для тех, кому нужно быстро разобраться
Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.
Какие бывают виды персональных данных
В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.
Общие персональные данные
К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.
Специальные персональные данные
Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.
Биометрические персональные данные
Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.
Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.
А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические.
То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.
Иные персональные данные
В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.
Иные данные сложнее всего отличить от специальных. Разница следующая:
- Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
- Иные данные — это просто дополнительная информация, они часто могут меняться.
Кто такие оператор и субъект персональных данных
В законе о защите персональных данных упоминаются оператор и субъект ПДн.
Разберемся, кто это такие.
Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:
- Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
- Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.
Субъект персональных данных
— это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.
В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.
Кратко: Кто является оператором персональных данных? Тот, кто собирает ПДн, хранит их у себя на серверах, анализирует, изменяет и передает.Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.
Как оператор обязан защищать персональные данные
Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:
- Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
- Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
- Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
- В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.
Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.
Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.
То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.
В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4.
Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.
Персональные данные в облаке, часть 1 — «ИТ-ГРАД»
Что такое персональные данные (ПДн) и как этот термин трактуется с позиции российского законодательства? В этой статье мы уделили внимание тонкостям определений и подготовили развернутый пост-ответ, который поможет во многом разобраться.
Что такое ПДн
Почему так важно определиться с понятиями? Дело в том, что, если этого не сделать сейчас, в дальнейшем будет трудно о чем-либо договариваться.
Важно понимать, что относится к персональным данным и что необходимо защищать при размещении их в облаке.
Итак, законодательство РФ понимает под персональными данными (ПДн) «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных».
Обратите внимание, что это определение довольно широкое и здесь не сказано про идентификацию конкретного лица. Хотя на портале персональных данных, официальном сайте Роскомнадзора, вопрос подобного характера уже задавался и звучал так: каков минимальный набор персональных данных, достаточный для идентификации человека? На что Роскомнадзор ответил: «Указанный минимальный перечень действующим законодательством не установлен. Более того, по результатам мониторинга законодательства, проведенного Роскомнадзором, было установлено, что 75 международных правовых актов, 13 кодексов РФ, более 100 федеральных законов и 250 актов Правительства Российской Федерации устанавливают различные перечни запрашиваемых персональных данных».
На этом также сделан акцент в научно-практическом комментарии к закону «О персональных данных». В документе поясняется, что «при буквальном трактовании рассматриваемой нормы к понятию «персональные данные» можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте».
То есть здесь нет указания на связь между информацией, прямой или косвенной определенностью или «определяемостью» физического лица. Отсюда напрашивается вывод, что на сегодняшний день отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные относятся к персональным, а в каких — нет.
Как быть, если отсутствует однозначность определений
В таком случае следует обратиться к научно-практическому комментарию Роскомнадзора, который рекомендует использовать следующий подход:
Если совокупность данных необходима и достаточна для идентификации лица, эти данные следует считать персональными, даже если они не содержат никаких документов, удостоверяющих личность.
Если же без дополнительной информации установить конкретное лицо, к которому относятся персональные данные, невозможно, их нельзя считать персональными данными.
Оцените преимущества защищенного облака ФЗ-152. Воспользуйтесь готовым решением для безопасности персональных данных ваших клиентов и сотрудников.
Запросить КП
Подробнее
Для лучшего понимания ситуации рассмотрим пример:Иванов Иван Иванович — сочетание этих трех слов не является персональными данными, ведь если мы не знаем человека и не имеем о нем дополнительных сведений, невозможно определить, что это за личность. Если же говорить об Иванове Иване Ивановиче, менеджере по развитию в группе компаний «ИТ-ГРАД» — эти данные относятся к ПДн, поскольку явно определяют сотрудника, о котором идет речь.
Зачем Роскомнадзор вводит понятие «идентификатора»
И снова обратимся к научно-практическому комментарию Роскомнадзора: здесь вводится понятие идентификатора,
Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:- Номер и серия паспорта.
- Страховой номер индивидуального лицевого счета (СНИЛС).
- Идентификационный номер налогоплательщика (ИНН).
- Биометрические данные.
- Банковский счет, номер банковской карты.
Кроме того, Роскомнадзор выделяет в отдельную категорию данные, которые рассматриваются как персональные, несмотря на то что в их отношении остается некоторый аспект вероятностного совпадения. К ним относятся:
- Фамилия, имя, отчество, дата рождения, место прописки.
- Фамилия, имя, отчество, дата рождения, должность.
- Фамилия, имя, отчество (возможно — фамилия и инициалы) плюс любая информация, которая однозначно выделяет среди прочих лиц для идентификации его как конкретной личности.
При этом фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения не могут в отдельности друг от друга рассматриваться как персональные данные.
Хотя в этом вопросе происходят определенные трансформации: в одном из интервью Роскомнадзора говорилось, что фамилия с электронным адресом (а иногда и электронный адрес) могут рассматриваться как персональные данные, если корпоративные правила компании предусматривают формирование электронной почты в виде сочетания полного имени, фамилии сотрудника и названия компании (например, [email protected]). Такие данные с большой вероятностью позволяют определить конкретного человека. Следовательно, персональные данные считаются таковыми, когда имеются какие-либо признаки или идентификаторы, позволяющие установить конкретное лицо, к которому они относятся.
Файлы cookie и персональные данные
Также важно заметить, что за последние два года в отношении файлов cookie и следов, которые пользователь оставляет в Интернете, позиция Роскомнадзора радикально изменилась. На это стоит обратить внимание, поскольку появилась новая зона риска. Теперь, по мнению регулятора, если используются файлы cookie и они передаются аналитическим службам типа Google Analytics, Webtrends, Яндекс.
Метрика, эти данные в совокупности после их обработки позволяют определить уникального пользователя сайта, сформировать сведения о его предпочтениях и поведении на сайте, что говорит об обработке персональных данных. Следовательно, необходимо получить согласие пользователя на обработку таких ПДн.
Теперь обратим внимание на то, что Google Analytics и Webtrends работают из американского облака, а США — это страна, не обеспечивающая адекватную защиту прав субъектов персональных данных, а значит, используя такие инструменты, нужно получить согласие в письменной форме или в форме электронного документа, подписанного в соответствии с законодательством.
Решение проблемы
Напрашивается единственный выход: если на сайте используются файлы cookie, необходимо предусмотреть пользовательское соглашение или баннер, который позволяет подтвердить, что пользователь, пусть даже анонимный, согласен с обработкой ПДн.
Пользователь должен поставить галочку в соответствующей форме, выражая тем самым согласие.
В таком случае необходимо сделать раздел в отношении обработки следов в Интернете или сформировать отдельную политику в отношении файлов cookie. Чтобы понимать, какие данные, содержащие файлы cookie, относятся к персональным данным гражданина по мнению Роскомнадзора, приведем выписку:
- Операционная система.
- Часовой пояс и время браузера в 24-часовом формате.
- Язык браузера.
- Глубина цвета и разрешение экрана.
- Поддерживает ли браузер и/или включен JavaScript.
- Версия JavaScript, поддерживаемая браузером.
- Тип соединения, используемый для передачи данных.
- Размер окна браузера.
Новый европейский регламент GDPR
Правила, устанавливаемые относительно персональных данных на уровне закона, — не только российская тенденция. Так, 25 мая этого года вступает в силу новый европейский регламент GDPR (General Data Protection Regulation) — большой, сложный и подробный закон.
И, в частности, 30 пункт преамбулы к закону обращает внимание на то, что к персональным данным относятся онлайн-идентификаторы, поскольку они ассоциируются с конкретными физическими лицами, к которым относятся адреса интернет-протоколов (IP-адреса), идентификаторы cookies и другие следы, радиочастотные метки, предпочтения по выбору сайта и так далее. В соответствии с новым европейским регламентом (как и с трактовкой российского регулятора) онлайн-идентификаторы позволяют идентифицировать конкретного интернет-пользователя. В целом же стоит признать, что однозначно определить персональные данные в полном объеме мы не можем, поскольку многие аспекты зависят от соответствующего контекста и контента.
Остались вопросы?
Проходите по ссылке на запись вебинара «Облако в соответствии с законом «О персональных данных» и следите за новыми материалами первого блога о корпоративном IaaS. В следующих статьях мы расскажем о принципах и условиях обработки ПДн с точки зрения российского законодательства, поговорим о видах согласия со стороны субъекта ПДн и уделим внимание зонам ответственности заказчика и облачного провайдера при размещении персональных данных в облаке.
Персональные данные
5.1 Клиника обрабатывает персональные данные пациента путем: сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), обезличивания, использования, уничтожения неавтоматизированным способом.5.2 Срок обработки Клиникой персональных данных пациента соответствует сроку хранения первичной медицинской документации. Пациент имеет право отозвать свое согласие на обработку его персональных данных посредством составления соответствующего письменного документа, который может быть направлен в адрес Клиники по почте заказным письмом с уведомлением, либо вручен лично под расписку представителю Клиники. В случае получения письменного заявления об отзыве согласия на обработку персональных данных, Клиника обязана прекратить обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной пациенту медицинской помощи.
5.3 Персональные данные пациентов хранятся в помещения архива, регистратуры, кабинетов Клиники, доступ в которые имеют только сотрудники Клиники, имеющие право доступа к персональным данным.
5.4 Директор Клиники утверждает Перечень лиц, имеющих доступ в помещения Клиники, в которых обрабатываются (в том числе хранятся) персональные данные, и несущих ответственность за нарушение режима защиты этих персональных данных в соответствии с законодательством РФ.
5.5 Директор Клиники может передавать персональные данные пациента третьим лицам, без его согласия только в случаях, прямо предусмотренных действующим законодательством РФ. При передаче персональных данных пациента третьим лицам главный врач Клиники предупреждает лиц, получающих данную информацию, о том, что эти данные могут быть использованы ими лишь в целях, для которых персональные данные сообщены, и требует от этих лиц письменное подтверждение соблюдения этого условия.
5.6 Персональные данные пациента уточняются, в случае их изменения, ежегодно при первом посещении пациентом Клиники в соответствующем году.
5.7 В случае обнаружения факта несоблюдения условий хранения носителей персональных данных, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, администрацией Клиники проводится разбирательство и по результатам этого разбирательства составляется соответствующий акт.
5.8 Персональные данные пациентов являются конфиденциальной информацией, не подлежащей разглашению, и не могут быть использованы для целей, не перечисленных в п. 4.1 настоящего Положения. Не допускается распространение персональных данных пациента без его письменного согласия или наличия иного законного основания.
