Осуществление трансграничной передачи персональных данных что писать

Ошибка

Осуществление трансграничной передачи персональных данных что писать

Почти 11 лет на закон о персональных данных никто не обращал внимания. В основном потому, что штрафы были мизерные — 10 тысяч р. С 1 июля 2017 года штрафы вырастут в десять раз, что автоматически делает закон популярнее ждуна и видеоблогеров в Думе.

Появилась куча статей, которые противоречат друг другу и дают советы разной степени абсурдности.

Нужно ли заверять скриншоты у нотариуса? Электронная почта — это персональные данные или нет? Правда ли, что документы нужно хранить в сейфе? Мы тоже разволновались и решили все узнать у адвоката Алексея Головина, члена адвокатской конторы «Пелевин и партнеры».

1. Что случится 1 июля?

Вступят в силу изменения в КоАП. Сам закон о персональных данных (ПД) не меняется — ужесточается ответственность за нарушения. Штрафы вырастут в среднем в 10 раз. Самые злостные нарушители могут собрать комбо до 300 тысяч р.

2. Меня это касается?

Да. Любая фирма, которая собирает и ведет клиентскую базу, попадает под действие закона. Неважно, как именно вы собираете базу: через сайт, по телефону, письменную анкету или пр. А еще вы являетесь оператором персональных данных. И должны написать об этом в Роскомназдор. Исключение — журналисты, кадровики с данными сотрудников и те, кто с каждым клиентом заключает письменное соглашение.

3. Когда мою компанию проверит Роскомназдор?

Роскомназдор может прийти к вам по 2 поводам: плановая и внеплановая проверка. В конце года Роскомназдор публикует на своем сайте плани список юрлиц, которых будет проверять в будущем году.

Дополнительно за 3 дня до проверки Роскомназдор отправит уведомление. Если вас в списке нет, это еще не значит, что можно расслабиться на год.

Если кто-то из вашей клиентской базы пожалуется Роскомназдору на то, что беспричинно получает от вас рекламу, письма или смски, вас ожидает внеплановая проверка — без предупреждения.

4. Что относится к персональным данным (ПД)?

Всё, что позволяет персонализировать человека. ФИО, дата и место рождения, адрес, социальное и имущественное положение, образование, профессия, должность, доходы, биометрические данные. Это по закону. Судебная практика добавляет к ПД сведения о смерти, номер мобильного телефона, фотографии. Электронная почта типа kotik34@mail.ru не является ПД. Но вкупе с любыми другими ПД — это ПД.

5. Что нужно сделать на сайте?

На сайте нужно опубликовать пользовательское соглашение — документ, в котором прописана цель сбора данных, процессы сбора, обработки, хранения и передачи ПД. В соглашении должно быть написано, как клиент может изменить или удалить данные о себе из вашей базы. Ссылка на соглашение должна быть под каждой формой, которая собирает ПД. Есть 2 тонких момента.

Тонкий момент №1. После того, как клиент вошел в личный кабинет на сайте, ссылку под формами можно уже не показывать: достаточно 1 раз получить согласие клиента. 
Тонкий момент №2. Под формой может быть а) просто надпись “Нажимая на кнопку, вы соглашаетесь с нашей политикой обработки персональных данных”, б) может быть фраза с чек-боксом и заранее поставленной в него галочкой, 

в) может быть фраза с пустым чек-боксом, куда клиент должен сам поставить галочку. 

Все 3 варианта приемлемы. Но если вы думаете, как адвокат, и всегда стремитесь к минимальному риску, вариант в) — лучший. Если будет суд, в первых двух вариантах придется доказывать, что клиент видел и понимал надпись, в третьем случае доказывать не нужно, потому что клиент совершил осознанное действие — поставил галочку.

6. Что нужно сделать внутри компании?

Придется написать ряд локальных нормативных актов: положение об обработке ПД, приказ о назначении ответственного лица. Все, кто собирает и обрабатывает ПД, должны быть ознакомлены с положением под роспись. Все документы нужно хранить в отдельном кабинете с ограниченным доступом, в сейфе. Это не шутка: уже были штрафы просто за то, что документы лежали на столе.

7. А можно скопировать пользовательское соглашение у других?

Можно. Но если будет проверка или суд, вас накажут. В соглашении должны быть правильно описаны процессы именно в вашей компании, и не факт, что в украденном тексте все будет совпадать. Даже если вы скопировали текст, проверьте его и дополните описаниями своих бизнес-процессов.

