например, при регистрации или при отправке сообщения через форму обратной связи.

Подтверждать согласие с политикой посетители сайта могут несколькими способами:

• Включить флажок «Я согласен с политикой обработки персональных данных», прочитав текст политики, и отправить данные через форму.
  Рядом с флажком должна быть ссылка на страницу с политикой.
• Отправить данные через форму без включения флажка, просто ознакомившись с политикой обработки персональных данных.
  Рядом с кнопкой отправки формы должна быть надпись вида «Отправляя свои данные через эту форму, я соглашаюсь с политикой обработки персональных данных» и ссылка на страницу с политикой.

1. Форма регистрации

В настройках авторизации в приложении «Сайт» добавлена новая настройка для формы регистрации: «Обработка персональных данных».

Выберите тот вариант настройки, который считаете наиболее надежным для работы вашего сайта и удобным для ваших посетителей.

Страницу с политикой обработки персональных данных создайте в любом приложении Вебасиста. Пример текста политики обработки персональных данных есть в конце этой статьи.

Сохраните адрес этой страницы в новой настройке. Для этого щелкните по надписи со ссылкой и отредактируйте их в текстовой области.

Если вы изменили текст или ссылку и хотите вернуться к стандартной надписи, то можно быстро восстановить первоначальный вариант сообщения.

2. Приложение «Сайт»: форма обратной связи

Обновлен блок «site.send_email_form», с помощью которого на сайте публикуется форма обратной связи. В код блока добавлен фрагмент, который формирует элементы для подтверждения согласия с политикой обработки персональных данных: обязательный для включения флажок и ссылку на страницу с политикой.

{$agreement_link = ""}
{if $agreement_link}
<div>
  <div>
    <input type="hidden" name="agree_to_terms" value="">
    <label>
      <input type="checkbox" name="agree_to_terms" value="1"{if $wa->post("agree_to_terms")} checked{/if}>
      [s`I agree to the`] <a href="{$agreement_link|escape}" target="_blank">[s`personal data protection policy`]</a>
      {if !empty($errors.agree_to_terms)}<em>{$errors.agree_to_terms}</em>{/if}
    </label>
  </div>
</div>
{/if}

Между кавычками в первой строке {$agreement_link = «»} укажите URL страницы, на которой опубликована ваша политика. Страницу с политикой создайте в любом приложении Вебасиста. Пример текста политики обработки персональных данных есть в конце этой статьи.

Так выглядят новые элементы в форме обратной связи с темой дизайна «Дефолт»:

Если нужно, измените стандартный код блока, чтобы адаптировать эти элементы к дизайну вашего сайта.

Если новые элементы не появились в форме обратной связи

Это может произойти, если вы раньше изменяли блок «site.send_email_form» или просто нажимали в нем кнопку «Сохранить». В этом случае используется сохраненный ранее вариант блока вместо обновленного.

Чтобы сохранить свои изменения в блоке и адаптировать блок к последним требованиям, добавьте в него новый фрагмент в любом удобном месте между тегами <form>…</form>. Или восстановите блок одной кнопкой до оригинального состояния — новый фрагмент кода появится в нем автоматически.

Ссылка на политику без обязательного флажка

Если вы не хотите заставлять посетителей сайта включать обязательный флажок, можно разместить только ссылку на политику обработки персональных данных. Рядом со ссылкой нужно написать о том, что отправка данных через форму на данной странице обозначает согласие посетителя сайта с условиями политики.

Чтобы добавить только ссылку с надписью без флажка, сократите новый код в блоке «Сайта» и измените в нем текст надписи.

{$agreement_link = ""}
{if $agreement_link}
<div>
  <div>
    Нажимая кнопку подтверждения, я соглашаюсь с <a href="{$agreement_link}" target="_blank">политикой обработки персональных данных</a>.
  </div>
</div>
{/if}

Точно так же добавьте адрес страницы с политикой в строке {$agreement_link = «»}.

3. Shop-Script

На витрине Shop-Script у покупателей есть возможность подтвердить согласие с политикой обработки персональных данных во время оформления заказа:

• на шаге ввода контактной информации
  
• на шаге выбора способа доставки
  

Шаг ввода контактных данных

Перейдите в раздел «Настройки → Оформление заказа → Контактная информация». Здесь появилась новая настройка «Обработка персональных данных». Выберите один из вариантов, как в настройках приложения «Сайт».

Текст подсказки и адрес ссылки на страницу с политикой можно редактировать и легко восстанавливать до стандартного варианта.

Шаг выбора способа доставки

На этом шаге возможна передача персональных данных, например, для уточнения адреса доставки для отдельных способов доставки. В разделе «Настройки → Оформление заказа → Доставка» можно включить только показ подсказки со ссылкой на страницу с политикой обработки персональных данных — без необходимости включать флажок подтверждения.

Подсказка появится во время оформления заказа при выборе тех плагинов, которые требуют заполнения адресных данных.

Шаг подтверждения заказа: условия предоставления услуг

В шаблоне текста условий предоставления услуг, который можно добавить в разделе «Настройки → Оформление заказа → Подтверждение», есть раздел, посвященный конфиденциальности и защите информации. На свое усмотрение либо замените эту часть условий содержимым вашей политики обработки персональных данных, либо добавьте в него ссылку на страницу с текстом политики.

Если нужны разные политики для нескольких витрин

Создайте несколько страниц с текстом политики с одинаковым относительным адресом для разных витрин. У каждой страницы будет совпадать только последняя (относительная) часть адреса. В шаблоне подсказки со ссылкой на политику укажите общий относительный адрес для всех этих страниц, например: /personal-data-protection-policy/ — без указания домена.

Форма добавления отзывов о товаре

В «Общих настройках» магазина добавлена настройка показа элементов получения согласия с политикой обработки персональных данных, подобная той, которая используется для шага оформления заказа «Контактная информация».

4. Тема дизайна

Для того чтобы новые элементы подтверждения с условиями политики обработки персональных данных появились на страницах сайта, их должна поддерживать ваша тема дизайна. Если тема разработана командой Webasyst, обновите ее до последней версии и восстановите до оригинального состояния с помощью редактора дизайна.

Если вы используете тему другого разработчика, то уточните у него, поддерживает ли его тема эти новые элементы.

Как адаптировать свою тему самостоятельно

Ниже приведены примеры кода из темы «Дефолт», которые были добавлены для адаптации к новым требованиям закона о персональных данных. Используйте их, чтобы адаптировать свою собственную тему.

Файл checkout.contactinfo.html

Перед строкой вида

{if $wa->isAuthEnabled() && !$wa->user()->isAuth()}

добавьте фрагмент

{if !empty($checkout_steps.contactinfo.service_agreement) && !empty($checkout_steps.contactinfo.service_agreement_hint)}
    <div>
        <div>
            <label>
                {if $checkout_steps.contactinfo.service_agreement == 'checkbox'}
                    <input type="hidden" name="service_agreement" value="">
                    <input type="checkbox" name="service_agreement" value="1"{if $wa->post('service_agreement')} checked{/if}>
                {/if}
                {$checkout_steps.contactinfo.service_agreement_hint}
            </label>
            {if !empty($errors.service_agreement)}
                <em>{$errors.service_agreement|escape}</em>
            {/if}
        </div>
    </div>
{/if}

Файл checkout.shipping.html

Замените строку вида

{if !empty($m.form)}<div {if $m.id != $shipping.id}style="display:none"{/if}>{$m.form->html()}</div>{/if}

на новый фрагмент

{if !empty($m.form)}
    <div {if $m.id != $shipping.id}style="display:none"{/if}>
        {$m.form->html()}
        {if !empty($checkout_steps.shipping.service_agreement_hint)}
            <div>
                <div>
                    <p>{$checkout_steps.shipping.service_agreement_hint}</p>
                </div>
            </div>
        {/if}
    </div>
{/if}

Файл reviews.html

Перед строкой вида

<input type="submit" value="[`Add review`]">

добавьте фрагмент

{if empty($current_user_id) && !empty($review_service_agreement) && !empty($review_service_agreement_hint)}
    <label>
        {if $review_service_agreement == 'checkbox'}
            <input type="hidden" name="service_agreement" value="">
            <input type="checkbox" name="service_agreement" value="1"{if $wa->post('service_agreement') || $wa->storage('shop_review_agreement')} checked{/if}>
        {/if}
        {$review_service_agreement_hint}
    </label>
{/if}

Как сделать флажок согласия с политикой включенным по умолчанию

Пример приведен для темы дизайна «Дефолт».

