Закон об охране персональных данных в рф – 404 Страница не найдена

Содержание

Закон о защите персональных данных 152-ФЗ: 6 способов избежать нарушений

Вы узнаете:
  • В чем суть Федерального закона N 152-ФЗ.
  • Кто такие оператор и субъект персональных данных.
  • Обязан ли предприниматель соблюдать закон о защите персональных данных.
  • Как избежать нарушений и штрафов по 152-ФЗ.

Персональные данные – это информация, которую можно отнести к какому-либо физическому лицу – субъекту персональных данных.

Все компании, которые работают с персональными данными физических лиц, обязаны защищать свои информационные системы и иметь соответствующие сертификаты и подтверждения.

Федеральный закон N 152-ФЗ «О персональных данных»

Закон был принят в июле 2006 года и вступил в силу 26 января 2007 года. В последней редакции 152-ФЗ о защите персональных данных содержится:

  • права и обязанности субъектов и операторов персональных данных;
  • принципы и условия обработки информации;
  • ответственность за нарушение требований.

Кто такой оператор

Оператор – это тот, кто обрабатывает персональные данные, определяет цели обработки и состав данных, которые необходимо обработать. Оператором могут быть любые физические и юридические лица, а также государственные и муниципальные органы.

Заключая трудовой договор, работник уже дает работодателю (оператору) разрешение на хранение и использование личной информации в соответствии с 152-ФЗ «О защите персональных данных». Потому отдельное согласие работника на обработку не требуется.

Если данные передаются в государственные органы (Пенсионный фонд, Налоговую инспекцию, военкомат) на основании каких-либо федеральных законов, согласие сотрудника на такую передачу также не требуется.

Если же нужно передать персональные данные неким физическим или юридическим лицам, например, в банк для оформления зарплатной карты, у каждого сотрудника необходимо взять письменное разрешение, в противном случае есть риск получить штраф.

Регистрация операторов в Роскомнадзоре

Каждая компания, обрабатывающая персональные данные, должна пройти регистрацию в Роскомнадзоре. Для этого, согласно ч. 3 ст. 22 152-ФЗ о защите персональных данных, подается уведомление. Его можно подать, заполнив электронную форму на сайте Роскомнадзора.

Заполненная форма сохраняется на сайте, распечатывается, заверяется подписью руководителя компании и печатью. Заверенный бланк отправляется в территориальный орган Роскомнадзора.

Топ-5 ошибок при работе с персональными данными

Узнайте из статьи электронного журнала «Генеральный Директор» самые распространенные ошибки компаний-операторов, за которые бизнес наказывают штрафами.

Узнать топ-5 ошибок

Согласие на обработку персональных данных

Согласие на обработку персональных данных – это временное разрешение оператору совершать определенные действия с персональной информацией.

Требования, которые предъявляются к этому документу, прописаны в ч. 1 ст. 9 152-ФЗ «О защите персональных данных».

Согласие на обработку персональных данных должно включать в себя следующую информацию:

  • ФИО субъекта персональных данных.
  • Паспортные данные субъекта.
  • Данные об операторе. Если в качестве оператора выступает физическое лицо, нужно указать его ФИО и адрес; если оператором является предприятие – его наименование и адрес.
  • Цель обработки. Например: предоставление сведений в кредитную организацию для оформления банковской карты и перечисления на нее заработной платы.
  • Список данных, которые субъект согласен передать на обработку (ФИО, пол, возраст, паспортные данные, ИНН, домашний адрес, мобильный и стационарный телефон).
  • Список действий, на которые субъект дает свое согласие. По умолчанию, это ручная и автоматизированная обработка данных – сбор, запись, систематизация, накопление, хранение, изменение, обезличивание, блокирование, удаление, уничтожение, передача. Если что-то не прописано, это означает, что человек не дает на это согласия.
  • Срок действия документа и порядок отзыва согласия на обработку данных.

Все операторы обязаны отправить в Роскомнадзор уведомление. В противном случае есть риск получить штраф за нарушение.

Закон о персональных данных и контекстная реклама

Контекстная реклама – один из важнейших инструментов продвижения товара и бренда. Этот подход отличают относительно небольшая стоимость рекламной кампании и целевой охват. Однако весь вопрос в том, нарушает ли персонализированная или таргетированная реклама Федеральный закон N 152-ФЗ «О персональных данных».

Для примера рассмотрим реальную ситуацию. Рекламное агентство ошибочно использовало в рекламном объявлении наименование конкурента. Конкурент без предварительного уведомления заверил страницу с неправомерным рекламным объявлением у нотариуса и пошел в суд. Судья принял решение в пользу истца, рекламодатель и агентство были оштрафованы. Штраф пришлось выплатить и рекламной площадке, где было размещено объявление, несмотря на то, что в условиях размещения прописано «за содержимое рекламных объявлений площадка ответственности не несет».

Во избежание неприятностей большинство компаний включают в политику всю необходимую информацию – уточняют круг данных, которые собирают, определяют действия, которые проводят с данными, и цели, для которых это проводится. После этого нужно лишь внимательно следить за исполнением собственной политики и не допускать ошибок и просчетов.

Закон о защите данных и работа с сайтом

Здесь нужно обратить внимание, что большинство нарушений связаны с нецелевым сбором и обработкой информации. К примеру, в стандартной регистрационной форме можно встретить поля «телефон», «дата рождения». При этом явной необходимости в указании этих данных нет.

Форма подписки собирает данные лишь об электронных адресах клиентов. Регистрационная форма прибавляет к этому имя, фамилию и пол. Остальное – лишнее, и может быть расценено, как нарушение закона о защите персональных данных 152-ФЗ.

Многие сайты все-таки собирают дополнительные пользовательские данные. Однако они вносят соответствующие изменения в политику и дают ссылку на документ пользователю перед тем, как вносить какие-то изменения в форму профиля.

Как избежать нарушений 152-ФЗ

Существует несколько стандартных нарушений, которые могут повлечь за собой серьезный штраф. Не всегда эти нарушения являются злонамеренными. Рассмотрим их подробнее.

1. Нецелевой сбор данных

Предпринимателям, обрабатывающим персональные данные в случаях, не прописанных в законе о защите персональных данных 152-ФЗ, либо скрывающего свои цели, ждет штраф в 30 000-50 000 ₽. Классические случаи:

  • Компания неявно или нейтрально указывает цели. Здесь особое внимание следует обратить на грамотность составления текста.
  • Лица, собирающие данные, не связаны с компанией, которая их будет обрабатывать, или связь противоречит правилам обработки. Данное нарушение часто появляется при составлении уличных опросов и анкет.
  • Классический пример того, за что можно получить штраф – наработка клиентской базы. Интернет-магазин предлагает зарегистрироваться, заполнить паспортные данные или указать телефон и сделать покупку. В этом случае нарушение состоит в том, что сам факт покупки не требует наличия паспорта или мобильного телефона.

2. Письменное согласие на обработку

Простейший пример нарушения – передача оператором мобильной связи базы данных абонентов сторонним компаниям, вследствие чего абоненты получают спам. Если стороны планируют обмениваться персональными данными, они должны заключить дополнительное соглашение или включить необходимые пункты в текст основного договора.

3. Знакомство граждан и проверяющих органов с политикой обработки данных

Политика должна быть в свободном доступе. К примеру, ряд сайтов выкладывают порядок обработки персональных данных на отдельной странице. Если доступ к политике будет ограничен, это повлечет административную ответственность. Индивидуальный предприниматель заплатит от 5 000 ₽ до 10 000 ₽, юридическое лицо – от 15 000 ₽ до 30 000 ₽.

4. Уведомление граждан об обработке данных

Владельцы интернет-ресурсов размещают уведомление непосредственно рядом с электронной анкетой, и перед отправкой данных человек должен дать свое согласие и проставить птичку напротив документа. Однако иногда данные передаются третьим лицам, после чего на телефоны и электронные адреса граждан начинает сыпаться реклама. Субъект может в любой момент потребовать у оператора информацию о том, каким образом осуществляется хранение и использование его личных данных.