8. А если у меня иностранные партнеры или клиенты?

С партнерами (например, с иностранными сервисами рассылок) нужно обменяться договорами. Электронные копии годятся. Если вы работаете с иностранными клиентами, т.е.

собираете персональные данные белорусов и перуанцев, все документы (пользовательское соглашение, локальные акты) должны соответствовать закону о ПД в Беларуси и Перу. В этом случае за ориентир берется самое строгое законодательство, и все документы пишутся под него.

В противном случае перуанец может пожаловать в Перукомнадзор, тот пожалуется в Роскомназдор, и у вас будет внеплановая проверка

9. Куки и ремаркетинг относятся к закону?

Нет. Куки и ремаркетинг относятся к американскому законодательству. Предупреждение о том, что сайт использует куки, нужно, если вы работаете с американской аудиторией.

10. Нужно ли делать нотариально заверенные скриншоты?

Нет. Скриншоты могут пригодиться только в суде. Скриншот подтверждает, что в день, когда он был сделан, например, 12 марта 2015 года, на сайте была голубая галочка. Такой скриншот пригодится только в том случае, если дело касается именно 12 марта 2015 и голубой галочки. Поэтому нотариально заверенные скриншоты вряд ли вам нужны.

Когда точно нужен юрист?

Если вы хороший руководитель, отлично знаете процессы внутри компании, закон и подзаконные акты, вы можете самостоятельно составить все документы. Есть 2 случая, когда вам точно понадобится юрист. Во-первых, иностранные клиенты.

Документы должны соответствовать закону той страны, где живет ваш клиент. В 90% это Россия. А если Казахстан? Боливия? Катманду? Юрист изучит законодательство этих стран, выберет самые жесткие требования и разработает документы под них. Во-вторых, оценка рисков.

Если о законе вы слышите впервые, а компания работает не первый год на рынке, вы точно нарушитель. Предположим, компания работает с 2009 года, закон — с 2006. Компания не делала соглашений, не уведомляла Роскомназдор. Это значит, что 8 лет она обрабатывает персональные данные с полным пакетом нарушений.

В этом случае юрист оценит риски, возможные штрафы и посоветует, как лучше выйти из ситуации.

Что может сделать копальщик?

Программист, верстальщик, контент-менеджер, агентство, которое делало сайт, не несут никакой ответственности за то, что ваша компания не соответствует закону о ПД.

Что они точно могут сделать: опубликовать пользовательское соглашение, под формами поставить на него ссылку, расписаться во внутренних документах о том, что с положением о ПД они ознакомлены.

Конечно же, по вашему требованию копальщик может скопировать чужое соглашение и выложить на ваш сайт. Но если проверка обнаружит подлог, отвечать будете вы, а не копальщик.

Для тех, кто начнет с нуля

Максимальный чек-лист

  1. Написать локальные нормативные акты, назначить ответственного за ПД, Сотрудников, которые работают с ПД, ознакомить с положением под роспись.
  2. Обменяться договорами с подрядчиками (сервисами почтовых рассылок, смс-рассылок и пр.) Можно обменяться электронными копиями.
  3. Положить все документы в сейф.
  4. Подготовить и опубликовать на сайте пользовательское соглашение.
  5. Под каждой формой сбора данных опубликовать ссылку на пользовательское соглашение.
  6. Отправить почтой или по интернету уведомление в Роскомназдор о том, что ваша компания является оператором персональных данных.

Для тех, кто хочет видеть весь текст закона

Ниже мы собрали все ответы на вопросы, но не русским языком, а языком закона — с номерами, ссылками и точными формулировками.

Что за закон? Краткое содержание

Федеральный закон от 27.07.06 № 152ФЗ «О персональных данных», далее — закон № 152ФЗ

Источник: https://ak-pelevin.ru/proverte-svoy-biznes-na-sootvetstvie-zakonu-o-personalnyh-dannyh

Немного о личном и трансграничном

Осуществление трансграничной передачи персональных данных что писать

Как закон о локализации персональных данных влияет на российский рынок

1 сентября исполняется три года с момента вступления в силу изменений в Федеральный закон № 152-ФЗ «О персональных данных» (242-ФЗ).

Помимо существовавших требований ко всем компаниям, организациям и физическим лицам, которые обрабатывают конфиденциальную информацию граждан, нормативно-правовой акт ввел новые обязанности. А именно, теперь они должны хранить персональные данные (ПД) на территории РФ.