5.9 При хранении материальных носителей персональных данных сотрудниками Клиники должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
5.10 Неавтоматизированная обработка персональных данных пациентов должна осуществляться сотрудниками Клиники с учетом особенностей и правил обработки персональных данных, предусмотренных в Постановлении Правительства РФ №687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и в соответствии с Правилами обработки персональных данных (политикой) Клиники.
5.11 Приказом директора Клиники назначаются сотрудники, ответственные за хранение документов, содержащих персональные данные пациентов.
5.12 иные права, обязанности, действия работников, в трудовые обязанности которых входит обработка персональных данных пациентов, определяются должностными инструкциями.
Персональные данные клиента: обработка и защита
ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ
Статья 1. ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящим положением об обработке и защите персональных данных Клиентов (далее – Положение) устанавливается порядок обработки персональных данных Клиентов, для которых Общество с ограниченной ответственностью «Гранд Витал» (далее по тексту – Общество) осуществляет бронирование и реализацию гостиничных услуг.
2. Цель данного Положения – обеспечение требований защиты прав Клиентов при обработке их персональных данных Обществом.
3. Персональные данные не могут быть использованы Обществом или его сотрудниками в целях причинения имущественного и морального вреда Клиентам, затруднения реализации их прав и свобод.
4. Общество обязано осуществлять обработку персональных данных только на законной и справедливой основе.
5. Обработка персональных данных Клиентов должна ограничиваться достижением законных, конкретных и заранее определенных в договоре с Клиентами целей. Обработке подлежат только те персональные данные Клиентов, и только в том объеме, которые отвечают целям их обработки, определенным в договоре с Клиентами или законодательством Российской Федерации.
6. Обрабатываемые персональные данные Клиентов подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
7. Настоящее Положение и изменения к нему утверждаются Генеральным директором Общества и вводятся приказом по основной деятельности ООО «Гранд Витал». Все сотрудники Общества должны быть ознакомлены под подпись с данным Положением и изменениями к нему.
Настоящее Положение является обязательным для исполнения всеми сотрудниками Общества, имеющими доступ к персональным данным Клиентов.
Статья 2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТА
1. Под Клиентами Общества в интересах настоящего Положения понимаются:
а) Физические лица (субъекты персональных данных), заключившие с Обществом договор на реализацию гостиничных услуг. В данных правоотношениях с Клиентами Общество по терминологии Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» (далее по тексту — Закон «О персональных данных») выступает в качестве оператора персональных данных.
б) Физические лица (субъекты персональных данных), от имени которых заказчик* гостиничных услуг заключил с Обществом договор на реализацию гостиничных услуг. В данных правоотношениях с Клиентами Общество (по терминологии Закона «О персональных данных»), выступает в качестве оператора персональных данных.
* — Далее в Положении под Клиентом понимается также заказчик, который приобретал гостиничные услуги, в том числе для лиц, интересы которых он представляет, при условии, что заказчик предоставил оператору — Обществу основания правомерности его действий в чужом интересе.
2. Под персональными данными Клиента понимается любая информация о субъекте персональных данных, необходимая Обществу в связи с исполнением им договорных обязательств перед Клиентом.
3. Состав персональных данных Клиента, обработка которых осуществляется Обществом, включает в себя в основном следующие документы и сведения:
Фамилия, имя, отчество
Фамилия при рождении (либо другие фамилии, если были)
Фамилия, имя в латинской транскрипции, как они указаны в заграничном паспорте
Год, месяц и число рождения
Место рождения
Гражданство при рождении
Гражданство в настоящее время
Пол
Семейное положение
Данные об общегражданском паспорте Российской Федерации:
— Серия и номер общероссийского паспорта
— дата его выдачи
— наименование органа, выдавшего паспорт
— срок действия общероссийского паспорта либо свидетельства о рождении
Данные о заграничном паспорте Российской Федерации:
— Серия и номер заграничного паспорта
— дата его выдачи
— наименование органа, выдавшего паспорт
— срок действия
Свидетельства о рождении (для несовершеннолетних граждан)
Адрес регистрации
Адрес электронной почты
Домашний и контактный (мобильный) телефоны
Данные о работодателе и работе:
— наименование, адрес и телефон работодателя
— должность в настоящее время
Данные об учебном заведении (для школьников и студентов):
— наименование, адрес и телефон учебного заведения
Иные сведения о Клиенте, которые он сообщает о себе.
4. Общество получает персональные данные Клиента только нижеуказанным образом:
1) От субъекта персональных данных – Клиента, на основании заключения с Клиентом письменного договора о реализации гостиничных услуг.
2) От заказчика гостиничных услуг (субъекта персональных данных), выступающего также на законном основании представителем других субъектов персональных данных — Клиентов, указанных в договоре о реализации гостиничных услуг, и являющихся выгодоприобретателями по договору между Обществом и заказчиком.
Статья 3. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Документы и сведения, перечисленные в статье 2. Положения, и содержащие информацию о персональных данных Клиентов, являются конфиденциальными. Общество обеспечивает конфиденциальность персональных данных, и обязано не допускать их распространения без согласия Клиентов, либо наличия иного законного основания.
2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Клиента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3. Если Общество с согласия Клиента поручает обработку персональных данных Клиента третьему лицу, то Общество обязано на договорной основе обременить это третье лицо обязанностью соблюдения конфиденциальности персональных данных Клиента.
Статья 4. ПРАВА И ОБЯЗАННОСТИ КЛИЕНТА
1. Клиент обязан передавать Обществу достаточные, достоверные, документированные персональные данные, полный состав которых установлен в договорах на реализацию туристского продукта, заключенных между Клиентом и Обществом.
2. Клиент должен без неоправданной задержки сообщать Обществу об изменении своих персональных данных.
3. Клиент имеет право на получение сведений об Обществе, о месте его нахождения, о наличии у Общества персональных данных, относящихся к Клиенту, а также на ознакомление с такими персональными данными.
3.1. Клиент имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных Обществом; правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональных данных; сроки обработки персональных данных, в том числе сроки их хранения; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование третьего лица или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по договору с Обществом; иные сведения, предусмотренные федеральными законами.
3.2. Клиент вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4. Сведения о наличии персональных данных должны быть предоставлены Клиенту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
5. Доступ к своим персональным данным предоставляется Клиенту или его законному представителю Обществом при обращении, либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность Клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Клиента или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
6. Согласие на обработку персональных данных может быть отозвано Клиентом.
7. Если Клиент считает, что Общество осуществляет обработку его персональных данных с нарушением требований Закона «О персональных данных» или иным образом нарушает его права и свободы, Клиент вправе обжаловать действия или бездействие Общества в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
8. Клиент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
Статья 5. ОБЯЗАННОСТИ ОБЩЕСТВА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общество осуществляет обработку персональных данных Клиентов, указанных в п.1. статьи 2 настоящего Положения, только по ниже следующим основаниям:
1) обработка персональных данных Клиентов необходима для осуществления и выполнения возложенных Федеральным законом № 132-ФЗ от 24.
11.1996 года «Об основах туристской деятельности в Российской Федерации» на Общество функций, полномочий и обязанностей;
2) обработка персональных данных необходима для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому, является Клиент, а также для заключения договора по инициативе Клиента или договора, по которому Клиент будет являться выгодоприобретателем или поручителем;
3) обработка персональных данных Клиента необходима для осуществления прав и законных интересов Общества или иных третьих лиц при соблюдении условия, что при этом не нарушаются права и свободы Клиента;
4) осуществляется обработка персональных данных, доступ к которым предоставлен самим Клиентом, либо по его просьбе неограниченному кругу лиц.
2. Общество вправе поручить обработку персональных данных третьему лицу с согласия Клиента, на основании заключенного с этим третьим лицом договора. В этом случае Общество должно на договорной основе обязать третье лицо, осуществляющее обработку персональных данных по поручению Общества, соблюдать принципы и правила обработки персональных данных, предусмотренные Законом «О персональных данных» и настоящим Положением.
2.1. В договоре Общества с третьим лицом должны быть определены:
— перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных Клиента;
— цели обработки персональных данных Клиента;
— обязанность третьего лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке;
— требования к защите обрабатываемых персональных данных в соответствии с Законом «О персональных данных».
2.2. Если Общество поручает обработку персональных данных Клиента третьему лицу, то ответственность перед Клиентом за действия указанного лица несет непосредственно Общество.
3. При определении объема и содержания персональных данных Клиента, подлежащих обработке, Общество обязано руководствоваться Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных», Федеральным законом № 132-ФЗ от 24.
11.1996 года «Об основах туристской деятельности в Российской Федерации», договорными обязательствами, взятыми на себя сторонами по договору между Клиентом — Обществом. Общество получает персональные данные Клиентов только в объеме, необходимом для достижения целей, указанных в договоре с Клиентом.
4. Общество не имеет права получать и обрабатывать персональные данные Клиента о его судимости, политических, религиозных и иных убеждениях и частной жизни.
5. Общество не должно получать и обрабатывать персональные данные Клиента о его членстве в общественных объединениях или его профсоюзной деятельности, если только эти данные не связаны с задачами и требованиями Клиента.
5.1. Общество получает по инициативе Клиента персональные данные Клиента о его членстве в общественных объединениях или его профсоюзной деятельности только на бумажных носителях, и ведет их обработку без использования средств автоматизации.
6. Общество не должно запрашивать информацию о состоянии здоровья Клиента, за исключением тех сведений, которые относятся к вопросу организации безопасного отдыха для Клиента.
6.1. Общество получает по инициативе Клиента персональные данные Клиента о состоянии его здоровья только на бумажных носителях, и ведет их обработку без использования средств автоматизации.
7. Общество не имеет права собирать и обрабатывать биометрические персональные данные Клиентов.
Статья 6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ
1. Защите подлежат следующие объекты персональных данных Клиентов, если только с них на законном основании не снят режим конфиденциальности:
— документы, содержащие персональные данные Клиента;
— бумажные носители, содержащие персональные данные Клиентов;
— информация, содержащая персональные данные Клиентов, размещенная на электронных носителях.
2. Общество в интересах обеспечения выполнения обязанностей, возложенных на него Законом «О персональных данных» и другими нормативными актами, регламентирующими деятельность юридических лиц по обработке персональных данных, принимает меры, предусмотренные настоящим Положением и Положением о мерах по организации защиты информационных систем персональных данных Общества.
3. Общую организацию защиты персональных данных Клиентов осуществляет Генеральный директор Общества.
4. Начальник отдела кадров обеспечивает:
— Ознакомление сотрудников под роспись с настоящим Положением.
— Требование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных Клиентов и соблюдении правил их обработки.
