Состав персональных данных: Персональные данные — что является личной информацией, понятие и определение перс данных человека

Обработка персональных данных

Политика ООО «Автопарк-М» в отношении обработки персональных данных (выдержки)

В ООО «Автопарк-М» обеспечивается законность обработки персональных данных и обеспечение их безопасности.

1. Назначение документа

Настоящая политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные положения по обработке персональных данных, принятые в ООО «Автопарк-М» (далее — TMР) Положение о персональных данных.

2. Используемые термины и сокращения

ТМР — ООО «Автопарк-М». 

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). 

Субъект персональных данных — физическое лицо, к которому относится информация, содержащая персональные данные. 

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. 

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники. 

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц. 

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. 

Блокирование персональных данных

 — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).  

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. 

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. 

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 

Машинный носитель информации (машинный носитель персональных данных) — материальный носитель, предназначенный для записи и воспроизведения информации средствами вычислительной техники, а также сопрягаемыми с ними устройствами. 

Средства вычислительной техники — совокупность математических и технических средств, методов и приемов, которые используются для облегчения и ускорения решения трудоемких задач, связанных с обработкой информации. Средства вычислительной техники полностью или частично автоматизируют вычислительный процесс. 

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Цели Политики

• Регламентация принципов и основных требований к обработке персональных данных в ТМР; 
• Приведение процессов обработки персональных данных в ТМР в соответствие требованиям законодательства Российской Федерации; 

• Обеспечение доступа субъектов персональных данных к информации, касающейся обработки их персональных данных в ТМР.

4. Описание процесса

6. 1 Общие положения 

ТМР осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. ТМР организует обработку персональных данных в строгом соответствии с положениями Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Федеральный закон о персональных данных) и других нормативно-правовых актов Российской Федерации. ТМР обеспечивает неограниченный доступ к настоящей Политике 

6.2 Принципы обработки персональных данных 

ТМР принимает и обеспечивает выполнение следующих принципов обработки персональных данных: 

• Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. 

• Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. 

• Обработке подлежат только персональные данные, которые отвечают целям их обработки. 

• Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. 

• При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В ТМР принимаются необходимые меры по удалению или уточнению неполных или неточных данных. 

• Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 

• ТМР, получившее доступ к персональным данным, обязано не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. 

6.3 Условия и цели обработки персональных данных 

6.3.1. Состав персональных данных

 

В ТМР определен перечень обрабатываемых персональных данных, цели и условия обработки персональных данных. Настоящие положения зафиксированы в документе «Перечень персональных данных», принятом в ТМР. 

6.3.2. Основания для обработки персональных данных 

Обработка персональных данных в ТМР производится в следующих случаях: 

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 

• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на ТМР функций, полномочий и обязанностей; 

• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; 

• обработка персональных данных необходима для осуществления прав и законных интересов ТМР или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных; 

• обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, требующих обязательного обезличивания персональных данных в соответствии с законодательством Российской Федерации.  

6.4 Общее описание обработки персональных данных 

При обработке персональных данных ТМР совершает следующие действия (операции) или совокупность действий (операций), с использованием средств автоматизации или без использования таких средств с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, не осуществляется. Данные о состоянии здоровья работников обрабатываются в ТМР в соответствии с трудовым законодательством Российской Федерации. 

Обработка сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), осуществляется для некоторых категорий субъектов персональных данных исключительно на основании согласия на обработку персональных данных в письменной форме. 

Для отдельных категорий персональных данных, обрабатываемых в ТМР, допускается трансграничная передача в государства, обеспечивающие адекватную защиту персональных данных, либо в иные государства с согласия субъекта ПДн в письменной форме

1. При этом ТМР выполняет требования к такой передаче, определенные законодательством Российской Федерации. В ТМР не осуществляется принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. 

6.5 Сроки хранения и требования к уничтожению персональных данных 

Сроки хранения персональных данных в ТМР определены законодательством Российской Федерации и зависят от состава обрабатываемых данных. Перечень сроков хранения зафиксирован в документе «Перечень персональных данных», принятом в ТМР. Персональные данные, обрабатываемые в ТМР, подлежат уничтожению в следующих случаях: 

• при достижении целей обработки или в случае утраты необходимости в их достижении; 

• при получении соответствующего запроса от субъекта персональных данных, если это не противоречит требованиям к сроку хранения персональных данных либо документв, содержащих персональные данные, установленному федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; 

• при получении соответствующего предписания от уполномоченного органа по защите прав субъектов персональных данных; 

• по истечении определенных сроков хранения персональных данных. 

6.6 Меры в области обработки и защиты персональных данных 

ТМР организует выполнение следующих мер, направленных на обеспечение выполнения обязанностей в области обработки и обеспечения безопасности персональных данных: 

• назначение работников, ответственных: 

   a. за организацию обработки персональных данных; 

   b. за обеспечение безопасности персональных данных в информационных системах персональных данных. 

• издание и внедрение локальных актов ТМР по вопросам обработки и обеспечения безопасности персональных данных, направленных на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; 

• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных с учетом уровня их защищенности, а именно: 

   c. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 

   d. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; 

   e. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных; 

   f. учет машинных носителей персональных данных; 

   g. реализация средств обнаружения фактов несанкционированного доступа к персональным данным и принимаются меры по каждому инциденту; 

   h. реализация возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 

   i. установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных ТМР, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных; 

   j. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. 

• осуществление внутреннего контроля соответствия обработки персональных данных требованиям федерального закона о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике ТМР в отношении обработки персональных данных, локальным актам ТМР; 

• проведение оценки вреда, который может быть причинен субъектам персональных данных; 

• ознакомление работников ТМР, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ТМР в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных; 

• ознакомление работников сторонних организаций, непосредственно осуществляющих обработку персональных данных на территории ТМР, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ТМР в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. 

6.7 Права субъекта персональных данных 

ТМР гарантирует соблюдение прав субъектов персональных данных, определенных федеральным законом о персональных данных, а именно: 

• право на уточнение его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; 

• право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 

   a. подтверждение факта обработки персональных данных ТМР; 

   b. правовые основания и цели обработки персональных данных; 

   c. цели и применяемые в ТМР способы обработки персональных данных; 

   d. место нахождения ТМР, сведения о лицах (за исключением работников ТМР), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ТМР или на основании федерального закона; 

   e. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 

   f. сроки обработки персональных данных, в том числе сроки их хранения; 

   g. порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом; 

   h. информацию об осуществленной или о предполагаемой трансграничной передаче данных; 

   i. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ТМР, если обработка поручена или будет поручена такому лицу; 

   j. иные сведения, предусмотренные Федеральным законом о персональных данных. 

• права субъекта персональных данных при обработке его персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации; 

• права субъекта персональных данных при принятии решений на основании исключительно автоматизированной обработки иго персональных данных; • других, предусмотренных федеральными законами. 

Дополнительную информацию, касающуюся обработки и обеспечения безопасности персональных данных, субъект персональных данных может получить, направив официальный запрос ТМР в соответствии с федеральным законом о персональных данных. 

¹Перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных, определяется в соответствии с Федеральным законом «О персональных данных» и нормативными актами уполномоченного органа по защите прав субъектов персональных данных.

 

Положение об обработке персональных данных НИУ ВШЭ

For English version please follow the link

1. Общие положения

1.1. При обработке персональных данных Национальный исследовательский университет «Высшая школа экономики» (далее – НИУ ВШЭ, университет) исходит из необходимости обеспечения защиты прав и свобод человека и гражданина в соответствии с требованиями законодательства Российской Федерации.

1.2. Соблюдение Положения является главным условием обработки персональных данных университетом и обязательно для всех работников НИУ ВШЭ.

1.3. Целью Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, определение политики НИУ ВШЭ как оператора в отношении обработки персональных данных. Положение регулирует отношения НИУ ВШЭ и граждан, возникающие в связи с обработкой их персональных данных университетом.

1.4. НИУ ВШЭ принимает правовые, организационные и технические меры, необходимые для обеспечения исполнения законодательства о персональных данных, либо обеспечивает их принятие.

1.5. В Положение могут вноситься изменения без предварительного уведомления субъектов персональных данных и прочих лиц. Актуальная редакция Положения размещена на корпоративном сайте (портале) НИУ ВШЭ по адресу: https://www.hse.ru/data_protection_regulation.

1.6. Положение и изменения в него утверждаются приказом ректора НИУ ВШЭ.

2. Термины и определения

2.1. Термины и определения, используемые в Положении, приведены в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») и иными нормативными правовыми актами Российской Федерации, а именно:

2.1.1. персональные данные (далее – ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

ПДн и их категории могут различаться по степени определенности и определимости субъекта ПДн и зависят от действительной возможности определения на их основе конкретного человека и гражданина (субъекта).

Данные, не определяющие личность человека и гражданина, или не позволяющие определить такую личность даже с применением каких-либо процедур[1], не являются ПДн, а их обработка не связана с необходимостью соблюдения законодательства Российской Федерации о ПДн. К указанным данным могут относится такие популярные сведения, как пол, возраст, должность[2], профессия, хобби и пр., и сведения, появляющиеся в связи с повсеместным проникновением сети Интернет в повседневную жизнь[3], до тех пор, пока такие сведения не позволяют установить личность человека и гражданина;

2.1.2. субъекты ПДн – определенные или определяемые (поддающиеся определению) физические лица. К числу таких лиц могут относиться работники, абитуриенты, обучающиеся и выпускники НИУ ВШЭ, участники олимпиад и других мероприятий, проводимых университетом, и иные лица;

2.1.3. работник – физическое лицо, вступившее в трудовые отношения с университетом;

2.1.4. обучающийся – физическое лицо, осваивающее образовательную программу. Для целей Положения к обучающимся относятся также физические лица, приобретающие какие-либо знания, умения и навыки, формирующие компетенции, удовлетворяющие свои образовательные потребности в интеллектуальном, духовно-нравственном, физическом и (или) профессиональном совершенствовании в иной форме, а также абитуриенты;

2.1.5. выпускник – физическое лицо, завершившее освоение образовательной программы;

2.1.6. обработка персональных данных (далее – обработка ПДн) – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2. 1.7. оператор – государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Для целей Положения оператором является НИУ ВШЭ;

2.1.8. законодательство о ПДн – Конституция Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» и иные нормативные правовые акты, регулирующие отношения, связанные с обработкой ПДн.

3. Условия обработки персональных данных

3.1. Получая ПДн от работников, обучающихся, иных лиц, указанных в настоящем Положении, и начиная их хранение, НИУ ВШЭ становится оператором. Обработка ПДн осуществляется НИУ ВШЭ с соблюдением принципов, условий и правил, предусмотренных законодательством о ПДн, в следующих основных случаях:

3.1.1. обработка персональных данных осуществляется с согласия субъекта ПДн на обработку его ПДн. При этом для обработки специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрических ПДн, если обработка таких ПДн не противоречит локальным нормативным актам НИУ ВШЭ, равно как и для включения любых ПДн в общедоступные источники ПДн и/или передачи ПДн работников третьим лицам необходимо получение указанного согласия в письменной форме либо в форме электронного документа, подписанного усиленной квалифицированной электронной подписью.