5. Гражданин может в любой момент потребовать уничтожения/блокировки/уточнения своих персональных данных

Информация может быть неполной, недостоверной, полученной незаконным путем. В любом случае она должна быть изменена или уничтожена по первому требованию. Если это не будет сделано, индивидуальные предприниматели заплатят от 10 000 ₽ до 20 000 ₽, юридические лица – от 25 000 ₽ до 45 000 ₽.

6. Соблюдение условий хранения личных данных

Предприниматель должен обеспечить сохранность данных и исключить возможную утечку или порчу. В противном случае штраф для ИП – 10 000-20 000 ₽, для организаций – 25 000-50 000 ₽.

✪ Читайте также: Технологии защиты информации, которые должны быть в вашей компании »

www.gd.ru

Политика конфиденциальности

ООО «ТРЕВЕЛБУТИК» серьезно относится к обеспечению конфиденциальности и защите Ваших Персональных данных.

Термин «Персональные данные» означает любую информацию, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Персональные данные). Данный термин обычно включает такие сведения как фамилия, имя, отчество, дату рождения, гражданство, паспортные данные, адрес, адрес электронной почты, телефонный номер. К Персональным данным также может относиться другая информация, в том числе, информация об IP-адресе, половой принадлежности, возрасте, состоянии Вашего здоровья и прочие.

Мы обрабатываем Ваши Персональные данные исключительно в целях заключения и исполнения договоров о реализации туристского продукта, туристском обслуживании, предоставлении туристских услуг и иных договоров, которые заключаются с нашей компанией для предоставления продуктов и услуг, а также продуктов и услуг наших партнеров. Также мы используем данные для связи с Вами с целью предоставления информации по приобретённому продукту, услугам и по другим организационным вопросам, связанным с заключением и исполнением соответствующих договоров.

Мы считаем важнейшими своими задачами соблюдение принципов справедливости, конфиденциальности и законности при обработке Ваших Персональных данных в соответствии с применимым законодательством в сфере защиты данных.

  • Введение

    Настоящая Политика конфиденциальности (далее – Политика) разработана в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также в соответствии с иными федеральными законами и подзаконными актами Российской Федерации, определяющими случаи и особенности обработки Персональных данных и обеспечения безопасности и конфиденциальности такой информации.

    Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности Персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных.

    Политика применяется к Персональным данным, которые мы обрабатываем в связи с теми услугами и продукцией, которые мы Вам предлагаем (далее – Услуги) и распространяется на Персональные данные, получаемые лично от Вас, через наши офисы продаж, через наших партнеров, а также через туристические агентства, либо получаемые через веб-сайты anextour45.ru (далее – Сайты).

  • Кто является ответственным за обработку Ваших персональных данных?

    ООО «ТРЕВЕЛБУТИК» (далее – используемые местоимения «мы», «наш», «нами»), являясь оператором Персональных данных, несет ответственность за обработку Ваших Персональных данных в связи с предоставлением Услуг. В случае возникновения каких-либо вопросов Вы можете обратиться к нам по почте по адресу: 640018, Курганская область, город Курган, улица К. Маркса, дом 78/v.

  • Какие Ваши Персональные данные мы собираем?

    Мы обрабатываем следующие Персональные данные заказчиков и (или) туристов (далее — Клиентов): фамилию, имя, отчество, почтовый адрес, адрес электронной почты, домашний телефон или номер мобильного телефона, возраст, дату рождения, половую принадлежность, паспортные данные (серия, номер, страна выпуска, срок действия), историю платежей, сведения о платеже, сведения о банке или кредитной карте и другие Персональные данные, которые Вы добровольно предоставляете нам в соответствии с действующим законодательством.

    Мы просим Вас не предоставлять нам информацию о Вашем здоровье, а также иные специальные категории Персональных данных.

    Посещая наши Сайты, мы можем обрабатывать следующие Персональные данные, используя файлы Cookies: информацию о типе браузера, IP-адрес, адрес местонахождения вашего устройства и другие.

  • Какие цели обработки Ваших Персональных данных?

    Мы обрабатываем Ваши Персональные в целях соблюдения норм законодательства РФ, а также с целью:

    • исполнения наших обязательств и осуществления наших прав по заключенным с Клиентами договорам реализации туристского продукта в соответствии с нормами Федерального закона № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации»;
    • исполнения наших обязательств и осуществление наших прав по заключенным с партнерами договорам реализации туристского продукта в соответствии с нормами Гражданского кодекса Российской Федерации и Федерального закона № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации»;
    • исполнения наших обязательств и осуществления наших прав по заключенным с иными физическими лицами или юридическими лицами договорам в соответствии с нормами Гражданского кодекса Российской Федерации;
    • осуществления правосудия или исполнительного производства, в том числе для исполнения наших обязательств и осуществления наших прав в процессе судопроизводства по искам к нам, либо наших исков к Клиентам, партнерам или иным третьим лицам в соответствии с действующим законодательством Российской Федерации;
    • исполнения наших обязательств и осуществления наших прав при выполнении претензионного делопроизводства по жалобам к нам, либо наших претензий к Клиентам, партнерам или иным третьим лицам;
    • выполнения маркетинговых и рекламных действий для установления и дальнейшего развития отношений с Клиентами и Партнерами;
    • удобства использования Сайтами;

    Обработке подлежат только те персональные данные, которые отвечают указанным выше целям. Персональные данные не подлежат обработке в случае несоответствия их характера и объема поставленным целям.

    Если для достижения указанных выше целей, нам необходимы биометрические Персональные данные, либо касающиеся состояния здоровья, то такая обработка осуществляется только на основании согласия субъекта персональных данных. Обработка специальных категорий Персональных данных, должна быть незамедлительно прекращена, если устранены причины, вследствие которых она осуществлялась.

  • В течение какого срока мы храним Ваши Персональные данные?

    Мы храним Ваши Персональные данные исключительно в течение срока, необходимого для достижения соответствующей цели, за исключением случаев, когда законом установлен более продолжительный срок хранения Персональных данных.

  • Какие правовые основания для обработки Ваших Персональных данных?

    Применимое законодательство по защите данных позволяет ООО «ТРЕВЕЛБУТИК» обрабатывать Ваши Персональные данные для исполнения, заключенного с Вами договора.

    Если Вы предоставляете нам Персональные данные, которые являются специальными категориями Персональных данных (например, информация о состоянии Вашего здоровья), Ваше согласие будет законным основанием для обработки таких Персональных данных.

    Ваше отдельное явно выраженное согласие, на получение маркетинговых сообщений, является законным основанием для обработки Персональных данных. Вы можете отказаться от получения таких маркетинговых сообщений в любое время.

    Ваше согласие на использование Cookies, используемых на наших Сайтах, является законным основанием для обработки ваших Персональных данных.

  • В каких случаях мы запрашиваем Ваше согласие?

    Пользуясь нашими Услугами и Сайтами, Вы соглашаетесь с обработкой Ваших Персональных данных. В случае, если Вы не желаете, чтобы мы осуществляли обработку Ваших Персональных данных, пожалуйста, не используйте наши Услуги, доступные на Сайте или предоставляемые через наши офисы продаж, партнеров, туристические агентства, или не предоставляйте каким-либо иным образом Ваши Персональные данные.

    В ряде случаев, мы обрабатываем ваши Персональные данные исключительно на основании Вашего согласия, например, в случае обработки ваших Персональных данных для маркетинговых целей, в случае использования Cookies (средствами Cookies-баннера) или обработки специальных категории Ваших Персональных данных.

    Мы также можем попросить Вас предоставить дополнительное Согласие, в случае необходимости использовать Ваши Персональные данные для целей, не указанных в данной Политике конфиденциальности.

  • Если потребителем является несовершеннолетнее лицо?

    Целевой аудиторией наших Услуг являются совершеннолетние лица, однако могут возникать случаи, когда лицо, не достигшее 18 лет, примет решение ознакомиться с Услугами на нашем Сайте или приобрести соответствующие Услуги. В случае, если мы знаем, что потребителем является лицо, не достигшее 18 лет, мы не будем использовать Персональные данные потребителя в маркетинговых целях, кроме случаев, когда родителями (иными законными представителями) несовершеннолетнего лица предоставлено письменное согласие на обработку его/ее Персональных данных.

