Закон о согласии на обработку персональных данных: Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ (последняя редакция)

Содержание

Россияне будут давать больше согласий на обработку персональных данных — РБК

Новый закон значительно ужесточает правила обработки и распространения персональных данных лиц для операторов и бизнеса, сообщил РБК Александр Надмитов, управляющий партнер юридической фирмы «Надмитов, Иванов и Партнеры». Так, до обработки персональных данных из открытых источников надо будет убеждаться в том, что человек дал согласие на их распространение. Кроме того, нужно будет проверять наличие условий и ограничений на обработку данных другими операторами, пояснил Надмитов. В новом законе прописаны условия обработки тех персональных данных, которые россияне разрешат распространять, рассказала в беседе с РБК партнер коллегии адвокатов Pen & Paper Екатерина Тягай.

Читайте на РБК Pro

Как будет предоставляться согласие

Россияне смогут предоставить согласие непосредственно оператору или с использованием информационной системы Роскомнадзора, сообщила Екатерина Тягай.

В своем специальном согласии субъект должен будет прямо определить перечень персональных данных, которые смогут быть распространены оператором. Оператор обязан будет предоставить субъекту возможность произвести такое определение по каждой категории разрешенных для распространения персональных данных, указанной в согласии на их обработку, рассказала юрист.

Надмитов отметил, что закон не содержит требования об обязательной письменной форме согласия на распространение. По его словам, требования к содержанию согласия на распространение будут установлены Роскомнадзором. На данный момент соответствующих актов регулятора нет. В любом случае операторам придется дополнять и конкретизировать свои стандартные согласия на обработку персональных данных, сказал юрист.

Новый закон особенно затронет владельцев (операторов) онлайн-ресурсов и сервисов, которые позволяют пользователям делиться информацией с неограниченным кругом лиц. Также закон повлияет на тех, кто использует в своей работе информацию из открытых источников, в частности СМИ, компании, использующие системы мониторинга поведения в интернете, считает Надмитов.

Как по новому закону будут удалять персональные данные

Россияне смогут в любое время потребовать прекратить передачу или распространение персональных данных, напомнил о положениях закона Надмитов. Действие согласия на обработку персональных данных прекращается с момента поступления оператору требования их обладателя.

При этом запреты на использование персональных данных не распространяются на случаи обработки информации в государственных, общественных и иных публичных интересах, определенных законодательством, указал юрист.

В начале декабря Ассоциация больших данных (объединяет «Яндекс», Mail.ru Group, Сбербанк, Газпромбанк, мобильных операторов) просила Госдуму не принимать нововведения в закон о персональных данных. Компании опасались, что закон усложнит обработку общедоступных персональных данных. В частности, в заявлении говорилось, что закон может создать правовую неопределенность при использовании данных в тех случаях, когда пользователь дает двум социальным сетям согласие на обработку данных, но с разными параметрами.

Также требования могут привести к дополнительным расходам площадок на доработку интерфейсов, причем российские ресурсы окажутся в невыгодном положении, так как контролировать соблюдение требований иностранцами будет невозможно, считает бизнес. Председатель комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Александр Журавлев отмечал, что изменения могут осложнить работу компаний, которые используют искусственный интеллект и большие данные.

Новые правила распространения персональных данных — Аналитика

21 января 2021

Новые правила распространения персональных данных

30 декабря 2020 года принят закон¹, устанавливающий новые правила распространения (раскрытия неопределенному кругу лиц) персональных данных и обработки персональных данных из открытых источников. Изменения вступают в силу 1 марта 2021 года.

Новые правила касаются всех операторов персональных данных и любого распространения персональных данных с согласия гражданина (не только онлайн, но и офлайн).

Особенно важно обратить внимание на новые правила владельцам (операторам) онлайн-ресурсов и сервисов, которые позволяют пользователям делиться информацией с неограниченным кругом лиц, а также операторам, использующим в своей деятельности информацию из открытых источников (в частности, СМИ, компаниям, использующим системы мониторинга поведения в сети Интернет).

ОСНОВНЫЕ НОВОВВЕДЕНИЯ

1. Изменена терминология

Понятие «персональные данные, сделанные общедоступными субъектом персональных данных» исключено и введено понятие «персональные данные, разрешенные субъектом персональных данных для распространения». При этом сохранилось отдельное понятие «общедоступные источники персональных данных» (например, справочники, адресные книги), которые могут создаваться в информационных целях и в которые (с письменного согласия гражданина) могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные данные. Пока не ясно, будут ли положения об особенностях распространения персональных данных и получения соответствующего согласия, установленные новым законом, применяться на практике при формировании и использовании общедоступных источников персональных данных.

Также новым законом не разъяснены статус персональных данных, содержащихся в публичных реестрах, и основания их обработки. Исходя из положений Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», есть основания полагать, что персональные данные, содержащиеся в публично доступных разделах реестров, могут рассматриваться как общедоступная информация, которая может использоваться любыми лицами при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

2. Необходимость получения отдельных и более конкретных согласий на раскрытие

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения (далее – «согласие на распространение»), должно быть оформлено отдельно от иных согласий субъекта персональных данных.

Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение. Молчание или бездействие гражданина ни при каких обстоятельствах не может считаться согласием.

Согласие на распространение может быть предоставлено оператору непосредственно или с использованием специальной информационной системы Роскомнадзора (она еще не функционирует).

Особое внимание на новые требования необходимо обратить владельцам (операторам) онлайн-ресурсов и сервисов, которые позволяют пользователям делиться информацией с неограниченным кругом лиц. Например, социальные сети, сайты объявлений и пр. могут быть вынуждены либо сделать профили своих клиентов полностью закрытыми, либо получать дополнительное расширенное согласие. При этом не ясно, будет ли требоваться такое отдельное согласие на распространение персональных данных пользователей, чьи профили были зарегистрированы до 1 марта 2021 г.

Ранее операторы зачастую оформляли право распространять персональные данные, просто включив в текст общего согласия на обработку персональных данных слово «распространение» при указании перечня действий с персональными данными, на которые дается согласие, или сделав отсылку к п. 3 ст. 3 Федерального закона «О персональных данных», который содержит определение «обработки персональных данных», или указав, что согласие дается на любые не запрещенные законом действия с персональными данными. Теперь формулировки согласия должны прямо и недвусмысленно разрешать распространение персональных данных, при этом должен быть указан четкий перечень персональных данных, в отношении которых разрешено распространение. Неоднозначные и неясные формулировки будут трактоваться в пользу субъекта персональных данных.

Важно: Закон не содержит требования об обязательной письменной форме согласия на распространение. При этом закон предполагает, что требования к содержанию (но не к форме) согласия на распространение будут установлены Роскомнадзором. На данный момент соответствующих актов регулятора нет, и пока не ясно, насколько жесткими могут оказаться требования к таким согласиям. Неопределенность в этом вопросе создаст дополнительные риски для операторов, если не будет устранена своевременно.

3. Право субъекта персональных данных установить запреты на обработку / условия обработки раскрытых данных

В согласии на распространение могут быть установлены запреты на передачу (кроме предоставления доступа) персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) персональных данных неограниченным кругом лиц. Это означает, в частности, что пользователи социальных сетей и иных Интернет-ресурсов, позволяющих пользователям делиться информацией с неограниченным кругом лиц, смогут установить запрет на обработку опубликованных ими персональных данных неограниченным кругом лиц или в определенных целях.

Оператор не может отказать в установлении субъектом персональных данных таких запретов и условий.

Установленные субъектом персональных данных запреты / условия обработки не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации. Данное исключение, на наш взгляд, станет одним из краеугольных камней при толковании и применении новых правил.

Важно:

В согласии на распространение следует четко указать, в отношении каких персональных данных установлены запреты и условия последующей обработки раскрытых данных, а факт отсутствия каких-либо запретов или условий обработки должен недвусмысленно следовать из формулировок согласия. Если из согласия не следует отсутствие запретов / условий обработки раскрытых данных или не определено, в отношении каких персональных данных они установлены, то такие персональные данные обрабатываются оператором, которому они предоставлены, без передачи и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.
Операторы обязаны в срок не позднее 3 рабочих дней с момента получения согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

4. Обязанность каждого оператора доказать законность обработки персональных данных из открытых источников

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, а также в случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку. На практике данное требование может создать дополнительные сложности при использовании компаниями различных систем мониторинга активности в сети Интернет, например, при подборе кадров HR-службами.

До обработки персональных данных из открытых источников будет необходимо убедиться в наличии согласия субъекта персональных данных на распространение его персональных данных оператором, раскрывшим персональные данные, и проверить наличие условий / ограничений на обработку данных другими операторами. При отсутствии информации о согласии субъекта персональных данных на распространение его персональных данных или в случае раскрытия персональных данных неограниченному кругу лиц самим субъектом персональных данных (например, при публикации на своем сайте) будет необходимо проверить наличие иных законных оснований для обработки из числа указанных в ч. 1 ст. 6 Федерального закона «О персональных данных».

Важно: с 1 марта 2021 г. утрачивает силу п. 10 ч. 1 ст. 6 Федерального закона «О персональных данных», допускающий обработку персональных данных, сделанных общедоступными субъектом персональных данных, любым лицом без согласия субъекта персональных данных.

5. Право субъекта персональных данных в любой момент потребовать прекращения передачи персональных данных

Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена оператором в любое время по требованию субъекта персональных данных. Субъект персональных данных вправе обратиться с аналогичным требованием к любому лицу, обрабатывающему его персональные данные в нарушение новых правил, или в суд.

РЕКОМЕНДАЦИИ

Оцените текущие процессы и решения, используемые при обработке персональных данных, на предмет их соответствия новым требованиям и при необходимости скорректируйте их.
Отслеживайте рекомендации регулирующих органов и правоприменительную практику.

Авторы: советник Елена Агаева, юрист Елена Квартникова, паралигал Марина Петрова

¹Федеральный закон от 30.12.2020 N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных».

Согласие на обработку данных — Институт энергосбережения

Политика конфиденциальности

интернет-сайта в отношении обработки персональных данных в государственном бюджетном учреждении «Институт развития жилищно-коммунального хозяйства и энергосбережения им. Данилова» (скачать)

1. Общие положения

Настоящая политика конфиденциальности интернет-сайта в отношении обработки персональных данных (далее – Политика) разработана и применяется в государственном бюджетном учреждении «Институт развития жилищно-коммунального хозяйства и энергосбережения им. Данилова», (далее – Оператор) в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), Федерального закона от 13.03.2006 № 38 ФЗ «О рекламе» и иными нормативными актами в области защиты персональных данных, действующими на территории Российской Федерации.

1.1. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемыми Оператором.

1.2. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Настоящая Политика применяется в отношении всех персональных данных, которую Оператор может получить о посетителях веб-сайта https://ines ur.ru/.

2. Основные понятия, используемые в Политике

2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://ines-ur.ru/.

2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.

2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.

2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.8. Субъект персональных данных – физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных.

2.9. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://ines-ur.ru/.

2.10. Персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее – персональные данные, разрешенные для распространения).

2.11. Пользователь – любой посетитель веб-сайта https://ines-ur.ru/.

2.12. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.13. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2.14. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

2.15. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.

3. Основные права и обязанности Оператора

3.1. Оператор имеет право:

– получать от субъекта персональных данных достоверную информацию и/или документы, содержащие персональные данные;

– в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;

– самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.

3.2. Оператор обязан:

– предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;

– организовывать обработку персональных данных в порядке, установленном действующим законодательством Российской Федерации;

– отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;

– сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати календарных дней с даты получения такого запроса;

– публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;

– принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

– прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;

– исполнять иные обязанности, предусмотренные Законом о персональных данных.

4. Основные права и обязанности субъекта (ов) персональных данных

4.1. Субъекты персональных данных имеют право:

– получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, в которых не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

– требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

– на отзыв согласия на обработку персональных данных;

– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;

– на осуществление иных прав, предусмотренных законодательством Российской Федерации.

4.2. Субъекты персональных данных обязаны:

– предоставлять Оператору достоверные данные о себе;

– сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

4.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Российской Федерации.

5. Оператор может обрабатывать следующие персональные данные Пользователя

5.1. Фамилия, имя, отчество.

5.2. Электронный адрес.

5.3. Номера телефонов.

5.4. Название организации (место работы).

5.5. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).

5.6. Вышеперечисленные данные (далее по тексту Политики) объединены общим понятием Персональные данные.

5.7. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, Оператором не осуществляется.