— Ознакомление сотрудников под роспись с приказами и внутренними локальными нормативными актами, регламентирующими обработку и защиту персональных данных в Обществе.
5. Начальники отделов, в которых осуществляется обработка персональных данных Клиентов, обеспечивают общий контроль соблюдения сотрудниками их отделов мер по защите персональных данных Клиента.
6. Защита информационных систем Общества, в которых обрабатываются персональные данные Клиентов, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке, осуществляется в соответствии с Положением о мерах по организации защиты информационных систем персональных данных Общества.
7. Доступ к персональным данным Клиентов имеют сотрудники Общества, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей (Приложение №1), утверждаемого приказом Генерального директора. Приложение №1 является неотъемлемой частью настоящего Положения.
В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией Генерального директора, доступ к персональным данным Клиента может быть предоставлен иному сотруднику, должность которого не включена в Перечень должностей сотрудников, имеющих доступ к персональным данным Клиента, и которым они необходимы в связи с исполнением трудовых обязанностей.
8. Процедура оформления доступа к персональным данным Клиента включает в себя:
— Ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление под роспись.
— Требование с сотрудника (за исключением Генерального директора) письменного обязательства о соблюдении конфиденциальности персональных данных Клиентов и соблюдении правил их обработки, подготовленного по установленной форме (Приложение № 2). Приложение № 2 является неотъемлемой частью настоящего Положения.
9. Сотрудник Общества, имеющий доступ к персональным данным Клиентов в связи с исполнением трудовых обязанностей:
— Обеспечивает хранение информации, содержащей персональные данные Клиентов, исключающее доступ к ним третьих лиц.
— В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Клиентов.
— При уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Клиентов лицу, на которое локальным актом Общества (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.
В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию руководителя отдела.
9.1. При увольнении сотрудника, имеющего доступ к персональным данным Клиентов, документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию руководителя отдела или Генерального директора.
10. Допуск к персональным данным Клиентов других сотрудников Общества, не имеющих надлежащим образом оформленного доступа, запрещается.
11. Документы, содержащие персональные данные Клиентов, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
В конце рабочего дня все документы, содержащие персональные данные Клиентов, помещаются в шкафы (сейфы), обеспечивающие защиту от несанкционированного доступа.
12. Защита доступа к электронным носителям, содержащим персональные данные Клиентов, обеспечивается, в том числе:
— Организацией контроля доступа в помещения информационной системы посторонних лиц.
— Использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный доступ к персональным данным.
— Разграничением прав доступа с использованием учетной записи.
— Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
— Учетом машинных носителей персональных данных.
— Обнаружением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
— Контролем эффективности принимаемых мер по обеспечению защищенности персональных данных.
13. Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях с письменного разрешения начальника отдела.
14. Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов даются только с письменного согласия самого Клиента, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Общества, и в том объеме, который позволяет не разглашать излишний объем персональных данных Клиента.
Статья 7. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ
1. Обработка персональных данных Клиента осуществляется Обществом исключительно для достижения целей, определенных письменными договорами между Клиентом – Обществом, в частности для оказания услуг Клиенту по подбору, бронированию и предоставлению ему гостиничных услуг.
2. Обработка персональных данных Обществом в интересах Клиентов заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных Клиентов.
3. Обработка персональных данных Клиентов ведется методом смешанной (в том числе автоматизированной) обработки.
4. К обработке персональных данных Клиентов могут иметь доступ только сотрудники Общества, допущенные к работе с персональными данными Клиентов.
5. Согласие на обработку персональных данных может быть отозвано Клиентом. В случае отзыва Клиентом согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия Клиента при наличии следующих оснований:
1) обработка персональных данных Клиента необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Клиент, а также для заключения договора по инициативе Клиента или договора, по которому Клиент будет являться выгодоприобретателем или поручителем;
2) обработка персональных данных Клиента необходима для осуществления прав и законных интересов Общества или третьих лиц при условии, что при этом не нарушаются права и свободы Клиента.
5.1. В случае отзыва Клиентом согласия на обработку его персональных данных, и если сохранение персональных данных более не требуется для целей обработки персональных данных Общество обязано прекратить их обработку и обеспечить прекращение такой обработки другим лицом, действующим по поручению Общества, а также уничтожить персональные данные Клиента и обеспечить их уничтожение другим лицом, действующим по поручению Общества.
5.2. Общество уничтожает персональные данные Клиентов, и обеспечивает их уничтожение другими лицами, действующими по поручению Общества.
Статья 8. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Передача персональных данных Клиентов осуществляется Обществом исключительно для достижения целей, определенных письменными договорами между Клиентом – Обществом, в частности для оказания услуг Клиентам по подбору, бронированию и предоставлению ему гостиничных услуг.
2. Передача персональных данных Клиентов третьим лицам осуществляется Обществом только на основании соответствующего договора с третьим лицом, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальность персональных данных Клиентов и безопасности персональных данных при их обработке.
3. Общество в договоре с Клиентом обуславливает право третьих лиц, которым Общество передает персональные данные Клиента, осуществлять трансграничную передачу персональных данных Клиента на территории иностранных государств, которые он планирует посетить, в том числе и на территории государств, не обеспечивающих адекватную защиту персональных данных.
Статья 9. ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ
1. Персональные данные Клиентов могут храниться, как на бумажных носителях, так и в электронном виде.
2. Персональные данные Клиентов хранятся:
— в отделе Общества, который принимает заявки Клиентов на бронирование гостиничных услуг;
— в отделе, который осуществляет работу непосредственно с Клиентами;
— в бухгалтерии Общества.
3. Персональные данные Клиентов содержатся в следующих группах документов:
— письменные заявки Клиентов на бронирование гостиничных услуг;
— письменные договора с Клиентами на реализацию им гостиничных услуг;
— приложения к письменным договорам с Клиентами на реализацию им гостиничных услуг;
— бухгалтерские документы, которыми оформляются сделки между Клиентом и Обществом;
— письменные претензии Клиентов по качеству предоставленных им гостиничных услуг.
3.1. Персональные данные Клиентов на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных железных шкафах.
3.2. Ключи от железных шкафов хранятся лично у начальников отделов, их копии у генерального директора Общества.
4. Персональные данные Клиентов также хранятся в электронном виде: на машинных носителях персональных данных, в электронных папках и файлах в ПК сотрудников отделов, перечисленных в п.2. настоящей статьи, и допущенных к работе с персональными данными Клиентов.
5. После достижения цели обработки персональных данных Общество обязано прекратить обработку персональных данных Клиентов и уничтожить их персональные данные.
5.1. Персональные данные Клиентов, содержащиеся на бумажных носителях, уничтожаются по акту в следующие сроки:
— хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока по договору Клиент-Общество;
— хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству РФ, в течение тридцати дней со дня окончания срока их хранения, установленного нормами законодательства РФ.
5.2. Обработка персональных данных, содержащихся на электронных носителях информации, прекращается, а сами персональные данные уничтожаются в течение тридцати дней со дня окончания установленного законодательством претензионного срока обращения Клиента с жалобой на качество предоставленных ему гостиничных услуг.
5.3. Общество обязано обеспечить исполнение требований п.5, пп.5.1., 5.2. настоящего Положения всеми третьими лицами, которым Обществом передавались персональные данные Клиентов.
Статья 10. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ КЛИЕНТА
1. Право доступа к персональным данным Клиентов у Общества имеют:
— Генеральный директор Общества;
— Системный администратор Общества;
— Работники Общества, допущенные к обработке персональных данных Клиентов в соответствии с Перечнем сотрудников Общества, имеющих доступ к персональным данным Клиентов.
— Другие сотрудники Общества при выполнении ими своих служебных обязанностей, при наличии соответствующего распоряжения Генерального директора;
— Клиент, как субъект персональных данных.
2. Перечень должностей Общества (Приложение №1), имеющих доступ к персональным данным Клиентов, определяется приказом Генерального директора Общества.
3. Доступ Клиента к своим персональным данным предоставляется при обращении, либо при получении запроса Клиента. Общество обязано в течение тридцати дней с даты получения запроса сообщить Клиенту информацию о наличии персональных данных о нем, и при необходимости предоставить возможность ознакомления с ними, либо в течение этого же срока дать мотивированный отказ в предоставлении информации.
3.1. Общество обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
4. При передаче персональных данных Клиентов Общество должно соблюдать следующие требования:
— не сообщать персональные данные Клиентов третьей стороне без письменного согласия Клиента, за исключением случаев, установленных федеральным законом;
— предупредить лиц, получающих персональные данные Клиентов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
— разрешать доступ к персональным данным Клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиентов, которые необходимы для выполнения конкретных функций.
5. Согласие Клиентов на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью Клиентов, и когда третьи лица оказывают услуги Обществу на основании заключенных договоров, а также в случаях, установленных законодательством РФ и настоящим Положением.
Статья 11. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ КЛИЕНТА
1. Общество несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных Клиентов. Общество закрепляет персональную ответственность сотрудников за соблюдением установленного в организации режима конфиденциальности.
2. Руководитель подразделения несет персональную ответственность за соблюдение сотрудниками его подразделения норм, регламентирующих получение, обработку и защиту персональных данных Клиентов.
Руководитель, разрешающий доступ сотрудника к документам, содержащим персональные данные Клиентов, несет персональную ответственность за данное разрешение.
3. Каждый сотрудник Общества, получающий для работы документ, содержащий персональные данные Клиентов, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
5. За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных Клиентов Общество вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.
6. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные Клиентов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
GDPR: что такое персональные данные?
Персональные данные лежат в основе Общего регламента по защите данных (GDPR). Тем не менее, многие люди до сих пор не уверены, что именно означает «персональные данные».
Не существует окончательного списка того, что является или не является персональными данными, поэтому все сводится к правильной интерпретации определения GDPR:
«[П]ерсональные данные» означает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»).
Другими словами, любая информация, явно относящаяся к конкретному человеку. Но насколько широко это применимо?
GDPR поясняет, что это применяется всякий раз, когда лицо может быть идентифицировано прямо или косвенно «путем ссылки на идентификатор, такой как имя, идентификационный номер, данные о местонахождении, онлайн-идентификатор или на один или несколько факторов, характерных для физического, физиологической, генетической, психической, экономической, культурной или социальной идентичности этого физического лица.
Ужасно много информации. При определенных обстоятельствах чей-либо IP-адрес, цвет волос, работа или политические взгляды могут считаться персональными данными.
Следует выделить квалификатор «определенные обстоятельства», поскольку вопрос о том, считается ли информация персональными данными, часто зависит от контекста, в котором она была собрана.