Файл checkout.contactinfo.html

Строку

<input type="checkbox" name="service_agreement" value="1"{if $wa->post('service_agreement')} checked{/if}>

измените так:

<input type="checkbox" name="service_agreement" value="1"{if $wa->post('service_agreement') || $wa->post('service_agreement') === null} checked{/if}>

5. Уведомление об обработке персональных данных на страницах сайта

Если на вашем сайте действует политика обработки персональных данных, то вы должны добавить на каждую страницу сайта уведомление об этом. Удобное место для такого уведомления — подвал сайта, т. е. самая нижняя часть страниц. Добавить его можно путем редактирования шаблонов в редакторе дизайна, например, в файле index.html.

Пример размещения HTML-кода уведомления:

...   
     <div>
        <p>Мы получаем и обрабатываем персональные данные посетителей нашего сайта в соответствии с <a href="ссылка">официальной политикой</a>.
            Если вы не даете согласия на обработку своих персональных данных,вам необходимо покинуть наш сайт.</p>
    </div>
...
</footer>

В темы дизайна, разработанные Webasyst, добавлена настройка «Уведомление в подвале сайта», которую удобно использовать, чтобы добавить информацию о вашей политике обработки персональных данных, не редактируя файлы шаблонов.

Другие приложения Webasyst

Мы обновили приложение «Рассылки» и «Поддержка» и плагин «Контакты PRO», чтобы вы могли пользоваться ими с соблюдением требований закона.

Рассылки

В настройки формы подписки добавлен выбор элементов получения согласия с условиями обработки персональных данных.

Поддержка

В конструкторе формы отправки запроса в настройках потока появилась возможность добавить флажок для получения согласия с условиями обработки персональных данных.

Контакты PRO

В конструкторе формы регистрации появилась возможность добавить флажок для получения согласия с условиями обработки персональных данных.

Если у вас установлены другие плагины или приложения, которые собирают персональные данные с помощью веб-форм («оформление заказа одной кнопкой», «запрос обратного звонка» и т. п.), убедитесь, что они адаптированы к новым требованиям — уточните это у разработчиков плагинов.

Отправка уведомления в Роскомнадзор

Если вы получаете от посетителей сайта их персональные данные, то вы — оператор персональных данных. Примеры персональных данных: имя и email-адрес, указанные при регистрации на сайте или при оформлении заказа в интернет-магазине.

Оператор персональных данных должен уведомить Роскомнадзор о своей работе. Это нужно сделать до начала обработки данных. Роскомнадзор вносит информацию обо всех операторах в свой официальный реестр.

Когда не нужно уведомлять Роскомнадзор о получении персональных данных

Обработка персональных данных не всегда требует отправки уведомления в Роскомнадзор. Например, это не нужно при исполнении обязательств в рамках договора, в том числе договора купли-продажи между магазином и покупателем, действия сторон которого регулируются Гражданским кодексом Российской Федерации (ГК). Поскольку исполнение договора купли-продажи в магазинах (включая интернет-магазины) выполняется в соответствии с ГК, то отдельно публиковать условия такого договора (т. е. по сути дублировать положения Кодекса) на сайте интернет-магазина нет необходимости.

Если же условия работы вашего магазина расширяют положения ГК, то свой договор-оферту нужно опубликовать в виде отдельной странице на сайте магазина. В договоре может быть написано, что он вступает в силу при выполнении посетителем сайта некоторого определенного действия. Такое действие называется акцептом договора-оферты.

Примеры акцепта договора-оферты на интернет-сайте:

• установка флажка в форме регистрации;
• установка флажка на странице оформление заказа в интернет-магазине;
• установка флажка в форме отправки сообщения на странице обратной связи;
• отправка данных через веб-форму на сайте без установки флажка, если в форме есть явное указание на то, что отправка данных через нее является акцептом конкретного договора.

Полный список случаев, когда не требуется уведомлять Роскомнадзор о получении и обработке персональных данных, содержится в ст. 22 закона «О персональных данных».

Пример политики обработки персональных данных

Этот шаблонный текст можно использовать для создания своей собственной страницы с положениями политики. Не забудьте вписать свои данные вместо вставок с квадратными скобками […].

Настоящий документ (далее «Политика») описывает условия обработки персональных данных, передаваемых вами в качестве субъекта персональных данных (далее «Субъект ПД») в адрес [название компании] в качестве оператора персональных данных (далее «Оператор ПД»). Положения Политики действуют только при посещении Субъектом ПД интернет-сайта Оператора ПД [адрес сайта].
1. Обработка и защита персональных данных
1.1. Оператор ПД может осуществлять сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление персональных данных Субъекта ПД в соответствии с действующим законодательством РФ: ст. 24 Конституции Российской Федерации, ст. 6 Федерального закона №152-ФЗ «О персональных данных» и Гражданским кодексом Российской Федерации в рамках исполнения договора купли-продажи.
1.2. Обработка и хранение персональных данных осуществляются в электронном виде с использованием средств автоматизации с обеспечением конфиденциальности и соблюдением положений о защите персональных данных, предусмотренных законодательством РФ.
1.3. Условия передачи персональных данных:
    - Субъект ПД должен подтвердить свое согласие на обработку персональных данных, передаваемых через любые веб-формы на сайте Оператора ПД, либо путем заполнения специального поля перед отправкой персональных данных, либо самим фактом отправки данных, если специальное поле отсутствует.
Перед отправкой своих персональных данных Субъект ПД должен ознакомиться с содержанием Политики.
Оператор ПД размещает в веб-формах на своем сайте ссылку на текст Политики, для того чтобы Субъект ПД имел возможность ознакомиться с содержанием Политики перед отправкой своих персональных данных.
    - Субъект ПД дает согласие на обработку Оператором ПД своих персональных данных, не являющихся специальными или биометрическими, в том числе номера контактных телефонов, адрес проживания, адреса электронной почты, место работы и занимаемая должность, сведения о местоположении, тип и версия операционной системы, тип и версия браузера, тип устройства и разрешение его экрана, источник перехода на сайт, включая адрес сайта-источника и текст размещенного на нем рекламного объявления, язык операционной системы и браузера, список посещенных страниц и выполненных на них действий, IP-адрес.
    - Оператор ПД не обрабатывает персональные данные специальной категории, в том числе данные о политических, религиозных и иных убеждениях, о членстве в общественных объединениях и профсоюзной деятельности, о частной и интимной жизни Субъекта ПД.
1.4. Согласие на обработку персональных данных действует бессрочно с момента предоставления данных Субъектом ПД Оператору ПД и может быть отозвано путем подачи заявления Оператору ПД с указанием сведений, определенных ст. 14 Федерального закона «О персональных данных». Отзыв согласия на обработку персональных данных может быть осуществлен путем направления Субъектом ПД соответствующего заявления Оператору ПД в свободной письменной форме по адресу [почтовый или электронный адрес].
2. Передача персональных данных
2.1 Оператор ПД предоставляет доступ к персональным данным только Субъекту ПД либо его законному представителю в соответствии с требованием законодательства РФ. 
2.2 Оператор ПД не передает персональные данные, полученные от Субъекта ПД, третьим лицам, кроме случаев, предусмотренных действующим законодательством РФ.
3. Права Субъекта ПД
3.1. Субъект ПД или его законный представитель вправе требовать уточнения персональных данных в случае, если они изменились или если при их предоставлении были допущены неточности.
3.2. Субъект ПД или его законный представитель вправе требовать блокировки или уничтожения предоставленных персональных данных в случае отказа от дальнейшего обслуживания Оператором ПД и посещения его интернет-сайта.