Также документ определил создание Реестра нарушителей, вести который доверили уполномоченному органу по защите прав субъектов ПД – Роскомнадзору.

Кому это нужно

Целью законодательных изменений являлось прекращение бесконтрольного использования конфиденциальной информации россиян на территории других государств. Документ потребовал от операторов персональных данных выполнения единственного условия – соответствовать стандартам Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД.

242-ФЗ установил специальные критерии определения «виртуальных» границ России в соответствии с трансграничным и децентрализованным характером интернета. Так, деятельность компаний по обработке ПД может быть отнесена к осуществляемой на территории России, если:

1) у сайта есть русскоязычная версия;2) доменное имя связано с РФ (.ru, .рф и т. д.);3) исполнение заключенного на таком сайте договора (доставка товара, оказание услуги, пользование цифровым контентом) производится в российских рублях;

4) реклама показывается пользователю на русском языке.

Минкомсвязь в своих разъяснениях пишет, что у компаний могут быть и иные обстоятельства, «явно свидетельствующие о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию».

Изменения, внесенные 242-ФЗ, не затронули положений о трансграничной передаче данных.

ТРАНСФЕР ПД ЗА ПРЕДЕЛЫ РОССИИ ОСТАЛСЯ ВОЗМОЖЕН С СОБЛЮДЕНИЕМ УСЛОВИЙ ЗАКОНА

Как отмечали некоторые российские эксперты, Роскомнадзору удалось найти решение, позволяющее осуществлять и локализацию персональных данных, и их трансграничную передачу.

Суть решения состояла в том, чтобы разделить все базы на две группы. ПД должны быть первоначально записаны и сохранены на территории России («первичная база данных»). После этого информация из них может быть скопирована за пределы страны во «вторичную базу данных» с соблюдением условий трансграничной передачи.

«Другими словами, главная копия личных данных российских граждан, собранных в России, должна быть расположена в России, так же как последующие обновления и дополнения к этим личным данным.

Технические решения, в которых первичная база данных находится за рубежом и создается только русская копия (“копия” или “зеркало”) такой зарубежной базы данных, не соответствуют закону», – пишет в своем исследовании юрист компании IBM (Россия/СНГ), старший научный сотрудник НИУ ВШЭ, член Консультативного совета при Роскомнадзоре Александр Савельев.

Важно, что новый порядок обработки ПД начал действовать только для тех баз с данными российских пользователей, которые были собраны после 1 сентября 2015 года. Хранилища конфиденциальной информации, созданные до даты вступления в силу закона, под требования не попали. Таким образом, компаниям дали время на подготовку к новым изменениям без ущерба для своей деятельности.

ОБНОВИТЬ И ДОПОЛНИТЬ СТАРЫЕ БАЗЫ БЕЗ ИХ ЛОКАЛИЗАЦИИ НА ТЕРРИТОРИИ РОССИИ, СОГЛАСНО 242-ФЗ, СТАЛО НЕВОЗМОЖНО

Закон также дал расширенные права российским интернет-пользователям по контролю за использованием их ПД. В случае неправомерной обработки граждане вправе обратиться в Роскомнадзор или суд.

Если компания игнорирует нормы 152-ФЗ, ее внесут в Реестр нарушителей прав субъектов персональных данных, а к сервисам будет ограничен доступ на территории России.

За несоблюдение требований 242-ФЗ предусмотрена аналогичная ответственность.

Что общего с GDPR

Российский 152-ФЗ и новый Генеральный регламент о защите персональных данных (англ. General Data Protection Regulation, GDPR) имеют самостоятельную территориальную и юрисдикционную сферу применения в пространстве, по кругу лиц и во времени.

Так, 152-ФЗ не обладает экстерриториальным действием, не распространяется на нерезидентов, собирающих ПД российских граждан за границей (в случае если они не осуществляют деятельность в интернете, направленную на Российскую Федерацию).

GDPR же не ограничивает сферу действия права о персональных данных по «национальному принципу». Защита персональных данных осуществляется на территории Евросоюза и в государствах-членах независимо от гражданства или места проживания.

РОССИЙСКИЙ И ЕВРОПЕЙСКИЙ ЗАКОНЫ ПОХОЖИ В ПОДХОДАХ РЕГУЛИРОВАНИЯ ТРАНСГРАНИЧНОЙ ПЕРЕДАЧИ ДАННЫХ

Глава V Регламента GDPR регулирует порядок перемещения ПД за пределы ЕС.