    Для предоставления письменного согласия родителей (иных законных представителей), обратитесь в ООО «ТРЕВЕЛБУТИК», используя контактную информацию, указанную в разделе 2.

    Обратите внимание на то, что лица, не достигшие определенного возраста, не могут приобретать некоторые наши Услуги в соответствии законодательства Российской Федерации

  • В какие страны мы передаем Ваши Персональные данные?

    В некоторых случаях, Ваши Персональные данные могут быть переданы в одну из стран, не обеспечивающих адекватную защиту, тогда мы, когда это необходимо в соответствии с применимым законодательством о защите данных, обеспечим адекватный уровень защиты и прав субъекта персональных данных. Пожалуйста, обратите внимание на то, что такой признанный правовой механизм не требуется, когда передача необходима для исполнения договора, заключенного в Ваших интересах между ООО «ТРЕВЕЛБУТИК» и иным физическим или юридическим лицом (а также для заключения такого договора).

  • Как мы обрабатываем Ваши Персональные данные (методы обработки, действия, совершаемые с Вашими Персональными данными)

    Мы обрабатываем Ваши Персональные данные как вручную, так и с использованием средств автоматизации путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (предоставления, предоставления доступа), обезличивания, блокирования, удаления, уничтожения Персональных данных в соответствии с требованиями применимого законодательства о защите данных.

  • Какими правами Вы наделены?

    Вы имеете право на получение информации, касающейся обработки Ваших Персональных данных, в том числе содержащей:

    • подтверждение факта обработки Персональных данных нами;
    • правовые основания и цели обработки Персональных данных;
    • наши цели и применяемые способы обработки Персональных данных;
    • наименование и место нахождения нашего поставщика услуг, сведения о лицах (за исключением работников), которые имеют доступ к Персональным данным или которым могут быть раскрыты Персональные данные на основании договора с нами или на основании федерального закона;
    • обрабатываемые Персональные данные, относящиеся к Вам, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством РФ;
    • сроки обработки Персональных данных, в том числе сроки их хранения;
    • порядок осуществления Вами прав, предусмотренных законодательством РФ;
    • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
    • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку Персональных данных по нашему поручению, если обработка поручена или будет поручена такому лицу;
    • иные сведения, предусмотренные законодательством РФ.

    Чтобы реализовать любое Ваше право, пожалуйста, свяжитесь с нами напрямую, используя контактную информацию, указанную в Разделе 2.

    Вы всегда можете посетить наши Сайты, не предоставляя Ваши Персональные данные средствами использования файлов Cookies. А в случае отказа от файлов Cookies Вам необходимо запретить их использование в вашем браузере. Для получения дополнительной информации об использовании Cookies и о том, как их отключить, пожалуйста, посетите сайт www.allaboutcookies.org. Обратите внимание на то, что без использования Cookies, часть функций наших Сайтов может оказаться недоступной для Вас.

  • Можете ли Вы отозвать свое согласие на обработку Персональных данных?

    Если Ваше согласие является законным основанием для обработки Ваших Персональных данных, Вы можете в любое время отозвать его. Это не повлияет на законность осуществляемой обработки Персональных данных на основании Вашего согласия до момента отзыва Вашего согласия. Вы можете отозвать свое согласие, отправив нам электронное письмо по адресу, указанному в Разделе 2.

  • Обязаны ли Вы предоставлять Персональные данные для целей пользования Сайтами?

    Вы не обязаны предоставлять Персональные данные. Однако, если Вы не желаете предоставлять свои Персональные данные, Вы не можете приобретать Услуги.

    Для целей приобретения Услуг на наших Сайтах Вы должны предоставить Персональные данные в необходимом объеме, но не более указанного в Разделе 4. Если Вы приобретаете Услугу, в которой необходимо предоставить нам специальные категории Ваших Персональных данных (например, данные о состоянии Вашего здоровья), мы можем обработать только соответствующий заказ, если Вы дадите свое согласие на обработку таких сведений.

    В случае если Вы не предоставите соответствующие Персональные данные или не даете согласия на оказание Вам иных услуг, кроме заказа Услуг, Вы можете не получать вовсе такие услуги.

  • Каким образом мы защищаем Ваши Персональные данные?

    Мы применяем соответствующие технические и организационные меры для защиты Персональных данных, которые Вы предоставляете, от случайного или незаконного уничтожения, утраты, изменения, несанкционированного раскрытия или доступа. Наши меры безопасности постоянно совершенствуются по мере развития новых технологий. Обработка и передача данных через наши Сайты зашифровывается протоколом Secure Sockets Layer («SSL»), который представляет собой технологию шифрования для обеспечения максимально возможной безопасности для передачи Ваших данных (включая Персональные данные) между Вашим веб-браузером и нашей Интернет-системой. URL-адрес веб-сайта с подключением SSL к Вашему браузеру начинается с «https: //». Большинство браузеров указывают SSL-зашифрованные веб-сайты, отображая значок, изображающий закрытый замок. Этот значок может быть расположен в адресной строке или нижней строке состояния. Если Вы отключили свою строку состояния, этот значок может не отображаться даже на веб-сайтах, использующих SSL.

    Наши Сайты могут содержать гиперссылки на другие веб-сайты, предоставленные третьими лицами. Мы не контролируем такие сторонние веб-сайты или информацию, размещенную на таких веб-сайтах. После того, как Вы покинули наши Сайты, мы не несем ответственности за защиту и конфиденциальность любой информации, которую вы предоставляете. Вы должны проявлять осторожность и знакомиться с соответствующей политикой конфиденциальности веб-сайта, который Вы посещаете.

  • Можем ли мы изменить нашу Политику конфиденциальности?

    Мы можем вносить изменения в данную Политику, размещая обновленную версию. В отношении процессов по обработке данных, осуществляемой на основании Вашего согласия, мы не имеем права изменять объем такой обработки Персональных данных, за исключением случаев, предоставления Вами дополнительного согласия на изменение объема обработки информации

    • anextour45.ru

    Системы Face Recognition и персональные данные: как распознавать лица, не нарушая законы


    Андрей Юдников, генеральный директор Ivideon

    Заголовки, посвящённые ужесточению законов о персональных данных, мелькают регулярно. К примеру, в июне этого года в Государственную Думу был внесен законопроект, который усиливает ответственность за нарушение требований по хранению персональных данных российских пользователей на территории РФ. Всё это может настораживать компании, которые задумываются об установке систем распознавания лиц и других набирающих популярность оптимизационных решений по видеоаналитике. Какие законы контролируют работу компаний, использующих системы распознавания лиц? Что нужно знать бизнесу о регулировании и как получить эффективный инструмент, не нарушив действующее законодательство?

    Как распознавание лиц регулируется в разных странах

    Европейские законы. Главным общеевропейским законом, защищающим безопасность персональных данных, является GDPR, который вступил в силу в мае 2018 года. Он гласит, что фотографии человеческого лица считаются «биометрической информацией» и, как следствие, являются конфиденциальными данными.

    По закону обработка таких данных (например, с целью опознания человека) запрещена без явного согласия их владельца. Но здесь существует ряд исключений: согласие получать необязательно, если данные нужны для оказания медицинских услуг или обеспечения национальной безопасности. Страны-участники Евросоюза также имеют право вносить свои поправки к GDPR. В Голландии в список исключений также попал кейс со сбором биометрических данных для поддержания корпоративной безопасности — например, для установления личности на КПП. Главным общеевропейским законом, защищающим безопасность персональных данных, является GDPR, который вступил в силу в мае 2018 года. Он гласит, что фотографии человеческого лица считаются «биометрической информацией» и, как следствие, являются конфиденциальными данными.