5.8. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в ч. 1 ст. 10 Закона о персональных данных, допускается, если соблюдаются запреты и условия, предусмотренные ст. 10.1 Закона о персональных данных.

5.9. Согласие Пользователя на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Закона о персональных данных. Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных.

5.9.1 Согласие на обработку персональных данных, разрешенных для распространения, Пользователь предоставляет Оператору путем проставления на Сайте в соответствующей форме отметки о согласии на обработку персональных данных. Давая данное согласие, Пользователь подтверждает, что действует по своей воле и в своем интересе, а также то, что указанные персональные данные являются достоверными.

5.9.2 Оператор обязан в срок не позднее трех рабочих дней с момента получения указанного согласия Пользователя опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.

5.9.3 Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Оператором, которому оно направлено.

5.9.4 Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления Оператору требования, указанного в п. 5.9.3 настоящей Политики в отношении обработки персональных данных.

6. Принципы обработки персональных данных

6.1. Обработка персональных данных осуществляется на законной и справедливой основе.

6.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

6.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

6.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

6.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.

6.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных, или неточных данных.

6.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7. Цели обработки персональных данных

7.1. Цель обработки персональных данных Пользователя:

– информирование Пользователя посредством отправки электронных писем;

– заключение, исполнение и прекращение гражданско-правовых договоров;

– предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте https://ines-ur.ru/.

7.2. Также Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты ines- [email protected] с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».

7.3. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.

8. Правовые основания обработки персональных данных

8.1. Правовыми основаниями обработки персональных данных Оператором являются:

– федеральные законы, иные нормативно-правовые акты в сфере защиты персональных данных;

– согласия Пользователей на обработку их персональных данных, на обработку персональных данных, разрешенных для распространения;

– уставные (учредительные) документы Оператора;

– договоры, заключаемые между оператором и субъектом персональных данных.

8.2. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://ines-ur.ru/ или направленные Оператору посредством электронной почты. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.

8. 3. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).

8.4. Субъект персональных данных самостоятельно принимает решение о предоставлении его персональных данных и дает согласие свободно, своей волей и в своем интересе.

9. Условия обработки персональных данных

9.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

9.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

9.3. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

9.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

9.5. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

9.6. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – общедоступные персональные данные).

9.7. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

10. Порядок сбора, хранения, передачи и других видов обработки персональных данных

Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.

10.1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.

10.2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.

10.3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора ines-minenergo@egov66. ru с пометкой «Актуализация персональных данных».

10.4. Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством.
Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора [email protected] с пометкой «Отзыв согласия на обработку персональных данных».

10.5. Вся информация, которая собирается сторонними сервисами, в том числе платежными системами, средствами связи и другими поставщиками услуг, хранится и обрабатывается указанными лицами (Операторами) в соответствии с их Пользовательским соглашением и Политикой конфиденциальности. Субъект персональных данных и/или Пользователь обязан самостоятельно своевременно ознакомиться с указанными документами. Оператор не несет ответственность за действия третьих лиц, в том числе указанных в настоящем пункте поставщиков услуг.

10.6. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

10.7. Оператор при обработке персональных данных обеспечивает конфиденциальность персональных данных.

10.8. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

10.9. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.

11. Перечень действий, производимых Оператором с полученными персональными данными

11.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

11.2. Оператор осуществляет автоматизированную обработку персональных данных с получением и/или передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.

12. Трансграничная передача персональных данных

12.1. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.

12.2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.

13. Конфиденциальность персональных данных

13.1. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом о персональных данных.

14. Заключительные положения

14.1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты ines-minenergo@egov66. ru.

14.2. В данный документ могут вноситься любые изменения и дополнения политики обработки персональных данных Оператором.

14.3. Политика действует бессрочно до замены ее новой версией.

14.4. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://ines-ur.ru/privacy/.

Соглашение на обработку персональных данных

1. Общие положения

Настоящее соглашение на обработку персональных данных составлено в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ООО «АКД» (далее – Оператор).

1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://retvizan.ru/.

2. Основные понятия, используемые в Политике

2. 5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.

2.8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://retvizan.ru/.

2.9. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее — персональные данные, разрешенные для распространения).

2.10. Пользователь – любой посетитель веб-сайта https://retvizan.ru/.

2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.12. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

2.14. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.

3. Основные права и обязанности Оператора

3.1. Оператор имеет право:

– получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;

3.2. Оператор обязан:

– организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;

– сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса;

– исполнять иные обязанности, предусмотренные Законом о персональных данных.

4. Основные права и обязанности субъектов персональных данных

4.1. Субъекты персональных данных имеют право:

– получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

– выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;

– на отзыв согласия на обработку персональных данных;

– на осуществление иных прав, предусмотренных законодательством РФ.

4.2. Субъекты персональных данных обязаны:

– предоставлять Оператору достоверные данные о себе;

– сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

5. Оператор может обрабатывать следующие персональные данные Пользователя

5.1. Фамилия, имя, отчество.

5.2. Электронный адрес.

5.3. Номера телефонов.

5.4. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).

5.5. Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные.

5.6. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

5.7. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в ч. 1 ст. 10 Закона о персональных данных, допускается, если соблюдаются запреты и условия, предусмотренные ст. 10.1 Закона о персональных данных.

5.8. Согласие Пользователя на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Закона о персональных данных. Требования к содержанию та

кого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных.

5.8.1 Согласие на обработку персональных данных, разрешенных для распространения, Пользователь предоставляет Оператору непосредственно.

5.8.2 Оператор обязан в срок не позднее трех рабочих дней с момента получения указанного согласия Пользователя опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.

5.8.3 Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Оператором, которому оно направлено.

5.8.4 Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления Оператору требования, указанного в п. 5.8.3 настоящей Политики в отношении обработки персональных данных.

6. Принципы обработки персональных данных

6.1. Обработка персональных данных осуществляется на законной и справедливой основе.

6.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

6.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7. Цели обработки персональных данных

7.1. Цель обработки персональных данных Пользователя:

– информирование Пользователя посредством отправки электронных писем;

– заключение, исполнение и прекращение гражданско-правовых договоров;

– предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте https://retizan.ru/.

7.2. Также Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты [email protected] с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».

8. Правовые основания обработки персональных данных

8.1. Правовыми основаниями обработки персональных данных Оператором являются:

– перечислите нормативно-правовые акты, регулирующие отношения, связанные с вашей деятельностью, например, если ваша деятельность связана с информационными технологиями, в частности с созданием сайтов, то здесь можно указать Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ;

– уставные документы Оператора;

– договоры, заключаемые между оператором и субъектом персональных данных;

– федеральные законы, иные нормативно-правовые акты в сфере защиты персональных данных;

– согласия Пользователей на обработку их персональных данных, на обработку персональных данных, разрешенных для распространения.

8.2. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://retvizan.ru/ или направленные Оператору посредством электронной почты. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.

8.3. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).

9. Условия обработки персональных данных

9.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

10. Порядок сбора, хранения, передачи и других видов обработки персональных данных

10.3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора [email protected] с пометкой «Актуализация персональных данных».

10.4. Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора [email protected] с пометкой «Отзыв согласия на обработку персональных данных».

10.7. Оператор при обработке персональных данных обеспечивает конфиденциальность персональных данных.

10.8. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

11. Перечень действий, производимых Оператором с полученными персональными данными

12. Трансграничная передача персональных данных

13. Конфиденциальность персональных данных

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

14. Заключительные положения

14.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.

14.3. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://retvizan.ru/include/licenses_detail.php

Политика обработки персональных данных

Общие положения
Правовые основания обработки персональных данных
Порядок и условия обработки персональных данных
Права субъектов персональных данных
Права и обязанности Оператора

1. Общие положения

Настоящий документ (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в ООО «Код Безопасности» (далее – Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

Политика действует бессрочно после утверждения и до ее замены новой версией.

В Политике используются термины и определения в соответствии с их значениями, как они определены в ФЗ-152 «О персональных данных».

Обработка персональных данных Оператора осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных.

2. Правовые основания обработки персональных данных

Обработка персональных данных осуществляется Оператором на законной и справедливой основе, на основании следующих документов:

Конституция Российской Федерации;
Трудовой кодекс Российской Федерации;
Гражданский кодекс Российской Федерации;
Налоговый кодекс Российской Федерации;
Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных»;
Федеральный закон от 06.04.2011г. № 63-ФЗ «Об электронной подписи»;
Федеральный закон от 04.05.2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности»;
Федеральный закон от 07.07.2003г. № 126-ФЗ «О связи»;
Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
Федеральный закон от 22. 10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
Федеральный закон от 29.12.2012 N 273-ФЗ «Об образовании в Российской Федерации»;
Устав ООО «Код Безопасности».

3. Порядок и условия обработки персональных данных

Обработка персональных данных Оператором ведется смешанным способом, т.е. происходит как, с использованием средств автоматизации, так и без таковых.

Осуществляются следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

При обработке обеспечиваются точность, достаточность и актуальность персональных данных по отношению к целям их обработки. При обнаружении неточных или неполных персональных данных производится их актуализация.

Получение и обработка персональных данных в случаях, предусмотренных ФЗ-152, осуществляется Оператором с письменного согласия субъекта персональных данных. Равнозначным согласию в письменной форме на бумажном носителе, содержащему собственноручную подпись субъекта персональных данных, признается согласие в форме электронного документа, подписанного квалифицированной электронной подписью.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено ФЗ-152.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.

Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки.

Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений и поручений. Вышеуказанные документы могут определять, в частности:

цели, условия, сроки обработки персональных данных;
обязательства сторон, в том числе меры по обеспечению безопасности персональных данных;
права, обязанности и ответственность сторон, касающиеся обработки персональных данных.

В случаях, явно не предусмотренных действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством.

Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных, их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
резервное копирование информации для возможности восстановления;
осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

4. Права субъектов персональных данных

Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных Оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые Оператором способы обработки персональных данных;
наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5. Права и обязанности Оператора

Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.

Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных.

Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и контрагентом гражданско-правового договора или Соглашения о конфиденциальности информации.

Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.

Политика обработки персональных данных разрабатывается ответственным за организацию обработки персональных данных и вводится в действие после утверждения руководителем Оператора. Предложения и замечания для внесения изменений в Политику следует направлять по адресу [email protected]. Политика пересматривается ежегодно для поддержания в актуальном состоянии и актуализируется по мере необходимости.

Privacy

5.1. Обработка персональных данных Оператором осуществляется следующими способами:

неавтоматизированная обработка персональных данных;
автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
смешанная обработка персональных данных.

5.2. Перечень действий, совершаемых Оператором с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий в соответствии с действующим законодательством Российской Федерации.

5.3. Обработка персональных данных осуществляется Оператором при условии получения согласия субъекта персональных данных (далее – «Согласие»), за исключением установленных законодательством РФ случаев, когда обработка персональных данных может осуществляться без такого Согласия.
5.4. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает Согласие свободно, своей волей и в своем интересе.
5.5. Согласие дается в любой позволяющей подтвердить факт его получения форме. В предусмотренных законодательством Российской Федерации случаях Согласие оформляется в письменной форме.
5.6. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия Согласия или отзыв Согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.
5.7. Согласие может быть отозвано путем письменного уведомления, направленного в адрес Компании заказным почтовым отправлением или письмом на электронную почту: k-ampus@tandp.

ru
5.9. Оператор при обработке персональных данных принимает или обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.10. Согласие на обработку персональных данных субъекта персональных данных вступает в силу со дня его принятия (подписания) и действует в течение неопределенного срока и может быть отозвано на основании письменного заявления субъекта персональных данных в произвольной форме.
5.11. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

5.12. При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории Российской Федерации.
5.13. Оператор имеет право передавать персональные данные субъектов персональных данных агентам и третьим лицам, действующим на основании договора с Оператором, для надлежащего исполнения обязательств перед субъектом персональных данных.
5.14. Организация не раскрывает информацию о конкретных применяемых средствах и методах обеспечения информационной безопасности персональных данных в целях обеспечения надлежащего уровня защиты персональных данных требованиям законодательства Российской Федерации.
5.15. В случае если посетитель Сайта сделал свои персональные данные или их часть доступными для неограниченного круга лиц, Оператор имеет право не обрабатывать такие персональные данные и не несет за них ответственность.

Согласие на обработку и хранение персональных данных

Оставляя свои данные на Сайте www. polymedia.ru путем заполнения полей онлайн-заявок (регистраций, форм обратной связи, запросов и т.д.), я в соответствии с Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон 152-ФЗ) настоящим выражаю свое согласие на обработку ООО «Полимедиа» (ИНН 9705117847, адрес 115114, г. Москва, ул. Летниковская, дом 10, стр.2, помещ. 502) моих персональных данных (далее – Данные) в нижеуказанных целях и способами сроком на 5 (Пять) лет.