К указанному случаю относится, в частности, обработка ПДн:

• соискателей на замещение вакантных должностей для целей, обусловленных принятием решения в отношении их кандидатур, в том числе получения информации у предшествующих работодателей, обеспечения должного уровня безопасности при их посещении территорий и помещений, на/в которых расположен НИУ ВШЭ; формирования и использования банка данных перспективных соискателей;
• работников НИУ ВШЭ в целях информационного обеспечения деятельности НИУ ВШЭ, в том числе посредством ведения онлайн справочников, адресных книг, включая страницу «Преподаватели и сотрудники» корпоративного сайта (портала) НИУ ВШЭ, корпоративную информационную систему «Телефонный справочник» и иные общедоступные источники ПДн; печати и размещения информационных табличек; печати и предоставления визитных карточек; приема, фиксации и исполнения заявок, заявлений, запросов и иных видов обращений субъектов ПДн; оформления полисов обязательного медицинского страхования, добровольного медицинского страхования; обеспечения действующего в НИУ ВШЭ уровня безопасности, в том числе действующего пропускного режима и контроля его соблюдения, видеонаблюдения и видеозаписи на территории и в помещениях, на/в которых расположен НИУ ВШЭ; идентификации личности работника НИУ ВШЭ; проведения в НИУ ВШЭ мероприятий и освещения информации о них, в том числе при проведении видеозаписи проводимых мероприятий; обеспечения возможности НИУ ВШЭ для оформления отношений с кредитными организациями, открывающими и обслуживающими платежные карты для начисления и перечисления заработной платы; обеспечения возможности НИУ ВШЭ привлечения третьих лиц для ведения кадрового, бухгалтерского и налогового учета; обеспечения информирования о проводимых НИУ ВШЭ мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг НИУ ВШЭ на рынке, в том числе путем осуществления прямых контактов с субъектами ПДн с помощью средств связи; обеспечения правовой охраны интеллектуальной собственности; выполнения работ, в том числе научно-исследовательских, опытно-конструкторских и технологических, и оказания услуг по заказам третьих лиц и в рамках исполнения государственного задания, осуществления экспертно-аналитической деятельности; статистических и иных исследовательских целях, научной и иной творческой деятельности, осуществляемой в НИУ ВШЭ;
• бывших работников НИУ ВШЭ в целях обеспечения ретроспективы кадрового учета; обеспечения информирования о проводимых НИУ ВШЭ мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; предоставления таким работникам справок, в том числе для подтверждения стажа и размеров заработной платы; продвижения товаров, работ, услуг НИУ ВШЭ на рынке, в том числе путем осуществления прямых контактов с субъектами ПДн с помощью средств связи;
• участников проводимых НИУ ВШЭ или с его непосредственным участием познавательных, образовательных и научных мероприятий с целью учета количества участников, анализа их профессиональных интересов, обеспечения действующего в НИУ ВШЭ уровня безопасности, в том числе действующего пропускного режима и контроля его соблюдения, видеонаблюдения и видеозаписи на территории и в помещениях, на/в которых расположен НИУ ВШЭ; обеспечения информирования о проводимых НИУ ВШЭ мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг НИУ ВШЭ на рынке, в том числе путем осуществления прямых контактов с субъектами ПДн с помощью средств связи;
• обучающихся НИУ ВШЭ в целях раскрытия и развития их талантов и способностей; эффективного формирования образовательных траекторий и внедрения в образовательные процессы практико-ориентированных компонентов, повышающих качество подготовки и востребованность успешных обучающихся на рынках труда; формирования возможностей онлайн образования, в частности, посредством единой информационной образовательной среды (LMS — Learning Management System) и иных платформ НИУ ВШЭ, в том числе с передачей их ПДн третьим лицам; учета посещаемости и успеваемости, а также определения причин, оказывающих негативное влияние на таковые; размещения на корпоративном портале (сайте) НИУ ВШЭ сведений о прохождении ими практик, подготовленных промежуточных (курсовых) и итоговых контрольных (выпускных квалификационных) работ, самих таких работ, результатов текущего контроля успеваемости, промежуточной, итоговой и государственной итоговой аттестации, для обеспечения открытости и прозрачности процесса их оценивания; обеспечения их участия в выполнении работ, в том числе научно-исследовательских, опытно-конструкторских и технологических работ, и оказании услуг по заказам третьих лиц и в рамках исполнения государственного задания; содействия в трудоустройстве, в том числе с передачей их ПДн третьим лицам; формирования единого сообщества обучающихся для повышения интереса и междисциплинарной интеграции; обеспечения информирования о проводимых НИУ ВШЭ мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг НИУ ВШЭ на рынке, в том числе путем осуществления прямых контактов с субъектами ПДн с помощью средств связи;
• выпускников НИУ ВШЭ в целях содействия в трудоустройстве, в том числе с передачей их ПДн третьим лицам; формирования единого сообщества выпускников, в том числе для обеспечения возможности их взаимодействия с обучающимся (наставничества) и мотивации обучающихся; обеспечения информирования о проводимых НИУ ВШЭ мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг НИУ ВШЭ на рынке, в том числе путем осуществления прямых контактов с субъектами ПДн с помощью средств связи;
• руководителей и иных представителей юридических лиц – контрагентов или потенциальных контрагентов по договорам, соглашениям и контрактам (далее в совокупности – договоры) в целях подготовки к заключению договоров и исполнения таких договоров, ведения учета заключенных договоров.

3.1.2. обработка ПДн необходима для осуществления и выполнения возложенных законодательством Российской Федерации на НИУ ВШЭ как оператора функций, полномочий и обязанностей, в том числе:

• трудовым законодательством (включая законодательство об охране труда), состоящим из Трудового кодекса Российской Федерации, иных федеральных законов и законов субъектов Российской Федерации, содержащих нормы трудового права;
• Правилами ведения реестра договоров, заключенных заказчиками по результатам закупки, утвержденными постановлением Правительства Российской Федерации от 31.10.2014 № 1132;
• Порядком проведения олимпиад школьников, утвержденным приказом Министерства образования и науки Российской Федерации от 04.04.2014 № 267;
• Порядком приема на обучение по образовательным программам высшего образования — программам бакалавриата, программам специалитета, программам магистратуры, утвержденным приказом Министерства образования и науки Российской Федерации от 14.10.2015 № 1147;
• иными нормативными правовыми актами Российской Федерации.

К указанному случаю относится, в частности, обработка ПДн работников, обучающихся, абитуриентов, участников олимпиад и конкурсов, а также физических лиц – контрагентов НИУ ВШЭ.

3.1.3. обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем.

К указанному случаю относится, в частности, обработка ПДн обучающихся на местах по договорам об оказании платных образовательных услуг, в том числе обучающихся по дополнительным профессиональным программам, прочих получателей услуг и работ НИУ ВШЭ, а также физических лиц – контрагентов НИУ ВШЭ. К указанному случаю обработки ПДн может также относиться обработка, осуществляемая НИУ ВШЭ на основании предоставляемых в связи с заключением указанных договоров согласий на обработку ПДн.

3.1.4. обработка ПДн необходима для научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

3.1.5. обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн;

3.1.6. осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (ПДн, сделанные общедоступными субъектом ПДн).

3.2. Все вышеуказанные ПДн субъектов, групп субъектов ПДн и иные ПДн обрабатываются в объеме и в сроки, предусмотренные соответствующими согласиями на обработку ПДн, в том числе выраженными в тексте трудовых и гражданско-правовых договоров, и/или в нормативных правовых актах, и/или локальных нормативных актах НИУ ВШЭ, и/или вытекающими из таких нормативных правовых актов и локальных нормативных актов НИУ ВШЭ, либо в сроки, необходимые для достижения указанных целей. Вышеперечисленные условия обработки ПДн не являются исчерпывающими. Предоставляемые согласия на обработку ПДн могут дополнять или изменять иным образом цели, объем, способы и сроки обработки ПДн.

3.3. Обработка ПДн иных лиц осуществляется при наличии их согласий, если они фактически взаимодействуют с НИУ ВШЭ, в том числе в форме возникающих или существующих правоотношений. Если иное не указано в Положении, заключаемых договорах или предоставляемых субъектами ПДн согласиях на обработку ПДн, НИУ ВШЭ использует такие ПДн исключительно для целей, для которых они были предоставлены университету, в частности, в целях предоставления ответов на вопросы, предоставления доступа к определенной информации и знаниям.

3.4. Работники НИУ ВШЭ, которые обрабатывают ПДн в университете, заблаговременно, до начала обработки ПДн, должны убедиться в ее допустимости и законности, удостовериться относительно обладания университетом соответствующими полномочиями и/или согласиями субъектов ПДн. При отсутствии таких полномочий и/или согласий указанный работник НИУ ВШЭ должен обеспечить получение согласия от субъекта, обработка ПДн которого планируется. В этой связи он может:

• предусматривать в различных электронных регистрационных формах, переписке по электронной почте и телефонных переговорах получение согласий на обработку ПДн от соответствующих субъектов ПДн с обязательной фиксацией такого согласия в любой позволяющей подтвердить факт его получения форме, в том числе с последующим личным подтверждением предоставления согласий такими субъектами;
• применять рекомендуемую форму письменного согласия, размещенную на странице корпоративного сайта (портала) НИУ ВШЭ по адресу: https://legal.hse.ru/rndip/information_sharing.

3.5. К работникам НИУ ВШЭ, которые обрабатывают ПДн в университете, по должности относятся:

• ректор;
• президент, вице-президент, научный руководитель;
• первые проректоры, проректоры, находящиеся в непосредственном подчинении ректору;
• проректоры, находящиеся в непосредственном подчинении первым проректорам, старшие директора и директора по направлениям деятельности;
• работники Секретариата университета;
• главный бухгалтер;
• работники Управления персонала;
• работники Управления бухгалтерского учета;
• работники Планово-финансового управления;
• работники Дирекции по правовым вопросам;
• работники Управления виз и регистраций Дирекции по интернационализации;
• работники Управления делами;
• работники Управления по информационным ресурсам и управления разработки и поддержки информационных систем портала Дирекции по связям с общественностью и информационным ресурсам;
• работники Управления по работе с абитуриентами и Управления дополнительного образования – в отношении ПДн абитуриентов;
• работники Дирекции основных образовательных программ, Дирекции по профессиональной ориентации и работе с одаренными учащимися, Управления дополнительного образования, факультетов – в отношении ПДн обучающихся;
• работники Дирекции по безопасности;
• работники Дирекции информационных технологий и Управления развития информационных технологий.

Ректор, первые проректоры, проректоры, директора и старшие директора могут делегировать часть своих полномочий иным работникам НИУ ВШЭ в порядке, предусмотренном локальными нормативными актами НИУ ВШЭ, а также определять иных лиц, которые в соответствии со своей трудовой функцией имеют непосредственное отношение к обработке ПДн.

3.6. Всякий раз, когда получение необходимого согласия на обработку ПДн невозможно и имеются достаточные основания полагать, что обработка ПДн может нарушить права субъекта(-ов) ПДн, соответствующий работник НИУ ВШЭ уведомляет любым фиксированным способом (на бумажном носителе, по корпоративной электронной почте, факсимильной связью) об этом Управление персонала НИУ ВШЭ (в отношении ПДн работников), руководителей структурных подразделений, реализующих образовательные программы (в отношении ПДн обучающихся), и/или Дирекция по правовым вопросам (в отношении ПДн остальных субъектов) для выработки обоснованного подхода к обработке ПДн или установления невозможности их обработки.

Руководители структурных подразделений НИУ ВШЭ, в непосредственной деятельности которых происходит обработка ПДн граждан, обеспечивают принятие всех необходимых мер по соблюдению законности обработки ПДн, в том числе получение согласий на обработку и, при необходимости, разработку локальных нормативных актов, определяющих условия обработки ПДн соответствующих групп субъектов.