Контекст решает все
Организации обычно собирают множество различных типов информации о людях, и даже если одна часть данных не идентифицирует кого-либо, она может стать актуальной наряду с другой информацией.
Например, контролер данных, который запрашивает информацию о людях, загружающих продукты с их веб-сайта, может попросить их указать род занятий.
Это не подпадает под действие GDPR в отношении персональных данных, потому что, по всей вероятности, должность не уникальна для одного человека.
Точно так же организация может спросить, в какой компании они работают, что, опять же, не может быть использовано для идентификации кого-либо, если только он не является единственным сотрудником.
Бесплатная загрузка в формате PDF: Общий регламент ЕС по защите данных – Руководство по соблюдению
Однако во многих случаях эти фрагменты информации могут использоваться вместе, чтобы сузить число живых физических лиц до такой степени, что вы сможете обоснованно установить чью-либо личность.
Другими словами, если вы ссылаетесь на кого-то с определенной должностью в конкретной организации, может быть только один человек, подходящий под это описание.
Конечно, это не всегда так. Например, знание того, что кто-то является бариста в Starbucks, не сильно сужает круг вопросов.
В этих случаях эти две части информации вместе не будут считаться личными данными. Однако маловероятно, что эта информация будет храниться без определенного идентификатора, такого как имя человека или номер платежной ведомости.
Имена не всегда считаются личными данными
Вы можете подумать, что чье-то имя – самый яркий пример личных данных; это буквально то, что определяет вас как , как .
Но это не всегда так просто, как объясняет Управление Комиссара по информации Великобритании:
«Само по себе имя Джон Смит не всегда может быть личными данными, потому что людей с таким именем много.
«Однако, если имя сочетается с другой информацией (такой как адрес, место работы или номер телефона), этого обычно достаточно для четкой идентификации одного человека.
Однако ICO также отмечает, что имена не обязательно необходимы для идентификации кого-либо:
«Тот факт, что вы не знаете имени человека, не означает, что вы не можете его идентифицировать. Многие из нас не знают имен всех наших соседей, но мы все же можем их идентифицировать».
См. также:
Справочник о том, что является (или может быть) персональными данными
Как мы объясняли, может быть трудно сказать, соответствует ли определенная информация определению персональных данных GDPR.
Однако компания Boxcryptor, предоставляющая облачные услуги, предоставляет список вещей, которые могут считаться персональными данными, либо сами по себе, либо в сочетании с дополнительной информацией:
- Биографические данные или текущая жизненная ситуация , включая даты рождения, номера социального страхования, номера телефонов и адреса электронной почты.
- Внешний вид, внешний вид и поведение , включая цвет глаз, вес и черты характера.
- Данные о месте работы и информация об образовании , включая зарплату, налоговую информацию и номера учащихся.
- Частные и субъективные данные , включая религию, политические взгляды и данные геолокации.
- Здоровье, болезни и генетика , включая историю болезни, генетические данные и информацию об отпуске по болезни.
Как организации должны обращаться с персональными данными
Если вы не уверены, является ли информация, которую вы храните, личной или нет, лучше перестраховаться.
Это означает, что обработка персональных данных ограничивается тем, что необходимо, и хранить данные только до тех пор, пока они соответствуют своей цели.
Вам также следует настоятельно рассмотреть возможность псевдонимизации и/или шифрования информации, особенно если это особая категория персональных данных.
Псевдонимизация маскирует данные, заменяя идентифицирующую информацию искусственными идентификаторами.
Хотя псевдонимизация имеет центральное значение для защиты данных — она упоминается в GDPR 15 раз — и может помочь защитить конфиденциальность и безопасность персональных данных, у нее есть свои ограничения, поэтому в GDPR также упоминается шифрование.
Шифрование также скрывает информацию, заменяя идентификаторы чем-то другим. Но в то время как псевдонимизация позволяет любому, у кого есть доступ к данным, просматривать часть набора данных, шифрование позволяет только утвержденным пользователям получать доступ к полному набору данных.
Псевдонимизация и шифрование могут использоваться одновременно или по отдельности.
Спросите DPO, если вы не уверены
Тем, кто ищет постоянные советы по управлению собираемыми ими личными данными, следует проконсультироваться с DPO (сотрудником по защите данных).
DPO – это независимый эксперт, нанятый для оказания помощи организациям в соблюдении требований GDPR.
Они отвечают за многие задачи, в том числе:
- Информирование и консультирование организации и ее сотрудников об их обязанностях;
- Мониторинг политик и процедур организации по защите данных;
- Рекомендации руководству, когда необходимы DPIA (оценка воздействия на защиту данных); и
- Выполнение функций контактного лица между организацией и ее надзорным органом.
В GDPR указано, что некоторые организации должны назначать DPO, но даже если вы не соответствуете этим критериям, назначить его в любом случае может быть очень выгодно.
Стать экспертом GDPR
Вы можете узнать больше о требованиях вашей организации к защите данных, пройдя наш сертифицированный GDPR Foundation онлайн-курс для самостоятельного обучения
.Этот однодневный курс проводится опытным экспертом по защите данных и представляет собой всестороннее введение в Регламент и его правила.
Он идеально подходит для менеджеров, которые хотят понять, как Регламент влияет на их организацию и сотрудников, отвечающих за соблюдение GDPR, и доступен в различных формах, в том числе онлайн и для самостоятельного изучения.
Версия этого блога была первоначально опубликована 17 февраля 2018 г.
Политика конфиденциальности персональных данных сотрудников, подпадающих под действие GDPR | Политика конфиденциальности | Софтбанк робототехника
Эта политика конфиденциальности («Политика конфиденциальности») применяется только к обработке данные сотрудников, подпадающие под действие Общего регламента ЕС по защите данных № 2016/679 («GDPR»).
1. Политика конфиденциальности сотрудников SBRG
Настоящая Политика конфиденциальности реализуется SoftBank Robotics Group Corp. («SBRG»).
чьими целями являются его должностные лица, рабочие (которые могут включать сотрудников, сотрудников, занятых неполный рабочий день, временных сотрудников,
прикомандированные сотрудники), соискатели и пенсионеры в Европейском экономическом пространстве («ЕЭЗ») (в совокупности
«Сотрудники»), защищенные GDPR, в отношении того, как SBRG собирает и обрабатывает персональные данные сотрудников в качестве
контроллер данных, если личные данные сотрудников предоставляются или раскрываются субъектом данных или если личные
данные получены или приобретены через третью сторону.
SBRG обрабатывает персональные данные в соответствии с
GDPR (и другие применимые нормативные акты ЕС и государств-членов о защите данных, если такие нормативные акты существуют).
SBRG обрабатывает персональные данные в соответствии с GDPR (и другими применимые правила ЕС и государств-членов по защите данных, если такие правила существуют). Обработка под персональными данными в настоящей Политике конфиденциальности понимается обработка персональных данных Сотрудников, находящихся в ЕЭЗ в любой из следующих случаев:
- И.если осуществляется в связи с деятельностью нашего учреждения в ЕЭЗ,
- II. если это связано с предложением товаров или услуг Сотрудникам, или
- III. если это связано с мониторингом поведения Работников, поскольку их поведение происходит в пределах ЕЭЗ.
2. Сбор и обработка персональных данных Работников
SBRG всегда обрабатывает персональные данные Работников на основании одного из правовых
оснований, предусмотренных GDPR (статьи 6 и 7).
Кроме того, если обработка персональных данных требует
с особой осторожностью, SBRG сделает это в соответствии со специальными правилами, предусмотренными GDPR (статьи 9 и
10).
SBRG может собирать и обрабатывать персональные данные сотрудников в следующих случаях:
:(ⅰ), если это требуется для предоставления данных с адекватными услугами и продуктами, и SBRG в противном случае имеет
законный интерес; (ⅱ) если это необходимо для выполнения соглашения с Сотрудниками или выполнения процедур
перед исполнением; или (ⅲ) если SBRG получила прямо выраженное предварительное согласие Сотрудников.Сотрудник имеет право
отозвать свое согласие на сбор и обработку персональных данных в любое время, но это
отзыв не повлияет на законность обработки на основе согласия до его отзыва. СБР
будем хранить личные данные Сотрудников до тех пор, пока это необходимо для выполнения наших юридических обязательств,
чтобы гарантировать, что SBRG предоставляет надлежащие услуги, и поддерживать нашу деловую деятельность (статьи 5 и 25 (2)
GDPR).
3. Цель сбора и обработки
SBRG использует следующие персональные данные сотрудников для соответствующих целей. следующим образом:
Цель использования
| Товар | Детали | Цель использования |
|---|---|---|
| Информация, раскрываемая для внутреннего использования | Имя, идентификационный номер сотрудника, отдел, должность, статус занятости, адрес электронной почты компании, информация о мобильный телефон для бизнеса | Для делового общения |
| Основная информация | Имя, адрес, возраст, дата рождения, пол, номер телефона, фотография лица | Для найма и управления персоналом, размещения (включая прикомандирование/перемещение), создания штата регистрация, выплата заработной платы, предоставление социальных пакетов, процедуры, связанные с социальным страхованием, юридически обязательные процедуры и другое управление занятостью |
| Информация об оплате | Метод принятия решения в отношении годового и месячного заработка, премии и оклада, пенсионного пособия | Для решения и выплаты заработной платы, процедур удержания налогов, процедур, связанных с социальным страхованием, пенсионные и социальные пакеты, безналоговая имущественно-образующая и иная занятость работников управление |
| Кадровая информация | Оценка эффективности, образование, квалификация/лицензия, звание, профессиональный опыт, дисциплинарное взыскание/поощрение | Для понимания человеческих ресурсов, решения о размещении/назначении ответственности, прикомандировании/перемещении, обучение/развитие навыков, продвижение по службе/понижение в должности и другое управление занятостью |
| Информация о семье и родственниках | Состав семьи, совместное/раздельное проживание, наличие иждивенцев, состояние здоровья | Для принятия решения о заработной плате, процедурах удержания налогов, процедурах, связанных с социальным обеспечением, отпуска по уходу за ребенком/уходу за ребенком, пакеты пособий и другие виды управления занятостью |
| Информация о физическом состоянии и здоровье | Состояние здоровья, медицинские записи, физические или умственные недостатки, результаты медицинского осмотра | На здравоохранение, обеспечение надлежащих условий труда, отпуск, решение о назначении, управление рабочим временем и другое управление занятостью |
Цель сбора и переработки персональные данные заявителей
| Товар | Детали | Цель использования |
|---|---|---|
| Основная информация | Имя, адрес, возраст, дата рождения, пол, номер телефона, фотография лица | Для рассмотрения/решения о приеме на работу, рассмотрения/решения условий занятости, ответа на запросы и деловое общение |
| Информация об оплате | Метод принятия решения в отношении годового и месячного заработка, премии и оклада, пенсионного пособия | |
| Кадровая информация | Образование, квалификация/лицензия, звание, профессиональный опыт | |
| Информация о семье и родственниках | Наличие иждивенцев |
Цель сбора и обработки пенсионных персональные данные
| Товар | Детали | Цель использования |
|---|---|---|
| Основная информация | Имя, адрес, возраст, дата рождения, пол, номер телефона, фотография лица | Для создания данных отдела кадров и связи после выхода на пенсию |
| Информация об оплате | Метод принятия решения в отношении годового и месячного заработка, премии и оклада, пенсионного пособия | |
| Кадровая информация | Оценка эффективности, образование, квалификация/лицензия, звание, профессиональный опыт, дисциплинарное взыскание/поощрение | |
| Информация о семье и родственниках | Структура семьи, проживающая вместе/раздельно | |
| Информация о физическом состоянии и здоровье | Состояние здоровья, медицинские записи, физические или умственные недостатки, результаты медицинского осмотра |
SBRG уведомляет о цели этого сбора и обработки
Сотрудники при получении согласия, соглашения или других соответствующих средств.