Перечень действий с Данными, на совершение которых дается согласие:

обработка (включая сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение персональных данных), передача Данных третьим лицам, в случаях, установленных действующим законодательством.

Общее описание вышеуказанных способов обработки Данных приведено в Законе 152-ФЗ.

Перечень Данных, на обработку которых дается согласие:

фамилия, имя, отчество, номер телефона, id пользователя в социальных сетях, адрес электронной почты, место работы, должность.

Цель обработки Данных:

регистрация на мероприятия, тренинги, вебинары, получение ответов, комментариев на мои вопросы, направление на указанный мной адрес электронной почты и/или номер телефона информации о товарах, работах, услугах ООО «Полимедиа».

Подтверждаю, что Данные и иные сведения, относящиеся ко мне предоставлены мной ООО «Полимедиа» добровольно, являются достоверными, принадлежат мне лично.

Отзыв Согласия:

путем направления уведомления с требованием о прекращении обработки Данных на электронный адрес [email protected].

Согласие автоматически отзывается в случае истечения срока, на которое выдано настоящее согласие.

Скачать соглашение

Общий регламент по защите данных (GDPR)

Обработка персональных данных, как правило, запрещена, за исключением случаев, когда это прямо разрешено законом или если субъект данных дал согласие на обработку. Хотя согласие является одним из наиболее известных правовых оснований для обработки персональных данных, оно является лишь одним из шести оснований, упомянутых в Общем регламенте по защите данных (GDPR). Другие: контракт, юридические обязательства, жизненно важные интересы субъекта данных, общественные интересы и законные интересы, как указано в статье 6 (1) GDPR.

Основные требования к эффективности действительного законного согласия определены в статье 7 и дополнительно указаны в пункте 32 GDPR. Согласие должно быть дано свободно, конкретно, информировано и недвусмысленно. Чтобы получить свободное согласие, оно должно быть дано на добровольной основе. Элемент «бесплатно» подразумевает реальный выбор субъекта данных. Любой элемент ненадлежащего давления или влияния, который может повлиять на результат этого выбора, делает согласие недействительным. При этом юридический текст учитывает определенный дисбаланс между контролером и субъектом данных.Например, в отношениях между работодателем и работником: работник может беспокоиться о том, что его отказ дать согласие может иметь серьезные негативные последствия для его трудовых отношений, поэтому согласие может быть законным основанием для обработки только в нескольких исключительных обстоятельствах. Кроме того, действует так называемый «запрет на сцепку» или «запрет на сцепку или связывание». Таким образом, выполнение договора не может быть поставлено в зависимость от согласия на дальнейшую обработку персональных данных, которые не нужны для выполнения этого договора.

Чтобы согласие было информированным и конкретным, субъект данных должен быть, по крайней мере, уведомлен о личности контролера, о том, какие данные будут обрабатываться, как они будут использоваться и о цели операций обработки в качестве защиты от «расползания функций». . Субъект данных также должен быть проинформирован о своем праве отозвать согласие в любое время. Выход должен быть таким же простым, как и согласие. В соответствующих случаях контролер также должен информировать об использовании данных для автоматизированного принятия решений, возможных рисках передачи данных из-за отсутствия решения об адекватности или других соответствующих мерах предосторожности.

Согласие должно быть связано с одной или несколькими указанными целями, которые затем должны быть достаточно объяснены. Если согласие должно узаконивать обработку особых категорий персональных данных, информация для субъекта данных должна прямо указывать на это.
Всегда должно быть четкое различие между информацией, необходимой для информированного согласия, и информацией о других договорных вопросах.

И последнее, но не менее важное: согласие должно быть недвусмысленным, то есть оно требует либо заявления, либо четкого утвердительного действия.Согласие не может быть подразумеваемым и всегда должно даваться путем подписки, заявления или активного движения, чтобы не возникло недопонимания того, что субъект данных дал согласие на конкретную обработку. При этом для согласия не требуется формы, даже если письменное согласие рекомендуется из-за ответственности контролера. Таким образом, он также может быть предоставлен в электронной форме. В связи с этим согласие детей и подростков в отношении услуг информационного общества представляет собой особый случай.Для лиц моложе 16 лет требуется дополнительное согласие или разрешение от лица, несущего родительскую ответственность. Возрастное ограничение регулируется оговоркой о гибкости. Государства-члены могут установить более низкий возраст в соответствии с национальным законодательством при условии, что такой возраст не ниже 13 лет. Когда предложение услуги явно не адресовано детям, оно освобождается от этого правила. Однако это не относится к предложениям, адресованным как детям, так и взрослым.

Как видите, согласие не является панацеей при обработке персональных данных.Особенно с учетом того, что европейские органы по защите данных ясно дали понять, «что если контролер решит полагаться на согласие на какую-либо часть обработки, он должен быть готов уважать этот выбор и остановить эту часть обработки, если физическое лицо отзовет согласие. ” В строгом понимании это означает, что контролеру не разрешается переключаться с согласия на законных основаниях на законный интерес после того, как субъект данных отзывает свое согласие. Это применимо даже в том случае, если изначально существовал действительный законный интерес. Поэтому согласие всегда следует выбирать в качестве последнего варианта обработки персональных данных.

Внешние ссылки

Власти

Управление по защите данных Великобритании ► Руководство по согласию GDPR (ссылка)
Управление по защите данных Великобритании ► Согласие (ссылка)
Орган по защите данных острова Мэн ► Согласие (ссылка)
Статья 29 Рабочая группа по защите данных ► WP 259 – Руководство по получению согласия (ссылка)
Европейская комиссия ► Основания для обработки (ссылка)
Европейская комиссия ► Когда согласие действительно? (ссылка)
Публикации ЕС ► Справочник по европейскому законодательству о защите данных – Согласие, стр. 111 (ссылка)

Вклад экспертов

Лукас Золейник ► Как: GDPR, согласие и обработка данных (ссылка)
IAPP ► Руководство пользователя по получению согласия (ссылка)
Тилбургский университет ► Согласие время от времени (ссылка)
CIPL ► Внедрение GDPR в отношении данных и согласия детей (ссылка)
CIPL ► Рекомендации по обеспечению прозрачности, согласия и законных интересов в соответствии с GDPR (ссылка)
Oxford University Press ► Комментарий к Общему регламенту ЕС по защите данных (GDPR) — Законность обработки, стр. 32 (ссылка)

Законное основание для обработки | ИКО

Краткий обзор

У вас должно быть действующее законное основание для обработки персональных данных.
Имеется шесть доступных законных оснований для обработки. Ни одна из основ не является «лучше» или более важной, чем другие. Какая основа наиболее уместна для использования, зависит от вашей цели и отношений с человеком.
Большинство законных оснований требуют, чтобы обработка была «необходима» для определенной цели. Если вы можете разумно достичь той же цели без обработки, у вас не будет законного основания.
Прежде чем начать обработку, вы должны определить свое законное основание и задокументировать его.У нас есть интерактивный инструмент, чтобы помочь вам.
Позаботьтесь о том, чтобы сделать это правильно с первого раза — вы не должны переходить на другое законное основание позже без веской причины. В частности, вы обычно не можете перейти от согласия к другому основанию.
Ваше уведомление о конфиденциальности должно включать ваши законные основания для обработки, а также цели обработки.
Если ваши цели изменятся, вы сможете продолжить обработку в соответствии с первоначальным законным основанием, если ваша новая цель совместима с вашей первоначальной целью (если вашим первоначальным законным основанием не было согласие).
Если вы обрабатываете данные специальной категории, вам необходимо указать как законное основание для общей обработки, так и дополнительное условие для обработки данных этого типа.
Если вы обрабатываете данные о судимости или данные о правонарушениях, вам необходимо указать как законное основание для общей обработки, так и дополнительное условие для обработки этого типа данных.

Контрольный список

☐ Мы рассмотрели цели нашей деятельности по обработке и выбрали наиболее подходящее законное основание (или основания) для каждого действия.

☐ Мы проверили, что обработка необходима для соответствующей цели, и удовлетворены тем, что нет другого разумного и менее навязчивого способа достижения этой цели.

☐ Мы задокументировали наше решение о том, какое законное основание применимо, чтобы помочь нам продемонстрировать соблюдение требований.

☐ Мы включили информацию как о целях обработки, так и о законных основаниях для обработки в наше уведомление о конфиденциальности.

☐ Когда мы обрабатываем данные специальной категории, мы также определили условие для обработки данных специальной категории и задокументировали это.

☐ Когда мы обрабатываем данные об уголовных преступлениях, мы также определили условие для обработки этих данных и задокументировали это.

Кратко

Каковы законные основания для обработки?

Законные основания для обработки изложены в статье 6 GDPR Великобритании. По крайней мере один из них должен применяться всякий раз, когда вы обрабатываете личные данные:

(a) Согласие: физическое лицо дало вам явное согласие на обработку его персональных данных для определенной цели.

(b) Контракт: обработка необходима для контракта, который у вас есть с физическим лицом, или потому что они попросили вас предпринять определенные шаги перед заключением контракта.

(c) Юридическое обязательство: обработка необходима для соблюдения вами закона (не включая договорные обязательства).

(d) Жизненно важные интересы: обработка необходима для защиты чьей-либо жизни.

(e) Публичная задача: обработка необходима для выполнения вами задачи в общественных интересах или для выполнения ваших официальных функций, и задача или функция имеет четкую юридическую основу.

(f) Законные интересы: обработка необходима для ваших законных интересов или законных интересов третьей стороны, за исключением случаев, когда существует веская причина для защиты личных данных человека, которая имеет приоритет над этими законными интересами. (Это неприменимо, если вы являетесь государственным органом, обрабатывающим данные для выполнения своих официальных задач.)

Подробнее о каждом законном основании читайте на соответствующей странице этого руководства.

Дополнительное чтение

Когда обработка необходима?

Многие из законных оснований для обработки зависят от того, является ли обработка «необходимой». Это не означает, что обработка должна быть абсолютно необходимой. Однако это должно быть больше, чем просто полезно, и больше, чем просто стандартная практика. Это должен быть целенаправленный и соразмерный способ достижения конкретной цели. Законное основание не будет применяться, если вы можете разумно достичь цели с помощью других менее навязчивых средств или путем обработки меньшего количества данных.

Недостаточно утверждать, что обработка необходима, потому что вы решили вести свой бизнес определенным образом.Вопрос в том, объективно ли обработка необходима для заявленной цели, а не является ли она необходимой частью выбранных вами методов.

Почему важна законная основа для обработки?

Первый принцип требует, чтобы вы обрабатывали все личные данные законно, справедливо и прозрачно. Если к вашей обработке не применимо никаких законных оснований, ваша обработка будет незаконной и нарушающей первый принцип.

Физические лица также имеют право на удаление персональных данных, которые были обработаны незаконно.

Право человека на получение информации в соответствии со статьями 13 и 14 требует, чтобы вы предоставили людям информацию о ваших законных основаниях для обработки. Это означает, что вам необходимо включить эти данные в свое уведомление о конфиденциальности.

Законное основание для вашей обработки также может повлиять на то, какие права доступны отдельным лицам. Например, некоторые права не будут применяться:

Однако физическое лицо всегда имеет право возражать против обработки в целях прямого маркетинга, независимо от применимого законного основания.

Остальные права не всегда являются абсолютными, и есть другие права, на которые можно повлиять другими способами. Например, ваше законное основание может повлиять на применение положений, касающихся автоматизированных решений и профилирования, и если вы полагаетесь на законные интересы, вам потребуется более подробная информация в вашем уведомлении о конфиденциальности.

Подробную информацию см. в разделе настоящего Руководства о правах отдельных лиц.

Дополнительное чтение

Как мы решим, какое законное основание применимо?

Это зависит от ваших конкретных целей и контекста обработки.Вы должны подумать о том, почему вы хотите обрабатывать данные, и решить, какое законное основание лучше всего соответствует обстоятельствам. Вы можете использовать наш интерактивный инструмент руководства, чтобы помочь вам.

Возможно, вы считаете, что применяется несколько оснований, и в этом случае вам следует определить и задокументировать их все с самого начала.

Вы не должны использовать универсальный подход. Ни одна основа не должна всегда рассматриваться как лучшая, безопасная или более важная, чем другие, и нет никакой иерархии в порядке списка в GDPR Великобритании.