3.7. В отсутствие указания на иное, предоставляя свои ПДн университету, субъект ПДн принимает условия Положения и тем самым свободно, своей волей и в своем интересе распоряжается ими, осознает последствия их предоставления и выражает свое согласие на их обработку в целях, для достижения которых они предоставляются, а также в целях соблюдения НИУ ВШЭ нормативных и ненормативных правовых актов, принимаемых в Российской Федерации; исполнения решений, поручений и запросов органов государственной власти, осуществляющих отдельные функции и полномочия учредителя НИУ ВШЭ, а также иных органов государственной власти и их должностных лиц; обеспечения информирования о проводимых НИУ ВШЭ мероприятиях, выполняемых исследованиях, реализуемых проектах и их результатах; продвижения товаров, работ, услуг НИУ ВШЭ на рынке, в том числе путем осуществления прямых контактов с субъектами ПДн с помощью средств связи; осуществления НИУ ВШЭ уставной деятельности; а также аккумуляции сведений о лицах, взаимодействующих с НИУ ВШЭ, путем сбора, записи, систематизации, накопления, хранения, уточнения (обновление, изменение), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения, совершаемых, в том числе с использованием средств автоматизации. Объем обрабатываемых ПДн в указанном случае ограничивается теми данными, которые предоставлены субъектами ПДн самостоятельно, а срок обработки ПДн составляет 5 (пять) лет с момента их предоставления.

Несмотря на широкий перечень действий, допустимых с ПДн, на совершение которых дается такое согласие, при обработке ПДн НИУ ВШЭ ограничивается достижением конкретных, заранее определенных, законных целей и не допускает избыточности их обработки.

НИУ ВШЭ воздерживается от продажи или предоставления в пользование ПДн в какой-либо объективной форме. Обработка ПДн в НИУ ВШЭ за пределами вышеуказанных случаев, в отсутствие согласий субъектов ПДн на их обработку, запрещена.

4. Доступ к персональным данным

4.1. К обработке ПДн в НИУ ВШЭ допускаются только те лица, которые указаны или определены в Положении, лица, которым в установленном настоящим Положением порядке делегированы соответствующие полномочия, а также лица, чьи ПДн подлежат обработке.

4.2. Иные работники НИУ ВШЭ могут получать доступ к ПДн в целях чтения и подготовки методических, аналитических, сводных и иных материалов в части вопросов, относимых к деятельности таких лиц или структурных подразделений НИУ ВШЭ, к которым они относятся. Доступ иных работников НИУ ВШЭ к ПДн может быть осуществлен исключительно при условии предоставления университету обязательств таких лиц по сохранению соответствующих ПДн в тайне.

4.3. Доступ к ПДн, содержащимся в каких-либо электронных базах данных и в информационных системах университета, осуществляется на основании решения Старшего директора по информационным технологиям или лица, его замещающего. В основе такого решения лежит совокупность различных факторов, влияющих на возможность нарушения законодательства о ПДн, в частности, возможность неправомерного доступа и распространения ПДн.

4.4. Лица, виновные в нарушении порядка обработки ПДн, несут предусмотренную законодательством Российской Федерации ответственность. В отношении работников НИУ ВШЭ, нарушивших порядок обработки ПДн, могут быть применены дисциплинарные взыскания.

5. Особенности защиты персональных данных работников

5.1. Защита ПДн представляет собой принятие правовых, организационных и технических мер, направленных на:

• обеспечение защиты ПДн от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн;
• соблюдение конфиденциальности ПДн;
• реализацию права на доступ к ПДн.

5.2. Университет обеспечивает эффективную работу системы защиты ПДн, которая включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности ПДн и информационных технологий, используемых в информационных системах. Обеспечение защиты ПДн в университете осуществляется Дирекцией информационных технологий Национального исследовательского университета «Высшая школа экономики».

5.3.  Защита ПДн работников НИУ ВШЭ от неправомерного их использования или утраты обеспечивается за счет средств университета в порядке, установленном федеральным законом.

5.4. Защита ПДн, хранящихся в электронных базах данных и в информационных системах университета, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа с использованием учетной записи и системы паролей.

5.5. Организация хранения ПДн в университете осуществляется в порядке, исключающем их утрату или их неправомерное использование.

5.6. Организацию и контроль за защитой ПДн работников университета, осуществляют работники НИУ ВШЭ, которые обрабатывают ПДн в университете по должности, а также руководители соответствующих структурных подразделений, работники которых обрабатывают ПДн в университете по должности.

5.7. Для регламентации доступа работников НИУ ВШЭ к ПДн, документам, в том числе электронным, иным материальным носителям, базам данных и информационным системам, содержащим ПДн, в целях исключения несанкционированного доступа третьих лиц и защиты ПДн работников первые проректоры, проректоры, директора и старшие директора, а также руководители соответствующих структурных подразделений, работники которых обрабатывают ПДн в университете по должности, обязаны соблюдать и обеспечивать:

• ограничение и регламентацию состава работников, трудовые обязанности которых требуют доступа к ПДн;
• строгое избирательное и обоснованное распределение документов, иных материальных носителей, содержащих ПДн, между работниками;
• рациональное размещение рабочих мест работников, при котором исключается бесконтрольное использование ПДн;
• знание соответствующими работниками требований нормативных правовых и локальных нормативных актов по защите информации и сохранении конфиденциальности такой информации;
• наличие необходимых условий в помещении для работы с документами, иными материальными носителями, базами данных и информационными системами, содержащими ПДн;
• определение и регламентацию состава работников, имеющих право доступа к базам данных и информационным системам, содержащим ПДн;
• организацию порядка уничтожения материальных носителей, содержащих ПДн, и его соблюдение;
• своевременное выявление нарушения требований разрешительной системы доступа к ПДн;
• работу в структурном подразделении по предупреждению утраты и разглашению ПДн при работе с ними;
• ограничение доступа к документам, иным материальным носителям, базам данных и информационным системам, содержащим ПДн.

5.8. Для защиты ПДн работников в НИУ ВШЭ обеспечивается соблюдение, в частности:

• порядка приема, учета и контроля деятельности посетителей;
• пропускного режима;
• учета и порядка выдачи пропусков;
• технических средств охраны, сигнализации;
• порядка охраны территории, зданий, помещений, транспортных средств;
• требований к защите информации при интервьюировании и собеседованиях.

5.9. Все меры по обеспечению конфиденциальности ПДн при их обработке распространяются как на материальные носители, так ПДн, представленные в электронном формате.

6. Права субъекта персональных данных

6.1. Университет не осуществляет обработку ПДн в отсутствие согласий субъектов ПДн и/или за пределами условий обработки ПДн, указанных в законодательстве о ПДн, если иное не установлено законодательством Российской Федерации.

6.2. Субъект ПДн имеет право ознакомиться с объемом предоставленного им НИУ ВШЭ согласия и, при необходимости, обратиться в указанные в Положении структурные подразделения НИУ ВШЭ с целью совершения иных действий, предусмотренных законодательством о ПДн.

6.3. Любой субъект ПДн вправе направить в адрес НИУ ВШЭ отзыв предоставленного им согласия на обработку его ПДн в той же форме, в которой такое согласие от него было получено.

6.4. Субъект ПДн может осуществлять иные права, предусмотренные законодательством о ПДн.

---

[1] В частности, посредством поисковых запросов, запросов в информационно-коммуникационной сети «Интернет», в том числе в социальных сетях и пр.

[2] В случае, если она не уникальна, без указания места работы.

[3] В частности, сведения о динамических IP-адресах для непрофессионального потребителя услуг связи.

 

---

Если у Вас остались вопросы, связанные с обработкой персональных данных в Университете, вы хотите сообщить о нарушении или отозвать свое согласие, Вы можете связаться с нами, заполнив следующую форму.

Политика конфиденциальности

Поделись впечатлениями о сайте Это займёт пару минут

Политика конфиденциальности программы лояльности MEGA Friends

    1. Введение

Настоящий документ определяет политику конфиденциальности персональных данных и другой информации в отношении клиентов программы MEGA-Friends: 

Операторами персональных данных клиентов программы MEGA-Friends являются:

    • ООО «Ингка Сентерс Рус Менеджмент»

    • ООО «Ингка Сентерс Рус Оперэйшн»

далее именуемые как «МЕГА», зарегистрированные по адресу 141400, Российская Федерация, Московская область, г. Химки, ул. Ленинградская, владение 39, строение 5.

Настоящая политика разработана в соответствии с действующим законодательством Российской Федерации:

    • Конституции Российской Федерации;

    • Трудового кодекса Российской Федерации;

    • Федерального закона Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

    • Постановления Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

    2. Принципы обработки персональных данных

Обработка персональных данных МЕГА осуществляться на основе следующих принципов:

    • персональные данные обрабатываются справедливо и законно, собраны для конкретных, явных и законных целей;

    • Содержание, объем, сроки хранения персональных данных соответствуют целям обработки, обеспечивается точность и актуальность персональных данных;

    • Обработку персональных данных ведет только уполномоченный персонал МЕГИ и лица в рамках обязательств обработки по поручению;

    • Обеспечены защищенность информационных систем персональных данных в соответствии с правилами информационной безопасности МЕГИ.

    3. Цель обработки и состав персональных данных

        3. 1.  Цель обработки

МЕГА собирает и обрабатывает персональные данные исключительно с целью эффективного взаимодействия со своими клиентами в рамках программы MEGA-Friends. Такое эффективное взаимодействие достигается следующими способами:

    • анализом покупательского поведения и интересов клиентов МЕГИ,

    • обеспечением удобного информационного взаимодействия с клиентами МЕГИ,

    • предоставлением клиентам сервисных услуг МЕГИ,

    • ведением бонусных накоплений программы лояльности,

    • оценкой рекламных и других маркетинговых акций МЕГИ.

Сбор и обработка персональных данных с другой целью может осуществлять только через получение дополнительного согласия владельцев персональных данных. 

        3.2. Состав персональных данных

Следующие персональные данные обязательны для обработки в программе лояльности MEGA-Friends:

    • Имя

    • Номер телефона и/или электронный почтовый адрес

    • Моя мега

    • Бонусные начисления

Для указанных в п.3.1 целей клиент может предоставлять дополнительные данные о себе, например, такие как: пол, дата рождения, возраст, страна, язык, наличие автомобиля, регистрация и участие в сообществе МЕГА в социальных сетях FB или в VK, группы товарных интересов и согласия на получения по ним маркетинговых рассылок, покупательская активность.

При начислении баллов в рамках программы лояльности может обрабатываться следующая информация клиента: использование сервисов программы лояльности MEGA-Friends (например, сервиса Шоппинг налегке), участие в клубных мероприятиях и акциях MEGA-Friends, статистика переходов и совершения покупок в MEGA online, активности в социальных сетях, включая реферальные; сканирование чеков покупок в мобильном приложении МЕГА.

    4. Общие условия обработки персональных данных

        4.1.  Способы сбора персональных данных

Персональные данные клиента МЕГИ могут собраны следующими способами:

    • Указанием данных при заполнении бумажных или электронных анкет и опросных листов в случаях регистрации на программы, акции, мероприятия и сервисы МЕГИ, в том числе, и с использованием уже имеющихся профилей клиента третьих сторон,

    • Указанием данных в личном электронном кабинете и мобильном приложении клиента МЕГИ,

    • Получением определенных в договорах данных от партнеров МЕГИ (арендаторов торговых центров, компаний — провайдеров клиентских сервисов),

    • Обогащением данных от технических сервисов, из хранилищ обезличенных данных и применением аналитических инструментов.  

        4.2.  Порядок обработки персональных данных

МЕГА обрабатывает персональные данные следующими способами: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), включая трансграничную передачу данных с учетом действующего законодательства РФ, обезличивание, блокирование, удаление, уничтожение персональных данных, с использованием и без использования средств автоматизации.

МЕГА не собирает персональные данные, относящиеся к специальным категориям, согласно определению специальных категорий персональных данных в законодательстве Российской Федерации. 

МЕГА оставляет за собой право обогащения и агрегирования персональных данных клиентов сервисами технического сбора информации МЕГИ, через использование внешних сервисов, аналитических инструментов и банков обезличенных данных в выше обозначенных целях обработки персональных данных. Обогащение может касаться таких данных клиента, как персональные интересы, навыки, времяпрепровождение, круг общения, личные и профессиональные качества, уровень достатка и имущества.