Передача данных может иметь место, когда Европейская комиссия сделала вывод о надлежащем обеспечении гарантий защиты ПД третьей стороной (страной, ее субъектами или международной организацией).

Решение о передаче данных может быть отменено, изменено или приостановлено в случае низкой оценки уровня защиты. Критерии оценки, из которых должна исходить Европейская комиссия, закреплены в ст. 45 Регламента GDPR.

152-ФЗ разрешает трансграничную передачу ПД в страны, которые являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Государства, не являющихся сторонами Конвенции, также могут осуществлять трансграничную передачу, если Роскомнадзор включит их в перечень иностранных государств с адекватной защитой прав субъектов персональных данных.

Сейчас в списке находятся 23 страны.

Трансграничная передача может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

Тем не менее схожие положения отечественного и европейского законов не дают оснований делать вывод относительно их «гармонизации», пишет Институт развития интернета в своем исследовании.

«Для российских компаний, деятельность которых связана со сферой персональных данных, ориентированных на пользователей в Евросоюзе, имеющих договорно-правовые обязательства с контрагентами ЕС, – это означает “двойное обременение”».

Кто хочет – ищет способ

Закон вызвал противоречивую реакцию крупных организаций и торговых ассоциаций. Члены КСИИ и АЕБ просили уточнить некоторые понятия в законодательном акте и перенести сроки его вступления в силу, пишут издания «Коммерсантъ» и «РБК».

Такой поступок эксперты объясняли выжидательной позицией компаний.

По мнению главного аналитика Российской ассоциации электронных коммуникаций (РАЭК) Карена Казаряна, часть IT-компаний были готовы к исполнению закона, но ждали примеров его правоприменения, на основе которых будут определять масштабы размещения в России.

Их сомнения, отмечал К. Казарян, также могли быть связаны с «неспособностью российских дата-центров удовлетворить высокие требования западных компаний к уровню сервиса SLA (Service Level Agreements)».

В то же время компании Aliexpress, Booking.com, Ebay, PayPal, Uber, Samsung и др. подтвердили свою готовность исполнять новые требования после встреч с Роскомнадзором и разъяснений РАЭК.

Глава комитета Госдумы по информационной политике, информационным технологиям и связи Леонид Левин заявлял: «Времени подготовиться к вступлению 242-ФЗ в силу было достаточно.

Тем более что Роскомнадзор постоянно ведет консультации с заинтересованными компаниями и нехватки мощностей в дата-центрах не предвидится».

О том, что локализация данных – новый тренд развития интернета, в свое время рассказывала заместитель главы Роскомнадзора Антонина Приезжева.

Как это помогает бизнесу

Рост рынка коммерческих дата-центров в России эксперты прогнозировали сразу после принятия закона.

О местах для переноса и хранения баз данных говорил ведущий аналитик в области промышленных систем IDC Russia Михаил Попов. По сведениям эксперта, мощностей для такого объема информации должно хватить всем операторам ПД, а внедрение этого закона поможет развитию российской отрасли дата-центров.

«Безопасность российских ЦОДов определяется законодательством и технической документацией. Есть требования ФСТЕК и ФСБ, которые необходимо соблюдать для получения лицензии.

Таким образом, дата-центры любого типа, которые предоставляют услуги хранения данных, сертифицированы, и все они предоставляют более или менее равные по степени защищенности услуги.

На сегодня требований указанных выше ведомств достаточно, и сертификаты имеют все крупные, большинство средних и достаточное количество малых ЦОДов», – считает М. Попов.

В исследовании 2017 года эксперты iKS-Consulting отметили рост российского рынка ЦОДов на 20 процентов. Тогда его объем уже составил 16,8 млрд рублей.

По прогнозу «ТМТ Консалтинг», рынок продолжит расти еще на 9%, до 39,6 тыс. стойко-мест, при выручке в 26,7 млрд рублей.

ПЕРСПЕКТИВНЫМ СЕГМЕНТОМ ОСТАЮТСЯ МЕЖДУНАРОДНЫЕ КОМПАНИИ, КОТОРЫЕ РАЗМЕЩАЮТ В РОССИЙСКИХ ДАТА-ЦЕНТРАХ БИЗНЕС-РЕШЕНИЯ, ИСПОЛЬЗУЮЩИЕ ПД ПОЛЬЗОВАТЕЛЕЙ РФ

К 2018 году наметилось несколько тенденций развития рынка:

Популяризация cloud-решений. Перевод в «облака» информационных систем бизнеса и госструктур спровоцировано нестабильной экономической ситуацией. Отсюда и желание компаний минимизировать расходы, сохранив при этом эффективность.