    В будущем на территории Евросоюза планируют ввести биометрические документы единого стандарта. Идея состоит в том, чтобы упростить идентификацию граждан на территории стран ЕС. Ожидается, что новая база данных паспортов будет включать в себя информацию о 350 млн человек — она станет одной из крупнейших в своём роде. Однако некоторые эксперты считают, что её создание идёт вразрез с принципами безопасности, описанными в GDPR, — возникает риск масштабных утечек персональных данных.

    Акты США. В Америке пока не существует федерального закона, который бы регулировал процессы обработки персональных биометрических данных граждан. Но работу в этом направлении ведут правительственные организации. Например, Федеральная торговая комиссия (FTC) выпустила список рекомендаций по защите данных пользователей для компаний, работающих с технологиями распознавания лиц. Этот документ не имеет какой-либо юридической силы и просто описывает набор практик по сбору и удалению биометрической информации о клиентах. Кроме того, в апреле 2019 года в Сенат США был внесён проект закона под названием «Акт о приватности при коммерческом распознавании лиц, 2019» (Commercial Facial Recognition Privacy Act of 2019), запрещающий коммерческому сектору собирать и передавать куда-либо идентификационные данные без разрешения. Согласно законопроекту, компании обязаны будут уведомлять клиентов об использовании распознавания лиц.

    Отдельные штаты все же закрепили правила обработки биометрических данных на законодательном уровне. В штате Иллинойс сбор информации о человеческих лицах регулируется принятым в 2008 году законом BIPA (Biometric Information Privacy Act). Во многих смыслах он оказывается гораздо строже европейского GDPR, в частности, компании, собирающие и использующие биометрические данные, должны проинформировать об этом граждан, а также объяснить, зачем это делается, в письменной форме.

    В законе под определение «биометрического идентификатора» попадают отпечатки пальцев, сетчатка глаза, спектрограмма голоса и так называемая лицевая геометрия (face geometry), модель, описывающая характеристики лица. Правда, фотографии человека под определение биометрического идентификатора не попадают (десятый раздел документа).

    Похожий закон существует в Калифорнии — он называется CCPA (California Consumer Privacy Act) и был принят в прошлом году. Что интересно, в этом случае фотография лица человека считается биометрическими данными.

    Эксперты отмечают, что разногласия в трактовках создают «серую зону» и препятствует популяризации технологии распознавания лиц. По этой причине в США уже ведется работа над созданием федерального закона, который приведет все к общему знаменателю. В частности, два месяца назад гавайский сенатор предложил новый законопроект под названием Commercial Face Recognition Privacy Act. Его задача — выработать единые правила для бизнеса по работе с биометрическими данными пользователей. Слушания по законопроекту пока не начались, однако его уже поддержали несколько IT-компаний, например Microsoft.

    Распознавание лиц в России. В нашей стране вопросы видеонаблюдения затрагиваются вч. 1 ст. 152.2 Гражданского кодекса РФ. В соответствии с ГК, согласие на получение и использование изображения гражданина не требуется, если наблюдение ведётся в государственных или общественных интересах, в общедоступных местах и на публичных мероприятиях.

    Еще один закон, регулирующий работу с фото- и видеозаписью, — закон 152-ФЗ «О персональных данных». По умолчанию видеозапись не является носителем персональных биометрических данных, так как не представляет собой средство однозначной идентификации субъекта. Ограничений на хранение и обработку таких записей нет. Однако если использовать систему распознавания лиц, которая присваивает людям на видео идентификаторы, тогда 152-ФЗ вступает в силу.

    Обладателю такой системы необходимо получать лицензию на обработку персональных данных и выполнять требования к ИТ-инфраструктуре, используемой для хранения таких данных (также придется получить согласие субъектов на сбор обработку ПД — в письменной форме).

    Чтобы понять, нужно ли вам выполнять требования 152-ФЗ, важно определить цель использования системы распознавания лиц. Если система просто считает улыбки или количество посещений, например, женщинами от 20 до 30 лет, то никакого согласия физического лица на сбор и обработку ПД не требуется. Если же вы храните в системе изображение Ивана Ивановича Иванова, и указываете в базе, что это изображение именно Ивана Ивановича Иванова, то без его письменного согласия уже не обойтись.

    Когда мы говорим о постоянных клиентах, то получение согласия осуществляется при выдаче клиентской карты с подписанием заявления о присоединении к программе лояльности и согласии на обработку персональных данных. Для работников соблюдается тот же принцип, согласие оформляется при приеме на работу или при внедрении системы.

    Чек-лист по установке системы распознавания лиц для бизнеса

    Ivideon недаром так часто рассказывает о нюансах распознавания лиц: мы предоставляем бизнесу собственное решение для предотвращения краж, учёта рабочего времени, запуска продвинутых программ лояльности. Если у вас в компании используется видеонаблюдение с системой распознавания лиц, проверьте, соответствует ваш подход к организации наблюдения требованиям законодательства:

    • Собирайте согласие на обработку персональных данных, где это возможно: для постоянных покупателей пропишите такой пункт в программе лояльности или оферте, для сотрудников — в документах при приеме на работу.

    • Уведомляйте посетителей и сотрудников о том, что на территории ведется видеонаблюдение. Для этого достаточно повесить табличку «Ведется видеонаблюдение» на видном месте.

    • Составьте внутренний регламент по режиму доступа к системам видеонаблюдения и архивам. Доступ к ним должны иметь только специально уполномоченные лица. При этом обращаться им можно лишь к тем данным, которые необходимы для выполнения конкретных должностных обязанностей.

    • Если вы используете в работе облачный архив, убедитесь, что ваш провайдер хранит биометрические данные на территории России и не передает их третьим лицам. Например, Ivideon хранит данные клиентов в 15 дата-центрах уровня надёжности Tier lll по всему миру, в том числе и в России. Инфраструктура, которую мы используем, позволяет нашим клиентам соответствовать требованиям 152-ФЗ и работать с системами распознавания лиц, не нарушая закон.

    ru.ivideon.com

    ПОЛИТИКА в отношении обработки персональных данных посетителей сайта

    ПОЛИТИКА

    в отношении обработки персональных данных посетителей сайта

    1. Общие положения

    1.1. Настоящая Политика в отношении обработки персональных данных посетителей сайта (далее – «Политика»)подготовлена в соответствии с п. 2 ч .1 ст. 18.1 Федерального закона Российской Федерации «О персональных данных» от 27.07.2006 №152-ФЗ (далее – «Закон») и определяет позицию ПК «Доверие»компании ООО «Все станки» (далее – «Компания») в области обработки и защиты персональных данных (далее – «Данные»), соблюдения прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну.

    1. Область применения

    2.1. Настоящая Политика распространяется на Данные, полученные как до, так и после ввода в действие настоящей Политики.

    2.2. Понимая важность и ценность Данных, а также заботясь о соблюдении конституционных прав граждан Российской Федерации и граждан других государств, Компания обеспечивает надежную защиту Данных.

    1. Определения

    3.1. Под Данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (гражданину), т.е. к такой информации, в частности, относятся: электронная почта, номер телефона, ip адрес.

    3.2. Под обработкой Данных понимается любое действие (операция) или совокупность действий(операций) с Данными, совершаемых с использованием средств автоматизации и/или без использования таких средств. К таким действиям (операциям) относятся: сбор, запись,систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение,использование, передача (распространение, предоставление, доступ), обезличивание,блокирование, удаление, уничтожение Данных.

    3.3. Под безопасностью Данных понимается защищенность Данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования,предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных.

    1. Правовые основания и цели обработки Данных

    4.1. Обработка и обеспечение безопасности Данных в Компании осуществляется в соответствии с требованиями Конституции Российской Федерации, Закона, подзаконных актов, других определяющих случаи и особенности обработки Данных федеральных законов Российской Федерации, руководящих и методических документов ФСТЭК России и ФСБ России.

    4.2. Субъектами Данных, обрабатываемых Компанией, являются:клиенты – потребители, в том числе посетители Сайтаpkdoverie.ru, принадлежащего Компании.