Согласие на обработку персональных данных

Принимая условия настоящего Соглашения, я даю согласие на обработку моих персональных данных Международной организацией космической связи Интерспутник (далее — «Организация»), расположенной по адресу: 121099, г. Москва, 2-й Смоленский переулок, д. 1/4.

Мое согласие распространяется на следующую информацию: мою фамилию, имя, отчество, телефон, электронную почту, любую другую информацию, относящуюся к моей личности.

Даю согласие на обработку персональных данных:

• предоставить мне информацию об услугах, которые Организация считает потенциально интересными для меня;
• проводит опросы и маркетинговые, статистические и другие исследования;
• проинформируйте меня о новых услугах Организации.

Я даю согласие на любые действия в отношении персональных данных, которые могут быть необходимы для достижения вышеуказанных целей, включая, помимо прочего: сбор, систематизацию, накопление, хранение, уточнение (обновления, изменения), использование, распространение (в том числе разглашение), обезличивание, блокирование, уничтожение, а также любые другие действия с персональными данными в соответствии с действующим законодательством Российской Федерации.

Организация обрабатывает персональные данные следующими способами:

• обработка персональных данных автоматикой;
• обработка персональных данных без использования автоматики (неавтоматическая обработка).

При обработке персональных данных Организация не ограничивается способами их обработки.

Я подтверждаю, что Организация имеет право предоставлять третьим лицам мою личную информацию, если:

• Даю свое явное согласие на раскрытие моих персональных данных третьим лицам;
• мои личные данные должны быть раскрыты для предоставления мне каких-либо услуг и / или для обработки моих личных данных. Всякий раз, когда Организация раскрывает мои личные данные третьим лицам, Организация требует, чтобы такие третьи лица хранили мои личные данные в секрете.

Настоящее согласие дается до истечения срока, установленного действующим законодательством Российской Федерации для хранения соответствующей информации или документов, содержащих информацию, описанную выше, после чего я могу отозвать его, направив Организации письменное уведомление не менее чем за один месяц. .

За исключением случаев, предусмотренных действующим законодательством Российской Федерации и настоящим Соглашением, Организация обязуется не разглашать какие-либо персональные данные Пользователя третьим лицам без явного согласия Пользователя, а также не обмениваться какой-либо персональной информацией Пользователя. с третьими лицами.A «{N {> + = A» uNCD & L9a8 ؘ / = ͠ aFUYlLu) CUɠ! [U2hTu) CU5U%; d * 4 ܺ͟ W} 0 # Е = Rq + S # + e (hA = ܞ2; ܢ8 w ڶ e] ᡹ Q3HK2 ֏ 2 s KMc #] 䚎

SgsWlGnL7L’Bw конечный поток endobj 3 0 obj > endobj 2 0 obj > endobj 4 0 obj > endobj 5 0 obj > поток

• SAVOIA-KELETI Emese (EEAS)
конечный поток endobj 6 0 obj > поток x +

Арт.6 GDPR — Законность обработки

Ст. 6 GDPR — Законность обработки — GDPR.eu

Общие правила защиты данных (GDPR)

1211
1. Обработка является законной только в том случае и в той степени, в которой применяется хотя бы одно из следующего:
   1. 1. субъект данных дал согласие на обработку его или ее личных данных для одной или нескольких конкретных целей;
      2. обработка необходима для выполнения договора, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора;
      3. обработка необходима для соблюдения юридического обязательства, которому подчиняется контролер;
      4. обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица;
      5. обработка необходима для выполнения задачи, выполняемой в общественных интересах или при исполнении официальных полномочий, возложенных на контролера;
      6. обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной, за исключением случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта данных, которые требуют защиты персональных данных, в частности, если субъект данных — ребенок.

   Пункт (f) первого подпараграфа не распространяется на обработку, осуществляемую государственными органами при выполнении своих задач.

2. Государства-члены могут сохранять или вводить более конкретные положения для адаптации применения правил настоящего Регламента в отношении обработки для соответствия пунктам (c) и (e) параграфа 1 путем определения более точных требований к обработке и другие меры для обеспечения законной и справедливой обработки, в том числе для других конкретных ситуаций обработки, предусмотренных в Главе IX.
3. Основа для обработки, указанной в пунктах (c) и (e) параграфа 1, устанавливается:
   1. 1. Закон Союза; или
      2. Закон государства-члена, которому подчиняется контролер.

   Цель обработки должна быть определена на этой правовой основе или, что касается обработки, указанной в пункте (e) параграфа 1, она необходима для выполнения задачи, выполняемой в общественных интересах или при исполнении официальных полномочий контролера.Эта правовая основа может содержать конкретные положения для адаптации применения правил настоящего Регламента, в частности: общие условия, регулирующие законность обработки данных контролером; типы данных, которые подлежат обработке; заинтересованные субъекты данных; лица и цели, для которых личные данные могут быть раскрыты; ограничение цели; сроки хранения; а также операции обработки и процедуры обработки, включая меры по обеспечению законной и справедливой обработки, например, для других конкретных ситуаций обработки, предусмотренных в Главе IX. ⁴ Закон Союза или государства-члена должен соответствовать цели общественных интересов и быть соразмерным преследуемой законной цели.

4. Если обработка с целью, отличной от той, для которой были собраны персональные данные, не основана на согласии субъекта данных или на законе Союза или государства-члена, который представляет собой необходимую и соразмерную меру в демократическом обществе для защиты целей, указанных в Статье 23 (1), контролер должен, чтобы убедиться, что обработка для другой цели совместима с целью, для которой персональные данные собираются первоначально, принять во внимание, среди прочего:
   1. любую связь между цели, для которых были собраны личные данные, и цели предполагаемой дальнейшей обработки;
   2. контекст, в котором были собраны личные данные, в частности, в отношении отношений между субъектами данных и контролером;
   3. характер личных данных, в частности, обрабатываются ли особые категории личных данных в соответствии со статьей 9 или обрабатываются ли личные данные, связанные с уголовными обвинениями и правонарушениями, в соответствии со статьей 10;
   4. возможные последствия предполагаемой дальнейшей обработки для субъектов данных;
   5. наличие соответствующих мер защиты, которые могут включать шифрование или псевдонимизацию.
Соответствие

GDPR стало проще с зашифрованной электронной почты

Узнать больше Мы используем файлы cookie, чтобы обеспечить вам удобство пользования нашим сайтом. Если вы продолжите использовать этот сайт, мы будем считать, что вы довольны им. OKNoПолитика конфиденциальности

Согласие на обработку персональных данных

Путем заключения настоящего Согласия и отправки своих персональных данных на сайт www.zeiss-solutions.ru (далее «Веб-сайт») ) путем заполнения (Регистрационной) формы Пользователь:

• подтверждает, что все предоставленные им данные являются его личными данными;

• подтверждает и признает, что он внимательно и полностью прочитал настоящее Согласие и условия обработки своих персональных данных, заполненных им в полях формы (регистрации), и понимает их формулировку и условия обработки персональных данных и условия;

• соглашается с тем, что персональные данные, которые были предоставлены как часть информации, должны обрабатываться владельцем Веб-сайта для целей заключения настоящего Соглашения между ним и владельцем Веб-сайта и его дальнейшего исполнения;

• соглашается с тем, что его личные данные будут раскрыты спонсорам мероприятия;

• дает согласие на получение информационных бюллетеней с новостями Веб-сайта, включая анонсы статей, размещенных на Веб-сайте, и рекламные материалы от партнеров Веб-сайта;

• соглашается с условиями обработки персональных данных;

• дает согласие на загрузку файлов cookie на ваше устройство для передачи информации об использовании этого веб-сайта;

• дает согласие на использование и обработку файлов cookie всех типов.