Некоторые из законных оснований связаны с конкретной определенной целью — юридическим обязательством, выполнением договора с физическим лицом, защитой чьих-либо жизненно важных интересов или выполнением ваших общественных задач. Если вы обрабатываете данные для этих целей, то соответствующие законные основания могут быть очевидны, поэтому полезно рассмотреть их в первую очередь.

В других случаях у вас, вероятно, будет выбор между использованием законных интересов или согласием. Вам нужно подумать о более широком контексте, в том числе:

Кому выгодна обработка?
Ожидают ли люди, что эта обработка будет иметь место?
Каковы ваши отношения с человеком?
У вас есть власть над ними?
Как обработка влияет на человека?
Они уязвимы?
Могут ли некоторые из заинтересованных лиц возразить?
Можно ли остановить обработку в любое время по запросу?

Вы можете предпочесть рассматривать законные интересы в качестве своего законного основания, если хотите сохранить контроль над обработкой и взять на себя ответственность за демонстрацию того, что она соответствует разумным ожиданиям людей и не окажет на них неоправданного влияния. С другой стороны, если вы предпочитаете предоставить отдельным лицам полный контроль над их данными и ответственность за них (включая возможность изменить свое мнение относительно того, можно ли продолжать их обработку), вы можете рассмотреть вопрос о том, чтобы полагаться на согласие отдельных лиц.

Подробнее

Мы разработали интерактивное руководство по законным основаниям, чтобы предоставить более точные рекомендации относительно того, какие законные основания наиболее подходят для вашей деятельности по обработке данных.

Отличается ли это для органов государственной власти?

Основной подход тот же.Вы должны подумать о своих целях и выбрать ту основу, которая подходит лучше всего. Вы по-прежнему можете использовать наш инструмент законных оснований, чтобы помочь вам.

Основа общедоступных задач, скорее всего, будет иметь отношение к большей части того, что вы делаете. Если вы являетесь государственным органом и можете продемонстрировать, что обработка предназначена для выполнения ваших задач в соответствии с законодательством Великобритании, вы можете использовать принцип публичного задания. Но если она для другой цели, можно еще рассмотреть другую основу.

В частности, в некоторых случаях вы все еще можете учитывать согласие или законные интересы, в зависимости от характера обработки и ваших отношений с человеком.Абсолютного запрета на использование органами государственной власти согласия или законных интересов в качестве своего законного основания не существует, хотя и существуют некоторые ограничения. Для получения дополнительной информации см. страницу конкретных руководств по каждому законному основанию.

В Законе о защите данных 2018 г. говорится, что «государственный орган» здесь означает государственный орган в соответствии с Законом о свободе информации или Законом о свободе информации (Шотландия), за исключением приходских и общественных советов.

Пример

Университет, который хочет обрабатывать персональные данные, может рассмотреть различные законные основания в зависимости от того, что он хочет делать с данными.

Университеты классифицируются как органы государственной власти, поэтому принцип общественных задач, вероятно, будет применяться к большей части их обработки, в зависимости от деталей их конституций и юридических полномочий. Если обработка не связана с их задачами в качестве государственного органа, то университет может вместо этого рассмотреть вопрос о том, уместны ли согласие или законные интересы в конкретных обстоятельствах. Например, университет может полагаться на публичное задание для обработки персональных данных в учебных и исследовательских целях; но смесь законных интересов и согласия для отношений выпускников и целей сбора средств.

Тем не менее, университету необходимо тщательно рассмотреть свою основу – ответственность контролера заключается в том, чтобы продемонстрировать, какая законная основа применима к конкретной цели обработки.

Дополнительное чтение

Можем ли мы изменить наши законные основания?

Прежде чем приступить к обработке персональных данных, вы должны определить свое законное основание. Важно сделать это правильно с первого раза. Если позже вы обнаружите, что выбранная вами основа была на самом деле неподходящей, будет сложно просто перейти на другую.Даже если с самого начала можно было бы применить другое основание, ретроспективное изменение законного основания, вероятно, будет изначально несправедливым по отношению к человеку и приведет к нарушению требований подотчетности и прозрачности.

Пример

Компания приняла решение об обработке на основе согласия и получила согласие от физических лиц. Впоследствии физическое лицо решило отозвать свое согласие на обработку своих данных, что является его правом. Однако компания хотела продолжить обработку данных, поэтому решила продолжить обработку на основании законных интересов.

Даже если изначально она могла полагаться на законные интересы, компания не может сделать это позднее — она не может изменить базу, когда поняла, что первоначально выбранная база была неуместной (в данном случае, потому что она не хотела предлагать индивидуальному настоящий постоянный контроль). Он должен был с самого начала дать понять человеку, что он обрабатывает на основе законных интересов. Заставлять человека верить, что у него есть выбор, по своей сути несправедливо, если этот выбор не имеет значения.Поэтому компания должна прекратить обработку, когда физическое лицо отзывает согласие.

Поэтому важно заранее тщательно оценить, какое основание подходит, и задокументировать это. Возможно, что к обработке применяется более одного основания, потому что у вас более одной цели, и в этом случае вы должны четко указать это с самого начала.

Если произошло действительное изменение обстоятельств или у вас появилась новая и непредвиденная цель, которая означает, что есть веская причина для пересмотра вашего законного основания и внесения изменения, вам необходимо сообщить об этом лицу и задокументировать изменение.

Дополнительное чтение

Что произойдет, если у нас появится новая цель?

Если ваши цели со временем меняются или у вас появляется новая цель, которую вы изначально не предполагали, вам может не понадобиться новое законное основание, если ваша новая цель совместима с первоначальной целью.

Однако это не относится к обработке на основе согласия. Согласие всегда должно быть конкретным и информированным, а повторное использование данных для новой цели несправедливо подорвет первоначальное согласие.Обычно вам необходимо получить новое согласие, конкретно касающееся новой цели. Если вы получили конкретное согласие на новую цель, вам не нужно показывать, что она совместима.

В других случаях, чтобы оценить, совместима ли новая цель с первоначальной целью, следует принять во внимание:

любая связь между вашей первоначальной целью и новой целью;
контекст, в котором вы собрали данные — в частности, ваши отношения с человеком и то, что они разумно ожидают;
характер персональных данных – например, это данные особой категории или данные об уголовном преступлении;
возможные последствия для физических лиц новой обработки; и
, существуют ли соответствующие меры безопасности, например, шифрование или псевдонимизация.

Этот список не является исчерпывающим, и то, на что следует обратить внимание, зависит от конкретных обстоятельств.

Вы можете найти наш шаблон оценки законных интересов полезным инструментом для оценки совместимости, так как оба учитывают схожие факторы.

Как правило, если новая цель сильно отличается от первоначальной, будет неожиданной или окажет неоправданное влияние на человека, маловероятно, что она будет совместима с вашей первоначальной целью сбора данных.Затем вы можете продолжить только в том случае, если вы получите конкретное согласие для новой цели или вы можете указать на конкретное правовое положение, требующее или разрешающее новую обработку в общественных интересах (в этом случае вашим новым законным основанием будет юридическое обязательство или общественная задача). ).

Если вы обрабатываете данные особой категории, вам необходимо убедиться, что вы можете определить соответствующее условие, которое применяется к вашей новой обработке.

В GDPR Великобритании конкретно указано, что дальнейшая обработка для следующих целей должна считаться совместимой законной обработкой:

архивирование в общественных интересах;
научно-исследовательские цели; и
статистических целей.

Здесь есть ссылка на принцип «целевого ограничения» в статье 5, который гласит, что «персональные данные должны собираться для определенных, явных и законных целей и не обрабатываться в дальнейшем способом, несовместимым с этими целями».

Даже если обработка для новой цели является законной, вам также необходимо рассмотреть вопрос о том, является ли она честной и прозрачной, и предоставить людям информацию о новой цели.

Дополнительное чтение

Как мы должны задокументировать наши законные основания?

Принцип подотчетности требует, чтобы вы могли продемонстрировать, что вы соблюдаете GDPR Великобритании и имеете соответствующие политики и процессы. Это означает, что вы должны быть в состоянии показать, что вы должным образом рассмотрели, какое законное основание применимо к каждой цели обработки, и можете обосновать свое решение.

Поэтому вам необходимо вести учет того, на какое основание вы полагаетесь для каждой цели обработки, и обоснование того, почему вы считаете, что оно применимо. Для этого не существует стандартной формы, если вы убедитесь, что того, что вы записываете, достаточно, чтобы продемонстрировать, что применяется законное основание. Это поможет вам соблюдать обязательства по подотчетности, а также поможет вам при написании уведомлений о конфиденциальности.

Вы несете ответственность за то, чтобы продемонстрировать, какое законное основание применимо к конкретной цели обработки.

Прочтите раздел об ответственности в этом руководстве, чтобы узнать больше по этой теме. Кроме того, на соответствующих страницах руководства приведены дополнительные указания по документированию согласия или оценок законных интересов.

Дополнительное чтение

Что нам нужно сказать людям?

Вам необходимо включить информацию о вашем законном основании (или основаниях, если применимо более одного) в ваше уведомление о конфиденциальности.В соответствии с положениями о прозрачности GDPR Великобритании информация, которую вы должны предоставить людям, включает:

предполагаемые цели обработки персональных данных; и
законное основание для обработки.

Это применимо независимо от того, собираете ли вы личные данные непосредственно от человека или вы собираете их данные из другого источника.

Прочтите раздел «Право на получение информации» в этом руководстве, чтобы узнать больше о требованиях GDPR к прозрачности.

Дополнительное чтение

Как насчет данных специальной категории?

Если вы обрабатываете данные специальной категории, вам необходимо указать как законное основание для обработки, так и условие особой категории для обработки в соответствии со статьей 9. Вы должны документировать как ваше законное основание для обработки, так и ваше условие специальной категории, чтобы вы могли демонстрировать соответствие и подотчетность.

Дальнейшие указания можно найти в разделе, посвященном данным специальной категории.

А как насчет данных об уголовных преступлениях?

Если вы обрабатываете данные об уголовных судимостях, уголовных правонарушениях или связанных с ними мерах безопасности, вам необходимо как законное основание для обработки, так и либо «официальный орган», либо отдельное условие для обработки этих данных в соответствии со статьей 10. Вы должны документировать оба ваше законное основание для обработки и состояние данных о вашем уголовном преступлении, чтобы вы могли продемонстрировать соблюдение и подотчетность.

Дальнейшие указания можно найти в разделе, посвященном данным об уголовных преступлениях.

Дополнительная литература – руководство ICO

Структура подотчетности рассматривает ожидания ICO в отношении законной основы.