Появление новых клиентов. Услуги коммерческих ЦОДов пользуются спросом среди IT-гигантов. Принятие новых законов – 242-ФЗ, GDPR, «Закон Яровой» – стали причиной смены поставщика услуг дата-центров с иностранных на отечественных.

Развитие государственных проектов. Государство проявляет интерес к развитию собственной IT-среды. Реализация государственной программы «Цифровая экономика РФ» позволит увеличить количество дата-центров в России и выработать единую схему их распределения по стране.

***

С момента реализации 242-ФЗ, как сообщил Роскомнадзор, проведено более 3 тыс. плановых проверок в отношении операторов, осуществляющих обработку ПД. Локализацию баз данных на территории России подтвердили 225 666 организаций.

В итоге только одна компания не выполнила требования российского законодательства в сфере персональных данных и оказалась в Реестре нарушителей – LinkedIn.

Новые стандарты информационной безопасности становятся тенденцией для развития IT-рынка и внедрения законодательных инициатив в бизнес-процессы.

152-ФЗ, «Закон Яровой», GDPR и другие нормы мотивируют отрасль активнее развивать свои продукты и улучшать качество услуг для пользователей.

А граждане цивилизованных стран получают возможность защитить свое право на неприкосновенность информации о себе и личного пространства.

Изображения: RSpectr, freepik.com

Локализация баз данных по 242-ФЗ

Все тэги

Источник: https://www.rspectr.com/articles/435/nemnogo-o-lichnom-i-transgranichnom

Политика конфиденциальности

Осуществление трансграничной передачи персональных данных что писать

Политика в отношении обработки персональных данных

Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006.

№152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных Подведомственное учреждение Департамента Здравоохранения города Москвы (Государственное Бюджетное Учреждение Здравоохранения города Москвы «Городская поликлиника № 175 Департамента Здравоохранения города Москвы»). (далее – Оператор).

1.

Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://gp175.moscow/.

2. Основные понятия, используемые в Политике

1.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://gp175.moscow/;

4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных;6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://gp175.moscow/;

9. Пользователь – любой посетитель веб-сайта https://gp175.moscow/;10. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;11. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;12. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;

13. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.

3. Оператор может обрабатывать следующие персональные данные Пользователя

1.

Фамилия, имя, отчество;2. Электронный адрес;3. Номера телефонов;4. Год, месяц, дата и место рождения;5. Номер полиса обязательного медицинского страхования;6. Адрес фактического места проживания и регистрации по месту жительства и (или) по месту пребывания;7. Прикрепление к поликлинике;8. IP-адрес;9. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч.

файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).

10. Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные.

4. Цели обработки персональных данных

1.

Цель обработки персональных данных Пользователя — информирование Пользователя посредством отправки электронных писем; внутри-организационные мероприятия по решению вопросов описанных в формах обратной связи; улучшение интерфейса и(или) наполнения(контента) сайта https://gp175.moscow основываясь на опросах и форм обратной связи.
2. Также Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях.

Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты sd-inbox@gp175.moscow с пометкой «Отказ от уведомлениях о новых продуктах и услугах и специальных предложениях».
3.

Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.

5. Правовые основания обработки персональных данных

1.

Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://gp175.moscow/. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.
2.

Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).

6. Порядок сбора, хранения, передачи и других видов обработки персональных данных

Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.

1.

Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства.

3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора sd-inbox@gp175.moscow с пометкой «Актуализация персональных данных».

4. Срок обработки персональных данных является неограниченным. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора sd-inbox@gp175.moscow с пометкой «Отзыв согласия на обработку персональных данных».

7. Трансграничная передача персональных данных

1.

Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.

8. Заключительные положения

1.

Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты info@gp175.moscow.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.

3. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://gp175.moscow/pp-20190701/.