SBRG обрабатывает личные
данные для указанных выше, явных и законных целей, и не будет в дальнейшем обрабатывать данные таким образом,
что несовместимо с этими целями. Если SBRG изначально намеревается обрабатывать персональные данные Сотрудников
исправлено для других целей или целей, SBRG гарантирует, что Сотрудники будут проинформированы об этом действии.
SBRG гарантирует, что обрабатываемые данные должны быть ограничены адекватными и необходимы в связи с целями, для которых они обрабатываются.
4. Обмен личными данными сотрудников
SBRG может передавать персональные данные организациям нашей группы и третьим лицам в
в соответствии с GDPR. Когда SBRG передает данные обработчику данных, SBRG размещает соответствующие юридические
рамок для охвата передачи и обработки данных (статьи 26, 28 и 29
GDPR). Кроме того, когда SBRG передает данные какой-либо организации за пределами ЕЭЗ, SBRG размещает соответствующие юридические
действующие структуры, в частности контроллер-контроллер (2004/915/EC) и контроллер-процессор (2010/87/EU)
Стандартные положения контракта, утвержденные Европейской комиссией, для покрытия таких передач (Глава 5
GDPR).
Аутсорсинг
SBRP может передать всю или часть обработки персональных данных сотрудников на аутсорсинг аутсорсер. При заключении договора аутсорсинга правомочность контрагента в качестве аутсорсера достаточно исследованы. Меры по управлению безопасностью, конфиденциальность, условия для аутсорсера передать на аутсорсинг другой стороне, и другие вопросы, касающиеся надлежащей обработки данных, предписаны в соглашении об аутсорсинге, и наш аутсорсер должным образом контролируется путем осуществления периодического мониторинг и т.д.условий аутсорсинга.
Корпоративные филиалы и корпоративные Реорганизация
SBRG может передавать персональные данные Сотрудников всем аффилированным лицам корпорации. В
в случае слияния, реорганизации, гражданского оздоровления, присоединения, совместного предприятия, уступки,
передача, продажа или отчуждение всего или любой части нашего бизнеса (в том числе в связи с любым
банкротство или аналогичная процедура), SBRG может передать любые персональные данные Сотрудников соответствующему
третья сторона.
Юридическое соответствие и безопасность
Это может быть необходимо для SBRG – по закону, судебному процессу, судебному разбирательству и/или запросы от государственных и государственных органов внутри или за пределами страны проживания Субъекта данных — раскрывать личные данные. Мы также можем раскрывать личные данные, если мы определим, что для целей национального безопасность, правоприменение или другие вопросы, имеющие общественное значение, раскрытие информации необходимо или уместно.
SBRG также может раскрывать личные данные Сотрудников, если SBRG решит, что верим, что раскрытие информации необходимо для защиты наших прав и использования доступных средств правовой защиты, обеспечения соблюдения наших внутренние правила, расследовать мошенничество или защищать наши операции или пользователей.
Передача данных
Раскрытие или совместное использование персональных данных, как описано выше, может включать
передача персональных данных за пределы ЕЭЗ. Для каждого из этих переводов SBRG гарантирует, что SBRG предоставит
адекватный уровень защиты передаваемых данных, в частности, путем заключения Стандартных условий договора
в соответствии с решениями Европейской комиссии 2001/497/ЕС, 2002/16/ЕС, 2004/915/ЕС и 2010/87/ЕС.
5. Наши записи об обработке данных
SBRG обрабатывает записи об обработке персональных данных сотрудников в соответствии с с обязательствами, установленными GDPR (статья 30), где SBRG может обрабатывать персональные данные.В этих записи, SBRG отражает все данные, необходимые для соблюдения GDPR и сотрудничества с надзорные органы в соответствии с GDPR (статья 31).
6. Меры безопасности
SBRG обрабатывает персональные данные сотрудников таким образом, чтобы гарантировать, что такие данные
подвергается надлежащей безопасности (включая защиту от несанкционированной или незаконной обработки и от
случайная потеря, разрушение, повреждение и т.
д.) использование соответствующих технических или организационных мер для достижения
это (статьи 25(1) и 32 GDPR).
7. Уведомление компетентных надзорных органов об утечке данных
В случае нарушения безопасности, приведшего к случайному или незаконному уничтожение, потеря, изменение, несанкционированное раскрытие или доступ к переданным личным данным сотрудников, хранятся или обрабатываются иным образом, SBRG имеет механизмы и политики для их идентификации и оперативно оценить детали нарушения.В зависимости от результатов нашей оценки, SBRG сделает необходимые уведомления надзорным органам и сообщения затронутым субъектам данных (Статьи 33 и 34 GDPR).
8. Обработка может привести к высокому риску для прав и свободы
SBRG имеет механизмы и политики для идентификации данных
действия по обработке, которые могут привести к высокому риску для прав и свобод Работников (статья 35 GDPR).
Если будет выявлено какое-либо такое действие по обработке данных, SBRG проведет внутреннюю оценку и либо остановит его, либо
убедиться, что обработка соответствует GDPR или соответствующим техническим и организационным
приняты защитные меры для того, чтобы продолжить его. В случае сомнений SBRG свяжется с
компетентный орган по надзору за защитой данных, чтобы получить их советы и рекомендации (статья
36 Общего регламента по защите данных).
9. Права
Сотрудники SBRG имеют права на персональные данные сотрудников, собранные и обрабатывается SBRG ниже. Однако существует вероятность того, что будут наложены некоторые требования или ограничения.
- Право на получение: Сотрудники SBRG имеют право на получение всех данных, касающихся обработки данных Персональные данные сотрудников (статьи 13 и 14 GDPR).
- Право доступа: Сотрудники SBRG имеют право получать информацию о том, являются ли личные данные сотрудников обрабатывается, и в этом случае доступ к данным (статья 15 GDPR)
- Право на исправление и удаление: Сотрудники SBRG имеют право исправлять неточные сведения о Сотрудниках. персональные данные и удалить данные без неоправданной задержки (статья 16 GDPR).В случае определенных
применяются особые требования, они имеют право удалить данные без неоправданной задержки (статья 17
GDPR).
- Право на ограничение обработки: В случае применения определенных особых требований сотрудники SBRG имеет право ограничить обработку персональных данных Сотрудников (статья 18 GDPR).
- Право на возражение: в случае применения определенных особых требований сотрудники SBRG имеют право возражать в любое время против обработки персональных данных Работников по причинам конкретных ситуаций.
- Право на переносимость данных: в случае применения определенных особых требований сотрудники SBRG
право на получение персональных данных Работников в структурированном, широко используемом и машиночитаемом формате
и имеют право беспрепятственно передавать данные другому контроллеру со стороны SBRG (статья 20
GDPR).
- Право не быть объектом решения, основанного исключительно на автоматизированной обработке: в случае определенных применяются особые требования, Сотрудники SBRG имеют право не быть объектом решения, основанного на исключительно на автоматизированную обработку, которая имеет юридические последствия или аналогичным образом существенно влияет на их (статья 22 GDPR).
персональные данные и удалить данные без неоправданной задержки (статья 16 GDPR).В случае определенных
применяются особые требования, они имеют право удалить данные без неоправданной задержки (статья 17
GDPR).
Если сотрудники SBRG пользуются такими правами, пожалуйста, свяжитесь с нами по адресу изложено в разделе 11 ниже. Они не удовлетворены тем, как SBRG обработала любой запрос, или если у них есть какие-либо жалобы относительно того, как SBRG обрабатывает персональные данные Сотрудников, они могут подать жалобу в орган по надзору за защитой данных.
10. Обновление политики конфиденциальности
SBRG может время от времени вносить изменения в настоящую Политику конфиденциальности.
Любые изменения в этом
Политика конфиденциальности вступает в силу после публикации пересмотренной Политики конфиденциальности на Веб-сайте. Если SBRG сделает
изменения, которые SBRG считает значительными, SBRG информирует Субъекта данных через Веб-сайт
насколько это возможно, и запросить согласие Субъекта данных, где это применимо.
11. Контакт
По любым вопросам или запросам, касающимся настоящей Политики конфиденциальности, свяжитесь с нами как следует:
Электронная почта
СБРГРП[email protected]
Часы работы
10:00 – 17:45 (кроме субботы, воскресенья и государственных праздников)
Руководство HR по защите данных сотрудников
Защита данных сотрудников становится все более важной для организаций, стремящихся соблюдать глобальные законы о конфиденциальности. Это заставляет отделы кадров всех организаций быть ответственными хранителями данных своих сотрудников.
Еще в 2016 году в Snapchat произошла утечка данных сотрудников.Заработная плата 700 нынешних и бывших сотрудников была взломана злоумышленником, выдававшим себя за генерального директора социальной сети Эвана Шпигеля. Это было катастрофой для репутации компании.
В этой статье рассказывается о распространенных заблуждениях работодателей в отношении защиты персональных данных сотрудников. Затем обсуждаются современные правила конфиденциальности, после чего следует обзор обязательств работодателя в течение всего жизненного цикла сотрудников.
Неправильные представления о данных сотрудников
При приеме на работу работника работодатель имеет ряд прав на использование его персональных данных.Чаще всего работодатели имеют определенные заблуждения о том, что они могут и не могут делать с персональными данными сотрудников в соответствии с законом. Вот самые распространенные заблуждения, которые могут возникнуть у работодателя в отношении защиты данных своих сотрудников.