Back to top Предыдущий Следующий
Когда уместно согласие? | ИКО
Подробно
Всегда ли нужно согласие?
Короче говоря, нет. Согласие является одним из законных оснований для обработки, но есть еще пять других. Согласие не всегда будет самым подходящим или самым простым.
Вы всегда должны выбирать законное основание, которое наиболее точно отражает истинный характер ваших отношений с человеком и цель обработки. Если дать согласие сложно, часто это происходит потому, что другое законное основание является более подходящим, поэтому вам следует рассмотреть альтернативы. См. раздел «Каковы альтернативы согласию?».
Точно так же явное согласие является одним из способов узаконить обработку персональных данных особой категории, но не единственным. В статье 9(2) перечислены девять других условий (дополненных приложением 1 Закона о защите данных 2018 г.).Альтернативные условия обработки данных специальной категории, как правило, более строгие и адаптированы к конкретным ситуациям, но вы все равно должны сначала проверить, применимы ли какие-либо из них.
Когда мы должны получить согласие?
Вам, вероятно, придется рассмотреть вопрос о согласии, когда нет очевидных других законных оснований. Например, это может иметь место, если вы хотите использовать или делиться чьими-либо данными особенно неожиданным или потенциально навязчивым способом или способом, несовместимым с вашей первоначальной целью.
Если вы используете данные особой категории, вам может потребоваться получить прямое согласие для узаконивания обработки, если не применяется одно из других конкретных условий в статье 9(2). Обратите внимание, что некоторые другие условия по-прежнему требуют, чтобы вы сначала рассмотрели согласие или получили согласие на некоторые элементы вашей обработки. Например, если вы являетесь некоммерческой организацией и решили полагаться на статью 9(2)(d), вам все равно необходимо явное согласие на раскрытие данных любым сторонним контролерам.
Вам также, вероятно, потребуется согласие в соответствии с законами об электронной конфиденциальности для многих типов маркетинговых звонков и маркетинговых сообщений, файлов cookie веб-сайтов или других методов онлайн-отслеживания, а также для установки приложений или другого программного обеспечения на устройства людей. Эти правила в настоящее время содержатся в Положениях о конфиденциальности и электронных коммуникациях 2003 г. (PECR), они применяют определение согласия GDPR. Обратите внимание: если система ePR будет принята, мы выпустим дополнительные рекомендации.
Если вам требуется согласие в соответствии с законами об электронной конфиденциальности для отправки маркетингового сообщения, то на практике согласие также является подходящим законным основанием в соответствии с GDPR Великобритании.Если законы об электронной конфиденциальности не требуют согласия на маркетинг, вместо этого вы можете рассмотреть законные интересы.
Если вам нужно согласие на размещение файлов cookie, это должно соответствовать стандарту GDPR Великобритании. Тем не менее, вы все равно можете рассмотреть альтернативное законное основание, такое как законные интересы, для любой связанной обработки персональных данных.
Дальнейшее чтение
Подробнее о существующих правилах электронной конфиденциальности см. в нашем Руководстве по PECR.
Для получения дополнительной информации о маркетинге в соответствии с GDPR Великобритании см.:
В каких других обстоятельствах согласие может быть уместным?
Согласие, вероятно, будет наиболее подходящим законным основанием для обработки (или соответствующим шлюзом через другие соответствующие положения), если вы хотите предложить людям реальный выбор и контроль над тем, как вы используете их данные.В частности, вы можете рассмотреть возможность использования согласия, чтобы повысить уровень их взаимодействия с вашей организацией и побудить их доверять вам более полезные данные.
Однако, является ли согласие уместным и действительным, всегда будет зависеть от конкретных обстоятельств.
См. также «В чем преимущества правильного получения согласия?»
Когда уместно использовать согласие на данные специальной категории?
Если вы хотите обрабатывать данные специальной категории, вы должны указать как законное основание в соответствии со статьей 6, так и отдельное условие для обработки данных специальной категории в соответствии со статьей 9, дополненное Приложением 1 Закона о защите данных 2018 года.
Первым условием, перечисленным в статье 9, является «явное согласие». Однако это не означает, что это всегда лучшее или наиболее подходящее состояние. Вы всегда должны учитывать, подходят ли какие-либо другие условия для конкретной ситуации.
Ваш выбор законного основания в соответствии со статьей 6 не обязательно диктует, какое условие статьи 9 вы должны применить. Даже если вы не полагались на согласие как на законное основание для обработки, вы все равно можете рассматривать «явное согласие» в качестве своего условия статьи 9 для любых данных особой категории.Однако вы должны помнить, что явное согласие должно соответствовать стандарту GDPR Великобритании для действительного согласия и может быть отозвано в любое время.
Подробнее о том, что считается «явным» согласием, см. в разделе «Что такое действительное согласие?».
Если вам необходимо обработать данные специальной категории для предоставления услуги, запрошенной физическим лицом, наиболее подходящим законным основанием, вероятно, будет «необходимо для контракта». Но явное согласие может по-прежнему быть доступно в качестве вашего условия для обработки необходимых данных специальной категории.Однако вы должны быть уверены, что можете продемонстрировать, что согласие по-прежнему дается добровольно, в частности, что обработка действительно необходима для службы.
Пример
Женщина записалась на занятия йогой для беременных. Инструктор будет обрабатывать данные, касающиеся их здоровья (т.е. факт их беременности вместе с любой информацией о сроках родов), и поэтому ему необходимо как законное основание, так и условие для обработки данных специальной категории.
Поскольку инструктору необходимо обработать эти данные для проведения занятий йогой, подходящим законным основанием, скорее всего, будет «выполнение контракта».
Несмотря на то, что человек не может записаться на курс, не раскрыв информацию о своей беременности, явное согласие, вероятно, все же будет подходящим условием для обработки данных о здоровье. Обработка объективно необходима для предоставления запрошенного класса, и у человека есть свободный выбор, подписываться на этот класс или нет.
Дополнительная литература – руководство ICO
Последние рекомендации по условиям обработки данных специальной категории см. на странице данных специальной категории в нашем Руководстве по GDPR Великобритании.

Дополнительная литература – Европейский совет по защите данных
Европейский совет по защите данных (EDPB) состоит из представителей органов по защите данных каждого государства-члена ЕС. Он принимает рекомендации по соблюдению требований GDPR. Рекомендации EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании. Тем не менее, они могут по-прежнему давать полезные рекомендации по некоторым вопросам.
EDPB выпустил Руководство по согласию.
Когда согласие неуместно?
Из этого следует, что если по какой-либо причине вы не можете предложить людям реальный выбор в отношении того, как вы используете их данные, согласие не будет подходящим основанием для обработки. Это может иметь место, если, например:
вы все равно будете обрабатывать данные на другом законном основании, если согласие будет отклонено или отозвано;
вы запрашиваете «согласие» на обработку в качестве предварительного условия доступа к вашим услугам; или
, вы имеете власть над человеком, например, если вы являетесь государственным органом или работодателем, обрабатывающим данные сотрудников.
Вы все равно будете обрабатывать данные без согласия
Если вы по-прежнему будете обрабатывать персональные данные на другом законном основании, даже если согласие было отклонено или отозвано, то получение согласия от лица вводит в заблуждение и по своей сути несправедливо. Он представляет человеку ложный выбор и только иллюзию контроля. Вы должны определить наиболее подходящее законное основание с самого начала.
Пример
Компания, предоставляющая кредитные карты, просит своих клиентов дать согласие на отправку их личных данных в бюро кредитных историй для оценки кредитоспособности.
Однако, если клиент отказывается или отзывает свое согласие, компания-эмитент кредитной карты по-прежнему будет отправлять данные в бюро кредитных историй на основании «законных интересов». Поэтому спрашивать согласия вводит в заблуждение и неуместно — реального выбора нет. Компания с самого начала должна была полагаться на «законные интересы». Чтобы обеспечить справедливость и прозрачность, компания по-прежнему должна сообщать клиентам, что это произойдет, но это сильно отличается от предоставления им выбора в отношении условий защиты данных.
Прежде чем приступить к обработке персональных данных, вам необходимо тщательно подумать, потребуется ли вам по-прежнему сохранять какие-либо данные для каких-либо других целей, если физическое лицо отзовет свое согласие. Например, вам может потребоваться сохранить его для соблюдения юридических обязательств или для целей аудита. Если это так, вы должны с самого начала четко и ясно указать, какова ваша цель и законное основание для сохранения этих данных после отзыва согласия.
«Согласие» является условием оказания услуги
Если вы требуете от кого-либо согласия на обработку в качестве условия обслуживания, согласие вряд ли будет наиболее подходящим законным основанием для обработки.В некоторых случаях это даже не будет считаться действительным согласием.
Вместо этого, если вы считаете, что обработка необходима для оказания услуги, более подходящим правовым основанием, вероятно, будет «необходимость для выполнения контракта» в соответствии со статьей 6(1)(b). Вам, скорее всего, потребуется полагаться на согласие только в том случае, если это требуется в соответствии с другим положением, например, для некоторых видов электронного маркетинга в соответствии с PECR.
Если обработка данных специальной категории действительно необходима для предоставления услуги физическому лицу, вы все равно можете полагаться на явно выраженное согласие в качестве условия для обработки данных специальной категории, если не применяются никакие другие условия статьи 9. См. Когда уместно использовать согласие для данных особой категории?
Возможно, обработка является условием службы, но на самом деле не является необходимой для этой службы. Если это так, согласие не просто неуместно как законное основание, но и считается недействительным, поскольку оно не дается добровольно. В этих обстоятельствах вы могли бы рассмотреть вопрос о том, подходят ли «законные интересы» в соответствии со статьей 6(1)(f) в качестве вашего законного основания для обработки. В этом случае вы не можете полагаться на явное согласие на какие-либо данные специальной категории, и вам нужно искать другое условие статьи 9.
Пример
Кафе решает предоставить своим посетителям бесплатный Wi-Fi. Чтобы получить доступ к Wi-Fi, клиент должен указать свое имя, адрес электронной почты и номер мобильного телефона, а затем согласиться с правилами и условиями кафе.
В условиях указано, что, предоставляя свои контактные данные, клиент соглашается получать маркетинговые сообщения от кафе. Таким образом, кафе дает согласие на отправку прямого маркетинга в качестве условия доступа к услуге.
Однако сбор сведений о клиенте в целях прямого маркетинга не является обязательным для предоставления Wi-Fi. Следовательно, это не является действительным согласием.
Подробнее о том, когда согласие дается добровольно, см. в разделе «Что такое действительное согласие?».
Вы находитесь во власти
Согласие обычно не подходит, если существует явный дисбаланс власти между вами и человеком. Это связано с тем, что те, кто зависит от ваших услуг или опасается неблагоприятных последствий, могут подумать, что у них нет другого выбора, кроме как согласиться, поэтому согласие не считается добровольным.Это будет особая проблема для государственных органов и работодателей.
Пример
Компания просит своих сотрудников дать согласие на наблюдение за работой. Однако, поскольку сотрудники полагаются на компанию как источник средств к существованию, они могут чувствовать себя обязанными согласиться, поскольку не хотят рисковать своей работой или выглядеть трудными или имеющими что-то скрывать.
Пример
Жилищная ассоциация должна собирать информацию о предыдущих судимостях арендаторов и потенциальных арендаторов для целей оценки рисков при распределении имущества и проведении домашних посещений.Однако неуместно запрашивать согласие на это в качестве условия аренды. Арендатор, подающий заявку на социальное жилье, может оказаться в уязвимом положении и может не иметь многих других вариантов жилья. Таким образом, у них может не быть другого выбора, кроме как подписать условия жилищной ассоциации. Даже если обработка необходима для предоставления жилья, их согласие не считается добровольно предоставленным из-за дисбаланса полномочий.
Если вы являетесь государственным органом или обрабатываете данные сотрудников или имеете любую другую власть над физическим лицом, вам следует искать другое основание для обработки, например «общественное задание» или «законные интересы».
Однако государственным органам и работодателям не запрещено использовать согласие в качестве законного основания. Даже если вы обладаете властью, могут быть ситуации, когда вы все же можете показать, что согласие дано добровольно.
Пример
Местный совет управляет рядом фитнес-центров. Он хочет узнать, что люди думают об объектах, чтобы решить, на чем сосредоточить усилия по улучшению. Он решает отправить анкету по электронной почте лицам, у которых есть членство в фитнес-центре, чтобы спросить их об объектах.
Решение об участии или отказе от участия в опросе является совершенно необязательным, и, учитывая характер отношений и опроса, нет реального риска неблагоприятных последствий в случае отказа от ответа. Совет мог бы рассмотреть вопрос об использовании согласия для обработки ответов.
Пример
Работодатель решил снять для своего веб-сайта видео о наборе персонала. Он проинструктировал некоторых профессиональных актеров, но дает персоналу возможность добровольно сыграть роль в видео.Работодатель ясно дает понять, что участие сотрудников не требуется, и участие не будет учитываться при оценке эффективности.
Поскольку участие является необязательным и для тех, кто не хочет принимать участие, нет неблагоприятных последствий, работодатель может рассмотреть вопрос о согласии.
Однако вам необходимо внимательно изучить конкретные обстоятельства и быть уверенным, что вы можете продемонстрировать, что у человека действительно есть свободный выбор дать согласие или отказаться от него.Возможно, вам придется предпринять шаги, чтобы убедиться, что человек не чувствует никакого давления, чтобы дать согласие, и развеять любые опасения по поводу последствий отказа в согласии.
Пример
Индивидуум получает диагноз рака от своего врача. Врач объясняет, что есть помощь и поддержка от благотворительной организации по борьбе с раком, и они могут передать данные человека в благотворительную организацию, если человек того пожелает.
На первый взгляд наблюдается явный дисбаланс сил, когда человек нездоров и обращается к квалифицированному специалисту с обширными медицинскими знаниями, который отвечает за его лечение. Если врач предложит им обратиться в благотворительную организацию или что это стандартная практика, в игру вступит проблема дисбаланса власти, поскольку человек может почувствовать, что он должен согласиться. Они также могут бояться, что им не будет предложено столько вариантов лечения, или что их лечение каким-то образом пострадает, если они не согласятся.
Однако, если врач позаботится о том, чтобы предложение помощи было нейтральным, и ясно дает понять, что это отдельная и совершенно необязательная услуга, не влияющая на план лечения, то контролер может продемонстрировать, что согласие было дано добровольно. .
Врач также должен удостовериться, что согласие является конкретным, информированным, дано в виде четкого положительного действия и должным образом задокументировано. В частности, им необходимо четко определить благотворительную организацию, объяснить, какими данными они будут делиться с благотворительной организацией, и четко указать, для чего они будут использоваться.
Подробнее о том, когда согласие дается добровольно, см. в разделе «Что такое действительное согласие?».
Другое ненадлежащее использование согласия
Будьте очень осторожны при использовании других ранее существовавших концепций согласия вне контекста, так как они не всегда подходят для целей защиты данных.
Даже если вы подпадаете под отдельное юридическое или этическое требование для получения «согласия» на какие-либо действия, это не означает, что у вас автоматически есть или должно быть действительное согласие GDPR Великобритании на любую связанную обработку персональных данных. В некоторых случаях стандарт согласия может сильно отличаться. Тем не менее, важно тщательно рассмотреть ваши законные основания.
Если вы собираетесь полагаться на согласие как на законное основание, всегда проверяйте, соответствует ли согласие стандарту GDPR Великобритании, а не просто предполагайте, что оно применимо.В частности, подразумеваемое согласие часто не подходит в качестве законного основания для обработки в соответствии с GDPR Великобритании.
Пример
В секторе здравоохранения данные о пациентах хранятся на условиях конфиденциальности. Поставщики медицинских услуг, как правило, действуют на основе подразумеваемого согласия на обмен данными пациентов в целях непосредственного оказания медицинской помощи без нарушения конфиденциальности.
Подразумеваемое согласие на непосредственную помощь является отраслевой практикой в этом контексте. Но это «подразумеваемое согласие» на обмен конфиденциальными записями пациентов — это не то же самое, что согласие на обработку персональных данных в контексте законного основания в соответствии с GDPR Великобритании.
В контексте здравоохранения согласие часто не является надлежащим законным основанием в соответствии с GPDR. Этот тип предполагаемого подразумеваемого согласия не соответствует стандарту четкого положительного действия или не может квалифицироваться как явное согласие для данных особой категории, которая включает данные о здоровье. Вместо этого поставщики медицинских услуг должны указать другое законное основание (например, жизненно важные интересы, общественная задача или законные интересы). Что касается более строгих правил в отношении данных особой категории, статья 9(2)(h) конкретно узаконивает обработку данных в целях здравоохранения или социального обеспечения.
Даже если вам необходимо получить согласие пациента на само лечение, это совершенно не связано с вашими обязательствами по защите данных. Это не означает, что вы должны полагаться на согласие на обработку персональных данных пациента.
Как правило, всякий раз, когда у вас возникают трудности с соблюдением стандарта согласия, это предупреждающий знак о том, что согласие может быть не самым подходящим основанием для вашей обработки. Поэтому мы рекомендуем вам искать другую основу.