Пользователь дает согласие на обработку своих персональных данных, то есть на обработку, предусмотренную пунктом 3 части 1 статьи 3 Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006, и подтверждает, что давая такое согласие, он действует свободно, по своему усмотрению и в своих интересах.

Согласие пользователя на обработку персональных данных является конкретным, информированным и скрупулезным.

Настоящее Пользователь дает согласие на обработку следующих персональных данных: фамилия, имя, отчество, год рождения, местонахождение (город / город, область / область), номер телефона, адрес электронной почты.

Пользователь дает право на обработку (оперирование) своими персональными данными следующим образом:

• собирать, накапливать и хранить в течение сроков учета, установленных нормативными документами, но не менее трех лет после использования услуги. прекращено Пользователем;

• корректировать (обновлять, пересматривать), использовать, уничтожать, обезличивать, передавать по решению суда, среди прочего, третьим лицам в соответствии с любыми мерами, которые могут обеспечить безопасность личных данных от несанкционированного доступа.

Указанное Согласие остается в силе в течение неограниченного периода времени и может быть отозвано вами путем отправки запроса руководству Сайта с указанием данных, указанных в статье 14 Закона «О персональных данных». Согласие на обработку Персональных данных может быть отозвано Пользователем путем отправки соответствующей инструкции в простой письменной форме на электронную почту: [email protected].

Общество с ограниченной ответственностью «Карл Цейсс» является владельцем www.Сайт zeiss-solutions.ru.

ИНН: 7701234835

Юридический адрес: Россия, 109028, г. Москва, Серебряническая набережная, 29.

Сайт не несет ответственности за использование (как законное, так и незаконное) третьими лицами информации, размещенной Пользователем на сайте Веб-сайт, включая любое воспроизведение и распространение любыми возможными способами.

Веб-сайт имеет право вносить изменения в настоящее Согласие. При внесении изменений дата последнего изменения должна быть указана в действующей редакции.Новая версия Согласия вступает в силу с момента ее публикации, если иное не предусмотрено новой версией Согласия.

Настоящее Соглашение и отношения между Пользователем и Сайтом в связи с ним регулируются применимым законодательством Российской Федерации.

Принципы обработки персональных данных: 9 принципов обработки GDPR

Обзор принципов обработки персональных данных в соответствии с Общим регламентом о защите данных (GDPR) , а также где и как принципы, касающиеся обработки персональных данных, имеют значение для обеспечения соответствия GDPR, начиная со статьи 5 GDPR и выходя за ее рамки .

Чтобы обеспечить соответствие GDPR, важно понимать суть GDPR в оценке личных данных и возвращении контроля над личными данными гражданам в гораздо большей степени, чем это делали его предшественники, Директива о защите данных или Директива 95/46 / EC.

Эти цели и соответствующие права, свободы и принципы GDPR выражены не только в новых или усиленных принципах и обязанностях для контроллеров и процессоров, но и в экстерриториальном применении GDPR (согласно которому все организации, приобретающие и обрабатывающие затрагиваются личные данные граждан ЕС независимо от того, где происходит обработка) .

Хотя многие права субъектов данных и правила, касающиеся правовых основ для законной обработки личных данных граждан ЕС, не претерпели значительных изменений, важно понимать, как новые правила вписываются в объем упомянутых целей и общих принципов. что подчеркивается GDPR.

Это также касается принципов обработки персональных данных, о которых идет речь в этой статье.

Определение принципов обработки персональных данных

Очевидно также, что существует определенная степень «обновления», чтобы соответствовать современным средствам обработки данных и действиям с GDPR, и ЕС хочет гораздо более согласованного подхода, применения и обеспечения соблюдения для организаций в рыночной реальности, где данные и личные данные необходимы во времена цифровой трансформации, инноваций на основе данных, использования новых технологий и четвертой промышленной революции, известной как Индустрия 4.0.

Тем не менее, принципы, права и свободы вездесущи и упоминаются практически во всех аспектах GDPR, независимо от того, касается ли это роли DPO (сотрудника по защите данных) , правил согласия (информированное, свободно данное, активное и т. д.) или способы продемонстрировать соответствие одобренным практикам безопасности и обработки данных, таким как шифрование и псевдонимизация, важность DPIA, кодексов поведения и т. д.

Соответствие GDPR начинается с осведомленности о GDPR, понимания прав субъектов данных, выбора надлежащих оснований для законной обработки всех операций по обработке данных и понимания принципов, закрепленных в Регламенте, включая принципы, касающиеся обработки персональных данных. .

Ранее мы рассмотрели различные правовые основания для законной обработки и подробно рассмотрели некоторые из них. Получение согласия или наличие другого законного основания для законной обработки — это, конечно, лишь один шаг, когда все сводится к обработке персональных данных.

Когда существует правовая база, обработка все еще должна происходить, и действительно существуют четкие принципы, касающиеся фактической обработки персональных данных. Эти принципы обработки персональных данных всегда связаны с (и часто включают) общих принципов, таких как справедливость, прозрачность, свобода выбора и многое другое.

Шесть и девять принципов обработки персональных данных

Принципы обработки персональных данных в соответствии с GDPR можно найти в статье 5. GDPR. Мы рассмотрим 9 принципов обработки персональных данных и кратко рассмотрим каждый, прежде чем углубляться в каждый из них.

Почему принципы обработки персональных данных имеют (большое) значение?

Причины, по которым эти принципы обработки персональных данных важны?

Касается ли это самого GDPR, руководящих указаний Европейского совета по защите данных или надзорных органов, юриспруденции, практических аспектов для организаций в соответствии с GDPR или интерпретации прав, обязанностей и многого другого: они всегда здесь, так как важные руководящие принципы, включенные в Регламент, которыми на самом деле являются принципы, касающиеся обработки персональных данных.

Как мы упоминали в нашем обзоре главы 2 GDPR, к которой относятся принципы обработки персональных данных, указанные в статье 5, на самом деле существует шесть принципов обработки персональных данных (которые иногда также называют шестью принципами обработки данных или шестью принципами конфиденциальности) и еще один (в пункте 2) об ответственности, который применяется ко всем шести.

Некоторые из этих принципов, так сказать, связаны. Например: первый принцип обработки персональных данных, который упоминается в статье 5, — это «законность, справедливость и прозрачность» .

В рамках этой статьи мы упоминаем некоторые отдельно, потому что, хотя они тесно связаны между собой (а также связаны с другими принципами и правилами в GDPR) , они возвращаются в GDPR по-разному. Более того, Рабочая группа по защите данных по статье 29 и другие разработали (не имеющий обязательной юридической силы ) руководящих принципов для одного или нескольких из этих трех, которые упомянуты так, как если бы они были единым целым в статье 5 GDPR. WP29, например, опубликовал руководящие принципы о прозрачности.

Поскольку мы разделили некоторые из них и включили подотчетность, мы пришли к 9 принципам.

Место принципов обработки персональных данных в GDPR

Важность принципов, касающихся обработки персональных данных, также трудно упустить, учитывая их место в статье 5 GDPR.