МЕГА может записывать телефонные звонки и чат-сессии в случае обращения клиентов в информационную службу или службу поддержки МЕГИ при условии, что клиент будет предварительно соответствующим образом проинформирован. Все полученные в ходе звонка или чата персональные данные будут использованы исключительно в выше обозначенных целях.

        4.3.  Информационное взаимодействие с клиентом.

Порядок использования контактных данных клиента МЕГИ с целью информационного взаимодействия, включая рассылку рекламы, информации о маркетинговых акциях и пр. регулируется настоящей политикой конфиденциальности.

МЕГА предоставляет гибкий инструмент подписки на каналы и категории рекламной рассылки в электронном кабинете клиента.

МЕГА оставляет за собой право на общее информирование клиента о правилах и возможностях программы MEGA-Friends по контактному адресу, указанному клиентом при регистрации в программе. При прекращении членства в MEGA-Friends указанная подписка автоматически аннулируется.

МЕГА исходит из того, что это в интересах клиента программы MEGA-Friends получать дополнительную информацию, в том числе и в форме маркетинговой коммуникации, если существует потенциальный интерес к такой информации со стороны клиента. Потенциальный интерес может быть получен путем анализа данных из профиля клиента, истории его активности в online сервисах МЕГИ и сервисах третьих лиц – партнеров МЕГИ. При этом клиенту всегда предоставляется возможность отказаться от дальнейшего получения такой информации.

        4.4.  Взаимодействие с третьей стороной

МЕГА может обмениваться персональными данными с внешними партнерами, принимающими участие в совместных программах лояльности и клиентских сервисах, при условии наличия согласия клиента персональных данных и наличия соглашение о конфиденциальности персональных данных с партнером.

МЕГА может поручать обработку персональных данных третьей стороне в выше обозначенных целях в соответствии с условиями такой передачи, определенными в законодательстве РФ и гарантированной защищенности этих данных третьей стороной.

МЕГА может передавать третьей стороне обезличенные данные. В этом случае, если существует вероятность агрегирования таких данных с соответствующими персональными данными, имеющимися у третьей стороны, МЕГА предпринимает все необходимые шаги для получения гарантий защиты передаваемых данных третьей стороной.

Также в рамках партнерства с рекламными сервисами, например, Google Ad, может производиться обмен некоторыми не персонализированными данными онлайн активности пользователей интернет для последующего фокусного показа рекламных баннеров в интернет контенте партнеров рекламного сервиса.

    5. Условия технического сбора информации

        5.1.  Онлайн сервисы

Интернет сайтом MEGA.RU, другими специализированными онлайн сервисами МЕГИ, с целю увеличения производительности и удобства работы пользователя, могут автоматически, при помощи технологий cookies и web beacons, собираться следующие обезличенные данные пользователей:

    • Аналитика событий использования контента веб сайта МЕГИ (дата, время, переходы по ссылкам)

    • Функциональные характеристики операционной системы, интернет браузера клиентского оборудования

    • IP адрес клиента

Мобильное приложение МЕГА позволяет обрабатывать следующие обезличенные данные (технические данные не зарегистрированного в приложении пользователя):

    • уникальный идентификатор мобильного приложения

    • статистическая информация о запусках и активности приложения

    • данные местонахождения мобильного устройства (если приложению разрешен доступ к услуге локации (GPS, WI-FI)

    • хранить список покупок, номер автомобиля и парковочного места пользователя мобильного приложения

    • данные настройки push-уведомлений в соответствии с интересами пользователя мобильного приложения

При регистрации в мобильном приложении выше указанные данные могут быть включены в профиль персональных данных клиента MEGA-Friends.

Некоторый элементы веб сайтов обслуживаются третьими сторонами — партнерами МЕГИ. Эти третьи стороны могут собирать информацию с помощью технологий отслеживания активности пользователей (например, advertising ID или WEB-analytics). Эта информация может быть привязана к данным о посещении других веб-сайтов и онлайн-сервисов, включая социальные сети, и использована для предоставления клиент-ориентированной рекламы и другого целевого контента.

Возможность использования cookies, в том числе, и отдельно cookies третьих сторон, регулируется настройками интернет браузера, а также дополнительными программными модулями для браузеров. 

        5.2. Локальные сервисы

В выше перечисленных целях (п.3), а также с целью построения карты посещаемости и статистики потребительских приоритетов в своих торговых центрах и на прилегающей территории МЕГА использует технические решения, которые, при определенных условиях, могут собирать следующие данные обезличенного характера:

    • МАС адреса беспроводных сетевых карт мобильных устройств посетителей

    • Маршруты посетителей, основанные на их визуальной фиксации

    • Позиционирование посетителей на основе технологии iBeacon

    • Данные видеонаблюдения внутренних помещений и территории

    • Регистрационные номера транспортных средств на стояночных местах и въездах к торговым центрам

Возможность использования беспроводной связи (LTE, WI-FI, iBeacon) регулируются настройками мобильных устройств.

Третьи стороны, партнеры МЕГИ, могут предоставлять услуги беспроводного интернета и другие интернет сервисы в торговых центрах МЕГИ. Эти третьи стороны, в свою очередь, могут собирать данные по использованию мобильных устройств посетителей торговых центров (device ID, MAC, IMEI, SIM), которые потенциально могут быть агрегированы с другой имеющейся у них информацией об использовании этих мобильных устройств в сетях операторов мобильной связи.

    6. Обеспечение безопасности персональных данных

МЕГА обеспечивает безопасность персональных данных путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Это достигается применением организационных мер и средств технической защиты информации (шифровальных средств, средств авторизации доступа, системы предотвращения утечки информации), обеспечивающих доступность, целостность и конфиденциальность персональных данных.

Сотрудники МЕГИ, у которых есть доступ к персональным данным, обеспечивают конфиденциальную обработку этих данных в соответствии со своими служебными обязанностями.

Хранение и обработка персональных данных производится в центрах обработки данных, прошедших оценку надежности и расположенных в Российской Федерации и/или в Европейском союзе.

Обращения государственных органов на получение доступа к персональным данным рассматриваются только при наличии запроса, составленного в полном соответствии с законодательством Российской Федерации.

    7. Права субъекта персональных данных

Клиент МЕГИ может самостоятельно регулировать использование своих персональных данных в личном электронном кабинете и мобильном приложении, в любое время запросить МЕГУ, какие его персональные данные обрабатываются, потребовать изменения (актуализации) или удаления своих персональных данных, а также изменения или отмены порядка его информационного взаимодействия с МЕГОЙ посредством направления соответствующего заявления через вэб-форму https://mega.ru/feedback, позвонив по телефону +7 800 707 10 44, при личном визите в администрацию торгового центра или центрального офиса МЕГИ.

Трудовой кодекс РФ. Глава 14. Защита персональных данных работника

Статья 85. Понятие персональных данных работника. Обработка персональных данных работника

Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Обработка персональных данных работника — получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Статья 87. Хранение и использование персональных данных работников

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Статья 88. Передача персональных данных работника

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

полную информацию об их персональных данных и обработке этих данных;

свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

определение своих представителей для защиты своих персональных данных;

доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Политика обработки ПДн

2.6 Биометрические персональные данные Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность — биометрические персональные данные — могут обрабатываться Оператором только при наличии согласия в письменной форме субъекта.

2.7 Поручение обработки персональных данных другому лицу Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ № 152-ФЗ.

2.8 Трансграничная передача персональных данных Оператор обязана убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

• наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
• исполнения договора, стороной которого является субъект персональных данных.

ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 Согласие субъекта персональных данных на обработку его персональных данных Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в ФЗ № 152-ФЗ, возлагается на Оператора.

3.2 Права субъекта персональных данных Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Компания не докажет, что такое согласие было получено. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ № 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Безопасность персональных данных, обрабатываемых Оператора, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных. Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно-технические меры:

• назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
• ограничение состава лиц, имеющих доступ к персональным данным;
• ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
• организация учета, хранения и обращения носителей информации;
• определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
• разработка на основе модели угроз системы защиты персональных данных;
• проверка готовности и эффективности использования средств защиты информации;
• разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
• регистрация и учет действий пользователей информационных систем персональных данных;
• использование антивирусных средств и средств восстановления системы защиты персональных данных;
• применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
• организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных. У Оператора проводится регулярный контроль соответствия обработки персональных данных в соответствии с ФЗ от 27.07.2006г. № 152-ФЗ и принятым нормативным актам в сфере защиты персональных данных , локальным актам по вопросам обработки и обеспечения безопасности, а также контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности обрабатываемых персональных данных.

ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Иные права и обязанности Оператора, как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных. Должностные лица Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
Настоящая Политика является общедоступной. Настоящая Политика подлежит изменению, дополнению в случае внесения изменений в действующее законодательство РФ .

Персональные данные | Общий регламент по защите данных (GDPR)

Термин «личные данные» — это начало применения Общего регламента по защите данных (GDPR). Только если обработка данных касается личных данных, применяются Общие правила защиты данных. Термин определен в ст. 4 (1). Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.

Субъекты данных поддаются идентификации, если они могут быть прямо или косвенно идентифицированы, особенно посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или одну из нескольких специальных характеристик, которые выражают физические, физиологические, генетическая, ментальная, коммерческая, культурная или социальная идентичность этих физических лиц.На практике они также включают в себя все данные, которые каким-либо образом назначены или могут быть присвоены человеку. Например, телефон, кредитная карта или личный номер человека, данные учетной записи, номерной знак, внешний вид, номер клиента или адрес — все это личные данные.

Поскольку определение включает «любую информацию», следует предположить, что термин «личные данные» следует толковать как можно шире. Это также предлагается в прецедентном праве Европейского суда, который также рассматривает менее явную информацию, такую ​​как записи рабочего времени, которые включают информацию о времени, когда сотрудник начинает и заканчивает свой рабочий день, а также перерывы или время, в которое не попадают в рабочее время, как личные данные.Кроме того, письменные ответы кандидата во время теста и любые замечания экзаменатора относительно этих ответов являются «личными данными», если кандидата можно теоретически идентифицировать. То же самое относится и к IP-адресам. Если у контролера есть законная возможность обязать поставщика передать дополнительную информацию, которая позволяет ему идентифицировать пользователя по IP-адресу, это также личные данные. Кроме того, необходимо отметить, что личные данные не обязательно должны быть объективными. Субъективная информация, такая как мнения, суждения или оценки, может быть личными данными.Таким образом, это включает оценку кредитоспособности человека или оценку выполнения работы работодателем.

И последнее, но не менее важное: в законе говорится, что информация для справки о персонале должна относиться к физическому лицу. Другими словами, защита данных не распространяется на информацию о юридических лицах, таких как корпорации, фонды и учреждения. С другой стороны, для физических лиц защита начинается и прекращается с дееспособностью. По сути, человек получает эту способность с рождением и теряет ее после смерти.Следовательно, данные должны быть присвоены идентифицированным или идентифицируемым живым лицам, чтобы считаться личными.

В дополнение к общим персональным данным необходимо учитывать прежде всего особые категории персональных данных (также известные как конфиденциальные персональные данные), которые имеют большое значение, поскольку они подлежат более высокому уровню защиты. Эти данные включают генетические, биометрические данные и данные о состоянии здоровья, а также личные данные, раскрывающие расовое и этническое происхождение, политические взгляды, религиозные или идеологические убеждения или членство в профсоюзах.