О диспансеризации Городская поликлиника №175 приглашает Вас на диспансеризацию определенных групп  взрослого населения, которую Вы сможете пройт

Статья 81. Территориальная программа государственных гарантий бесплатного оказания гражданам медицинской помощи 1. В соответствии с программой госуд…

Права и обязаности затрахованных лицПрава застрахованных гражданЗаконом «Об обязательном медицинском страховании в Российской Федерации» от 29.11.2…

Виды медицинской помощиВ рамках Территориальной программы бесплатно предоставляются: 1) первичная медико-санитарная помощь, в том числе первичная д…

ИнвалиaдамМедицинская помощь инвалидам и лицам с ограниченными возможностями здоровья осуществляется медицинскими организациями государственной сист…

Подготовка к инструментальным методам исследования УЗИ ОРГАНОВ БРЮШНОЙ ПОЛОСТИ Перечень документов для исследования• Направление (форма № 057/у) и

Прикрепление к поликлиникеВ соответствии с Законом «Об основах охраны здоровья граждан в Российской Федерации» каждый пациент имеет право на выбор м…

Государственное бюджетное учреждение здравоохранения «Городская поликлиника № 175 Департамента здравоохранения города Москвы» – ГБУЗ “ГП № 175” ДЗМ (2016-2019гг.)

Этот сайт использует файлы cookie. Продолжая пользоваться этим сайтом, вы соглашаетесь с их использованием. Дополнительную информацию, в том числе об управлении файлами cookie, можно найти здесь: Политика использования файлов cookie

Источник: https://gp175.moscow/pp-20190701/

Политика обработки персональных данных

Осуществление трансграничной передачи персональных данных что писать

Рекомендуем вам регулярно проверять эту страницу, чтобы быть в курсе последних изменений.

Если мы внесем такие изменения в Политика в отношении обработки персональных данных ООО «Дрим Яхт Чартер», которые затронут непосредственно вас (например, если мы намереваемся обрабатывать ваши персональные данные в целях, отличных от тех, что были ранее указаны в настоящей Политике о конфиденциальности), мы сообщим вам о таких изменениях до начала новой деятельности.

Если вы не согласны с этой Политикой о конфиденциальности, мы просим вас воздержаться от пользования нашими услугами. Если вы согласны с нашей Политикой о конфиденциальности, тогда вы готовы организовать следующий свой чартер с компанией «Дрим Яхт Чартер».

Политика в отношении обработки персональных данных ООО «Дрим Яхт Чартер»

1 Общие положения

1.1 Настоящий документ определяет политику ООО «Дрим Яхт Чартер» (далее – Компания) в отношении обработки персональных данных и излагает систему основных принципов, применяемых в отношении обработки персональных данных в Компании.

1.2 Действие настоящей Политики распространяется на все операции, совершаемые в Компании с персональными данными с использованием средств автоматизации или без их использования.

1.3 Настоящая Политика разработана в соответствии с Конвенцией Совета Европы №108 о защите личности в связи с автоматической обработкой персональных данных и Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных».

1.4 Настоящая Политика подлежит актуализации в случае изменения законодательства РФ о персональных данных.

2 Введение

2.1 В соответствии с подпунктом 2 статьи 3 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» Компания является оператором, т.е.

юридическим лицом, самостоятельно организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.2 Важным условием реализации целей деятельности Компании является обеспечение защиты прав и свобод человека и гражданина — субъекта персональных данных при обработке его персональных данных.

2.3 В Компании разработаны и введены в действие документы, устанавливающие порядок обработки и обеспечения безопасности персональных данных, которые обеспечивают соответствие требованиям Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов.

3 Принципы и условия обработки персональных данных в Компании

3.1 Цели обработки персональных данных:
Данные Пользователя собираются, чтобы позволить Оператору предоставлять свои Услуги, а также для следующих целей: сбор аналитики, установление контакта с Пользователем, реклама, регистрация и аутентификация, управление контактами и отправка сообщений.

3.2. Обработка персональных данных у Оператора осуществляется на основе следующих принципов:

− законности и справедливой основы;

− ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;

− недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;

− недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

− обработки только тех персональных данных, которые отвечают целям их обработки;

− соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;

− недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;

− обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;

− уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.

3.3 Сроки обработки персональных данных определены с учетом:

− установленных целей обработки персональных данных;

− сроков действия договоров с субъектами персональных данных и согласий субъектов персональных данных на обработку их персональных данных;

− сроков, определенных Приказом Минкультуры РФ от 25 августа 2010г. №558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»;

Персональные данные, собранные для целей, связанных с выполнением договора между Оператором и Пользователем, сохраняются до тех пор, пока такой договор не будет полностью выполнен.