Если в главе 1 GDPR есть 4 статьи, которые соответственно охватывают предмет и цели GDPR (подчеркивая основные права и свободы физических лиц и право на защиту персональных данных, GDPR Recital 4 представляет принцип соразмерности, что защита личных данных должна быть сбалансирована с другими правами и свободами, такими как свобода мысли и выражения) , материальный охват GDPR, территориальный охват (с упомянутым экстерриториальным применением) и несколькими Определения в статье 4, вторая глава статей GDPR немедленно начинается с принципов, касающихся обработки персональных данных, прежде чем упомянутые ранее правовые основания для законной обработки статьи 6, условия для согласия статьи 7, согласие детей в Статья 8, обработка особых категорий персональных данных в статье 9 и обработка персональных данных, относящихся к o уголовное преступление в соответствии со статьей 10 и обработка, когда идентификация не требуется в соответствии со статьей 11, которые являются частью главы 2.

Подробнее о девяти принципах обработки данных

На данный момент достаточно о важности принципов обработки персональных данных. Мы уже говорили о законности, справедливости и прозрачности. Время для обзора всех принципов обработки персональных данных и контекста по принципу.

Принцип законности обработки персональных данных

Статья 5 GDPR начинается с того, что личные данные должны обрабатываться законным, справедливым и прозрачным образом по отношению к субъекту данных.Итак, законность, справедливость и прозрачность.

Принцип законности говорит сам за себя. Обработка персональных данных должна происходить законным образом и, следовательно, иметь правовую основу, которая делает обработку законной. Законность действительно относится к правовым основаниям для законной обработки, которые мы рассмотрели, но также, в этом контексте, к фактической обработке. Законность нужно толковать строго: должен быть закон, разрешающий обработку. Действительно, есть случаи, когда существуют другие законы, помимо GDPR, в ЕС или в государстве-члене, которые требуют обработки персональных данных.Более того, иногда существенных правовых оснований для того, чтобы обработка персональных данных была законной, недостаточно. В качестве примера: хотя согласие является одним из юридических оснований, в некоторых случаях требуется явное согласие.

В статье 6 GDPR дополнительно устанавливаются ключевые элементы законности, и по всему тексту правила определяются для конкретных типов персональных данных, действий по обработке и последствий, прав, ответственности и административных штрафов в случае незаконной обработки, а также когда основания законности больше не действуют.

GDPR Recital 10 предусматривает свободу маневра для государств-членов, чтобы указать свои правила, в том числе касающиеся обработки конфиденциальных данных, а также условия, при которых обработка личных данных считается законной.

Хотя законность чаще всего упоминается в контексте правовых оснований для законной обработки, законность, как уже говорилось, также относится к фактической обработке.

В качестве примера: GDPR и GDPR Recital 83 обязывают контролера и процессора оценивать риски и рекомендовать такие меры, как шифрование, для обеспечения соответствующего уровня безопасности и конфиденциальности, в результате чего незаконное уничтожение является одним из нескольких рисков безопасности данных.Раскрытие персональных данных, передача данных, хранение данных и т. Д. Должны происходить законным образом в том смысле, что все эти действия по обработке соответствуют закону, который включает в себя, прежде всего, GDPR, но также и другие. В частности, мы думаем о Положении об электронной конфиденциальности, которое является «lex specialis» по отношению к GDPR и затрагивает несколько операций обработки данных, когда они есть, в основном в сфере электронных коммуникаций.

Шесть принципов обработки персональных данных взгляд на статью 5 GDPR — источник и любезность GDPR Awareness Coalition

Принципы, касающиеся обработки персональных данных: принцип справедливости

Справедливость по-прежнему является частью того положения, что персональные данные должны обрабатываться законным, справедливым и прозрачным образом согласно статье 5 GDPR.Как вы могли видеть на приведенной выше инфографике, он действительно часто представлен в виде связки со ссылкой на шесть вместо семи (если вы добавляете ответственность), или восемь принципов.

Однако и здесь справедливость и принцип справедливости несколько раз возвращаются в GDPR. Проще говоря, справедливость означает, что должен существовать справедливый баланс между личными данными, которые обрабатываются организациями, а также причинами, по которым они их обрабатывают (что возвращается позже) и тем, что они сказали — и обещали и описали (также подумайте о праве на то, чтобы субъект данных был четко проинформирован и никоим образом не вводился в заблуждение) .

Это должна быть честная игра. В наших статьях о GDPR и согласии, а также о GDPR и правовых основаниях для обработки мы привели некоторые примеры последнего.

Организация, которая хочет соответствовать требованиям и хочет обрабатывать персональные данные со всей справедливостью по отношению к субъекту данных, который контролирует данные, не скрывает вещей и не использует уловки: она предлагает всю информацию, которая должна быть у субъекта данных. чтобы принять действительно свободное решение, в нем говорится, какие типы персональных данных обрабатываются и почему (обязательно при их получении) , а также указывается, кто это, как субъекты данных могут связаться по поводу своих личных данных, какие права они имеют , каковы последствия обработки, особенно в рамках автоматизированного принятия решений и профилирования, и так далее.

GDPR Recital 71 подчеркивает справедливость обработки в контексте автоматизированной обработки и профилирования, GDPR Recital 60 ставит информационные обязанности контроллеров на фоне справедливости, и когда согласие является правовой основой для законной обработки GDPR Recital 42 (на обязанности контролера, чтобы иметь возможность продемонстрировать, что согласие было дано) прямо указывает, что заявление о согласии не должно содержать несправедливых условий.

Прозрачность — обязанность быть прозрачной в рамках принципов обработки данных

Третий и последний из этого первоначального набора принципов, касающихся обработки персональных данных, — это прозрачность.

Этот принцип пересекается со многими элементами справедливости. Прозрачность, например, также четко подчеркивается в контексте профилирования, информационных обязанностей и демонстрации согласия. Прозрачность означает объяснение, по каким причинам организации обрабатывают какие персональные данные.

Тем не менее, прозрачность также необходимо рассматривать в отношении того, как выполняются обязательства в отношении информации и коммуникации в отношении субъекта данных. Прозрачность требует, чтобы информация и общение с субъектом данных происходили не просто (что также является частью принципа прозрачности) , но также осуществлялись таким образом, чтобы субъекты данных могли это понять, например, указывая на то, что язык легко понять, и что информацию легко найти и получить к ней доступ, благодаря чему контекст (e.г канал связи, носитель информации и т. д.) имеет значение. Кроме того, следует избегать использования длинных текстов на языке, понятном только юристам, поскольку информация должна быть краткой.

И последнее, но не менее важное: принцип прозрачности также применяется к способам, которыми субъекты данных могут осуществлять свои права (поиск способов сделать это также должен быть легким) и еще больше играет в контексте личных данных детей где язык и стиль общения должны быть еще более адаптированы.Сделайте его открытым, проясните и дайте возможность субъекту данных находить, знать и делать все, что нужно знать и делать, не усложняя задачу.

Как уже упоминалось, Рабочая группа по защите данных по статье 29 опубликовала руководящие принципы прозрачности в соответствии с GDPR .

Руководящие принципы увеличивают элементы прозрачности в соответствии с GDPR, включая понятия «Краткий, прозрачный, понятный и легко доступный» и «ясный и простой язык» , способы и контекст предоставления информации и общения, обеспечивая информация для детей и тот факт, что предоставление информации в рамках нескольких статей GDPR (статьи 13 и 14, статьи о правах субъектов данных и обязанности по уведомлению о нарушении данных в отношении субъектов данных) должно быть бесплатным .В рекомендациях также подробно рассматриваются статьи и 14 GDPR в отношении информации, предоставляемой субъектам данных, и многого другого.

Что касается значения прозрачности, руководящие принципы указывают на GDPR Recital 39:

«Физическим лицам должно быть понятно, что их личные данные собираются, используются, консультируются или обрабатываются иным образом, а также в какой степени эти личные данные обрабатываются или будут обрабатываться. Принцип прозрачности требует, чтобы любая информация и сообщения, относящиеся к обработке этих личных данных, были легкодоступными и легкими для понимания, а также использовался ясный и простой язык.