- Работодатели считают, что им не нужно уведомлять сотрудников перед обработкой данных. Однако большинство глобальных законов о конфиденциальности требуют, чтобы работодатели уведомляли своих сотрудников о каждом случае сбора и обработки данных.
- Работодатели считают, что они имеют неограниченное право контролировать своих сотрудников по соображениям безопасности и производительности.Однако большинство глобальных законов о конфиденциальности разрешают наблюдение за сотрудниками только при определенных условиях и до тех пор, пока такое наблюдение не является необоснованно навязчивым для сотрудников.
- Работодатель, находящийся в США, считает, что законы других стран на него не распространяются. Это неверно, поскольку такие законы, как GDPR, могут также применяться в США, если, например, они обрабатывают данные, принадлежащие резидентам ЕС. Большинство глобальных законов о конфиденциальности имеют экстратерриториальное применение. Поэтому для организации важно определить, какие законы о конфиденциальности применяются к ней в зависимости от места жительства, гражданства, места работы или любых других соответствующих факторов их сотрудников.
- Работодатели считают, что утечка данных приведет к штрафам. Это может быть так, но это зависит от серьезности нарушения и его последствий. Помимо штрафов, работодателей также могут попросить предоставить дополнительные услуги по смягчению последствий для сотрудников, пострадавших от нарушения, а также пересмотреть или модернизировать свои системы безопасности, чтобы гарантировать, что нарушение не произойдет снова.
Глобальные законы о конфиденциальности данных о защите данных сотрудников
Если мы посмотрим на любую организацию, отдел кадров всегда хранит большие объемы личных данных и конфиденциальных личных данных о своих бывших, нынешних и потенциальных сотрудниках.
Диапазон личных данных, хранящихся в отделе кадров организации, может быть от их имени, номера социального страхования, адреса, даты рождения, предыдущих адресов до их медицинской, финансовой и другой конфиденциальной личной информации. Попав в чужие руки, эти данные могут быть опасны и могут привести к краже личных данных и другим угрозам.
Чтобы решить эту проблему, в правилах конфиденциальности данных во всем мире действуют законы, обязывающие работодателей защищать личные данные сотрудников и предотвращать случаи их нарушения.Эти законы также предоставляют сотрудникам права на их данные. Давайте посмотрим на обязательства, которые работодатели несут в соответствии с основными мировыми законами о конфиденциальности.
Европейский Союз
1. Закон, регулирующий личные данные заявителя и работника?
Общий регламент по защите данных (GDPR)
2. Нужно ли мне иметь заявление о конфиденциальности или соглашение?
Принцип прозрачности требует, чтобы работодатели информировали своих сотрудников об их правах в отношении их личных данных и их методах сбора данных.Поэтому важно иметь заявление о конфиденциальности или соглашение.
3. Как долго я должен хранить данные сотрудников? Что такое лучшая практика?
GDPR требует от работодателей хранить данные в форме, позволяющей идентифицировать субъектов данных, не дольше, чем это необходимо для целей, для которых они обрабатываются.
4. Могу ли я передавать данные сотрудников за границу?
Персональные данные, передаваемые в третью страну за пределами ЕС, могут иметь место только в том случае, если обеспечен адекватный уровень защиты или существуют гарантии на случай передачи в неадекватные страны.Данные, передаваемые за пределы ЕС, и последующий доступ к ним других организаций внутри группы должны оставаться ограниченными до минимума, необходимого для намеченных целей.
5. Могу ли я передать данные сотрудника третьему лицу?
При передаче персональных данных сотрудников третьим лицам работодатель несет ответственность за оценку того, соответствует ли обработчик данных требованиям GDPR.
6. Каковы последствия нарушения?
GDPR ограничивает размер наказания 4% от мирового годового оборота или 20 млн евро — в зависимости от того, что больше, в зависимости от вида и серьезности нарушения.Субъекты данных имеют право подать жалобу в надзорный орган и получить компенсацию.
Соединенные Штаты Америки (Калифорния)
1. Закон, регулирующий личные данные заявителя и работника?
Закон штата Калифорния о конфиденциальности потребителей (CCPA)
2. Нужно ли мне иметь заявление о конфиденциальности или соглашение о работе с данными сотрудников?
Рекомендуется, но не требуется по закону.
3. Как долго я должен хранить данные сотрудников? Что такое лучшая практика?
CCPA не требует хранения информации в течение какого-либо фиксированного периода, но рекомендуется не хранить информацию дольше, чем это необходимо.
4. Могу ли я передавать данные сотрудников за границу?
Особых ограничений на передачу личных данных за границу нет.
5. Могу ли я передать данные сотрудника третьему лицу?
Предприятия должны заключать контракты с поставщиками услуг, которым они раскрывают личные данные своих сотрудников в деловых целях.
Передача или продажа персональных данных сотрудника третьей стороне не имеет ограничений — работодатели должны только информировать своих сотрудников о том, что и кому продается в уведомлении, предоставленном во время сбора персональных данных.
6. Каковы последствия нарушения?
- Расследование Генерального прокурора Калифорнии;
- Подача гражданского иска Генеральным прокурором Калифорнии, если обнаружится, что причиной нарушения было несоблюдение разумных и надлежащих мер безопасности для защиты личных данных сотрудников.
- Максимальный гражданско-правовой штраф в размере 7 500 долларов США за преднамеренные нарушения и минимальный гражданский штраф в размере 2 500 долларов США за непреднамеренное нарушение CCPA может быть назначен судом;
- Сотрудники могут подавать частные иски о возмещении убытков в размере от 100 до 750 долларов США или о возмещении фактического ущерба (в зависимости от того, что больше) за каждый случай нарушения, если будет обнаружено, что причиной нарушения было отсутствие принятия разумных и надлежащих мер безопасности для защиты PI. сотрудников.
сотрудников.Бразилия
1. Закон, регулирующий личные данные заявителя и работника?
Lei Geral de Protecao de Dados (LGPD)
2. Нужно ли мне иметь заявление о конфиденциальности или соглашение о работе с данными сотрудников?
Предприятия должны информировать сотрудников о своих методах работы с данными в уведомлении о конфиденциальности.
3. Как долго я должен хранить данные сотрудников? Какова наилучшая практика?
Ожидается, что работодатели удалят личные данные сотрудников, когда:
- Цель обработки достигнута или что данные больше не нужны или не подходят для достижения конкретной цели;
- Период обработки закончился;
Однако работодатели могут сохранять личные данные в хранилище по определенным исключительным причинам, таким как соблюдение правовых или нормативных обязательств.
4. Могу ли я передавать данные сотрудников за границу?
LGPD имеет строгие ограничения на передачу личной информации за границу.
Страна назначения должна иметь «адекватный уровень защиты» или должна быть использована защита для защиты передаваемых данных, или должно быть какое-то другое обоснование для передачи.
5. Могу ли я передать данные сотрудника третьему лицу или обработчику?
LGPD требует, чтобы контроллер данных получил согласие субъектов данных, прежде чем передавать личные данные субъекта данных третьей стороне (если не применяется отказ).
6. Каковы последствия нарушения?
После расследования, проведенного ANPD, штрафы в размере до 2% от доходов организации в Бразилии за финансовый год (общая максимальная сумма составляет не более пятидесяти миллионов реалов), а также ежедневные штрафы, блокировка и удаление уязвимые персональные данные, включая частичную или полную приостановку деятельности по обработке данных на 6 месяцев, а также частичный или полный запрет деятельности по обработке данных в Бразилии. Также важно помнить, что бразильская конституция и закон о защите прав потребителей позволяют субъектам данных или их представителям возбуждать частные иски против контролеров данных за ущерб, причиненный несоблюдением LGDP.
Новая Зеландия
1. Закон, регулирующий личные данные заявителя и работника?
Закон Новой Зеландии о конфиденциальности 2020 г. («Закон о конфиденциальности»).
2. Нужно ли мне иметь заявление о конфиденциальности или соглашение о работе с данными сотрудников?
Закон о конфиденциальности требует, чтобы работодатели информировали своих сотрудников о фактах сбора информации, целях сбора информации, предполагаемых получателях информации, последствиях непредоставления информации и их правах доступа и исправление их личной информации.Поэтому рекомендуется иметь заявление о конфиденциальности.
3. Как долго я должен хранить данные сотрудников? Что такое лучшая практика?
Данные сотрудника не должны храниться дольше, чем это требуется для целей, для которых они могут использоваться на законных основаниях.
4. Могу ли я передавать данные сотрудников за границу?
Работодатель может передавать личную информацию сотрудников за пределы Новой Зеландии только в том случае, если страна назначения обеспечивает гарантии, сопоставимые с теми, что предусмотрены Законом Новой Зеландии о конфиденциальности, страна назначения является частью обязательной схемы, установленной правительством Новой Зеландии, или если сотрудник прямо разрешает раскрытие личной информации после того, как он был проинформирован о неадекватных стандартах защиты данных иностранного государства.
5. Могу ли я передать данные сотрудника третьему лицу?
Работодатель не должен раскрывать личную информацию сотрудников другой организации или любому лицу, если для этого нет разумных оснований в соответствии с Законом о конфиденциальности.
6. Каковы последствия нарушения?
- Уголовное преследование (в случае осуждения может быть назначен штраф в размере не более 10 000 долларов США.
- Гражданское наказание в соответствии с решением, принятым Директором Трибунала по пересмотру прав человека.
- Частное право на иск потерпевшего лица или представителя от имени лица или группы лиц.
Сингапур
1. Существует ли закон, регулирующий личные данные соискателей/сотрудников?
Закон о защите персональных данных 2012 г.
2. Нужно ли мне иметь заявление о конфиденциальности или соглашение о работе с данными сотрудников?
Да.
В соответствии с PDPA организации должны разработать и внедрить политику и практику, чтобы уведомлять сотрудников о целях, для которых их личные данные (включая записи с камер видеонаблюдения) собираются, используются или раскрываются, и получать их согласие, если не применяется какое-либо исключение.
3. Как долго я должен хранить данные сотрудников? Какова наилучшая практика?
PDPA не устанавливает срок хранения персональных данных. Однако организация должна прекратить хранить свои документы, содержащие личные данные, или удалить средства, с помощью которых личные данные могут быть связаны с конкретным сотрудником, как только будет разумно предположить, что цель сбора больше не служит цели сбора. удержание; и хранение больше не требуется для деловых или юридических целей.
4. Могу ли я передавать данные сотрудников за границу?