Дополнительная литература – Европейский совет по защите данных
Европейский совет по защите данных (EDPB) состоит из представителей органов по защите данных каждого государства-члена ЕС. Он принимает рекомендации по соблюдению требований GDPR. Рекомендации EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании. Тем не менее, они могут по-прежнему давать полезные рекомендации по некоторым вопросам.
EDPB выпустил Руководство по согласию.
Какие есть альтернативы согласию?
Если вы ищете другие законные основания, они изложены в статье 6(1). Таким образом, вы можете обрабатывать персональные данные без согласия, если это необходимо для:
Контракт с физическим лицом : например, на поставку товаров или услуг, которые они запросили, или на выполнение ваших обязательств по трудовому договору. Это также включает шаги, предпринятые по их запросу до заключения контракта.
Соблюдение юридического обязательства : если в соответствии с законодательством Великобритании или ЕС от вас требуется обработка данных для определенной цели, вы можете это сделать.
Жизненно важные интересы : вы можете обрабатывать персональные данные, если это необходимо для защиты чьей-либо жизни. Это может быть жизнь субъекта данных или кого-то еще.
Публичная задача : если вам необходимо обрабатывать персональные данные для выполнения ваших официальных функций или задачи в общественных интересах — и у вас есть правовая основа для обработки в соответствии с законодательством Великобритании — вы можете это сделать.Если вы являетесь государственным органом Великобритании, мы считаем, что это может дать вам законное основание для многих, если не для всех ваших действий.
Законные интересы : вы можете обрабатывать персональные данные без согласия, если вам это необходимо по реальной и законной причине (включая коммерческую выгоду), если это не перевешивает права и интересы человека. Обратите внимание, однако, что государственные органы ограничены в своих возможностях использовать эту основу.
Организации частного сектора или третьего сектора часто могут рассмотреть основание «законных интересов» в Статье 6(1)(f), если им сложно выполнить стандарт согласия и не применяется какое-либо другое конкретное основание.Это признает, что у вас могут быть веские причины для обработки чьих-либо персональных данных без их согласия, но вы должны избегать действий, которых они не ожидают, гарантировать, что это не окажет на них необоснованного воздействия, и что вы по-прежнему честны, прозрачны и подотчетны.
Если вы являетесь государственным органом и можете продемонстрировать, что обработка предназначена для выполнения ваших официальных функций в соответствии с законодательством Великобритании, то основание «общественное задание», вероятно, будет более подходящим. Если нет, вы все равно можете рассмотреть законные интересы или одно из других оснований.Как всегда, вы должны быть честными, прозрачными и подотчетными.
Если вы ищете другие условия для обработки данных особой категории, они изложены в статье 9 (2) (дополненной Законом о защите данных 2018 г. ). Они более ограничены и конкретны и включают, например, положения, касающиеся трудового права, здравоохранения и социального обеспечения, а также научных исследований. Дополнительную информацию см. в нашем руководстве по данным специальной категории.
Руководство по GDPR для Великобритании также содержит дополнительные рекомендации по правилам ограниченной обработки, автоматизированного принятия решений (включая профилирование) и передачи за границу.
Помните, что даже если вы не запрашиваете согласие, вам все равно необходимо предоставить четкую и исчерпывающую информацию о том, как вы используете личные данные, чтобы соблюдать право на получение информации.
Глава 7: Правовая основа для обработки – Разблокировка Общего регламента ЕС по защите данных
Выпуск Директива GDPR Ударный
правовая основа
В соответствии с законодательством ЕС о защите данных должна существовать правовая основа для любой обработки персональных данных (если не применяются исключения или отступления).
Рек.30; Ст.7(1)
Персональные данные могут обрабатываться только в том случае, если применяется хотя бы одно правовое основание.
Rec.39, 40, 41; Ст.6(1)
Персональные данные могут обрабатываться только в том случае, если применяется хотя бы одно правовое основание.
Обязательство организаций иметь правовую основу в отношении каждой деятельности по обработке практически не изменилось.
Согласие
Персональные данные могут обрабатываться на основании согласия субъекта данных на такую обработку.
Рек. 30, 33; Ст.7(1)(а)
Обработка была разрешена, если субъект данных дал согласие на обработку.
Rec.32, 42, 43; Ст.6(1)(а)
Обработка разрешена, если субъект данных дал согласие на обработку.
«Согласие» остается правовым основанием для обработки персональных данных. Однако в соответствии с GDPR действительное согласие получить значительно сложнее (см. главу 8).
Договорная необходимость
Персональные данные могут обрабатываться на том основании, что такая обработка необходима для заключения или выполнения договора с субъектом данных.
Рек.30; Ст.7(1)(б)
Обработка была разрешена, если это было необходимо для заключения или исполнения договора с субъектом данных или для принятия мер по его или ее запросу до заключения договора.
Рек.44; Ст.6(1)(б)
Обработка разрешена, если это необходимо для заключения или выполнения договора с субъектом данных или для принятия мер по его или ее запросу до заключения договора.
«Договорная необходимость» остается правовым основанием для обработки персональных данных.
Соблюдение юридических обязательств
Персональные данные могут обрабатываться на том основании, что контролер имеет юридическое обязательство выполнять такую обработку.
Рек.30; Ст.7(1)(с)
Обработка разрешена, если это необходимо для соблюдения юридического обязательства.
Рек.45; Ст.6(1)(с), 6(3)
Обработка разрешена, если это необходимо для соблюдения юридического обязательства в соответствии с законодательством ЕС или законодательством государства-члена .
«Соблюдение юридических обязательств» остается правовым основанием для обработки персональных данных.
Тот факт, что эта правовая основа явно ограничена юридическими обязательствами, возникающими в ЕС, может поставить организации, на которые распространяются судебные постановления за пределами ЕС о раскрытии данных, в затруднительное положение.
Жизненно важные интересы
Персональные данные могут обрабатываться на том основании, что это необходимо для защиты «жизненных интересов» субъекта данных (это в основном применяется в сценариях «жизни или смерти»).
Рек.31; Ст.7(1)(d)
Обработка разрешена, если это необходимо для защиты жизненно важных интересов субъекта данных.
Рек.46; Ст.6(1)(d)
Обработка разрешена, если это необходимо для защиты жизненно важных интересов субъекта данных или другого физического лица .
В соответствии с GDPR условие обработки «жизненно важных интересов» может распространяться на других лиц (например, детей субъекта данных).Это полезное уточнение.
Общественные интересы
Персональные данные могут обрабатываться на том основании, что такая обработка необходима для выполнения задач, выполняемых государственным органом или частной организацией, действующими в общественных интересах.
Рек.32; Ст.7(1)(е)
Обработка была разрешена, если это было необходимо для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера.
Rec.45; Ст.6(1)(е)
Обработка разрешена, если она необходима для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера.
«Общественный интерес» остается правовой основой для обработки персональных данных. Также обратите внимание, что обработка, осуществляемая на этой основе, может вызывать возражения со стороны субъектов данных (см. главу 9).
Законные интересы
Персональные данные могут обрабатываться на том основании, что контролер имеет законный интерес в обработке этих данных при условии, что такой законный интерес не отменяется правами или свободами затронутых субъектов данных.
Рек.30; Ст.7(1)(f)
Обработка была разрешена, если это было необходимо для целей законных интересов, преследуемых контролером (или третьей стороной, которой раскрываются данные), за исключением случаев, когда интересы контролера преобладали над интересами, правами или свободами затронутых субъектов данных. .
Рек. 47, 48; Ст.6(1)(f)
Обработка разрешена, если это необходимо для целей законных интересов, преследуемых контролером (или третьей стороной), за исключением случаев, когда интересы контролера преобладают над интересами, основными правами или свободами затронутых субъектов данных, которые требуют защиты, , особенно если субъектом данных является ребенок .
Это не относится к обработке, осуществляемой органами государственной власти при исполнении ими своих обязанностей .
«Законные интересы» остаются законным основанием для обработки персональных данных. Также обратите внимание, что обработка, осуществляемая на этой основе, может вызывать возражения со стороны субъектов данных (см. главу 9).
Для обработки персональных данных детей требуется разрешение родителей (обратите внимание, что ребенок — это любой человек в возрасте до 16 лет). В некоторых контекстах (особенно в Интернете) доказательство того, что родительское разрешение было получено, может быть затруднено.
Дополнительные полномочия для государств-членов
Государствам-членам разрешено вводить дополнительные правовые основания для ограниченных целей, связанных с национальным законодательством или выполнением задач в общественных интересах.
Н/Д
Директива явно не рассматривала этот вопрос.
Rec.40; Ст.6(2)
Государства-члены могут ввести дополнительные правовые основания в отношении обработки, осуществляемой в целях соблюдения юридических обязательств (см.6(1)(c) выше) или выполнение задач в общественных интересах (см. статью 6(1)(e) выше).
Это положение в значительной степени предназначено для того, чтобы позволить государствам-членам сохранить определенные правовые основы, существующие в соответствии с национальным законодательством соответствующих государств-членов.
Пока не ясно, как государства-члены будут использовать это право.
Данные, касающиеся уголовных преступлений и правоприменения по гражданским делам
Персональные данные, относящиеся к уголовным преступлениям, подлежат дополнительным ограничениям (и обычно рассматриваются как аналогичные Конфиденциальным персональным данным) из-за потенциально значительного воздействия, которое обработка таких данных может оказать на субъекта данных.
Следует отметить, что национальные уголовные законы государств-членов не входят в законодательную компетенцию ЕС и не регулируются GDPR.
Арт.8(5)
Персональные данные, касающиеся правонарушений, уголовных судимостей или мер безопасности, могут обрабатываться только:
официальным органом; или
в соответствии со специальными гарантиями, предусмотренными законодательством государств-членов.
Любой полный реестр судимостей может храниться только под контролем официальной власти.
Государства-члены могли бы предусмотреть, что данные, касающиеся административных санкций или судебных решений по гражданским делам, должны обрабатываться под контролем официального органа.
Ст.10, 23(1)(к)
Персональные данные, касающиеся уголовных судимостей и правонарушений или связанных с ними мер безопасности, могут обрабатываться только:
под контролем официального органа; или
, если это разрешено законодательством ЕС или государства-члена.
Полный реестр судимостей может вестись только под контролем официальных властей.
Государства-члены могут налагать ограничения на обработку персональных данных в целях обеспечения исполнения гражданско-правовых требований.
Ограничения, касающиеся обработки персональных данных, касающихся уголовных преступлений или осуждений, а также вопросов гражданского правоприменения, существенно не изменились.
Обработка конфиденциальных персональных данных
Обработка конфиденциальных персональных данных разрешена только при определенных условиях:
Рек. 34; Арт.8
Обработка Конфиденциальных персональных данных запрещена, за исключением следующих случаев:
рекомендация 51–56; Арт.9
Обработка Конфиденциальных персональных данных запрещена, за исключением следующих случаев:
Внесенные GDPR изменения являются положительными для большинства организаций, поскольку они предоставляют дополнительные основания для законной обработки Конфиденциальных персональных данных.
Арт.8(2)(a) Субъект данных дал прямое согласие.
Статья 9(2)(a) Субъект данных дал прямое согласие.