Этот принцип касается, в частности, информации для субъектов данных о личности контролера и целях обработки, а также дополнительной информации для обеспечения справедливой и прозрачной обработки в отношении соответствующих физических лиц и их права на получение подтверждения и сообщения обрабатываемых персональных данных о них… ».

Ограничение цели как принцип обработки данных

Ограничение цели — это второй принцип статьи 5 GDPR о принципах обработки персональных данных, если вы следуете подходу «шести принципов».Мы уже рассмотрели это более подробно, когда речь шла о согласии. Однако вот краткий обзор того, что означает ограничение цели.

Каждое действие по обработке данных, относящееся к личным данным, преследует одну или несколько целей. Различные действия по обработке данных могут иметь одну цель.

Существенный принцип ограничения цели состоит из нескольких элементов, связанных с целью:

• Когда собираются персональные данные, они должны служить указанным, явным и законным (здесь также играет законность)
• После сбора персональные данные, очевидно, не должны обрабатываться способом, несовместимым с целями (которые сообщаются субъекту данных) .
• Когда персональные данные обрабатываются по определенным причинам, указанным в статье 89 GDPR (например, дальнейшая обработка в целях архивирования в общественных интересах) , такая обработка не считается несовместимой с первоначальными целями.

Однако ограничение цели распространяется дальше этих трех элементов. Логично, что персональные данные не могут обрабатываться для каких-либо других целей, кроме тех, которые были упомянуты субъекту данных во время сбора. Столь же логично, что изменение целей со временем имеет последствия, за исключением упомянутых конкретных причин.

Несмотря на исключения из принципа ограничения цели, здесь важны детали. Определенная, явная и законная цель не просто означает, что должна быть цель, это также буквально означает, что цель должна быть ограничена.

Это особенно актуально в контексте согласия (поэтому мы и занялись этим там) , когда различные цели не могут быть объединены и возникает детализация. Проще говоря: в зависимости от объема и цели обработки данных вам необходимо выбрать соответствующее правовое основание, и вам не следует смешивать разные цели за некоторыми исключениями.Что наиболее важно, цель во время сбора данных должна соответствовать обработке, а когда цель другая, организациям необходимо проверить свои обязанности.

Когда обработка данных осуществляется на других правовых основаниях (например, в соответствии с юридическим обязательством, указанным в GDPR Recital 45) , тогда другие правила по цели и ограничению цели могут играть (в примере ограничения цели юридического обязательства могут, например, определяется законодательством ЕС или государства-члена, в соответствии с которым подпадает юридическое обязательство) .

Об ограничении цели, конечно же, можно сказать больше, но GDPR Recital 39 ясен: «Конкретные цели, для которых обрабатываются персональные данные, должны быть явными и законными и определяться во время сбора персональных данных. Персональные данные должны быть адекватными, актуальными и ограничиваться тем, что необходимо для целей, для которых они обрабатываются ».

Принцип обработки персональных данных с минимизацией данных

Только что упомянутая цитата из GDPR Recital 39 (второе предложение) является точным описанием минимизации данных: у вас есть цель обработки личных данных, вам нужны личные данные, которые служат этой цели, но вы не можете пойти помимо обработки строго необходимых и актуальных данных.

Адекватность и ограничение просто означает: не более того, что действительно необходимо. Этот принцип минимизации данных обязывает организации ограничиваться минимумом персональных данных, которые им необходимы в рамках обработки и ее цели (целей).

GDPR Recital 39 основывается на (как и в статьях GDPR) и предусматривает гарантии, обеспечивающие соблюдение как ограничения цели, так и минимизации данных, что, в свою очередь, приводит нас к большему количеству принципов обработки персональных данных, таких как ограничение хранения (см. ниже).

В статье 25 GDPR еще раз подчеркивается обязательство принимать «соответствующие технические и организационные меры», пропорционально (в контексте защиты данных по дизайну и по умолчанию) для реализации принципов защиты данных, в соответствии с которыми минимизация данных упоминается как такой принцип, и GDPR снова рекомендует псевдонимизацию.

Обзор 7 принципов обработки персональных данных GDPR — с ответственностью контролера за добавленные 6 принципов — источник и любезность Serve IT

Точность Принцип обработки персональных данных

Следующим логическим принципом было бы ограничение хранения, но давайте придерживаться порядка статьи 5 о принципах обработки персональных данных и взглянем на следующий принцип в списке: точность.

Точность имеет несколько значений и, безусловно, несколько областей применения. Он играет в нескольких контекстах и, среди прочего, сильно подчеркивается в контексте профилирования.

Суть статьи 5 и принцип ее точности заключается в следующем:

• Обрабатываемые персональные данные должны быть точными.
• Обрабатываемые персональные данные должны обновляться до тех пор, пока таковые не требуются (а в некоторых случаях это действительно необходимо).
• Необходимо принять меры для незамедлительного удаления или исправления неточных личных данных (с учетом целей процесса).

Таким образом, точность покрывает некоторые обязанности и действия со стороны контроллера (и / или процессора) во время сбора и обработки с дополнительным акцентом на точность в некоторых случаях. Кроме того, точность также затрагивает основные права субъектов данных, такие как право на удаление (право быть забытым) и право на исправление.

Точность также следует рассматривать в контексте гигиены данных, управления данными и безопасности данных, в которых должны присутствовать механизмы точности, особенно механизмы исправления.Если субъект данных не согласен с точностью личных данных в отношении него или нее, он или она может воспользоваться правом на ограничение обработки. GDPR Recital 39 гласит, что «необходимо предпринять все разумные шаги для исправления или удаления неточных личных данных» .

Как уже говорилось, в контексте профилирования особое внимание уделяется точности. В Руководстве по профилированию WP29 по существу указывается, что на всех этапах профилирования необходимо учитывать точность, от сбора и анализа до построения профилей и принятия решений по ним.Более того, контролер данных должен убедиться, что существуют, как указано в руководстве, надежные меры для обеспечения того, чтобы личные данные всегда соответствовали данным. Следует отметить, что профилирование в целом также строже в отношении минимизации данных и ограничения хранилища.

Принцип ограничения хранения: вы должны ограничить обработку по времени, потребности и цели

И это действительно подводит нас к принципу ограничения памяти, о котором мы упоминали несколько раз.Как вы могли прочитать в определенных обстоятельствах, таких как профилирование, требуется дополнительное внимание, а ограничение хранилища связано с ограничением цели и минимизацией данных.

Статья 5 GDPR по сути говорит об ограничении хранения:

• Данные, делающие возможной идентификацию субъекта данных, не должны храниться дольше в форме, которая позволяет эту идентификацию тогда, когда это строго необходимо для цели обработки персональных данных. Опять же, GDPR требует ограничить его до минимума, но затем в объеме хранения, связанном с целью.Обратите внимание на «хранится в форме». По сути, вам нужно удалить данные в рамках ограничения хранилища. Тем не менее, есть исключения и помните, что анонимные данные не подпадают под действие GDPR (анонимные данные могут быть полезны, например, для статистических целей, очевидно, мы говорим о полях и записях, а не обо всех данных) .
• Последний (статистические цели) возвращается в виде исключения, касающегося ограничения хранения в Статье 5, в соответствии с которым разрешены более длительные периоды хранения личных данных, когда личные данные обрабатываются только для целей архивирования в общественных интересах, в целях научных или исторических исследований или статистические цели, при которых организации необходимо принять правильные технические и организационные меры.

В целом правило таково: данные больше не нужны дольше, чем это действительно строго необходимо для цели: удалить. И, как справедливо указано в приведенной выше инфографике: на практике ваша политика хранения записей должна указывать, как долго хранятся данные (а именно столько, сколько требуется, но вам, конечно же, необходимо принять меры и сообщить) .