Внешние ссылки

Органы

• Европейский надзорный орган по защите данных ► Меры безопасности при обработке персональных данных (ссылка)
• Управление по защите данных Остров Мэн ► Знайте свои данные — нанесение на карту 5 W (Ссылка)
• Data Protection Authority UK ► Ключевые определения (Ссылка)
• Европейская комиссия ► Что такое личные данные? (Ссылка)
• Европейская комиссия ► Какие личные данные считаются конфиденциальными? (Ссылка)
• Публикации ЕС ► Справочник по европейскому законодательству о защите данных — Персональные данные, стр. 83 (Ссылка)

Экспертный вклад

• A&L Goodbody ► GDPR: Руководство для бизнеса — Определение личных и конфиденциальных данных, стр. 8 (Ссылка)
• Bird & Bird ► Конфиденциальные данные и законная обработка (Ссылка)

Что такое личная информация (PII)? Как защитить его согласно GDPR

Информация, позволяющая установить личность (PII) — это любые данные, которые могут быть использованы для идентификации конкретного человека.Номера социального страхования, почтовый или электронный адрес и номера телефонов чаще всего считаются PII, но технологии значительно расширили сферу действия PII. Он может включать IP-адрес, идентификаторы входа, сообщения в социальных сетях или цифровые изображения. Геолокационные, биометрические и поведенческие данные также можно классифицировать как PII.

Это широкое определение PII создает проблемы с безопасностью и конфиденциальностью, особенно когда конкретные и строгие меры защиты изложены в таких нормативных актах, как Общий регламент ЕС по защите данных (GDPR). Он вступит в силу 25 мая 2018 года и повлияет на любую компанию во всем мире, которая обрабатывает или хранит персональные данные жителей ЕС.

Новые правила предоставляют людям больше прав в отношении того, как компании обрабатывают их личную информацию (PII), и налагают большие штрафы за несоблюдение и утечку данных — до 4 процентов годового дохода компании. GDPR также требует, чтобы компании сообщали об утечках данных в течение 72 часов. (См. «Требования, сроки и факты Общего регламента защиты данных (GDPR)» для получения более подробной информации о регулировании.)

Даже если вы не ведете дела с ЕС, это может повлиять на глобальные стандарты безопасности в будущем. Следовательно, компании, работающие в ЕС или с данными, затронутыми GDPR, быстро пытаются прийти к соблюдению требований раньше срока. Для групп безопасности это означает обеспечение надлежащей защиты PII и наличие надлежащих процессов отчетности.

Как говорит Брайан Веччи, технологический евангелист компании Varonis, «большинство компаний совершенно не готовы. Есть компании, расположенные на Среднем Западе Соединенных Штатов, которые, поскольку кто-то из ЕС подписался на их информационный бюллетень, внезапно подпадают под действие одного из самых обременительных правил конфиденциальности, когда-либо существовавших.Вот что меня так великого в GDPR. Он пронизывает все вертикали. Это влияет не только на финансовые организации или больницы. Если у вас есть PII от одного из 28 государств-членов, это повлияет на вашу организацию.

Хорошо это или плохо, но GDPR не определяет каких-либо конкретных мер защиты данных, которым должна следовать организация. Каждой организации разрешено определять для себя необходимые меры безопасности для собранных данных, конфиденциальности и рисков.

Оливье Ван Хоф, менеджер по предварительным продажам Collibra в Европе, говорит, что GDPR начинается с управления данными: «Вам необходимо создать платформу управления данными, прежде чем вы действительно сможете приступить к защите данных. Это намного больше, чем просто техническая защита данных. Большинство организаций начинают с рассмотрения своих бизнес-процессов, затем — с логических процессов, которые собирают данные, а затем — с самих физических данных. GDPR также подразумевает понимание того, что данные действительно принадлежат физическому лицу. На самом деле вы просто размещаете данные ».

Что означает GDPR под «личными» данными?

Определение личных данных в соответствии с GDPR является очень широким, гораздо более широким, чем существующие или ранее существующие средства защиты личных данных в большинстве других стран.Он включает в себя любую информацию, относящуюся к конкретному человеку, независимо от того, являются ли эти данные частными, общедоступными или профессиональными по своему характеру. Он применяется не только к именам, адресам и финансовой информации, но и ко всему, что может идентифицировать человека (например, IP-адреса, идентификаторы входа в систему, биометрические идентификаторы, данные о географическом местоположении, видеоматериалы, истории лояльности клиентов, сообщения в социальных сетях и фотографии). Если он идентифицируется конкретным человеком, он включается.

Влияние GDPR означает, что вам не только придется защищать больше типов данных в будущем, но и приложить больше усилий для идентификации существующих данных, которые, возможно, ранее не считались PII.Веччи говорит: «Раньше, даже если бы у вас была PII из одного из государств ЕС, то, что вы собрали, не могло считаться PII в этой стране. Теперь, внезапно, начиная с мая, это PII ».

Компании, затронутые GDPR, должны будут в меру своих возможностей выявить информацию, которая ранее не отслеживалась и не индексировалась. Например, может потребоваться найти, защитить, отследить записанный звонок в службу поддержки и сообщить о нем.

Какие новые права пользователей для PII?

Документированное согласие на участие должно быть дано каждому человеку (или его законному опекуну). В согласии должны быть четко указаны собранные данные, для чего они используются и как долго они будут храниться. Кроме того, участники могут в любой момент отозвать свое согласие и потребовать удаления своих личных данных (при условии, что они укажут одну из утвержденных причин).

Согласно GDPR, люди также могут контролировать, что происходит с их PII. Помимо возможности запросить удаление, они могут исправить фактические ошибки, посмотреть, какие из их данных хранятся, и даже экспортировать их для личного просмотра и использования.Эти важные права являются совершенно новыми для большинства организаций.

Vecci считает, что большинство компаний сначала просто пытаются понять, насколько серьезна проблема GDPR. Они не знают того, чего не знают. Им нужно выяснить, где хранятся данные и подпадает ли на них GDPR. Затем они должны защитить его с минимальными привилегиями и отслеживать его. К счастью, моя компания Varonis с самого начала занимается именно этим. Мы специализируемся не только на поиске данных, но и на определении того, кто к чему имеет доступ и нужен ли им доступ к данным.С другими правилами защиты данных этого было достаточно, чтобы защитить данные извне. Теперь он должен быть лучше защищен изнутри, потому что в статье 25 GDPR говорится, что данные должны быть защищены с наименьшими привилегиями по умолчанию и по умолчанию. И вы не можете этого сделать, не поняв сначала, где он находится и у кого есть к нему доступ ».

Могут ли хакеры использовать правила GDPR в отношении PII?

Да! Исследователь безопасности и студент Оксфордского университета Джеймс Павур продемонстрировал на недавней конференции Black Hat, как он смог собрать PII своей невесты из нескольких организаций, используя запросы GDPR (с ее разрешения).

Этот метод социальной инженерии оказался эффективным и не очень сложным для Павура. Из 150 отправленных запросов GDPR 24% организаций приняли адрес электронной почты и номер телефона его невесты в качестве удостоверения личности. Он смог получить ее номер социального страхования, номер кредитной карты и дату истечения срока действия, пароли учетных записей, дату рождения и девичью фамилию матери — достаточно, чтобы нанести реальный ущерб.

Как GDPR влияет на структуру групп безопасности?

GDPR определяет несколько ролей с правилами и обязанностями для каждой роли.Субъект данных — это физическое лицо, персональные данные которого собираются. Контроллер данных — это организация, которая собирает данные. Процессор — это организация, которая обрабатывает данные от имени контроллера данных. Контроллеры и процессоры должны вести письменные записи о том, какие данные были собраны, как они были надлежащим образом собраны, как они использовались и когда они были утилизированы.

Несмотря на то, что они отлично подходят для контроля и обеспечения конфиденциальности субъектов данных, у большинства компаний еще нет таких систем отслеживания защиты данных.Команды безопасности должны будут не только защищать данные от традиционных угроз, но и делать это прозрачным, документированным и доступным для извлечения, возможно, большим количеством субъектов данных способом, при этом обеспечивая надежную безопасность данных. Каждый член группы компьютерной безопасности должен быть обучен соответствию GDPR и его значению для существующих и будущих мер безопасности в организациях.

Многие участвующие предприятия, частные и государственные, должны иметь официального сотрудника по защите данных (DPO).DPO — ключевая фигура не только в поддержании правового соответствия GDPR, но и требует технических знаний или персонала для защиты данных и обеспечения непрерывности бизнеса. Предполагается, что DPO будет действовать независимо от организации, в которой он или она работает. ЕС посчитал, что позиция DPO достаточно важна, и выпустил отдельный, более подробный 18-страничный документ о позиции.

Должность DPO может показаться естественной подходящей для CSO, и это может быть. ОГО, безусловно, знакомы с техническими требованиями и средствами контроля компьютерной безопасности, а также с вопросами взаимодействия с высшим руководством.Но DPO должен иметь четкое представление о требованиях к конфиденциальности и соответствию, что обычно лучше понимают главные должностные лица (CPO) или другие защитники конфиденциальности. С другой стороны, сотрудники службы конфиденциальности могут не понимать техническую сторону вещей. Небольшие предприятия с гораздо меньшими группами менеджеров могут прекратить назначать сотрудника «наиболее подходящего», например, контролера, или даже выбрать внешнего DPO, который может работать или не работать с другими компаниями. Во всех случаях GDPR требует, чтобы DPO был независимым аудитором соответствия и был напрямую доступен для субъектов данных, соответствующей организации и надзорных органов GDPR.При сборе данных от субъекта необходимо предоставить контактные данные контролера организации и DPO.

Ван Хоф говорит: «Большинство крупных европейских компаний уже наняли DPO, но я видел аутсорсинговых DPO или совместных DPO малых и средних предприятий».

Записи о защите и обработке данных должны храниться и быть доступны для регулярных и регулярных проверок не только аудиторами, но и отдельными субъектами данных. Как соответствующая организация будет обеспечивать, чтобы записи были доступны для индивидуальной частной проверки и в то же время были защищены от неавторизованных зрителей? Потребуется ли каждому отдельному субъекту новая система отслеживания и контроля доступа для управления идентификацией, для чего потенциально могут быть миллионы субъектов данных? Наверное, по крайней мере.Или организация может выполнить требования GDPR, просто распечатав личные записи и отправив им бумажную копию? Это важные детали, которые должны проработать DPO, руководство и группа безопасности.

[ Связано: каковы требования GDPR? ]

Национальный орган по защите данных

Каждая участвующая страна (также известная как государство-член) имеет национальный орган по защите данных (DPA). DPA несут ответственность за соблюдение и обеспечение соблюдения соответствующих законов на национальном уровне, но должны быть очень независимыми, даже от государственного контроля своей страны.Сложная штука.

Государства-члены могут иметь один или несколько национальных DPA на выбор соответствующих организаций. Каждая организация может выбрать один DPA, который регулирует соблюдение GDPR для всей организации, независимо от того, в скольких государствах-членах компания работает или получает свои данные (так называемое «единое окно»). «Ведущий надзорный орган» имеет возможность контролировать обработку и защиту данных в других странах-членах. Некоторые критики справедливо отмечают, что компании, работающие в государствах-членах, могут покупать наиболее гибкие DPA, с которыми они могут работать, во многом так же, как они уже делают сегодня для более низкого налогообложения и организационной независимости.

Некоторые эксперты не уверены, какую выгоду принесет «шоппинг DPA». Ван Хоф говорит: «Вы увидите большую координацию и общение между DPA из разных стран. Хотя между DPA в каждой стране будут некоторые различия из-за их местных законов и постановлений, 95 процентов того, что они делают, будет общим и одинаковым, независимо от страны ».