Статья 8(2)(b) Обработка была необходима в контексте трудового права.
Статья 9(2)(b) Обработка необходима в контексте трудового законодательства или законов, касающихся социального обеспечения и социальной защиты .

Статья 8(2)(c) Обработка была необходима для защиты жизненно важных интересов субъекта данных (или другого лица), когда субъект данных не мог дать согласие.
Статья 9(2)(c) Обработка необходима для защиты жизненно важных интересов субъекта данных (или другого лица), когда субъект данных не может дать согласие.

Благотворительные или некоммерческие организации
Арт.8(2)(d) Обработка осуществлялась в ходе законной деятельности благотворительной или некоммерческой организации в отношении ее собственных членов или лиц, с которыми она поддерживает регулярные контакты в связи с ее целей.
Статья 9(2)(d) Обработка осуществляется в ходе законной деятельности благотворительной или некоммерческой организации в отношении ее собственных членов, бывших членов или лиц, с которыми он имеет регулярные контакты в связи со своими целями.

Данные, явно обнародованные субъектом данных
Статья 8(2)(e  ) Обработка персональных данных, которые были явно обнародованы субъектом данных.
Статья 9(2)(e) Обработка касается персональных данных, которые были явно обнародованы субъектом данных.

Арт.8(2)(e) Обработка была необходима для установления, осуществления или защиты судебных исков.
Статья 9(2)(f) Обработка необходима для установления, осуществления или защиты судебных исков, или для судов, действующих в их судебном качестве .

Причины, представляющие значительный общественный интерес
Арт. 9(2)(g) Обработка необходима по причинам существенного общественного интереса и осуществляется на основании закона, который, в частности, соразмерен преследуемой цели и защищает права субъектов данных.

Медицинская диагностика и лечение
Статья 8(3) Обработка была необходима для лечения, проводимого медицинскими работниками.
Статья 9(2)(h), (3) Обработка необходима для лечения, проводимого медицинскими работниками, включая оценку работоспособности сотрудников и управление системами здравоохранения или социальной помощи и услуги .

Статья 9(2)(i) Обработка необходима по соображениям общественного интереса в области общественного здравоохранения (e.г., обеспечение безопасности лекарственных средств).

Исторические, статистические или научные цели
Статья 9(2)(j) Обработка необходима для целей архивирования в общественных интересах, для исторических, научных, исследовательских или статистических целей , при соблюдении соответствующих мер безопасности.

Исключения в соответствии с национальным законодательством
При соблюдении соответствующих гарантий государства-члены могут по соображениям общественного интереса устанавливать дополнительные исключения.
Статья 9(4) Государства-члены могут сохранять или вводить дополнительные условия, включая ограничения в отношении генетических данных, биометрических данных или данных о состоянии здоровья .

Переработка для новых целей
Несмотря на «принцип минимизации данных» (см. Главу 6), существуют некоторые обстоятельства, при которых персональные данные могут обрабатываться для новых целей, выходящих за рамки первоначальной цели, для которой эти данные были собраны.
Ст.6(1)(б), 13(1)
Персональные данные могут обрабатываться для новых целей при условии, что эти новые цели « не являются несовместимыми » с первоначальной целью. Законодательство государства-члена может разрешать обработку для новых целей (помимо первоначальной цели), если это необходимая мера для защиты особых общественных интересов (например, национальной безопасности, обороны, общественной безопасности и т. д.).
Rec.50; Ст.6(4)
Если персональные данные должны обрабатываться для новой цели, контролер должен рассмотреть, является ли новая цель «совместимой» с первоначальной целью, принимая во внимание следующие факторы :
любая связь между первоначальной целью и новой целью;
контекст, в котором были собраны данные, включая отношения контролера с субъектами данных;
характер персональных данных, в частности, затронуты ли Конфиденциальные персональные данные;
возможные последствия новой цели обработки для субъектов данных; и
наличие соответствующих гарантий (e. г., шифрование или псевдонимизация).
Директива разрешает обработку персональных данных для новых целей при условии, что эти новые цели «не являются несовместимыми» с первоначальной целью. Это была достаточно низкая планка. Однако GDPR усложняет для организаций обработку персональных данных для новых целей, поскольку задача определения того, какие новые цели обработки являются «совместимыми», а какие нет, является обременительной.
Тот факт, что GDPR признает, что псевдонимизация снижает уровень риска, связанного с обработкой персональных данных, является положительным моментом для организаций, которые регулярно обрабатывают псевдонимизированные данные (например,г., компании, занимающиеся клиническими испытаниями).
Обработка, не требующая идентификации
В некоторых случаях контролеры обязаны сохранять определенные данные в целях соблюдения применимого законодательства.
Н/Д
Директива явно не рассматривала этот вопрос.
Рек.57; Ст.11(1)
Если цели, для которых контролер обрабатывает персональные данные, не требуют идентификации субъекта данных, контролер не обязан хранить информацию, идентифицирующую субъекта данных, для соблюдения GDPR .
В GDPR полезно разъяснить тот факт, что контролеры не обязаны хранить информацию, которая идентифицирует субъекты данных, исключительно в целях соблюдения GDPR.
6 Правовые основы обработки персональных данных: Основы GDPR