Принципы обработки персональных данных в соответствии с GDPR с точки зрения закона Инфографика — источник и полная статья

Принцип целостности и конфиденциальности

Хотя конфиденциальность часто упоминается отдельно в GDPR, мы оставили здесь принцип целостности и конфиденциальности как единое целое, поскольку он конкретно связан с принципами обработки личных данных, которые вращаются вокруг безопасности, и тех технических и организационных мер, которые мы упоминали несколько раз и которые повсеместно присутствуют в GDPR.

Вкратце, что говорится в статье 5 GDPR о целостности и конфиденциальности:

• Обработка данных должна осуществляться таким образом, чтобы гарантировать надлежащий уровень безопасности в отношении личных данных.
• Для этого необходимо принять правильные меры.
• Среди элементов, на которые следует обратить внимание с этой точки зрения безопасности и мер, входят такие элементы, как защита и меры безопасности для предотвращения несанкционированной и незаконной обработки, случайной потери, уничтожения или повреждения обрабатываемых персональных данных и многое другое.

Хотя как таковой это не требует слишком подробных объяснений, на практике очевидно, что это важно и оказывает влияние с точки зрения соответствия GDPR, и есть обширные меры, которые необходимо принять, на уровнях управления информацией, безопасности и, конечно же, также осведомленности персонала GDPR и обучения безопасности поскольку человеческий фактор нельзя упускать из виду при случайных потерях, нарушении конфиденциальности и многом другом.

Принцип принципов обработки персональных данных: подотчетность и обязанность гарантировать принципы обработки

Принцип подотчетности является последним в статье 5 GDPR и предметом параграфа 2.Вы можете рассматривать это как принцип, который включает в себя все вышеперечисленные принципы и многое другое: контроллер не только отвечает за соблюдение GDPR в целом, и в рамках всех принципов защиты данных, изложенных в параграфе один, контроллеры также должны иметь возможность чтобы продемонстрировать это соответствие.

Мы будем краткими, поскольку мы писали о соблюдении и других обязанностях, включая подотчетность, контролера. Подотчетность контролера также включает обязанности по работе с обработчиками данных — вторую тему, которую мы рассмотрели отдельно.

Как сказано в приведенной выше инфографике, под подотчетностью понимается обязанность соблюдать принципы и способность продемонстрировать, что обработка выполняется в соответствии с этими принципами обработки персональных данных.

Верхнее изображение: Shutterstock — Авторские права: Максим Кабаку — Все остальные изображения являются собственностью их соответствующих владельцев. Хотя содержание этой статьи тщательно проверено, мы не несем ответственности за возможные ошибки и советуем вам обратиться за помощью в подготовке к соблюдению GDPR ЕС.

правовых оснований для правомерной обработки персональных данных

Общее положение о защите данных (GDPR) упоминает несколько юридических оснований для законности обработки персональных данных субъектов данных. Законное основание для обработки персональных данных состоит как минимум из одного из этих юридических оснований и может варьироваться в зависимости от деятельности и цели обработки персональных данных.

Необходимость в законном основании для обработки персональных данных в соответствии с GDPR (с необходимыми исключениями) не нова.В своих декларациях и статьях GDPR говорит примерно то же, что и его предшественник, Директива о защите данных (Директива 95/46 / EC) по нескольким направлениям. Но есть и важные изменения.

Основные декларации и статьи о законной обработке и законных основаниях обработки как таковые, для начала, относятся к числу тех, в которых не так много изменилось.

В декларации 39 GDPR говорится о законности, справедливости, прозрачности и цели обработки персональных данных: любая обработка персональных данных должна быть законной и справедливой, она должна быть прозрачной для субъектов данных, которые обрабатывают персональные данные, касающиеся их, и принцип прозрачности требует, чтобы ЛЮБАЯ информация и сообщения, касающиеся обработки персональных данных, были легкодоступными и понятными.Наряду с необходимостью использовать ясный и простой язык, последний прямо упоминается в рамках целей обработки. Помните о цели, она возвращается.

В декларации 40 GDPR говорится, что для того, чтобы обработка была законной, личные данные должны обрабатываться на основании согласия соответствующего субъекта данных или на каком-либо другом законном основании.

Эта законная основа должна быть заложена законом, причем законом должен быть сам Общий регламент защиты данных или другие законы ЕС или его государств-членов.

В жизни и юридических основаниях для законной обработки больше, чем согласие

Хотя согласие (что не совсем то же самое, что явное согласие, даже если де-факто граница может быть очень тонкой) является наиболее известным из правовых оснований, поскольку они резюмированы в статье 6 GDPR текста GDPR на законность обработки, это не всегда лучший путь.

Для каждого действия по обработке персональных данных важно определить наилучшее правовое основание, что также рекомендуется в руководящих принципах Рабочей группы (Европейский совет по защите данных) по статье 29 о согласии с конца ноября 2017 г.Проверка наилучшего правового основания для законности каждого процесса обработки начинается до фактической обработки. И, очевидно, в рамках соблюдения GDPR это означает, что у вас уже есть список и обязательная запись ваших действий по обработке персональных данных.

В упомянутых руководящих принципах подчеркивается, что согласие является одной из шести законных оснований для обработки персональных данных, как указано в этой статье 6. Однако, в то же время, когда контролер инициирует действия, связанные с обработкой персональных данных, следует учитывать, является ли согласие является наиболее подходящим правовым основанием для законной обработки или может быть лучше другое.Помните, что когда согласие выбирается для какой-либо конкретной обработки, вам также необходимо соблюдать все правила и права в отношении согласия.

Шесть основных правовых оснований законности обработки персональных данных

Конечно, не всегда можно выбрать другой, и нужно быть уверенным. Это начинается со знания и понимания всех шести юридических оснований для обработки персональных данных. Так что бегло взгляните на них в качестве напоминания.

Не забывайте также, что законность обработки означает, что применимо, ПО МЕНЯ, одно из шести правовых оснований, другими словами: одного достаточно.

1. Согласие как правовое основание для законной обработки

В статьях GDPR согласие упоминается в первую очередь как правовое основание законности обработки персональных данных как в статье 6, так и в статье 40.

В то время как общие правила, касающиеся законного основания для согласия, не сильно изменились, новые правила о согласии как законном основании имеют большое влияние на организации (как контроллеры данных, так и обработчики данных) .

Согласие означает, что субъект данных дал согласие на обработку персональных данных для одной или нескольких конкретных целей. Как уже упоминалось, понятие цели здесь является ключевым. Если субъект данных, также называемое физическим лицом, дает согласие на обработку, не зная (нескольких) целей (целей) в полном объеме и в понятной форме, то согласие не является законным основанием для обработки, поскольку оно по определению не предоставляется свободно , информированный и недвусмысленный. Более того, согласие не может быть объединено.Итак, для каждого действия по обработке данных в рамках одной более широкой операции общее правило заключается в том, что согласие недействительно, если оно предназначено для всех действий сразу. В качестве примера: давать согласие на ряд маркетинговых целей недействительно.

Статья 6 GDPR гласит, что согласие субъекта данных должно быть дано в отношении «одной или нескольких конкретных» целей и что субъект данных имеет выбор в отношении каждой из них. Это ясно: конкретные цели. Наряду со всеми обязанностями в отношении информации, несколько прав субъектов данных после получения согласия используются в качестве законного основания для обработки и, что еще более важно, это не всегда идеальный выбор, мягко говоря.Однако GDPR и его несколько юридических оснований для законной обработки не похожи на меню. Правило таково и остается тем, что для целей всех операций по обработке персональных данных выбирается наиболее подходящее правовое основание для каждой цели / деятельности.

2. Договорная необходимость как законное основание для обработки

Вторым правовым основанием для законной обработки, упомянутым в статье 6 GDPR, является необходимость обработки персональных данных для контракта.