DPA были созданы в соответствии с предыдущим законом ЕС о защите данных, но значительно усилены в соответствии с GDPR.DPA, по сути, являются официальными регуляторами и полицией в схеме GDPR. DPA помогает принимать решения по вопросам права и может расследовать компании на предмет потенциальных нарушений и привлекать контролеров или процессоров к юридической ответственности за нарушения GDPR и оценивать штрафы. Он также решает, может ли организация передавать данные за пределы ЕС, и если да, то какие меры защиты необходимо применить. Для конкретной организации их DPO, вероятно, будет основным контактом с DPA и наоборот. Из-за присущих им обязанностей как DPO, так и особенно DPA, скорее всего, будут состоять из групп людей, а не из одного человека.

Если субъект данных считает, что нарушение имело место, он может связаться либо с DPO, либо с DPA, которое было выбрано вовлеченной компанией и сообщено субъекту. На практике это может быть неудобно, так как DPO или DPA контроллера или процессора могут не находиться в той же стране или не говорить на том же языке, что и объект.

Об утечках данных необходимо сообщать незамедлительно

О нарушениях персональных данных (включая кражу, потерю, уничтожение или фальсификацию данных) необходимо сообщать немедленно или, по крайней мере, в течение 72 часов в ведущий надзорный орган (т.е., DPA). Пострадавшие должны быть уведомлены, если ожидается неблагоприятное воздействие. Однако, если данные надлежащим образом зашифрованы или анонимизированы и эта максимальная защита не была нарушена, то людей не нужно уведомлять.

Команды безопасности, вероятно, столкнутся с большим давлением, чтобы убедиться, что все данные PII надлежащим образом зашифрованы или анонимны. Раньше усилия по шифрованию были в основном сосредоточены на защите портативных устройств, которые считались более подверженными риску неправильного использования в случае потери, кражи или эксплуатации.Соответствие GDPR, вероятно, приведет к стремлению к еще большему шифрованию данных на предприятии, гарантируя, что они остаются зашифрованными даже в случае кражи, и анонимизирует или делает данные «псевдоанонимными», когда это возможно. Генеральные директора и другие руководители высшего звена хотели бы услышать, что их требования к отчетности о любых возможных утечках данных сведены к минимуму.

Что такое личная информация | Безопасность данных PII

Что такое личная информация (PII)

Личная информация (PII) — это юридический термин, относящийся к средам информационной безопасности.Хотя PII имеет несколько формальных определений, в целом это информация, которая может использоваться организациями сама по себе или вместе с другой информацией для идентификации, установления контакта или определения местонахождения отдельного человека или для идентификации человека в контексте.

Нечувствительные PII могут передаваться в незащищенной форме, не причиняя вреда человеку. Конфиденциальная PII должна передаваться и храниться в защищенной форме, например, с использованием шифрования, поскольку в случае раскрытия она может причинить вред человеку.

Организации используют концепцию PII, чтобы понять, какие данные они хранят, обрабатывают и управляют, которые идентифицируют людей и могут нести дополнительную ответственность, требования безопасности, а в некоторых случаях юридические или нормативные требования.

Личная информация (PII) в Законе о конфиденциальности

PII и аналогичные термины существуют в законодательстве многих стран и территорий:

• В США Руководство Национального института стандартов и технологий (NIST) по защите конфиденциальности информации, позволяющей установить личность, определяет «личную информацию» как такую ​​информацию, как имя, номер социального страхования и биометрические записи, которые могут использоваться для идентификации или отслеживания личности человека.
• В Европейском Союзе директива 95/46 / EC определяет «личные данные» как информацию, которая может идентифицировать человека по идентификационному номеру или факторам, специфичным для физической, физиологической, умственной, экономической, культурной или социальной идентичности.
• В Австралии Закон о конфиденциальности 1988 г. определяет «личную информацию» как информацию или мнение, истинное или нет, о человеке, личность которого очевидна или может быть обоснованно установлена ​​- гораздо более широкое определение, чем в большинстве других стран.
• В Новой Зеландии Закон о конфиденциальности определяет «личную информацию» как любую часть информации, которая относится к живому, идентифицируемому человеку, включая имена, контактные данные, финансовое состояние и записи о покупках.
• В Канаде Закон о защите личной информации и электронных документов (PIPEDA) и Закон о конфиденциальности определяют «личную информацию» как данные, которые сами по себе или в сочетании с другими данными могут идентифицировать человека.

Что считается PII?

Согласно NIST PII Guide, следующие элементы определенно квалифицируются как PII, потому что они могут однозначно идентифицировать человека: полное имя (если не общее), лицо, домашний адрес, адрес электронной почты, идентификационный номер, номер паспорта, номерной знак транспортного средства, водительские права, отпечатки пальцев или почерк, номер кредитной карты, цифровая идентификация, дата рождения, место рождения, генетическая информация, номер телефона, логин или псевдоним.

Что считается PII?

Помимо этих четких идентификаторов, существуют «квазиидентификаторы» или «псевдоидентификаторы», которые вместе с другой информацией могут использоваться для идентификации человека. Например, согласно исследованию правительства США, 87% населения США можно однозначно идентифицировать по комбинации пола, почтового индекса и даты рождения. Псевдоидентификаторы не могут считаться PII согласно законодательству США, но, вероятно, будут рассматриваться как PII в Европе.

Кто отвечает за сохранение PII?

С юридической точки зрения ответственность за защиту PII возлагается не только на организации; ответственность может быть разделена с отдельными владельцами данных.Компании могут нести или не нести юридическую ответственность за принадлежащую им PII.

Однако, согласно исследованию Experian, 42% потребителей считают, что ответственность за защиту их личных данных лежит на компании, а 64% потребителей заявили, что они не захотят пользоваться услугами компании после утечки данных. В свете общественного мнения о том, что организации несут ответственность за PII, широко распространена передовая практика защиты PII. Распространенный и эффективный способ сделать это — использовать структуру конфиденциальности данных.

Узнайте, как Imperva Data Masking может помочь вам в обеспечении безопасности личных данных.

Создание структуры конфиденциальности данных

Структура конфиденциальности данных — это документированная концептуальная структура, которая может помочь предприятиям защитить конфиденциальные данные, такие как платежи, личная информация и интеллектуальная собственность. Структура определяет, как определять конфиденциальные данные, как анализировать риски, влияющие на данные, и как реализовать средства контроля для их защиты.

Несмотря на то, что существуют установленные рамки конфиденциальности данных, такие как Стандарт безопасности данных индустрии платежных карт (PCI DSS), семейство стандартов ISO 27000 и Общий регламент ЕС по защите данных (GDPR), создание индивидуальной структуры для ваша организация.

Custom Data Protection Framework поможет вам сосредоточить внимание на наиболее конфиденциальных и ценных данных в вашей организации и разработать средства управления, которые подходят для вашей организационной структуры, культуры, нормативных требований и бюджета безопасности.

Выполните следующие действия, чтобы создать настраиваемую структуру конфиденциальности данных.

Классификация

Определите, оцените и классифицируйте PII, которую ваша организация получает, хранит, управляет или передает. Для каждого типа PII укажите:

• Требуемый уровень конфиденциальности
• Насколько важна целостность данных — что произойдет, если они будут потеряны или повреждены
• Насколько важно, чтобы данные всегда были доступны
• Какой уровень согласия организация получила в отношении данных

Оценка

Проведите оценку воздействия на конфиденциальность (PIA), чтобы определить для каждого типа, классификации или PII, как они собираются, где они хранятся и как они удаляются, а также потенциальные риски безопасности для каждого типа PII.

Соответствие окружающей среде

• Определите ваши законодательные обязательства по соблюдению PII на территориях, на которых работает ваша организация.
• Определите добровольные стандарты, которым вы должны соответствовать, например PCI DSS
.
• Определите политику безопасности и ответственности вашей организации в отношении сторонних продуктов и услуг, например, облачных сервисов хранения

Контроль безопасности PII

Структура конфиденциальности данных должна определять, какие меры безопасности необходимо использовать в организации для предотвращения потери или утечки данных:

• Управление изменениями — отслеживание и аудит изменений в конфигурации ИТ-систем, которые могут иметь последствия для безопасности, такие как добавление / удаление учетных записей пользователей.
• Data Loss Prevention — внедрение систем, которые могут отслеживать конфиденциальные данные, передаваемые внутри организации или за ее пределами, и выявлять неестественные закономерности, которые могут указывать на нарушение.
• Маскирование данных — обеспечение того, чтобы данные сохранялись или передавались с минимально необходимыми деталями для конкретной транзакции, при этом другие детали были замаскированы или опущены.
• Этические стены — внедрение механизмов проверки для предотвращения просмотра некоторыми отделами или отдельными лицами внутри организации PII, которая не имеет отношения к их работе или может создать конфликт интересов.
• Мониторинг привилегированных пользователей — мониторинг всего привилегированного доступа к файлам и базам данных, создания пользователей и вновь предоставленных привилегий, блокирование и предупреждение при обнаружении подозрительной активности.
• Аудит доступа к конфиденциальным данным — параллельно с мониторингом действий привилегированных пользователей, мониторинг и аудит всего доступа к конфиденциальным данным, блокирование и предупреждение о подозрительной или аномальной активности.
• Безопасное архивирование контрольного журнала — гарантия того, что любая деятельность, проводимая в отношении PII или в отношении PII, проверяется и сохраняется в течение 1-7 лет для юридических целей или для целей соответствия, а также для обеспечения возможности судебного расследования инцидентов безопасности.
• Управление правами пользователей — выявление чрезмерных, несоответствующих или неиспользованных привилегий пользователей и принятие корректирующих мер, таких как удаление учетных записей пользователей, которые не использовались в течение нескольких месяцев.
• Отслеживание пользователей — реализация способов отслеживания активности пользователей в сети и при использовании организационных систем для выявления небрежного раскрытия конфиденциальных данных, компрометации учетных записей пользователей или злонамеренных инсайдеров.

Концепция и категоризация — h3020 COMPRISE

25 мая 2018 г. в Европейском Союзе вступил в силу Общий регламент по защите данных (GDPR).Новый Регламент дает более широкое определение персональных данных по сравнению с его предшественником, Директивой о защите данных (DPD), и быстро стал стандартом для обработки персональных данных не только в Европе, но и в глобальном масштабе.

Новый объем концепции «персональных данных» подтверждает одну из основных целей GDPR: защита основных прав и свобод физических лиц, в частности их права на защиту персональных данных. В этом смысле, чтобы гарантировать, что каждое учреждение, которое обрабатывает персональные данные в Союзе, либо в качестве контроллера данных, либо в качестве обработчика данных, соблюдает положения, установленные в Регламенте, для нарушителей были установлены более строгие штрафы.

Например, статья 83 (6) гласит, что « несоблюдение приказа надзорного органа … влечет за собой административные штрафы в размере до 20 000 000 евро или, в случае предприятия, до 4% от суммы. общий мировой годовой оборот за предыдущий финансовый год, в зависимости от того, что больше ».

Таким образом, неудивительно, что на сегодняшний день сумма штрафов GDPR достигла в общей сложности 144 866 145 евро в соответствии с инструментом отслеживания и статистики штрафов GDPR в Privacy Affairs.

Таким образом, понимание определения персональных данных — это первый шаг, который организациям следует предпринять для соблюдения Регламента и избежания дорогостоящих ошибок. В связи с этим статья 4 (1) GDPR определяет персональные данные как любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу. Но что здесь означает «идентифицируемый» ?

В той же статье далее указывается, что идентифицируемое физическое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, посредством ссылки на идентификатор, онлайн-идентификатора или одного или нескольких факторов, специфичных для физических, физиологических, генетических, ментальная, экономическая, культурная или социальная идентичность этого физического лица. Рабочая группа по статье 29, замененная 25 мая 2018 г. Европейским советом по защите данных, точно рассматривает ситуацию идентифицируемых лиц в Заключении 4/2007. Итак, давайте лучше это поймем.