Персональные данные, собранные для соблюдения законных прав Оператора, сохраняются до тех пор, пока это необходимо для выполнения данной цели. Пользователи могут найти информацию о законных правах, согласно которым действует Оператор, в соответствующих разделах настоящего документа или обратиться к Оператору.

Оператор вправе хранить Персональные данные более длительный период, если Пользователь дал согласие на такую обработку, если такое согласие не будет отозвано. Более того, Оператор обязан хранить Персональные данные более длительный период, если это требуется для исполнения правового обязательства или по приказу уполномоченного органа.

3.4 При обработке персональных данных обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

3.5 Компания не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных (если иное не предусмотрено федеральным законом РФ).

3.6 В Компании не создаются общедоступные источники персональных данных.

3.7 Компания не осуществляет обработку специальных категорий персональных данных.

3.8 Компания не осуществляет обработку биометрических персональных данных.

3.9 Компания осуществляет трансграничную передачу персональных данных. При этом Компания выполняет все требования к осуществлению трансграничной передаче персональных данных, предусмотренные Федеральным законом РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г.

Перед передачей данных Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления такой передачи.

Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях: — наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных; — исполнения договора, стороной которого является субъект персональных данных.

3.10 Компания не осуществляет обработку персональных данных в целях продвижения товаров, работ и услуг Компании на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи. Компания не осуществляет обработку персональных данных в целях политической агитации.

3.11 Компания поручает обработку персональных данных другим лицам. При этом Компания выполняет все требования к поручению обработки персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных».

3.12 Компания осуществляет обработку персональных данных с использованием средств автоматизации и без их использования. При этом Компания выполняет все требования к автоматизированной и неавтоматизированной обработке персональных данных, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

4 Права субъектов персональных данных, обрабатываемых в Компании

4.1 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных.

Для получения указанной информации субъект персональных данных может отправить письменный запрос по адресу: Российская Федерация, 123308, г. Москва, просп. Маршала Жукова, д.

2, этаж 3, помещение I, комната 19, офис 15 в порядке, установленном ст.14 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных».

4.2 Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Для реализации указанных требований субъект персональных данных может отправить письменный запрос по адресу: Российская Федерация, 123308, г. Москва, просп. Маршала Жукова, д. 2, этаж 3, помещение I, комната 19, офис 15 в порядке, установленном ст.21 Федерального закона от 27 июля 2006 г.

№152-ФЗ «О персональных данных».

5 Исполнение обязанностей оператора Компанией

5.

1 Компания получает персональные данные от субъектов персональных данных, от третьих лиц (лиц, не являющихся субъектами персональных данных) и из общедоступных источников персональных данных (в том числе в информационно-телекоммуникационной сети «Интернет»). При этом Компания выполняет обязанности, предусмотренные Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» при сборе персональных данных.

5.

2 Компания прекращает обработку персональных данных в следующих случаях:

− по достижении целей их обработки, либо в случае утраты необходимости в достижении этих целей;

− по требованию субъекта персональных данных, если обрабатываемые в Компании персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

− в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;

− в случае отзыва субъектом персональных данных согласия на обработку его персональных данных (если персональные данные обрабатываются Компанией на основании согласия субъекта персональных данных);

− устранены причины, вследствие которых осуществлялась обработка персональных данных, если иное не установлено федеральным законом;

− в случае ликвидации или реорганизации Компании.

5.

3 В Компании для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, приняты следующие меры:

− назначен Ответственный за организацию обработки персональных данных;

− изданы локальные акты по вопросам обработки и обеспечения безопасности персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений:

  • Положение об обработке персональных данных;
  • Положение об организации и обеспечении защиты персональных данных.

− применены правовые, организационные и технические меры по обеспечению безопасности персональных данных;

− осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, настоящей Политики, локальных актов Компании;

− работники Компании, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, настоящей Политики и локальных актов Компании по вопросам обработки персональных данных.

5.

4 В Компании реализуются следующие требования к защите персональных данных:

− организован режим обеспечения безопасности помещений, в которых размещены информационные системы, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

− реализовано обеспечение сохранности носителей персональных данных;

− руководителем Компании утвержден документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

− для нейтрализации актуальных угроз безопасности персональных данных используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации;

− назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационных системах персональных данных;

− реализованы требования, установленные Постановлением Правительства РФ от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Источник: https://www.dream-yacht-charter.ru/privacy/

Помощь права
Добавить комментарий