    4.3. Компания осуществляет обработку Данных посредством осуществления возложенных на Компанию законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе,но не ограничиваясь: Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Семейным кодексом Российской Федерации, Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном(персонифицированном) учете в системе обязательного пенсионного страхования»,Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 28.03.1998 г. № 53-ФЗ «О воинской обязанности и военной службе», Федеральным законом от 26.02.1997 г. № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации», Федеральным законом от 07.02.1992 №2300-1 «О защите прав потребителей», Федеральным законом от 21.11.1996 г. № 129-ФЗ «О бухгалтерскому чете», Федеральным законом от 29.11.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»,Клиентов – потребителей в следующих целях:

    • предоставления информации по товарам/услугам, проходящим акциям и специальным предложениям;
    • анализа качества предоставляемого Компанией сервиса и улучшению качества обслуживания клиентов Компании;
    • информирования о статусе заказа;
    • исполнения договора, в том числе договора купли-продажи, в том числе заключенного дистанционным способом на Сайте, возмездного оказания услуг; предоставления услуг, а также учета оказанных потребителям услуг для осуществления взаиморасчетов;
    • доставки заказанного товара клиенту, совершившему заказ на Сайте, возврата товара.
    1. Принципы и условия обработки Данных.

    5.1. При обработке Данных Компания придерживается следующих принципов:

    • обработка Данных осуществляется на законной и справедливой основе;
    • Данные не раскрываются третьим лицам и не распространяются без согласия субъекта Данных, за исключением случаев, требующих раскрытия Данных по запросу уполномоченных государственных органов, судопроизводства;
    • определение конкретных законных целей до начала обработки (в т.ч. сбора) Данных;
    • осуществление сбора только тех Данных, которые являются необходимыми и достаточными для заявленной цели обработки;
    • не допустимость объединения баз данных, содержащих Данные, обработка которых осуществляется в целях, несовместимых между собой;
    • обработка Данных ограничивается достижением конкретных, заранее определенных и законных целей;
    • обрабатываемые Данные подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законом.

    5.2. Компания может включать Данные субъектов в общедоступные источники Данных, при этом Компания берет письменное согласие субъекта на обработку его Данных, либо путем выражения согласия через форму Сайта (чекбокс), нажатием которого субъект персональных данных выражает свое согласие.

    5.3. Компания не осуществляет обработку Данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.

    5.4. Биометрические Данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта Данные) в Компании не обрабатываются.

    5.5. Компания не осуществляет трансграничную передачу Данных.

    5.6. В случаях, установленных законодательством Российской Федерации, Компания вправе осуществлять передачу Данных третьим лицам (федеральной налоговой службе, государственному пенсионному фонду и иным государственным органам) в случаях, предусмотренных законодательством Российской Федерации.

    5.7. Компания вправе поручить обработку Данных субъектов Данных третьим лицам с согласия субъекта Данных, на основании заключаемого с этими лицами договора, в том числе при согласии с пользовательским соглашением и политики обработки персональных данных размещенных на Сайте.

    5.8. Лица, осуществляющие обработку Данных на основании заключаемого с Компанией договора(поручения оператора), обязуются соблюдать принципы и правила обработки и защиты Данных,предусмотренные Законом. Для каждого третьего лица в договоре определяются перечень действий (операций) с Данными, которые будут совершаться третьим лицом, осуществляющим обработку Данных, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность Данных при их обработке, указываются требования к защите обрабатываемых Данных в соответствии с Законом.

    5.9. В целях исполнения требований действующего законодательства Российской Федерации и своих договорных обязательств обработка Данных в Компании осуществляется как с использованием, так и без использования средств автоматизации. Совокупность операций обработки включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление,изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание,блокирование, удаление, уничтожение Данных.

    5.10. В Компании запрещается принятие на основании исключительно автоматизированной обработки Данных решений, порождающих юридические последствия в отношении субъекта Данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством Российской Федерации.

    1. Права и обязанности субъектов Данных, а также Компании в части обработки Данных

    6.1. Субъект, Данные которого обрабатываются Компанией, имеет право:

    — получать от Компании:

    • подтверждение факта обработки Данных и сведения о наличии Данных, относящихся к соответствующему субъекту Данных;
    • сведения о правовых основаниях и целях обработки Данных;
    • сведения о применяемых Компанией способах обработки Данных;
    • сведения о наименовании и местонахождении Компании;
    • сведения о лицах (за исключением работников Компании), которые имеют доступ к Данным или которым могут быть раскрыты Данные на основании договора с Компанией или на основании Закона;
    • перечень обрабатываемых Данных, относящихся к субъекту Данных, и информацию об источнике их получения, если иной порядок предоставления таких Данных не предусмотрен Законом;
    • сведения о сроках обработки Данных, в том числе о сроках их хранения;
    • сведения о порядке осуществления субъектом Данных прав, предусмотренных Законом;
    • наименование (Ф.И.О.) и адрес лица, осуществляющего обработку Данных по поручению Компании;
    • иные сведения, предусмотренные Законом или другими нормативно-правовыми актами Российской Федерации.

    — требовать от Компании:

    • уточнения своих Данных, их блокирования или уничтожения в случае, если Данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
    • отозвать свое согласие на обработку Данных в любой момент;
    • требовать устранения неправомерных действий Компании в отношении его Данных.

    6.2. Компания в процессе обработки Данных обязана:

    • предоставлять субъекту Данных по его запросу информацию, касающуюся обработки его Данных, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта Данных или его представителя;
    • разъяснить субъекту Данных юридические последствия отказа предоставить Данные, если предоставление Данных является обязательным в соответствии с Законом;
    • до начала обработки Данных (если Данные получены не от субъекта Данных) предоставить субъекту Данных следующую информацию, за исключением случаев, предусмотренных частью 4 статьи 18 Закона:

    1) наименование либо фамилия, имя, отчество и адрес Компании или ее представителя;

    2) цель обработки Данных и ее правовое основание;

    3) предполагаемые пользователи Данных;

    4) установленные Законом права субъектов Данных;

    5) источник получения Данных.

    • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты Данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных;
    • опубликовать в сети Интернет и обеспечить неограниченный доступ с использованием сети Интернет к документу, определяющему его политику в отношении обработки Данных, к сведениям о реализуемых требованиях к защите Данных;
    • предоставить субъектам Данных и/или их представителям безвозмездно возможность ознакомления с Данными при обращении с соответствующим запросом в течение тридцати дней с даты получения подобного запроса;
    • осуществить блокирование неправомерно обрабатываемых Данных, относящихся к субъекту Данных, или обеспечить их блокирование (если обработка Данных осуществляется другим лицом, действующим по поручению Компании) с момента обращения или получения запроса на период проверки, в случае выявления неправомерной обработки Данных при обращении субъекта Данных или его представителя либо по запросу субъекту Данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных;
    • уточнить Данные либо обеспечить их уточнение (если обработка Данных осуществляется другим лицом, действующим по поручению Компании) в течение семи рабочих дней со дня представления сведений и снять блокирование Данных, в случае подтверждения факта неточности Данных на основании сведений, представленных субъектом Данных или его представителем;
    • прекратить неправомерную обработку Данных или обеспечить прекращение неправомерной обработки Данных лицом, действующим по поручению Компании, в случае выявления неправомерной обработки Данных, осуществляемой Компанией или лицом, действующим на основании договора с Компанией, в срок, не превышающий трех рабочих дней с даты этого выявления;
    • прекратить обработку Данных или обеспечить ее прекращение (если обработка Данных осуществляется другим лицом, действующим по договору с Компанией) и уничтожить Данные или обеспечить их уничтожение (если обработка Данных осуществляется другим лицом, действующим по договору с Компанией) по достижения цели обработки Данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект Данных, в случае достижения цели обработки Данных;
    • прекратить обработку Данных или обеспечить ее прекращение и уничтожить Данные или обеспечить их уничтожение в случае отзыва субъектом Данных согласия на обработку Данных, если Компания не вправе осуществлять обработку Данных без согласия субъекта Данных;
    • вести журнал учета обращений субъектов Данных, в котором должны фиксироваться запросы субъектов Данных на получение Данных, а также факты предоставления Данных по этим запросам.
    1. Требования к защите Данных

    7.1. Компания при обработке Данных принимает необходимые правовые, организационные и технические меры для защиты Данных от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Данных, а также от иных неправомерных действий в отношении Данных.