Физическое лицо или субъект данных является стороной в контракте или должно предпринять шаги для заключения контракта по его или ее просьбе, а для заключения контракта или выполнения контракта необходимо и согласовано, что обработка персональных данных происходит в рамках этого договора. Это не новость по сравнению с Директивой, замененной GDPR.

GDPR Recital 40 упоминает «выполнение договора, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора» как законное основание для законной обработки и GDPR Recital 44 просто говорится, что обработка должна быть законной, если это необходимо в контексте контракта или намерения заключить контракт.

Каждый договор по определению означает обработку персональных данных. Вы не можете вступать в какие-либо договорные отношения без указания личных данных и идентификаторов, в зависимости от характера договора. По крайней мере, это касается контактной информации, в определенных типах договоров, таких как договор страхования, требуется гораздо больше. Лучше не растягивать определение контракта слишком далеко, например, чтобы избежать необходимости использовать согласие. В конце концов, все можно рассматривать как контракт, и будут случаи, когда контроллеры используют слишком широкий подход, чтобы они могли использовать контракт в качестве основы для законной обработки.

На этом же сайте мы могли бы, например, написать длинный текст условий и положений, в котором говорится, что посещение нас устанавливает договор, по которому мы имеем право обрабатывать то или это. Не пытайтесь: данные, необходимые для заключения или выполнения контракта, действительно должны быть предоставлены в рамках контракта и предлагаемых услуг.

Когда дело доходит до контрактов, обратите внимание на конкретные правила, применимые к конкретным отраслям или должностным обязанностям. Трудовой договор — это не просьба о жилищном кредите, не дополнительная медицинская страховка, ну этот список можно продолжить.

3. Законная обработка на основании юридических обязательств

Третьим правовым основанием для законной обработки является соблюдение юридических обязательств.

Если у контролера есть юридическая обязанность, для которой необходимо обработать определенные личные данные, то обработка разрешена. Это соблюдение юридического обязательства, для которого требуется обработка и которому подчиняется контролер, также не ново.

Однако и здесь действуют особые правила.Что изменилось по сравнению с предшествующим Общим регламентом защиты данных, так это то, что в Recital 45 говорится, что «если обработка осуществляется в соответствии с юридическим обязательством, которому подчиняется контролер, или когда обработка необходима для выполнения выполняемой задачи» в общественных интересах или при исполнении официальных полномочий обработка должна основываться на законодательстве Союза или государства-члена ». Ограничение законодательством ЕС или законов государств-членов ЕС влечет за собой последствия.

4. Жизненные интересы и законная обработка персональных данных

Защита «жизненно важных интересов» физического лица является четвертым основанием для законной обработки.

В этом случае физическое лицо не обязательно должно быть субъектом данных, им также может быть другое физическое лицо. Конечно, контролер не должен определять, в чем состоит жизненный интерес. Мы действительно говорим об опасных для жизни обстоятельствах здесь, когда нет другого законного основания для обработки, но когда отказ от обработки персональных данных по существу будет означать, что кто-то умрет, если вы не примете меры, и поэтому вам нужно знать кое-что о естественных условиях. человек, который находится в опасности.

Если произошел серьезный несчастный случай, вы действительно хотите узнать кое-что из истории болезни жертвы, например, аллергию на определенные лекарства, GDPR или нет.

Кроме того, некоторые типы обработки персональных данных в таких случаях могут служить не только жизненно важным интересам субъекта данных или другой естественной цели, но также служить общественным интересам , например, в случае бедствий, эпидемий и т. Д., Как гласит GDPR Recital 46. . И это подводит нас к следующему правовому основанию для законной обработки: причинам общественного интереса как такового.

5. Общественный интерес как основание для законной обработки

Общественный интерес как основа для законной обработки описан в статье 6 GDPR следующим образом: «обработка необходима для выполнения задачи, выполняемой в общественных интересах или при исполнении официальных полномочий, возложенных на контролера».

Это почти то же самое, что и в Директиве о защите данных, и на нелегальном языке просто означает, что этот общественный интерес остается основанием для обработки с общественным интересом, означающим, среди прочего, выполнение нескольких возможных общественных задач (e.g обязательства в отношении НДС и налогов) , задачи, которые вы выполняете как государственный орган и которые требуют обработки персональных данных в соответствии с юридическими обязательствами, и другие операции по обработке данных, которые рассматриваются как представляющие общественный интерес, такие как научные исследования, общественное здравоохранение и больше.

Из GDPR Recital 45: «Законодательство Союза или государства-члена также должно определять, должен ли контролер, выполняющий задачу, выполняемую в общественных интересах или при осуществлении официальных полномочий, быть государственным органом или другим физическим или юридическим лицом, управляемым публичным правом или, если это отвечает общественным интересам, в том числе в целях здравоохранения, таких как общественное здравоохранение и социальная защита и управление медицинскими услугами, частным правом, например, профессиональной ассоциацией ».

6. Законные интересы как правовое основание для обработки

Последнее из шести оснований, служащих законным основанием для обработки персональных данных в первом абзаце статьи 6 GDPR, является часто упоминаемой категорией «законных интересов».

Законные интересы уже существовали в качестве законной основы для обработки персональных данных в Директиве, но GDPR добавляет к ней в виде положений, когда это НЕ применяется. В статье 6 говорится, что обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной.Первое исключение, которое существовало раньше, — это когда законные интересы перекрываются интересами или основными правами и свободами субъекта данных (конечно, включая основные права субъекта данных в соответствии с GDPR) . Что касается последнего, GDPR, в отличие от Директивы, явно фокусируется на том случае, когда субъектом данных является ребенок и всегда требуется разрешение родителей. Более того, GDPR также прямо говорит, что правовое основание законного интереса не распространяется на обработку персональных данных государственными органами при выполнении своих задач.

Общего регламента по защите данных 47 и 48 содержат несколько примеров законных интересов (хотя их основная цель — подчеркнуть, какие права, свободы и т. Д. Преобладают над законными интересами) .

• Одним из таких примеров законного интереса может быть ситуация, когда «между субъектом данных и контролером существуют соответствующие и подходящие отношения в таких ситуациях, как если субъект данных является клиентом или находится на службе у контролера».
• Другой пример: обработка персональных данных, строго необходимая для предотвращения мошенничества, также представляет собой законный интерес.
• GDPR Recital 47 также заявляет, что обработка персональных данных в целях прямого маркетинга может рассматриваться как осуществляемая в законных интересах.
• В других Ситуациях упоминаются другие законные интересы, начиная от сетевой и информационной безопасности до внутренней работы в группе предприятий.

Главное, что нужно помнить о законных интересах, — это то, что эти интересы должны быть сбалансированы и сопоставлены с правами и рисками субъектов данных.Они должны быть соразмерными, четко объясненными, более чем экономическими по своему характеру и, конечно, требовать обработки. С дополнительными положениями, касающимися детей, и множеством элементов, которые необходимо учитывать, когда контролер взвешивает законные интересы и их множество, это не самое простое из основных правовых оснований для законной обработки.

Дополнительные факты о законном оформлении

Очевидно, что существует гораздо больше информации об обработке особых типов и категорий персональных данных, как упоминалось ранее.

Существуют также специальные правила в отношении данных, касающихся обвинительных приговоров и правонарушений, и государства-члены могут более точно определять требования к обработке, а также могут определять другие меры для удаленной и законной обработки, среди прочего, в рамках положений, касающихся конкретных ситуаций обработки, которые рассматривается в главе IX текста GDPR.

Убедитесь, что вы тщательно перечислили свою деятельность по обработке данных и нашли наиболее подходящую законную основу для обработки персональных данных, которая на практике требует большего, чем этот обзор, конечно, для особых категорий персональных данных и организаций (контроллеры и обработчики) в очень конкретных отрасли, такие как здравоохранение, и даже группы, такие как религиозные организации, к которым применяются дополнительные или особые правила.