6 Правовые основы обработки персональных данных
Одним из семи основных принципов обработки данных GDPR является обеспечение того, чтобы персональные данные обрабатывались законно, справедливо и прозрачно.
Чтобы соответствовать этому принципу, глава 6 GDPR требует, чтобы любая организация, обрабатывающая персональные данные, имела действующую правовую основу для этой деятельности по обработке персональных данных. Думайте об этом как о сценариях, в которых обработка данных была бы законной. GDPR предоставляет шесть юридических оснований для обработки:
Согласие
Выполнение контракта
Законный интерес
Жизненно важные интересы
Юридические требования
Общественные интересы
Согласие
Субъект данных дал разрешение организации на обработку его персональных данных для одного или нескольких действий по обработке.Согласие должно быть свободно дано, быть четким и легко отзываемым, поэтому организациям следует проявлять осторожность при использовании согласия в качестве правовой основы. Например, эпоха автоматически проверяемых полей согласия подходит к концу благодаря GDPR.
Выполнение контракта
Не требует пояснений, верно? Действия по обработке данных необходимы для заключения или выполнения договора с субъектом данных. Если деятельность по обработке данных не относится к условиям договора, то эта деятельность по обработке данных должна регулироваться другой правовой основой.
Законный интерес
Это действие по обработке, которое субъект данных обычно ожидает от организации, которой он передает свои персональные данные, например, маркетинговая деятельность и предотвращение мошенничества. Если законный интерес используется в качестве правового основания для обработки, организация должна провести проверку баланса: необходима ли эта деятельность по обработке для функционирования организации? Перевешивает ли деятельность по обработке какие-либо риски для прав и свобод субъекта данных? Если ответ на любой из этих вопросов «нет», то организация не может использовать законный интерес в качестве правового основания для обработки.
Жизненно важные интересы
Редкое действие по обработке данных, которое может потребоваться для спасения чьей-то жизни. Чаще всего это наблюдается в ситуациях неотложной медицинской помощи.
Юридические требования
Деятельность по обработке необходима для выполнения юридических обязательств, таких как информационная безопасность, трудовое право или законодательство о потребительских сделках.
Общественные интересы
Деятельность по обработке данных, осуществляемая государственным органом или организацией, действующей от имени государственного органа.
Проблемы выбора правовой основы
Выбор подходящей правовой основы для обработки чрезвычайно важен по нескольким причинам, в том числе:
Одновременно должна быть только одна правовая основа для обработки, и эта правовая основа должна быть создана до начала обработки. В соответствии с GDPR организации не могут устанавливать правовую основу после обработки персональных данных или чередовать правовые основы.
Какая бы правовая основа ни была выбрана, она должна всегда быть доказуемой.Организация должна быть в состоянии показать внутренне, субъектам данных и регулирующим органам, какую правовую основу она использует для каждого субъекта данных. Например, организации должны иметь возможность продемонстрировать, когда и как субъект данных предоставил согласие или выполнил договор.
Правовая основа для обработки оказывает значительное влияние на то, как организация отвечает на запросы прав субъекта данных, поскольку существуют условия, исключения и ограничения для запросов в зависимости от правовой основы для обработки.
Если организация использует несколько баз для обработки различных действий по обработке данных, организация должна иметь возможность различать, какие правовые базы используются для того или иного набора данных, и правильно реагировать на запросы прав субъекта данных.
Особые категории данных (такие как раса, этническое происхождение, религия, членство в профсоюзах, биометрические данные и данные о состоянии здоровья) имеют уникальные правовые основания для обработки, которые включают профилактическую медицину или медицину труда, общественное здравоохранение, коллективные договоры и законную деятельность некоммерческая организация.
Важно отметить, что одна правовая основа для обработки не всегда превосходит другую правовую основу для обработки. Наиболее эффективная правовая основа для обработки зависит от цели обработки, типа обрабатываемых персональных данных и отношений с субъектом данных. Выбор того, какая правовая основа подходит для деятельности по обработке, невероятно важен; если выбрана неправильная правовая основа, это может привести к незаконной обработке, несоблюдению прав субъекта данных и неадекватному организационному и техническому контролю обработки данных.
Дополнительные ресурсы GDPR
Стенограмма видео
GDPR требует, чтобы любая организация, обрабатывающая персональные данные, имела действующую правовую основу для такой обработки. Закон предусматривает шесть правовых оснований для обработки: согласие, исполнение договора, законный интерес, жизненно важный интерес, требование закона и общественный интерес. Во-первых, большинство организаций спрашивают, нужно ли им согласие на обработку данных. Ответ: не обязательно.Как я уже упоминал, согласие является лишь одним из шести законных оснований для обработки данных. Если вы все же используете согласие, вы должны знать, что согласие должно быть дано свободно, четко, и отозвать согласие должно быть так же легко, как и дать согласие.
Законный интерес, например, является чем-то вроде маркетинговой деятельности. Это деятельность по обработке, которую субъект данных обычно ожидает от организации, которой он передает свои персональные данные. Однако, если организация использует законный интерес в качестве действительного правового основания для обработки, она должна провести проверку баланса.Необходима ли деятельность по обработке данных для функционирования организации? Перевешивает ли деятельность по обработке любые возражения или риски для прав и свобод субъекта данных? Контракт довольно понятен. Общественный интерес — это деятельность по обработке, которая может осуществляться государственным органом или организацией, действующей от имени государственного органа. Жизненный интерес был бы редким случаем, когда обработка данных потребовалась бы для спасения чьей-то жизни.
Причина, по которой правовая основа для обработки так важна, заключается в том, что правовая основа должна быть доказуема в любое время.Организация должна быть в состоянии показать внутренне, субъектам данных и регулирующим органам, какую правовую основу она использует для каждого лица, чьи данные она обрабатывает. Если субъект данных дает свое согласие организации, организация должна быть в состоянии продемонстрировать, когда и как этот субъект данных дал согласие.
Поскольку согласие должно быть добровольным, организации больше не могут использовать автоматически установленные флажки, чтобы продемонстрировать, что субъекты данных дали согласие на использование организацией их данных.Процесс получения согласия должен быть четким, а иногда и отдельным. Например, если организация собирается использовать электронную почту для отправки маркетинговых сообщений субъекту данных, то организация может выбрать отдельный ящик для электронной почты, а не для других форм связи, текстовых сообщений или телефонных звонков.
Правовая основа для обработки также важна, поскольку она оказывает значительное влияние на то, как организация отвечает на запросы о правах субъекта данных. Существуют некоторые права, которые могут быть предоставлены, если согласие является законным основанием для обработки или если выполнение контракта является правовым основанием для обработки.Существуют и другие последствия для правовой основы обработки. Например, обработка специальных видов данных, которые включают в себя: расу, этническую принадлежность, медицинские данные, биометрические данные и другие конфиденциальные данные, требует определенных баз для обработки.
Еще одна проблема с правовыми базами для обработки возникает, если организация использует несколько баз для обработки разных наборов данных. Например, организация может обрабатывать персональные данные субъектов данных из ЕС, которые являются сотрудниками организации, а также клиентов, которым она продает услуги и занимается маркетингом.Правовая основа для обработки данных сотрудников может отличаться от правовой основы для обработки данных клиента. Организация должна убедиться, что она может различать, какие правовые основы используются для обработки, чтобы гарантировать, что они правильно реагируют на права субъекта данных, и чтобы гарантировать, что они выполняют любые проверки баланса, связанные с законными интересами. Наконец, следует отметить, что организации не могут выбрать, какую правовую основу они используют для обработки данных, а затем изменить правовую основу позже, если они используют и согласие, и договор.Единовременно должно быть только одно основание для обработки персональных данных.
Вот еще несколько замечаний о правовых основах обработки персональных данных. Во-первых, правовая основа для обработки персональных данных должна быть установлена до начала обработки. Организации не могут начать обработку персональных данных, а затем вернуться и попытаться выполнить контракт, получить согласие или заявить о законных интересах. Во-вторых, одно правовое основание для обработки не обязательно имеет преимущество перед другими правовыми основаниями для обработки. Наиболее эффективная правовая основа для обработки зависит от цели обработки и отношений с субъектом данных.
Когда разрешена обработка персональных данных?
Правовые основы обработки персональных данных
Для обработки персональных данных всегда требуется правовая основа, которая должна быть определена до начала обработки. После того, как обработка персональных данных была привязана к основанию для обработки, основание не может быть изменено.Основа обработки существенно влияет на права субъектов данных в отношении контролера.
Дополнительная информация: Какие права имеют субъекты данных в различных ситуациях
Общий регламент по защите данных (GDPR) содержит шесть оснований, разрешающих обработку персональных данных:
Специальные категории персональных данных, такие как данные об этническом происхождении или состоянии здоровья, в принципе запрещены. Однако такая обработка может быть разрешена, если в GDPR или национальном законодательстве предусмотрено исключение из запрета на обработку.
Дополнительная информация: Обработка особых категорий персональных данных
Согласие субъекта данных
Субъект данных может дать свое согласие на обработку персональных данных субъекта данных. Такое согласие должно представлять собой свободно данное, конкретное, информированное и недвусмысленное указание на согласие субъекта данных на обработку относящихся к нему персональных данных.Субъект данных может дать письменное или устное заявление о своем согласии или выразить его каким-либо другим четким утвердительным действием, например, установив флажок на веб-сайте. Отозвать согласие должно быть так же просто, как и дать его.
Контроллер должен быть в состоянии продемонстрировать, что субъект данных дал законное согласие на операцию обработки.
Дополнительная информация: Согласие субъекта данных
Контракт
Когда субъект данных является стороной договора, его или ее персональные данные могут обрабатываться для выполнения договора. Если, например, субъект данных заказывает товары через Интернет, компании разрешается обрабатывать его или ее адресные данные для доставки товаров.
Важно определить точное содержание и основную цель договора, поскольку они используются для оценки необходимости обработки. Обработка ограничивается необходимыми персональными данными.
Это основание для обработки также распространяется на операции по обработке, выполняемые до заключения договора по запросу субъекта данных.Например, кредитор может обрабатывать данные, необходимые для оценки кредитоспособности, до заключения кредитного договора.
Юридическое обязательство
От контролера может потребоваться обработка персональных данных для выполнения юридического обязательства. Юридические обязательства могут в равной степени применяться к контролерам в частном и государственном секторах и могут включать, например, обязательство работодателя сообщать информацию о заработной плате своих сотрудников в налоговые органы или обязательство финансовых учреждений сообщать о подозрительных операциях в налоговые органы. органы власти.
Юридические обязательства могут основываться только на законодательстве Союза или государства-члена. Обязательства, основанные на законодательстве третьих стран, не подпадают под действие этого основания, если только они не включены в правовую систему Европейского Союза или государства-члена, например, международным договором.
Защита жизненно важных интересов
Обработка персональных данных разрешена, когда это необходимо для защиты жизненно важных интересов субъекта данных или другого физического лица.Например, защита жизненно важных интересов является подходящей основой для обработки в ситуациях жизни и смерти или в случае угроз, которые могут нанести вред субъекту данных или другому лицу или иным образом нанести ущерб здоровью.
Обработка персональных данных может иметь жизненно важное значение во время гуманитарных катастроф, таких как стихийные бедствия или эпидемии, когда это может быть необходимо для отслеживания распространения эпидемии.
Общественный интерес и власть
Обработка персональных данных разрешена, если этого требуют общественные интересы или осуществление государственных полномочий, возложенных на контролера.Эта основа для обработки может использоваться как в частном, так и в государственном секторах в ситуациях, связанных с общественным интересом или осуществлением государственной власти в Европейском Союзе или государстве-члене.
Задача, выполняемая в интересах общества или государственной власти, должна основываться на законе или других правовых положениях. Например, обработка в общественных интересах может включать обработку персональных данных для научных или исторических исследований или для составления статистики.
Законные интересы контролера
Обработка персональных данных разрешена, когда это необходимо для законных интересов, преследуемых контролером или третьим лицом. Законность интереса может быть определена с помощью так называемого балансового теста. В ходе теста интересы контролера или третьей стороны сопоставляются с интересами и основными правами субъекта данных.
Законный интерес может существовать, например, при наличии соответствующих отношений между субъектом данных и контролером.На практике это означает, что субъект данных является заказчиком или подчиненным контролера.
Дополнительная информация: законные интересы контролера
Согласие как законное основание для обработки | Защита данных
«Обработка персональных данных, как правило, запрещена, за исключением случаев, когда это прямо разрешено законом или если субъект данных дал согласие на обработку».
Содержание
Исходная информация:
Согласие должно быть недвусмысленным, добровольно предоставленным, конкретным, и субъекты данных должны быть проинформированы о каждой цели, для которой данные обрабатываются, особенно если цели развиваются со временем
Обязательно быть «явным» для обработки конфиденциальных данных, переименованных в данные специальной категории в соответствии с GDPR. Явное согласие потребует четкого одобрения субъекта данных, например. подписанная форма согласия
Получается для каждого отдельного действия по обработке
Субъекты данных будут иметь право отозвать свое согласие в любое время
«Явное» согласие должно быть получено для передачи персональных данных за пределы Европейской экономической зоны (EEA.
GDPR будет в целом повторять действующий Закон о защите данных 1998 г. (DPA), однако всем исследователям необходимо учитывать различные типы обработки, которую они выполняют в рамках этой деятельности, чтобы обеспечить соблюдение требований.
Хотя они все еще могут полагаться на согласие как на юридическое основание для обработки персональных данных для своих исследований. Субъекту данных должен быть предоставлен простой способ отозвать их. Согласие по-прежнему должно быть «явным» для обработки конфиденциальных данных, переименованных в данные специальной категории в соответствии с GDPR. Контролер данных должен будет продемонстрировать, что такое согласие было дано.
UCL по-прежнему будет контролером данных в соответствии с GDPR для всех персональных данных, обрабатываемых для исследований под руководством UCL. В большинстве случаев студенты несут ответственность за то, чтобы их исследования с участием живых идентифицируемых лиц соответствовали требованиям DPA, а с мая 2018 года — GDPR.
Как и в случае с DPA, GDPR требует, чтобы у контроллеров данных была законная причина для обработки персональных данных. Если исследователи полагаются на согласие субъекта данных, они должны быть в состоянии продемонстрировать, что оно было недвусмысленным, свободно предоставленным, конкретным и информированным для каждой цели, для которой данные обрабатываются. Согласие может быть дано в письменной форме (в том числе в электронной форме) или в виде устного заявления. GDPR дает некоторую ясность:
Это может включать отметку в поле при посещении веб-сайта в Интернете, выбор технических настроек для услуг информационного общества или любое другое заявление или поведение, которое в этом контексте ясно указывает на согласие субъекта данных с предлагаемой обработкой. своих личных данных.
Таким образом, молчание, предварительно отмеченные галочкой поля или бездействие не должны означать согласия.

Это может включать отметку в соответствующем поле при посещении веб-сайта в Интернете, выбор технических настроек для услуг информационного общества или любое другое заявление или поведение, которое в этом контексте ясно указывает на согласие субъекта данных с предлагаемой обработкой его персональных данных. Таким образом, молчание, предварительно отмеченные галочками или бездействие не должны означать согласия.
Важно убедиться, что согласие получено для каждого отдельного действия по обработке.Согласие не будет действительным, если несколько целей были без необходимости объединены вместе, так что человек должен принять их все или ни одну из них.
Например, сохранение контактных данных для приглашения участников принять участие в будущих исследованиях является отдельной операцией обработки по сравнению с первоначальным исследованием, и поэтому необходимо получить отдельное согласие. Точно так же использование изображений участников, собранных в рамках научного исследования на конференции, также является отдельной операцией по обработке, и люди, как правило, не должны давать согласие на это только для того, чтобы принять участие в исследовательском исследовании.
Отзыв согласия
В соответствии с GDPR субъекты данных имеют право отозвать свое согласие в любое время. Поэтому должны быть созданы механизмы, обеспечивающие простоту и эффективность процесса. Они также должны быть проинформированы об этом праве до того, как дадут свое согласие.
Как долго действует согласие?
В GDPR не указано, как долго должно действовать согласие. Тем не менее, любое согласие может со временем ухудшиться, и как долго оно продлится, будет зависеть от контекста исходного согласия.. Некоторые виды исследовательской деятельности также могут развиваться с течением времени, и по-прежнему важно обеспечить, чтобы обработка персональных данных не использовалась в целях, выходящих за рамки полученного согласия, поэтому согласие следует постоянно проверять. Должно быть четкое подтверждение согласия, оно не может быть выведено из отказа возражать или указывать на дальнейшее использование, выходящее за рамки того, что было указано изначально. Маловероятно утверждение, что разовое согласие остается в силе через несколько лет после его получения, если исследование продолжается.Поэтому следует подумать о том, как можно пересмотреть согласие.
Передача за границу
GDPR в значительной степени сохраняет текущий DPA в отношении передачи личных данных за границу. Например, запрет на передачу персональных данных за пределы ЕЭЗ, если не соблюдены определенные условия (адекватность).
Исследователи должны проанализировать предполагаемые потоки персональных данных за пределами ЕЭЗ и рассмотреть, какие механизмы они используют для соблюдения GDPR.Например, касается ли предполагаемая передача страны, которая приняла решение об адекватности (которое считается приемлемым для ЕС), или, если базирующаяся в США, организация присоединилась к программе Privacy Shield между ЕС и США?
Если вы собираетесь передавать личные данные за пределы ЕЭЗ, и страна не считается обеспечивающей адекватный уровень защиты, вам необходимо убедиться, что передача соответствует одному из других требований GDPR, например, путем использования стандартные договорные положения или обязательные корпоративные правила (ОКП). Отступления (исключения) также допускаются при определенных дополнительных обстоятельствах. Явное согласие является одним из таких отступлений. Если в начале вашего исследования вы знаете, что намереваетесь передать персональные данные в другую страну, вы должны сообщить об этом субъектам данных и, при необходимости, получить согласие.
Исследования, одобренные с этической точки зрения
Для исследований, одобренных с этической точки зрения UCL, законным основанием для обработки персональных данных будет «общественное задание», а не «согласие». Возможно, исследователи получают согласие участников из этических соображений, например.г. для подтверждения участия лица в исследовании или, возможно, для выполнения своих обязательств в соответствии с обязанностью соблюдения конфиденциальности по общему праву, но это не будет законным основанием для обработки в соответствии с законодательством о защите данных.
Хотя согласие на участие в проекте, которое получено в этических целях, должно быть полностью информированным и свободно предоставленным, помимо выполнения других требований, исследователям, следовательно, не нужно получать согласие, соответствующее высоким стандартам, изложенным в Общем регламенте по защите данных, который является:
«любое свободно данное, конкретное, информированное и недвусмысленное указание на пожелания субъекта данных, которым он или она заявлением или четким утвердительным действием выражает согласие на обработку персональных данных».