    7.2. К таким мерам в соответствии с Законом, в частности, относятся:

    • назначение лица, ответственного за организацию обработки Данных, и лица, ответственного за обеспечение безопасности Данных;
    • разработка и утверждение локальных актов по вопросам обработки и защиты Данных;
    • применение правовых, организационных и технических мер по обеспечению безопасности Данных:
    • определение угроз безопасности Данных при их обработке в информационных системах персональных данных;
    • применение организационных и технических мер по обеспечению безопасности Данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите Данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности Данных;
    • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
    • оценка эффективности принимаемых мер по обеспечению безопасности Данных до ввода в эксплуатацию информационной системы персональных данных;
    • учет машинных носителей Данных, если хранение Данных осуществляется на машинных носителях;
    • обнаружение фактов несанкционированного доступа к Данным и принятие мер по недопущению подобных инцидентов в дальнейшем;
    • восстановление Данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    • установление правил доступа к Данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий,совершаемых с Данными в информационной системе персональных данных.
    • контроль за принимаемыми мерами по обеспечению безопасности Данных и уровнем защищенности информационных систем персональных данных;
    • оценка вреда, который может быть причинен субъектам Данных в случае нарушения требований Закона, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;
    • соблюдение условий, исключающих несанкционированный доступ к материальным носителям Данных и обеспечивающих сохранность Данных;
    • ознакомление работников Компании, непосредственно осуществляющих обработку Данных, с положениями законодательства Российской Федерации о Данных, в том числе с требованиями к защите Данных, локальными актами по вопросам обработки и защиты Данных, и обучение работников Компании.
    1. Сроки обработки (хранения) Данных

    8.1. Сроки обработки (хранения) Данных определяются исходя из целей обработки Данных, в соответствии со сроком действия договора с субъектом Данных, требованиями федеральных законов, требованиями операторов Данных, по поручению которых Компания осуществляет обработку Данных, основными правилами работы архивов организаций, сроками исковой давности.

    8.2. Данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено Законом. Хранение Данных после прекращения их обработки допускается только после их обезличивания.

    1. Порядок получения разъяснений по вопросам обработки Данных

    9.1. Лица, чьи Данные обрабатываются Компанией, могут получить разъяснения по вопросам обработки своих Данных, обратившись лично в Компанию или направив соответствующий запрос по адресу электронной почты  [email protected], через форму обратной связи Компании, расположенную по адресу: pkdoverie.ru.

    9.2. В случае направления официального запроса в Компанию в тексте запроса необходимо указать:

    • фамилию, имя, отчество субъекта Данных или его представителя;
    • номер основного документа, удостоверяющего личность субъекта Данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
    • сведения, подтверждающие наличие у субъекта Данных отношений с Компанией;
    • информацию для обратной связи с целью направления Компанией ответа на запрос;
    • подпись субъекта Данных (или его представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
    1. Особенности обработки и защиты Данных, собираемых Компанией с использованием сети Интернет

    10.1. Компания обрабатывает Данные, поступающие от пользователей Сайта с ресурса: pkdoverie.ru (далее совместно – Сайт) через форму обратной связи Компании, расположенную по адресу: [email protected].

    10.2. Сбор Данных

    Существуют два основных способа, с помощью которых Компания получает Данные с помощью сети Интернет:

    10.2.1. Предоставление Данных

    Предоставление Данных (самостоятельный ввод данных):

    • электронная почта;
    • номер телефона.

    10.2.2. Субъектами Данных путем поступления через форму обратной связи Компании, расположенную по адресу: pkdoverie.ru.

    10.3. Автоматически собираемая информация

    Компания может собирать и обрабатывать сведения, не являющимися персональными данными:

    • ip адрес
    • информацию об интересах пользователей на Сайте на основе введенных поисковых запросов пользователей Сайта о реализуемых и предлагаемых к продаже товаров Компанией с целью предоставления актуальной информации клиентам Компании при использовании Сайта, а также обобщения и анализа информации, о том какие разделы Сайта и товары пользуются наибольшим спросом у клиентов Компании;
    • обработка и хранение поисковых запросов пользователей Сайта с целью обобщения и создания клиентской статистики об использовании разделов Сайта.

    Компания автоматически получает некоторые виды информации, получаемой в процесс взаимодействия пользователей с Сайтом, переписки по электронной почте и т.п. Речь идет о технологиях и сервисах, таких как веб-протоколы, куки, веб-отметки, а также приложения и инструменты указанной третьей стороны.

    При этом веб-отметки, куки и другие мониторинговые технологии не дают возможность автоматически получать Данные. Если пользователь Сайта по своему усмотрению предоставляет свои Данные, например, при заполнении формы обратной связи или при отправке электронного письма, то только тогда запускаются процессы автоматического сбора подробной информации для удобства пользования веб-сайтами и/или для совершенствования взаимодействия с пользователями.

    10.4. Использование Данных

    Компания вправе пользоваться предоставленными Данными в соответствии с заявленными целями их сбора при наличии согласия субъекта Данных, если такое согласие требуется в соответствии с требованиями законодательства Российской Федерации в области Данных.

    Полученные Данные в обобщенном и обезличенном виде могут использоваться для лучшего понимания потребностей покупателей товаров и услуг, реализуемых Компанией и улучшения качества обслуживания.

    10.5. Передача Данных

    Компания может поручать обработку Данных третьим лицам исключительно с согласия субъекта Данных. Также Данные могут передаваться третьим лицам в следующих случаях:

    а) в качестве ответа на правомерные запросы уполномоченных государственных органов, в соответствии с законодательством Российской Федерации, решениями суда и пр.

    б) данные не могут передаваться третьим лицам для маркетинговых, коммерческих и иных аналогичных целей, за исключением случаев получения предварительного согласия субъекта Данных.

    10.6. Сайт содержит ссылки на иные веб-ресурсы, где может находиться полезная и интересная для пользователей Сайта информация. При этом действие настоящей Политики не распространяется на такие иные сайты. Пользователям, переходящим по ссылкам на другие сайты,рекомендуется ознакомиться с политиками об обработке Данных, размещенными на таких сайтах.

    10.7. Пользователь Сайта может в любое время отозвать свое согласие на обработку Данных, направив сообщение через форму обратной связи Компании, расположенную по адресу: pkdoverie.ru, либо направив письменное уведомление по адресу электронной почты Компании: [email protected]. После получения такого сообщения обработка Данных пользователя будет прекращена, а его Данные будут удалены, за исключением случаев, когда обработка может быть продолжена в соответствии с законодательством Российской Федерации.

    1. Заключительные положения

    11.1. Настоящая Политика является локальным нормативным актом Компании. Настоящая Политика является общедоступной.Общедоступность настоящей Политики обеспечивается публикацией на Сайте Компании.

    11.2. Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки Данных Компании, а также за безопасность персональных данных.

    11.3. Действующая редакция всегда находится на странице по адресу: pkdoverie.ru.

    pkdoverie.ru

    Доступ к персональным данным, организовать допуск: комментарии

    Каждый оператор (тот, кто собирает, обрабатывает и хранит личные сведения) обязан правильно организовать доступ к персональным данным. Речь идет, прежде всего, о допуске своих работников к таким данным. Ведь защита персональных данных – прямая обязанность работодателя. И право работника по трудовому договору. Их устанавливает глава 14 Трудового кодекса РФ. Частью комплекса мероприятий по защите данных является установка ограниченного перечня лиц, имеющих допуск к персональным данным. 

    С другой стороны, как самому человеку получить свои данные? Которые хранятся в той или иной базе? Обо всех этих нюансах мы расскажем в этой публикации.