В Заключении 4/2007 Рабочая группа по статье 29 постоянно подтверждает намерение законодателя расширить понятие и толкование личных данных. С точки зрения Рабочей группы по Статье 29, выбор термина « любая информация, » для обозначения того, что может подпадать под сферу действия персональных данных, свидетельствует о готовности законодателя разработать более широкую концепцию персональных данных.Более того, с целью обеспечения лучшего понимания личных данных, Мнение 4/2007 рассматривает их с разных точек зрения.

С точки зрения характера информации, персональные данные охватывают как объективную информацию, , такую ​​как наличие определенных веществ в крови, так и субъективную информацию, например мнения или оценки. Если мы рассмотрим формат или носитель, на котором содержится информация, личные данные могут полностью включать информацию, доступную в любой форме, например.г., буквенные, числовые и т. д.

Кроме того, как поясняется в Части 15 и в статье 2 (1) GDPR, защита физических лиц должна быть технологически нейтральной, что означает, что Регламент должен применяться к обработке персональных данных с помощью автоматизированных и ручных средств, пока поскольку личные данные содержатся или предназначены для хранения в файловой системе.

Наконец, с точки зрения содержания информации понятие личных данных включает данные, дающие любой вид информации.Эта информация не обязательно должна ограничиваться частной и семейной жизнью человека, чтобы подпадать под сферу действия личных данных, и здесь в игру вступают «идентификатора» .

Идентификаторы, как следует из названия, представляют собой фрагменты информации, по которым можно идентифицировать человека, поскольку они имеют привилегированную и тесную связь с субъектом данных. Следует подчеркнуть один аспект: статья 4 (1) GDPR предлагает не ограничительный список идентификаторов, а серию примеров, например, e.g., имя, идентификационный номер, данные о местонахождении и т. д., которые могут служить для идентификации физического лица, то есть физического лица.

Аналогичным образом, статья 30 GDPR вкратце ссылается на онлайн-идентификаторы, как на идентификаторы, предоставляемые устройствами, приложениями, инструментами и протоколами, такими как адреса интернет-протокола и идентификаторы файлов cookie, которые также могут привести к прямой или косвенной идентификации личности.

Следуя этой логике, Рабочая группа по статье 29 оказалась права, указав, что степень, в которой некоторые идентификаторы достаточны для идентификации человека, зависит от контекста конкретной ситуации, по крайней мере, в большинстве случаев.Это подчеркивает важность контекстуализации для соответствия требованиям защиты данных.

Теперь, когда понятие персональных данных объяснено, важно рассмотреть вопрос о категоризации персональных данных. В этом отношении статья 9 (1) GDPR об обработке особых категорий персональных данных относится к персональным данным, которые особенно чувствительны с точки зрения риска, который они представляют для основных прав и свобод субъектов данных. Эти личные данные включают данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах, генетические и биометрические данные, а также данные, касающиеся половой жизни или сексуальной ориентации физического лица.Их представление можно найти на рисунке ниже. Стоит отметить, что обработка таких данных запрещена, если субъект данных не дал конкретного согласия или при ряде обстоятельств, выходящих за рамки настоящей статьи.

Принимая во внимание вышеизложенное, статья 9 (1) GDPR является единственной статьей Регламента, которая обеспечивает закрытое категоризацию личных данных, но эта статья относится только к личным данным, которые являются особенно конфиденциальными, как объяснялось ранее. Доктрина, с другой стороны, не согласилась с правильной категоризацией. Тем не менее, можно извлечь некоторые категории из Общего регламента защиты данных (GDPR), а также из Мнения 4/2007 Рабочей группы по статье 29, таких как «данные, касающиеся частной и семейной жизни», «рабочие отношения». »,« Экономическое поведение »,« жизненные качества »,« физические характеристики среди прочего »и т. Д.

Следующие за этой строкой некоторые дополнительные примеры категорий персональных данных могут быть следующими: «знания и убеждения», «личные предпочтения», «история жизни», «информация о собственности», «кредитная информация», «идентификационная информация», «Этническая принадлежность», «сексуальная информация», «поведенческие» и т. Д.Но невозможно рассматривать фиксированную и закрытую категоризацию персональных данных, которые можно было бы использовать в качестве справочных, за исключением случаев конфиденциальных персональных данных, предусмотренных в статье 9 (1) GDPR.

Информация, которая может быть включена в одну из упомянутых категорий (или других категорий), будет считаться персональными данными только в том случае, если она может быть связана с идентифицированным или идентифицируемым лицом. Во многих случаях одно слово, например, блондинка, которое может быть включено в категорию «физические характеристики», не может идентифицировать человека отдельно, но разные фрагменты информации, собранные вместе, могут привести к идентификации конкретного человека.

Для получения дополнительной информации об основных аспектах Общего регламента защиты данных (GDPR) мы приглашаем вас обратиться к нашему отчету D5.1 — Защита данных и требования GDPR.

Подробнее:

Автор:

Альваро Мортон
Юридический специалист и руководитель проекта в Rooter
https://www.linkedin.com/in/alvaro-moret%C3%B3n-poch-32549b21/

и

Ариадна Харамилло
Юридический консультант Rooter
https: // www. linkedin.com/in/ariadna-victoria-jaramillo-mart%C3%ADnez/

Условия использования, обработка персональных данных и куки | Skanska

Добро пожаловать на сайт Skanska. К веб-сайту применяются следующие условия использования, и мы убедительно просим вас внимательно их прочитать.

Обработка персональных данных | Информация о файлах cookie

Условия использования содержат информацию о том, как вы можете использовать контент на веб-сайте, как мы обрабатываем ваши личные данные и какие файлы cookie используются на веб-сайте.Ссылки ниже на «Skanska», «нас» или «мы» относятся к Skanska AB (поставщику данного веб-сайта) и / или другим компаниям, входящим в Skanska Group. Веб-сайт Skanska и настоящие условия использования соответствуют законодательству Швеции.

Авторские права и другие права интеллектуальной собственности

Информация об авторских правах и товарных знаках

Все права на содержимое веб-сайта, такое как текст, графика, логотипы, изображения, видеоклипы, аудиофайлы и программы, принадлежат Skanska или третьим лицам и защищены шведским и международным законодательством об интеллектуальной собственности.Все права защищены.

Содержимое веб-сайта предоставляется вам в качестве услуги и может использоваться только в соответствии с условиями, изложенными ниже. Загружая материалы с веб-сайта, вы принимаете условия.

Несанкционированное использование или распространение содержимого веб-сайта может нарушать авторские права и / или другие шведские или международные законы и может быть предметом судебного иска.

Использование товарных знаков Skanska

Товарные знаки и бренды

Skanska могут использоваться только в соответствии с настоящими условиями или после получения вами письменного разрешения Skanska.Использование товарных знаков Skanska в рекламе и маркетинге продуктов и услуг Skanska требует предварительного письменного разрешения.

Использование содержания на сайте

Веб-сайт и его содержимое не могут быть изменены, переданы, воспроизведены, опубликованы, лицензированы, переданы, проданы или использованы для любых других коммерческих целей без предварительного письменного разрешения Skanska.

По мере того, как вы знакомитесь с содержанием веб-сайта, Skanska позволяет вам при необходимости делать временные копии содержимого этого веб-сайта.Вы также можете распечатать столько контента с веб-сайта, сколько разумно для личного использования, и ссылки на наш веб-сайт. Любое другое использование информации на сайте запрещено.

При копировании информации на веб-сайте вы не можете изменять или удалять информацию об авторских правах или имени Skanska.

Заявление об ограничении ответственности

Информация на сайте носит общий характер и не должна использоваться как единственная причина для решения важных вопросов.Мы постоянно работаем над тем, чтобы сайт был точным, полным и актуальным, но всегда существует риск, например, что опечатки, внешние воздействия и технические ошибки приведут к искажению информации. Это означает, что Skanska не может гарантировать и не принимает на себя ответственность за правильность, полноту и актуальность информации.

Если Skanska предоставляет ссылку на сторонний веб-сайт, эта ссылка предназначена только для помощи пользователю, и Skanska не несет ответственности за содержание или точность информации на таком веб-сайте.

Материалы пользователей

Все материалы и сообщения, переданные или размещенные на этом веб-сайте в связи с использованием вами функций на веб-сайте, не будут считаться конфиденциальными. Skanska имеет право использовать такие материалы в коммерческих или некоммерческих целях.

При использовании веб-сайта вы не можете предоставлять какие-либо материалы или информацию, которые являются незаконными, могут быть восприняты как оскорбительные, представляют собой маркетинг или иным образом могут быть восприняты как несоответствующие.Такой контент будет удален с веб-сайта, и мы также оставляем за собой право прекратить предоставление услуг на веб-сайте, к которому вы, возможно, присоединились.

В случае, если материалы и сообщения, отправленные нам через веб-сайт, содержат личные данные, применяются сведения, указанные в разделе Обработка личных данных ниже.

Разное

Skanska может изменить эти условия использования в любое время, выбрать отображение или удаление сообщений и контента на веб-сайте и / или закрыть веб-сайт.Если условия использования изменятся, вы будете проинформированы об этом в новой версии, размещенной на веб-сайте. Поэтому мы просим вас быть в курсе любых новых версий условий.

Обработка персональных данных

Введение

Ваша конфиденциальность важна для нас, и мы стремимся обеспечить высокий уровень защиты при любой обработке персональных данных. В ЕС / ЕЭЗ с мая 2018 года применяется Общий регламент по защите данных (GDPR) (см. Ниже).

В соответствии с действующим законодательством о защите данных Skanska AB или компания, иным образом указанная в качестве контроллера данных, несут ответственность за обработку ваших личных данных, как указано ниже. Если у вас есть какие-либо вопросы по поводу этой информации, или если вы хотите воспользоваться каким-либо из ваших прав, изложенных ниже, пожалуйста, свяжитесь со Skanska, используя контактную информацию, указанную ниже в разделе «Контактная информация».

Сбор и обработка персональных данных

Термин «личные данные» относится к такой информации, которая прямо или косвенно может относиться к вам как к физическому лицу.Примеры таких данных: имя, изображение, личный идентификационный номер, контактные данные, заявки на участие в конкурсе, сделанный выбор, поведение или IP-адрес. Под обработкой персональных данных понимаются любые действия, которые мы или третье лицо, которое мы задействовали, предпринимаем с персональными данными, такие как сбор, регистрация и хранение.

Персональные данные могут обрабатываться только для определенных и явно указанных целей и не могут впоследствии обрабатываться для каких-либо целей, выходящих за рамки этих целей.

В Skanska мы обрабатываем личные данные, которые вы нам предоставили, с единственной целью администрирования запросов и соглашений от вас / с вами, а также для предоставления информации и услуг в связи с такими запросами и соглашениями. Например, это может касаться регистрации заинтересованности в нашем аренде жилья, соревнованиях, рекламируемых на нашем веб-сайте и в которых вы решите участвовать, или подписке на наши информационные бюллетени, которые вы заказали.

Ваши личные данные могут также использоваться для маркетинга и последующей деятельности, а также для наших продаж и разработки продуктов с целью улучшения наших продуктов и услуг. Если вы не хотите получать маркетинговые материалы и / или какие-либо предложения, свяжитесь с нами, используя контактную информацию, указанную ниже в разделе «Контактная информация».

Наконец, персональные данные также обрабатываются в статистических целях, чтобы увидеть, как пользователи используют веб-сайт и проанализировать поисковое поведение, а также для отображения контента, настроенного для вас. Однако такие данные обрабатываются только в агрегированной форме или в форме, которая не позволяет идентифицировать вас как личность. Данные также обрабатываются косвенно в связи с разработкой, тестированием и администрированием ИТ-систем, лежащих в основе нашего веб-сайта.