Да. PDPA требует, чтобы организация, передающая персональные данные за границу, принимала меры для обеспечения сопоставимого стандарта защиты персональных данных за границей.
5. Могу ли я передать данные сотрудника третьему лицу?
Если данные работника передаются третьей стороне с целью управления или прекращения трудовых отношений, для такой передачи не требуется согласия, но работодатель должен уведомить соответствующих работников о целях такой передачи.
6. Каковы последствия нарушения?
Если будет установлено, что организация нарушает какое-либо положение PDPA, Комиссия по защите персональных данных может начать расследование поведения организации. Организации также может быть предписано принять любые меры по исправлению положения для обеспечения соблюдения PDPA, включая уплату финансового штрафа в размере до 1 миллиона сингапурских долларов. PDPA также предписывает, что любое лицо, которое понесло убытки или ущерб непосредственно в результате нарушения со стороны организации, может подать частный гражданский иск в отношении таких понесенных убытков или ущерба.
Жизненный цикл обязательств сотрудника отдела кадров
Отделу кадров любой организации необходимо помнить о своих обязательствах на протяжении всего срока службы сотрудников, с момента найма до окончания трудового периода.
Давайте посмотрим на обязательства, о которых HR должен помнить в течение жизненного цикла сотрудника.
Обязанности в процессе найма и отбора:
В процессе найма работодатель должен помнить о следующих обязательствах по защите данных:
- Работодатели должны информировать соискателей о типах личных данных, которые они потребуют от них, и о целях, для которых они будут использоваться.
- Сбор данных в процессе найма должен быть ограничен и связан с выполнением работы, на которую претендуют.
- Формы заявлений должны содержать разрешения от кандидатов на работу, если их личные данные собираются от третьих лиц, таких как предыдущие работодатели или рекомендации.
- Проверка биографических данных не должна быть чрезмерно навязчивой, и перед ее началом необходимо получить разрешение соискателя работы — результаты этих проверок являются очень конфиденциальной информацией, и поэтому их следует тщательно защищать.
- Сохранение личных данных неудачно соискателей должно быть ограничено — сохранять их данные только для рассмотрения их на предмет будущих вакансий, если они на это согласны — или удалять личные данные.
- Оценка кандидатов с использованием общедоступных данных разрешена некоторыми глобальными законами о конфиденциальности, такими как CCPA. Тем не менее, требования могут отличаться от одного закона к другому. Например, GDPR позволяет работодателям проводить проверку биографических данных на основе общедоступной информации только при наличии законного основания для обработки этих данных.Это требует от работодателей учитывать, связана ли общедоступная информация, такая как профиль заявителя в социальных сетях, с деловыми или личными целями, поскольку это может быть важным показателем юридической допустимости проверки данных.
Обязанности в течение срока службы
В период работы работодатель должен помнить о следующих обязательствах по защите данных:
- Большинство правил конфиденциальности, таких как GDPR и CCPA/CPRA, требуют от работодателей уведомления своих сотрудников перед сбором и обработкой их личных данных.
- Сбор, обработка и хранение персональных данных работников должны быть ограничены тем, что необходимо, уместно и соразмерно любой функции, которую работодатель выполняет в контексте трудовых отношений.
- Работодатель, как правило, должен избегать полагаться на согласие сотрудников для обработки большей части данных на работе из-за дисбаланса полномочий между работодателем и работником. Исключительные обстоятельства, при которых можно полагаться на согласие, могут включать получение согласия от сотрудников на добровольные программы льгот для сотрудников, поскольку отказ не влечет неблагоприятных последствий для трудовых отношений.Такое согласие должно быть свободно дано и хорошо задокументировано.
- Работодатели могут иметь возможность контролировать производительность своих сотрудников, безопасность и соблюдение политик компании. Однако они обязаны информировать сотрудников о таком мониторинге до его проведения и применять надлежащие меры безопасности для защиты данных, собранных в ходе мониторинга.
- Работодатели должны проводить оценки на основе рисков и принимать меры для снижения рисков конфиденциальности своих сотрудников, прежде чем они будут проводить профилирование или любую другую деятельность по обработке данных с высоким уровнем риска с данными своих сотрудников. Действия по обработке данных с высоким риском могут включать сбор медицинских данных для медицинского страхования, профилирование для оценки эффективности или другие процессы принятия решений, связанные с трудоустройством.
- Работодатели обязаны выполнять права DSR сотрудников в установленные сроки. Эти права включают право запрашивать доступ к своим личным данным, удалять свои личные данные или отказываться от определенных форм обработки. Как правило, доступ и изменение данных, которые могут нанести ущерб управлению и функционированию работодателя или содержат информацию третьих лиц, освобождаются от требований DSR сотрудников.
- Работодатели должны обеспечить наличие надлежащих и разумных мер безопасности для защиты данных своих сотрудников. Если доступ к данным сотрудников получен, получен или скомпрометирован в результате инцидента безопасности, работодатели должны уведомить пострадавших сотрудников и/или регулирующие органы в установленные сроки в соответствии с применимым законодательством о конфиденциальности.
- Работодатели должны оценивать практику конфиденциальности внешних третьих сторон и поставщиков, с которыми они заключают контракты на обработку данных своих сотрудников по любой причине e.г. Кадровые услуги, договоры безопасности или услуги медицинского страхования и т. д. Лучше всего иметь договорные соглашения, содержащие гарантии защиты передаваемых данных.
- Работодатели должны регулярно обновлять свои кадровые записи, чтобы отражать точную и необходимую личную информацию о своих сотрудниках. Неточная, устаревшая или нежелательная информация должна быть изменена или удалена.
Действия по обработке данных с высоким риском могут включать сбор медицинских данных для медицинского страхования, профилирование для оценки эффективности или другие процессы принятия решений, связанные с трудоустройством.
Обязанности при увольнении
Когда сотрудник покидает организацию, работодатели должны соблюдать следующие обязательства по защите данных:
- Работодатели должны иметь четкую политику и процедуру хранения данных.Личные данные сотрудников и бывших сотрудников, которые больше не нужны, должны быть удалены, а все, что требуется для законных целей (юридических, бухгалтерских, налоговых или будущих должностей), должно храниться в отдельных защищенных базах данных с ограниченным доступом.
- Работодатели должны получить согласие увольняющихся сотрудников, если они хотят сохранить свои данные для будущих должностей.
- Бывшие работники имеют право доступа к своим персональным данным, хранящимся у работодателя. Однако работодатели не обязаны обновлять и исправлять личные данные бывших сотрудников.
Как Securiti может помочь?
Данные растут в геометрической прогрессии, и работодатели собирают все больше и больше личных данных своих сотрудников. Чтобы соответствовать законам о конфиденциальности, организациям необходимо иметь оптимизированный и автоматизированный процесс, с помощью которого они могут управлять данными своих сотрудников.
- Securiti предлагает комплексное решение для работодателей, охватывающее все основы любых правил конфиденциальности и обеспечивающее их соблюдение. Вот некоторые из модулей, которые Securiti использует, чтобы помочь организациям соответствовать требованиям. Решение Securiti Data Mapping Solution
- помогает работодателям проводить эффективное сопоставление данных, что может помочь им определить правильную правовую основу и обеспечить законную обработку данных.
- Securiti помогает работодателям создавать уведомления о конфиденциальности и включать аналитику конфиденциальных данных для обеспечения соблюдения конфиденциальности во всех действиях и проектах по обработке данных.
- Решение Seucriti для оценки воздействия на конфиденциальность данных включает в себя искусственный интеллект, позволяющий автоматизации оценки инициировать и проводить оценки на основе рисков.
- Решение Securiti для управления утечками данных быстро выявляет скомпрометированные данные и затронутые субъекты данных в случае инцидента безопасности. Он использует встроенное исследование конфиденциальности, чтобы помочь организациям доставлять уведомления о нарушениях в течение нескольких часов после инцидента безопасности.
- Решение Securiti Vendor Management Solution позволяет работодателям оценивать своих поставщиков на основе предопределенной оценки риска, а также предлагает централизованный процесс оценки того, насколько сторонние поставщики соблюдают применимые правила конфиденциальности.
- Securiti предлагает решение для автоматизации DSR, чтобы помочь работодателям соблюдать все права своих сотрудников и упростить процесс осуществления этих прав. Этот процесс превращает ручную работу в автоматизированную систему, которая поможет предприятиям эффективно обрабатывать запросы субъектов данных и обеспечит координацию между заинтересованными сторонами для проверки и утверждения.
Заключение
Ручные методы устаревают, и будущее без автоматизации выглядит мрачным. Если работодатели надеются соответствовать растущим требованиям глобальных правил конфиденциальности, им необходимо ввести в действие свои процессы и перейти к автоматизации.
Securiti является пионером в области роботизированной автоматизации и создала целое решение, основанное на этой концепции. Узнайте, как Securti и PrivacyOps Framework могут помочь вам легко и эффективно соблюдать глобальные законы о конфиденциальности. Запросите демонстрацию сегодня.
Что такое персональные данные? | Европейская комиссия
Ответить
Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому живому физическому лицу .
Различные фрагменты информации, собранные вместе, могут привести к идентификации конкретного лица, также представляют собой персональные данные.
Персональные данные, которые были деидентифицированы, зашифрованы или псевдонимизированы , но могут использоваться для повторной идентификации человека, остаются персональными данными и подпадают под действие GDPR.
Персональные данные, которые были анонимизированы таким образом, что физическое лицо не может быть или больше не может быть идентифицировано, больше не считаются персональными данными. Чтобы данные были действительно анонимными, анонимизация должна быть необратимой.
GDPR защищает персональные данные независимо от технологии, используемой для обработки этих данных. — технология нейтральна и применима как к автоматической, так и к ручной обработке, при условии, что данные организованы в соответствии с заранее определенными критериями (например, в алфавитном порядке).
Также не имеет значения, как хранятся данные — в ИТ-системе, через видеонаблюдение или на бумаге; во всех случаях персональные данные подпадают под требования защиты, изложенные в GDPR.
Примеры персональных данных
- имя и фамилия;
- домашний адрес;
- адрес электронной почты, такой как [email protected];
- номер удостоверения личности;
- данные о местоположении (например, функция данных о местоположении на мобильном телефоне)*;
- адрес интернет-протокола (IP);
- идентификатор файла cookie*;
- рекламный идентификатор вашего телефона;
- данные, хранящиеся в больнице или у врача, которые могут быть символом, однозначно идентифицирующим человека.