    Допуск к персональным данным самого субъекта

    Каждый человек имеет право на ознакомление с материалами о себе. В силу ст. 24 Конституции РФ на должностных лиц органов государственной власти и местного самоуправления возложена обязанность ознакомить гражданина с материалами и документами, которые его касаются. Иногда, только при обращении такого гражданина. Иногда – в силу закона. Например, при составлении протокола об административном правонарушении.

    Статья 14 Закона о персональных данных дает право субъекту таких данных (носителю) получить данные о себе. Может требовать уточнить, блокировать, и т.д. (отзыв согласия на обработку персональных данных). Причем все сведения он получит в доступной форме (оператор должен об этом позаботиться). Закон ограничивает доступ субъекта к своим данным, если:
    • оператор получил их в результате оперативно-разыскной и т.п. деятельности, обработка данных осуществляться в целях обороны страны, защите правопорядка и безопасности государства
    • в рамках уголовного дела, обвинения в преступлении, в т.ч. до предъявления обвинения (за исключением доступа к данным в рамках УПК РФ)
    • оператор работает в рамках законодательства по противодействию легализации доходов (отмыванию)
    • доступ субъекта персональных данных к его данным нарушает права и законные интересы третьих лиц
    • обработка осуществляется в рамках транспортной безопасности

    Согласно ч. 3 ст. 20 Закона информацию оператор ее носителю (субъекту) предоставляет бесплатно.

    Как запросить свои личные данные

    Субъект данных должен обратиться к оператору. Либо лично. Либо направить запрос с указанием:

    Письменный запрос, кстати, позволит в дальнейшем ссылаться на обращение к оператору. Возможно, носитель данных захочет обратиться в суд за защитой своих персональных данных.

    В силу различного правового регулирования закон допускает ограничение направления сведений в письменной форме. К примеру, есть банковская тайна. Поэтому способы получения информации могут быть ограничены личным обращением либо иным способом, указанном в договоре с банком. 

    Если оператор игнорирует субъекта персональных данных, есть 2 пути решения проблемы. Во-первых, информацию можно затребовать через суд. На судебный запрос оператор обязан ответить под угрозой применения судебного штрафа. Также можно написать жалобу в Роскомнадзор. Который наделен правом запросить данные у оператора самостоятельно.

    Как организовать доступ к персональным данным работодателю

    В силу занимаемой должности ряд сотрудников должны иметь допуск к персональным данным других работников. Например, сотрудник бухгалтерии должен правильно насчитать зарплату. И осуществить перевод денег на карту. Или сотрудник отдела кадров должен правильно оформить тот или иной приказ. 

    Согласно ст. 88 Трудового кодекса РФ работодатель обязан не сообщать персональные данные работника без его согласия третьим лицам. Исключение – случаи, установленные ТК РФ и иным законодательством. А также в случае угрозы жизни или здоровью работника. Тем не менее в силу ст. 88 ТК РФ работодатель наделен правом разрешить специально уполномоченным лицам доступ. Причем он может быть без ограничений (для руководителя организации, бухгалтерии) и ограниченным. Например, начальнику структурного подразделения разрешат доступ к персональным данным сотрудникам этого подразделения. Конкретный перечень работников и уровень доступа работодатель устанавливает в локальном акте – Положение о персональных данных, приказ об утверждении Положения. Просто приказ об установлении списка лиц, имеющих доступ к персональным данным работников.

    iskiplus.ru

    Уведомление об обработке персональных данных, составить пример

    Чаще всего уведомление об обработке персональных данных передавать не нужно.  Однако если ситуация не входит в перечень, предусмотренный Законом о персональных данных, то оператор данных – любое лицо, которое осуществляет сбор, хранение, передачу и иные действия с персональными данными другого человека, – уведомление в Роскомнадзор обязательно. Поэтому мы разместим рекомендации и образец уведомления. А также перечень случаев, когда оператор его не составляет.

    Пример уведомления

    Уведомление об обработке персональных данных

    Общество с ограниченной ответственностью”Сделка”, ИНН 78441545, ОГРН 3546854613, Московская область, г.Климовск, ул. Ядерная, 38,

    руководствуясь ч. 1 ст. 15 Закона “О персональных данных”, п. 18 Правил продажи товаров дистанционным способом, утвержденных постановлением Правительства РФ от 27.09.2007 № 612,

    с целью осуществления деятельности по продвижению товаров на рынке,

    осуществляет обработку общих персональных данных – фамилия, имя, отчество, пол, адрес местожительства, семейное положение, профессия,

    принадлежащих физическим лицам – потенциальным покупателям интернет-ресурса “gfjhegi.ку” 

    Обработка вышеуказанных персональных данных будет осуществляться путем: сбора, записи, систематизации, накопления, хранения, уточнения (обновление, изменение), извлечения, использования, передачи (распространение, предоставление, доступ), обезличивания, блокирования, удаления, в смешанной форме.

    Для обеспечения безопасности персональных данных принимаются следующие меры: назначено ответственное лицо, утверждена должностная инструкция, положение о персональных данных, ограничен доступ к персональным данным, учет машинных носителей персональных данных.

    Сведения о наличии или об отсутствии трансграничной передачи данных: отсутствует.

    За обработку персональных данных ответственное лицо – генеральный директор Авдющенко Павел Петрович, 368561646356

    Дата начала обработки данных: 28 июля 2022 г.

    Срок или условие прекращения обработки данных: получение отзыва согласия на обработку персональных данных

    Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ: Московская область, г.Климовск, ул. Ядерная, 38,

    Сведения об обеспечении безопасности персональных данных:  организован режим обеспечения безопасности помещений, в которых размещена информационная система. Возможность неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения отсутствует. Носители информации хранятся в сейфе. Издан Приказ  перечне лиц, имеющих доступ к персональным данным (26.07.2022 г. № 49) 

    Когда уведомлять не нужно

    Закон о защите персональных данных регламентирует случаи, когда не требуется получать согласие на обработку персональных данных у его субъекта. И даже если оно было получено, а затем субъект данных написал отзыв согласия на обработку персональных данных, оператор в таких случаях может продолжить их обработку. Этот перечень иной, чем основания не подавать уведомление об обработке персональных данных в Роскомнадзор.

    Итак, оператор не подает уведомление, если:

    • работодатель осуществляет обработку персональных данных работника
    • субъект данных сам сделал их общедоступными (разместил на своей социальной странице, опубликовал в Интернете, хотя есть и иная судебная практика)
    • сведения получены в рамках любого договора, если они используются для целей исполнения такого соглашения и не передаются третьим лицам
    • речь идет об обработке только фамилии, имени и отчестве гражданина
    • данные используют для оформления однократного пропуска на территорию
    • обработка данных осуществляется в целях обеспечения безопасности – государственной, транспортной, общественной. 

    Перечень исключений является закрытым и установлен частью 2 ст. 22 Закона (№ 152-ФЗ от 27.07.2006 г.). Во всех остальных случаях оператор направляет уведомление.

    Как составить и подать уведомление об обработке персональных данных

    Получатель уведомления – Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций). Он ведет реестр уведомлений, из которого можно даже получить выписку. На сайте Роскомнадзора есть Портал персональных данных (http://rkn.gov.ru/). На нем размещается и рекомендованная форма уведомления, и заявления о предоставлении выписки из Реестра. Мы рекомендации Роскомнадзора учли, поэтому за образец Вы можете использовать наш пример.

    Итак, уведомление содержит ряд обязательных граф:

    • наименование оператора персональных данных. Для физических лиц это Ф.И.О., адрес, паспортные данные, ИНН (при наличии). Для юридических – полное наименование, сокращенное наименование, юридический адрес, ИНН и ОГРН
    • цель обработки данных
    • категории персональных данных
    • категории субъектов, чьи данные обрабатываются. Здесь рекомендуем указать виды отношений с субъектами (например, заемщик), юридические или физические лица и т.п.
    • правовое основание – почему оператор имеет право собирать и обрабатывать с такой целью информацию
    • действия по обработке – автоматизированная, неавтоматизированная, смешанная
    • меры ст. 18.1 и 19 Закона – организационные и технические меры защиты данных, в т.ч. сведения о наличии шифровальных средств
    • сведения (ф.и.о., наименование юр.лица), ответственных за обработку данных, контактные телефоны и адреса электронной почты
    • дата начала обработки данных (любой операции)
    • срок прекращения обработки (или условие-основание)
    • место нахождения базы данных (адрес)
    • обеспечение безопасности в соответствии с постановлением правительства РФ от 01.11.2012 г. № 119

    Заявление оператор направляет в бумажном формате или через сайт Портал персональных данных. В случае изменения каких-то сведений, он направляет информационное письмо об этом. 