При использовании функций на нашем веб-сайте, которые позволяют размещать на нем информацию или другие материалы, обратите внимание, что такая информация также может содержать личные данные.Если ваша информация содержит данные о других лицах, вы можете публиковать только те данные, на предоставление которых вы получили согласие.

Правовая основа для обработки и хранения

Skanska обрабатывает ваши персональные данные, когда это необходимо для выполнения соглашения с вами, и когда у нас есть другой законный и оправданный интерес в обработке ваших персональных данных, например, заинтересованность в маркетинге самих себя для посетителей нашего веб-сайта или заинтересованность в развитии нашего веб-сайта. или наши продукты и / или услуги.Если мы будем обрабатывать ваши персональные данные для какой-либо цели, которая, согласно действующему законодательству, требует вашего согласия, мы получим ваше согласие до начала такой обработки.

Данные, которые мы собираем в соответствии с вышеизложенным, удаляются после завершения обработки.

Безопасность для защиты личных данных

Skanska обеспечивает высокий уровень безопасности ваших личных данных и с этой целью принимает соответствующие технические и организационные меры безопасности для защиты ваших личных данных от несанкционированного доступа, изменения, распространения или уничтожения.

Ограничения на раскрытие персональных данных

Мы можем назначать внешних партнеров для выполнения задач от нашего имени, таких как предоставление ИТ-услуг или помощь в маркетинге, администрирование пресс-релизов, анализ данных или статистика. Эффективность этих услуг может означать, что наши партнеры, как в ЕС / ЕЭЗ, так и за его пределами, могут получить доступ к вашим личным данным. Компании, которые обрабатывают персональные данные от нашего имени, должны всегда подписывать с нами соглашение, чтобы мы могли обеспечить высокий уровень защиты ваших персональных данных даже с нашими партнерами.

В отношении партнеров за пределами ЕС / ЕЭЗ принимаются особые меры предосторожности, такие как подписание соглашений, включающих стандартные типовые положения о передаче данных, принятые Комиссией ЕС и доступные на веб-сайте Комиссии ЕС.

Skanska также может раскрывать ваши личные данные третьим лицам, например, полиции или другим государственным органам, если это касается уголовных расследований или если от нас требуется иное раскрытие таких данных по закону или решению государственного органа.Skanska не будет раскрывать ваши личные данные в какой-либо степени, кроме описанной в этом разделе.

Внешние ссылки

Эта информация об обработке личных данных относится к данным о вас, которые Skanska обрабатывает в рамках нашего веб-сайта. Наш веб-сайт может иногда содержать ссылки на внешние веб-сайты или службы, которые мы не контролируем. Если вы перейдете по ссылке на внешний веб-сайт, вам будет предложено ознакомиться с принципами обработки личных данных и информации о файлах cookie, которые применяются к соответствующему веб-сайту.

Ваши права и право на подачу жалобы

В соответствии с действующим законодательством о защите данных вы имеете право в любое время запросить доступ к обрабатываемым персональным данным, исправить ошибочные персональные данные, потребовать от Skanska прекратить обработку и удалить ваши персональные данные, запросить что обработка ваших персональных данных ограничена, для реализации вашего права на переносимость данных, для отзыва согласия на конкретную обработку (если такое согласие было получено) и для возражения против обработки персональных данных.В таком случае, пожалуйста, свяжитесь со Skanska по контактным данным, указанным ниже. Вы также имеете право в любое время подать жалобу в соответствующий надзорный орган, если считаете, что ваши личные данные были обработаны с нарушением применимого законодательства о защите данных.

Форма для запросов относительно ваших личных данных в Skanska

Контактные данные

Skanska AB является оператором обработки ваших данных. Если у вас есть какие-либо вопросы о том, как мы обрабатываем ваши персональные данные, или вам нужна информация и контактные данные назначенного сотрудника по защите данных / должности, ответственной за вопросы персональных данных в других компаниях Skanska Group, свяжитесь с нами по электронной или обычной почте.

Skanska AB
Warfvinges väg 25
SE-112 74 Stockholm
Data Protection Manager,

Информация о файлах cookie и способах их предотвращения

Использование файлов cookie Skanska

Мы используем файлы cookie на нашем веб-сайте. Файлы cookie — это небольшие текстовые файлы, которые сохраняются на вашем устройстве, когда вы просматриваете и используете веб-сайты или другие онлайн-сервисы, чтобы, например, облегчить определенные функции, такие как навигация по веб-сайту.

Мы используем файлы cookie, чтобы улучшить ваш пользовательский опыт, выбрать язык, собрать статистику о количестве посетителей веб-сайта и получить данные о том, как веб-сайт используется. Эти данные позволяют нам развивать и оптимизировать веб-сайт.

Файлы cookie

иногда используются для сбора данных, которые считаются личными данными, таких как IP-адреса и данные, связанные с IP-адресом, но не личные данные, напрямую относящиеся к вам как физическому лицу. Цель состоит в том, чтобы создать персонализированный и релевантный контент для вас как посетителя.

Файлы cookie

могут быть либо автоматически удалены, когда пользователь закрывает свой веб-браузер (так называемые «сеансовые файлы cookie»), либо сохраняться на компьютере пользователя для облегчения будущих посещений веб-сайта (так называемые «постоянные файлы cookie»).Постоянные файлы cookie также будут автоматически удалены по истечении определенного периода времени.

В следующей таблице перечислены типы файлов cookie, которые Skanska разместила на веб-сайте, их функции, цели, для которых собираются данные, и как долго хранятся данные, собранные с помощью файлов cookie.

Файлы cookie от третьих лиц

Некоторые файлы cookie третьих сторон также используются на этом веб-сайте. Такие сторонние файлы cookie в основном используются для улучшения вашего пользовательского опыта, выбора языка, агрегированной статистики о количестве посетителей веб-сайта и получения данных о том, как веб-сайт используется, хотя в некоторых случаях они могут использоваться третьей стороной для свои цели.Для получения информации о сторонних файлах cookie, обнаруженных на этом сайте, и о том, как долго они хранятся, перейдите по следующим ссылкам.

Как избежать файлов cookie

Если вы не принимаете использование файлов cookie, ваш веб-браузер может быть настроен таким образом, чтобы он автоматически отклонял сохранение файлов cookie или сообщал вам каждый раз, когда веб-сайт запрашивает сохранение файлов cookie. Ранее сохраненные файлы cookie также можно удалить через веб-браузер.

Если ваш веб-браузер отклоняет файлы cookie, это может снизить функциональность веб-сайта.

Социальные сети

Веб-сайт иногда встраивает контент и инструменты обмена из социальных сетей. Таким образом, эти поставщики могут использовать файлы cookie на веб-сайте Skanska. Skanska не имеет доступа к этим файлам cookie или собираемым ими данным и не контролирует их. Вам следует проверить соответствующие сторонние веб-сайты для получения дополнительной информации об этих файлах cookie и о том, как отказаться от их получения.

---

¹ Регламент (ЕС) 2016/679 Совета Европейского парламента от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и об отмене Директивы 95 / 46 / EC (Общие правила защиты данных).

Последнее обновление: 30.11.2020

Китай обнародовал первый закон о защите персональных данных

Фото файла: Xinhua

Китай, являющийся домом для большинства онлайн-пользователей в мире, представил во вторник долгожданный законопроект о защите персональных данных, что стало важным шагом в решении давних проблем утечек и взломов.

Проект был представлен на первое рассмотрение на заседании высшего законодательного органа во вторник.В нем уточняется определение конфиденциальных личных данных, включая расу, этническую принадлежность, религию, биометрические данные, медицинские и финансовые данные, а также личную траекторию.

В нем говорится, что нарушители закона могут быть подвергнуты штрафу в размере до 50 миллионов юаней (7,4 миллиона долларов) или 5 процентов от оборота за прошлый год, что, по мнению наблюдателей, нанесет тяжелый удар по организациям, предприятиям и частным лицам, которые постоянно нарушали жизнь людей, незаконно собирая, используя и продавая личную информацию для получения прибыли.

Эксперты по правовым вопросам заявили, что существующие законы не обеспечивают адекватной защиты физических лиц, поскольку они не налагают серьезных наказаний на компании, виновные в нарушениях.

Операторы ключевой информационной инфраструктуры и организации, которые обрабатывают значительный объем личной информации, которая необходима для передачи личной информации за границу, должны пройти оценку безопасности со стороны китайских властей.

Если будет установлено, что зарубежные организации или отдельные лица нарушили права китайских граждан на личные данные или участвовали в деятельности, связанной с личными данными, которая наносит ущерб национальной безопасности и общественным интересам, они будут помещены в черный список Администрацией киберпространства Китая.

Ван Сиксин, профессор права СМИ в Коммуникационном университете Китая, считает, что это конкретное положение нацелено на зарубежные интернет-компании, особенно в США, поскольку было обнаружено, что некоторые популярные платформы социальных сетей допускают утечку информации о пользователях.

В августе 2019 года Twitter исправил проблему на своей рекламной платформе, из-за которой компания передавала некоторые данные пользователей рекламным партнерам без согласия пользователей. Ранее в том же году из базы данных Facebook произошла утечка телефонных номеров 419 миллионов пользователей.

Законопроект долгождался и широко приветствовался, поскольку в Китае быстро растет индустрия больших данных, которая играет жизненно важную роль в борьбе с эпидемией коронавируса, например, отслеживание тесных контактов с подтвержденными пациентами с помощью онлайн-инструментов. и отслеживание личной траектории для быстрого выявления подозрительных случаев.

Аналогичным образом, на основании Общего регламента ЕС по защите данных, вступившего в силу 25 мая 2018 года и заменившего Директиву о защите данных, нарушения могут привести к штрафу в размере до 20 миллионов евро, или 4 процента от общемирового годового дохода фирмы. с предыдущего финансового года.Регуляторы GDPR наложили сотни штрафов на компании, включая Google и Facebook, на сумму более 114 миллионов евро за первые 20 месяцев GDPR, согласно их веб-сайту.

Эксперты предположили, что китайский закон о защите личной информации также должен предусматривать особые наказания для зарубежных организаций или отдельных лиц, если будет обнаружено, что они допустили утечку конфиденциальной информации китайских граждан. Они предупредили, что применение закона о защите личной информации должно быть осторожным; в противном случае это может нанести вред развитию новых технологий, поскольку личные данные также имеют большое социальное, экономическое и управленческое значение.

Обработка личных данных в Hotjar — документация Hotjar

Когда вы используете Hotjar для записи и сбора данных с вашего сайта, Hotjar берет на себя роль обработчика данных. Это означает, что Hotjar обрабатывает данные от вашего имени, а вы являетесь владельцем и контролером данных.

Как Контроллер данных вы несете основную ответственность (среди прочего) за сбор согласия, управление отзывом согласия и предоставление права доступа. В Соглашении об обработке данных Hotjar оговариваются обязательства обеих сторон: вы — Контроллер и Hotjar — Обработчик.

---

Что считается «личными данными»?

Согласно GDPR, персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу, что может означать любую информацию, которая может использоваться либо сама по себе, либо в сочетании с другими данными для идентификации человека.

Если четкое и предварительное согласие не было дано отдельным лицом или конечным пользователем , поведенческие инструменты Hotjar не должны использоваться для отслеживания личной идентифицируемой информации, которая позволит вам получить представление о поведении отдельных посетителей.Для получения дополнительной информации об этом прочтите Политику допустимого использования Hotjar или Как использовать Hotjar в соответствии с GDPR.

Вернуться к началу

Как я могу собирать личные данные с помощью Hotjar?

Есть два типа личных данных, которые вы можете отправить в Hotjar:

• Вы можете пассивно отправлять личные данные в Hotjar, если личные данные встроены в содержимое страницы вашего веб-сайта при использовании записей или в снимках экрана тепловой карты.