* Обратите внимание, что в некоторых случаях существует специальное отраслевое законодательство, регулирующее, например, использование данных о местоположении или использование файлов cookie – Директива о конфиденциальности ( Директива 2002/58/EC Европейского парламента и Совет от 12 июля 2002 г.
(ОЖ L 201, 31.7.2002, стр. 37) и Регламент (ЕС) № 2006/2004 ) 20056 2 октября и Совета Европейского парламента 2004 г. (ОЖ L 364, 9.12.2004, с. 1).
Примеры данных, не считающихся личными данными
- регистрационный номер компании;
- адрес электронной почты, например, [email protected];
- анонимных данных.
Каталожные номера
Защита данных на рабочем месте
Введение
Общий регламент по защите данных (GDPR) вступил в силу на всей территории ЕС 25 мая 2018 г. Это постановление значительно увеличивает обязательства работодателей и обязанности в отношении того, как они собирают, используют и защищают личные данные.
Сотрудники должны понимать свои обязанности в соответствии с законом о защите данных
и работодатели должны иметь адекватные политики и процедуры защиты данных в
место. Важно, чтобы организации сообщали своим сотрудникам о GDPR и
провести обучение по новым правилам.
В этом документе дается обзор некоторых основных обязательств работодателей и определяет права работников.
Правила
Ключевые термины GDPR включают:
- Личные данные : данные, которые относятся или могут идентифицировать человек, либо сам по себе, либо вместе с другой доступной информацией.Примеры включают имя человека, номер телефона, банковские реквизиты и медицинскую информацию. история.
- Субъект данных : лицо, к которому относятся персональные данные. Временные работники, заемные работники и другие независимые подрядчики имеют те же права, что и любой другой субъект данных в соответствии с GDPR.
- Конфиденциальные данные (данные специальной категории) : данные, относящиеся к данным
расовое или этническое происхождение субъекта, политические взгляды, религиозные убеждения,
членство в профсоюзе, здоровье, сексуальная ориентация и генетические или биометрические
данные. Как правило, конфиденциальные данные не могут быть обработаны без данных
явное согласие субъекта, но работодатели могут обрабатывать конфиденциальные данные
при необходимости выполнения трудового договора или выполнения коллективных
обязательства по договору.
Как правило, конфиденциальные данные не могут быть обработаны без данных
явное согласие субъекта, но работодатели могут обрабатывать конфиденциальные данные
при необходимости выполнения трудового договора или выполнения коллективных
обязательства по договору.- Контроллеры и обработчики данных : организации, собирающие или использовать личные данные.
- Обработка : любая операция или совокупность операций, выполненные с персональными данными, например, сбор, запись, организация, структурирование, хранение, адаптация или изменение, поиск, консультация, ограничение, стирание или уничтожение.
Права работников
Сотрудники имеют ряд прав в соответствии с GDPR, включая право на:
- Информация о сборе и обработке их личных данные
- Доступ к персональным данным и дополнительной информации о них, хранящейся у контроллер данных
- Получить исправление своих личных данных контролером данных, если личные имеющиеся у них данные неточны или неполны
- Удалите свои личные данные контроллером данных
- Запретить контролеру данных обрабатывать свои данные, если он считает это является незаконным или данные неточны
- возражать против обработки своих личных данных в целях прямого маркетинга, научное или историческое исследование
- Переносимость данных — это позволяет им получать данные от своего работодателя и
повторно использовать его.
Узнайте больше о своих правах в соответствии с GDPR.
Обязательства работодателя
Как работодатель вы должны открыто сообщать о том, как вы используете и защита личных данных ваших сотрудников как внутри, так и за пределами организация. Вы должны нести ответственность за свою деятельность по обработке данных и быть в состоянии показать, как вы соблюдаете принципы защиты данных.
Вам следует провести инвентаризацию всех имеющихся у вас личных данных. Ты следует проверить его под следующими заголовками и убедиться, что у вас есть необходимое согласие и правовая основа для обработки данных:
- Почему ты его держишь?
- Как вы его получили?
- Зачем он изначально был собран?
- Как долго вы будете хранить его?
- Насколько это безопасно с точки зрения шифрования и доступности?
- Вы когда-нибудь делились ими с третьими лицами и на каком основании так?
Правовая основа (уважительная причина) для обработки личных данные
Вашей организации требуется юридическое основание (уважительная причина) для обработки
персональные данные работника.
К законным причинам относятся:
- Сотрудник дал согласие на обработку
- Обработка необходима для выполнения частей трудового договора
- Обработка необходима для принятия мер по запросу работника до заключения договора. (Например, по вопросам оплаты в контексте трудоустройства)
- Выполнение юридического обязательства (например, законодательное требование вести учет сотрудников)
- Обработка необходима для соблюдения жизненных интересов работника.(Например, когда история болезни человека раскрывается больнице, лечащей их после серьезного дорожно-транспортного происшествия)
- Для целей законных интересов организации.
Согласие
Согласие является законной причиной для обработки данных сотрудников, и вы должны
получить согласие, если ни одно из других правовых оснований, указанных выше, не применимо. Вы должны быть
знать о своих обязательствах при запросе согласия от сотрудников.
GDPR
говорится, что согласие должно быть свободно дано, конкретно, информировано и
однозначный ’.Это означает, что субъект данных должен осознавать, что он
соглашаются на обработку своих данных и не должны быть принуждены к
давая согласие.
До того, как работник даст согласие на обработку своих данных, работодатель должны показать, что они сообщили сотрудникам, почему собираются их личные данные, и как он будет использоваться и обрабатываться. Молчание, предварительно установленные галочки или бездействие нельзя считать согласием. Субъект данных может отозвать согласие в любое время, и отозвать согласие должно быть так же легко, как и дать его.
GDPR обучение и общение с сотрудниками и потенциальными сотрудники
Как работодатель вы должны информировать сотрудников о:
- Какие личные данные вы будете собирать (или будут ли они собираться третье лицо)
- Как будут обрабатываться данные
- Почему данные будут обрабатываться
Вы можете разместить в своем офисе Уведомление о защите данных, чтобы
это обязательство.
Вы также должны иметь политику защиты данных и проводить обучение сотрудникам по GDPR.
GDPR требует, чтобы определенная информация была предоставлена кандидатам на работу, до того, как их персональные данные будут собраны и обработаны. Эта информация должна быть понятным и доступным и может быть уведомлением о конфиденциальности на веб-сайте и письмом кандидат. Обучение сотрудников политикам защиты данных проводится один раз кандидат является сотрудником.
Запросы на доступ к субъекту данных (DSAR)
Работодатели должны иметь процедуры реагирования на доступ к персональным данным заявки от сотрудников в течение 1 месяца.Это может быть расширено еще на 2 месяцев, если запросы сложные или многочисленные.
Обеспечительные обязательства
Данные должны быть защищены «соответствующими техническими и организационными
меры’. Данные должны быть защищены, например, с помощью анонимизации,
шифрование, меры антивирусной безопасности или резервное копирование данных.
Работодатели должны
проверить эти меры безопасности и быть в состоянии показать, что они соблюдают
Обязательства безопасности GDPR.
Ведение учета и право на исправление
Организации должны хранить данные только до тех пор, пока это требуется для завершения задачи, для которой они были собраны, или в соответствии с требованиями закона.Работодатели должны иметь политики хранения и быть в состоянии обосновать, почему данные были сохранены.
Работники имеют право знать, какие данные есть у работодателя в файле о их, и они также имеют право исправить эти данные. Что происходит с данные работника при расторжении трудового договора должны быть документально подтверждены в кадровой политике.
Совместное использование и передача персональных данных
Организации, использующие третьи стороны, такие как кадровые агентства или платежные ведомости
поставщики для обработки данных сотрудников будут нести ответственность за обеспечение третьего
сторона соответствует GDPR, и они должны иметь соответствующие соглашения.
Ты
также должны соблюдать обязательства GDPR в отношении передачи данных за пределы
ЕВРОСОЮЗ.
Специалист по защите данных
В соответствии с GDPR некоторые организации должны назначать Должностное лицо, например, государственных органов и органов, государственных ведомства, организации, занимающиеся крупномасштабной обработкой данных, и организации, обрабатывающие конфиденциальные данные или данные особой категории.
Сообщить о нарушениях
Вы должны сообщить об утечке данных в Комиссию по защите данных (DPC) в течение 72 часа после того, как стало известно о взломе.Если вы не уведомите DPC в течение 72 часов, вы должны предоставить обоснование задержки. Нарушения, которые могут нанести вред субъект данных, например, о краже личных данных, также необходимо сообщить лицу обеспокоенный.
Наказания
Важно, чтобы вы соблюдали законодательство и ставили адекватные
действующих политик и процедур.
Ваша организация может быть проверена и может
грозят серьезные штрафы, если ваши действия нарушают GDPR.
Как подать заявку
Если у вас есть жалоба на то, как обрабатываются ваши личные данные, Вам следует обратиться в ЦОД.Сайт dataprotection.ie.
Куда обращаться
Комиссия по защите данных
21 Fitzwilliam Square South,
Dublin 2,
D02 RD28
Ирландия
Часы работы: 09:15–17:30 Пн–Чт, 09:15–17:15 Пятница
Тел.: +353 57 868 4800 / +353 0761 104800
| => Статья: 4 => Содержание: 51, 52, 53, 54, 55, 56 => административный штраф: ст. 83 (5) лит а | ||
1. Обработка персональных данных, раскрывающих расовую или этническую принадлежность, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица данные о здоровье или данные о сексуальной жизни или сексуальной ориентации физического лица запрещаются .=> Статья: 6, 36 => Концерт: 35, 91 => Досье: Анонимизация | ||
2. Параграф 1 не применяется, если применяется одно из следующих условий: | ||
|
| ||
| ||
|
|
.
Данные приложения (например, данные из Office 365, Teams или Outlook), включая отправленные и полученные электронные письма, записи календаря, задачи, мгновенные сообщения, доступ к зданию и информационной системе, использование устройств Microsoft, системы и приложений (включая телеметрию), когда доступ и использование корпоративных зданий и активов Microsoft.Обратите внимание: дополнительную информацию о конкретных типах данных, которые Microsoft может использовать для улучшения продуктов, можно найти в нескольких источниках, включая приложение Microsoft Data Program (MDP) к этому DPN. Мы также можем собирать личные данные о вас от третьих лиц или из общедоступных источников, если это необходимо для поддержки трудовых отношений или взаимодействия с вами по поводу возможностей трудоустройства в Microsoft. Например, до и во время вашего трудоустройства или назначения в Microsoft мы можем собирать информацию из общедоступных профессиональных сетевых источников, таких как ваш профиль LinkedIn, для целей найма.