    Кроме уведомления об обработке персональных данных оператор может направить уведомление о прекращении обработки.

    iskiplus.ru

    Порядок хранения персональных данных | Кредитный адвокат

    Вконтакте

    Facebook

    Twitter

    Google+

    Одноклассники


    Здравствуйте, в этой статье мы постараемся ответить на вопрос «Порядок хранения персональных данных». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

    Закон «О персональных данных» регулирует отношения между государственными, муниципальными органами, физическими и юридическими лицами в сфере обработки и защиты личной информации, которые совершаются при помощи средств автоматизации или же без нее.

    За нарушение законодательства РФ о персональных данных в трудовых отношениях дополнительно предусмотрена дисциплинарная (подпункт «в» п. 6 ст. 81 ТК РФ), материальная (ст. 238 ТК РФ) и гражданско-правовая ответственность.

    Новые правила хранения личных данных работников

    Указанные разъяснения целесообразно предоставить заблаговременно и до вступления в силу ФЗ-242 для того, чтобы обеспечить разумную возможность обеспечения исполнения требований закона, а также минимизировать напряженность, возникшую в связи с принятием ФЗ-242. К тому же такого рода разъяснения будут полезны и для обеспечения единообразия правоприменительной практики.

    Сведения, содержащие персональные данные работника, включаются в его личное дело, карточку формы Т-2, доступ к которым разрешён лицам, непосредственно использующим персональные данные работника в служебных целях. Перечень должностных лиц определён в пункте 4.1 настоящего положения.

    Положение определяет права и обязанности руководителей и работников, порядок использования указанных данных в служебных целях, а также порядок взаимодействия по поводу сбора, документирования, хранения и уничтожения персональных данных.

    При этом работник должен быть ознакомлен с целевым назначением и объемом той информации, которая будет передана вне пределов общества. Передача персональных данных работников не по целевому назначению, ровно как и передача персональных данных в объеме, превышающем объем, на передачу которого было получено согласие работника, запрещается.

    Источником информации обо всех персональных данных Пользователя является непосредственно сам Пользователь.

    Настоящее положение принято во исполнении требований трудового законодательства в целях обеспечения прав и свобод человека и гражданина при обработке персональных данных работников общества.

    Сайт – совокупность программных и аппаратных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ в сети Интернет.

    При передаче персональных данных работника третьим лицам необходимо предупреждать их о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности).

    Особенности сбора и обработки персональных данных в Российской Федерации

    Одной лишь доступности интернет-сайта на территории Российской Федерации недостаточно для вывода о том, что на него распространяется законодательство Российской Федерации, в том числе о персональных данных, поскольку в таком случае сфера его применения носила бы по существу всемирный характер и делала бы практически невозможным контроль за его исполнением.

    Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

    Если организация осуществляет обработку персональных данных, противоречащую вышеуказанным пунктам, то это является нарушением федерального законодательства.

    Персональные данные относятся к конфиденциальной информации, поэтому работодатель обязан получать эти данные только у самого работника. Если это сделать невозможно, то работодатель имеет право запрашивать персональную информацию у третьих лиц только с письменного согласия работника.

    Заключение Отметим, что документы, в которых закрепляются положения о вопросах обработки и защиты персональных данных, могут стать объектом проверки контролирующих органов, в частности сотрудников Роскомнадзора.

    Уничтожает персональные данные комиссия на основании приказа руководителя. Результат нужно оформить в виде акта о прекращении обработки персональных данных. Еще вариант — можно сделать запись об уничтожении в специальном журнале.

    Предоставление уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».

    Если у хозяйства нет возможности уничтожить персональные данные в срок, сведения нужно заблокировать. После этого уничтожить личные сведения нужно не позднее, чем через шесть месяцев (ч. 6 ст. 21 Закона № 152-ФЗ).

    Предоставление уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».

    Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора. Подробнее об этом см. п. 2 настоящего материала.

    Получение персональных данных работника у третьих лиц, возможно только при уведомлении работника об этом заранее и с его письменного согласия.

    Достаточно много вопросов возникает у представителей бизнеса в связи с возможной обратной силой ФЗ-242 и распространением его действия на процессы обработки персональных данных, имевших место до вступления его в силу.

    Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

    Оператором является ООО «Торговый Дом АДЛ», расположенное по адресу: 115432, г. Москва, проспект Андропова, дом 18, корпус 7.

    Положение устанавливает порядок обработки персональных данных Пользователей Сайта: действия по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению), уничтожению персональных данных. Иногда от проблемы хранения и использования персональных данных отмахиваются, потому что о судебных делах известно мало, а штрафы кажутся небольшими. На текущий момент Роскомнадзор активно реализует полномочия по судебной защите прав граждан, в том числе и неопределенного круга лиц.

    Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

    Исключением является информация, запрашиваемая из медицинских учреждений о противопоказаниях и ограничениях в трудовой деятельности своих работников.

    Согласие на обработку персональных данных

    ТК РФ устанавливают что необходимо согласие на обработку персональных данных и правильное хранение их. Также необходимо разработать положение о персональных данных.

    Оператор не имеет права получать и обрабатывать персональные данные Пользователя о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Федеральным законом.

    Получение всех персональных данных осуществляется инспекторами по кадрам непосредственно у самих работников общества. Если персональные данные работника можно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

    В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных.

    Некорректное обращение с личной информацией клиента может привести компанию к солидным штрафам. Именно поэтому эксперты рекомендуют удостовериться, что в случае судебного процесса вы сможете доказать получение согласия клиента на использование его персональных данных. Три страшных мифа о личной информации клиентов – в нашей статье.

    При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным. Подробнее об этом см. раздел «Хранение и использование персональных данных» настоящего материала.

    И.О., дата рождения;- номер свидетельства государственного пенсионного страхования;- размер заработной платы;- размер начисленных и уплаченных страховых взносов.Настоящее согласие действительно в течение одного года с момента его получения.

    Тем не менее согласно ст. 152.1 ГК РФ обнародование и дальнейшее использование изображения гражданина допускаются только с его согласия. Соответственно, использование фотографии человека (в т.ч. работника) без его согласия не допускается.

    Все обращения субъектов персональных данных или их представителей регистрируются в Журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.

    В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, последний в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных.

    Министерство связи и массовых коммуникаций предлагает разъяснения и ответы на часто задаваемые вопросы, подготовленные на основании информации, полученной от представителей бизнеса, научного сообщества и органов государственной власти РФ (Совет Федерации РФ, Минкомсвязи РФ, Роскомнадзор).

    Обработка персональных данных Пользователей Сайта осуществляется на основании Гражданского кодекса РФ, Конституции РФ, действующего законодательства РФ в области защиты персональных данных.

    Сюда относятся, к примеру, паспортные данные работника или адрес его проживания, информация об образовании или стаже работника, сведения о заработной плате или семейное положение сотрудника и т.д.

    Следовательно, если фотография не предполагает отображения таких сведений, то отнести ее к персональным данным, вероятнее всего, нельзя. Предприниматели зачастую считают, что на проблему использования персональных данных работника можно не обращать внимания: «Может, стоит забыть об этом, а что? Про суды не слышал… Штрафы небольшие», или «А может, мы и не собираем данные?», или «У нас же интернет в России вроде бы не урегулирован и не отслеживается». Это недальновидный подход, который означает готовность оставаться в «теневой сфере».

    Вконтакте

    Facebook

    Twitter

    Google+

    Одноклассники


    Похожие записи:

    estimaclub.ru

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *