Онлайн-журнал о бизнесе
HomeКак собирать персональные данные пользователей на сайте, не нарушая закон

Как собирать персональные данные пользователей на сайте, не нарушая закон

Содержание:

Цели сбора ПД.

Здесь важно указать, что обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей и не допускается обработка данных, несовместимая с целями их сбора. Сами же цели обработки проистекают в том числе из анализа правовых актов, регламентирующих деятельность того или иного оператора, целей фактически осуществляемой им деятельности и деятельности, предусмотренной учредительными документами, а также отдельных бизнес-процессов оператора в информационных системах персональных данных (п

3.2 Рекомендаций).

В частности, цели обработки, общие для большинства учреждений (в том числе автономных), могут быть следующими:

1) заключение трудовых договоров, договоров с контрагентами, выполнение обязательств по этим договорам;

2) кадровое планирование, принятие решения о трудоустройстве кандидата на должность;

3) исполнение налогового законодательства, ведение бухгалтерского учета;

4) осуществление пропускного режима;

5) организация предоставления услуг на основании законодательства, действующего в профильной сфере.

Последний пункт – отсылка к отраслевому законодательству. Здесь речь идет об услугах, которые учреждение оказывает в рамках уставной деятельности: предоставление дошкольного, дополнительного или среднего специального образования, оказание государственных и муниципальных услуг на базе многофункционального центра и т. д.

Идентификационные файлы (cookies)

Когда и как правильно собирать кедровые орехи, обработка собранных шишек

Оператор может использовать идентификационные файлы cookies и иные технологии. Информация, собираемая файлами cookies и иными технологиями рассматривается Оператором как информация, не являющаяся персональной.

Пользователь может отключить cookies в настройках используемого веб-браузера или мобильного устройства. При этом, в случае отключения cookies некоторые функции веб-сайта могут стать недоступными.

Как и в случае большинства веб-сайтов, Оператор собирает некоторую информацию автоматически и хранит её в файлах статистики. Такая информация включает в себя адрес Интернет-протокола (IP-адрес), тип и язык браузера, информацию о поставщике Интернет-услуг, страницы отсылки и выхода, сведения об операционной системе, отметку даты и времени, а также сведения о посещениях. Данная информация не используется дл установления личности Пользователя, а используется для анализа, администрирования сайта, изучения поведения Пользователей на сайте.

В некоторых сообщениях электронной почты оператор может использовать интерактивные ссылки на информацию, размещённую на сайте Оператора. Когда Пользователь проходит по таким ссылкам, прежде чем он попадает на страницу назначения на сайте Оператора, его запросы проходят отдельную регистрацию. Оператор отслеживает такие «проходные» данные, для того чтобы помочь определить интерес к отдельным темам и измерить их эффективность и необходимость.

В том случае, если Пользователь предпочитает, чтобы его обращения не отслеживались подобным образом, Пользователь не должен проходить по текстовым или графическим ссылкам в сообщениях электронной почты, либо направить уведомление по средством обратной связи с указанием отказа от рассылки сообщений по электронной почте.

Цели сбора

Обновлённый приказ 302н: направлять ли на медосмотр работников, эксплуатирующих персональные компьютеры? (обновлено 01.06)

Ими являются:

  • Идентификация информации о посетителе интернет площадки.
  • Открытие доступа к наполнению сайта.
  • Налаживание обратной связи (заказ звонка, онлайн консультирование, обращение на электронную почту).
  • Выявление геолокации субъекта во избежание мошенничества.
  • Настройка личного кабинета.
  • Настройка уведомлений о формировании заказа.
  • Получение и подтверждение платежей, наличие налоговых льгот, обоснование кредита.
  • Обеспечение результативного решения проблем, с которыми может столкнуться Пользователь.
  • Информирование субъекта об изменении материала, размещенного на сайте.
  • Реализация рекламной рассылки с согласия субъекта.

Нормативные ссылки

Как заработать на собственном сайте

5.1. Настоящая Политика разработана в соответствии с положениями следующих нормативных правовых актов:
– Конституция Российской Федерации (принята всенародным голосованием 12.12.1993);
– Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
– Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ;
– Федеральный закон от 21.11.2011 № 323-ФЗ «Об охране здоровья граждан в Российской Федерации»;
– Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
– Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
– Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. Постановлением Правительства Российской Федерации от 01.11.2012 № 1119);
– Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительства Российской Федерации от 15.09.2008 № 687);
– Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» (утв. Приказом Министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 № 346);
– Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утв. Приказом Министерства связи и массовых коммуникаций Российской Федерации от 14.11.2011 № 312);
– Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 18.02.2013 № 21);
– Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности (утв. Приказом Федеральной службы безопасности Российской Федерации от 10.07.2014 № 378).

5.2. Во исполнение настоящей Политики в ГБУЗ «ДКЦ №1 ДЗМ» утверждены Положение о порядке организации и проведения работ по защите персональных данных, Положение о защите персональных данных работника ГБУЗ «ДКЦ №1 ДЗМ», Положение о защите персональных данных соискателей, пациентов и иных субъектов персональных данных и иные локальные акты в сфере обработки и защиты персональных данных.

Кто является оператором персональных данных?

Согласно ст. 3 Закона № 152-ФЗ оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.

Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.

Однако не все операторы должны исполнять требования Закона № 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона № 152-ФЗ. Исключения, в частности, установлены для организаций, осуществляющих обработку персональных данных:

  • обрабатываемых в соответствии с трудовым законодательством;

  • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

  • относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

  • сделанных субъектом персональных данных общедоступными;

  • включающих в себя только фамилии, имена и отчества субъектов персональных данных;

  • необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

  • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

  • обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

  • обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.

Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.

Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.

Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб., а для юридических – от 15 000 до 30 000 руб.

Подготовка документа для сайта

Документ «Политика в отношении обработки персональных данных» интернет-сайта необходимо публиковать в открытом доступе. В тексте документа в обязательном порядке стоит упомянуть следующее:

  • как и для чего производится создание базы данных персональной информации;
  • способы применения этой информации;
  • процессы, связанные с наличием файлов cookies;
  • пути передачи данных другим компаниям и предприятиям;

Следует помнить о том, что важно подписать документ на согласие для обработки личных сведений на сайте с компаниями, которые сотрудничают с вашей организацией (доставщик, банк, хостер, поставщик услуг и т.д.), а также позаботиться о безопасности данных с помощью специального пункта в соглашении

период хранения информации и меры, предпринимаемые для обеспечения ее безопасности;
меры предосторожности в обращении с персональной информацией;
сведения о контактных лицах администрации сайта, возможные корректурные опции, вносимые в ППД.

  • Скачать бланк политики по защите персональных данных для сайта
  • Скачать образец политики по защите персональных данных для сайта

Администраторам сайт важно периодически проверять почтовый ящик, во избежание пропуска клиентского отклика. Стоит сказать, что для политики для сайта, важно помнить о ссылке на документ ППД, которая должна быть размещена на главной странице ресурса

Данный факт необходим, для того чтобы каждый посетитель сайта или ревизирующий орган мог видеть, что информация находится в открытом доступе, и поиск ее не занимает много времени. Зачастую достаточно оформить общую ссылку в нижней части страницы. Неотъемлемой составляющей интернет-сайта является дисклеймер. Дисклеймер представляет собой всплывающее предупреждение о сборе статистики на портале.

Речь идет о cookie-файлах и геолокационных данных. Конкретных указаний и рекомендаций на присутствие дисклеймера нигде не прописано, но большинство специалистов советуют его устанавливать. Для зрительной безопасности пользователей сайта дисклеймер не должен резко бросаться в глаза, наилучший выход – его незаметность.

Важный пункт данного закона, который обязателен для исполнения: физическое расположение хостинга ресурса. Эта информация доступна в отделе технической поддержки портала. По последним параметрам, хостинг обязан находиться в пределах территории Российской Федерации, для хранения данных в компетенции российских служб. В ситуации, когда хостинг расположен за границей, нужно осуществить переход на другой хостинг.

ВАЖНО! Владельцу ресурса необходима регистрация в качестве оператора в структурном подразделении Роскомнадзора.

Данная процедура доступна на официальном портале организации, в специальной форме уведомления. Процедура требует составления определенного пакета документов.

Важно помнить о биометрических параметрах особых категорий пользователей. При условии, что деятельность сайта предполагает работу с информацией такого типа

Согласие пользователя ресурса фиксируется только в письменной форме.

Подробнее о том, что представляет собой и как составляется политика обработки персональных данных для сайта, читайте в этом материале.

Что делать, если я обрабатываю ПД у себя на сайте?

Собирая информацию о пользователях, вы можете задаться вопросом: «Как обрабатывать ПД, чтобы избежать штрафных санкций?». Сущесвтует ряд условий обработки персональных данных для сайта. Вам необходимо:

  1. Установить защищённый протокол передачи персональных данных на сайте (SSL-сертификат). В выборе сертификата вам поможет хостинг-провайдер: например в REG.RU базовый SSL-сертификат можно получить даже бесплатно.
  2. Составить политику конфиденциальности и разместить её на сайте.
  3. Спрашивать согласие посетителей на обработку их ПД.
  4. Уведомить Роскомнадзор, что вы собираете персональные данные.

На всякий случай подчеркнём, что нужно выполнить все эти шаги. Пройдёмся по каждому из пунктов.

SSL-сертификат

SSL-сертификат — стандарт безопасности для обмена данными между сайтом и пользователем. Главное преимущество SSL-сертификата — зашифрованное соединение, которое защищает трафик, не давая перехватить его и использовать оставленные на сайте персональные данные в мошеннических целях.

Критически важно перейти на протокол SSL всем сайтам, где есть информация первой и второй категории (подробнее о категориях информации можно узнать здесь). Это, например, данные банковских карт, логины и пароли от аккаунтов, формы с указанием полного имени и адреса и прочее

Политика конфиденциальности

Составляя политику конфиденциальности, обратите внимание на принципы обработки персональных данных. В ней необходимо указать следующую информацию:

  1. Наименование оператора обработки персональных данных. Если сайт принадлежит ИП или просто физическому лицу — указать ФИО, если юридическому лицу — название компании и ИНН.
  2. Адрес оператора: юридический (для юридических лиц) или фактический (для физических лиц).
  3. Список собираемых данных: ФИО, почта, телефон, файлы-cookies, паспортные данные и другое. Список должен быть максимально полным и подробным. 
  4. Цель сбора данных. Обязательно укажите, для чего будут использоваться ПД. Собирайте только необходимые данные.
  5. Сроки обработки данных. Персональные данные после их использования по назначению подлежат удалению. Их обработка возможна только в течение ограниченного времени. 
  6. Факт привлечения третьих лиц к обработке данных. Сюда относятся также различные партнёрские программы, например партнёрская программа REG.RU. Если вы приводите новых клиентов в другую компанию, то она является третьим лицом, которое будет обрабатывать ПД.
  7. Свои контактные данные. В реквизитах политики конфиденциальности укажите контакты, по которым с вами можно связаться. Такая информация будет полезна для ваших клиентов, если они захотят удалить или изменить свои персональные данные.
  8. Меры обеспечения безопасности данных. Расскажите клиентам, что их персональные данные хранятся на защищённых серверах, располагающихся на территории России (да, по закону хранить данные российских граждан можно только на серверах, находящихся в РФ).

Посетители вашего сайта должны иметь возможность беспрепятственно ознакомиться с политикой конфиденциальности, поэтому мы советуем разместить её в футере каждой страницы.

Согласие на обработку персональных данных

В соответствии с законом «О персональных данных» пользователь должен самостоятельно решать, предоставлять ли вам свои данные, и давать согласие на их обработку. При этом согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Сделайте чекбокс с уведомлением о том, что клиент соглашается на обработку ПД и ознакомлен с политикой конфиденциальности (не забудьте дать на неё ссылку). Посетитель сайта должен самостоятельно поставить галочку в чекбоксе, и делать это за него мы не рекомендуем.

Но есть ряд случаев, когда согласие на обработку ПД можно получить и другим способом. К ним относится, например, подписание договора, одной из сторон которого является пользователь. 

Уведомление Роскомнадзора

Закон «О персональных данных» гласит, что вам необходимо уведомить Роскомнадзор о сборе и обработке персональных данных посетителей вашего сайта. Сделать это можно через специальную форму.

Но есть и исключения, когда уведомлять Роскомнадзор не обязательно. Среди них, например, обработка общедоступной информации (то есть той, которую пользователь сделал доступной для неопределённого круга лиц, например данные о себе, опубликованные на личном сайте или в открытом профиле социальной сети) или данных, включающих в себя только ФИО.

Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

  • компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
  • объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
  • форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки

С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения». Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется

Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (), специальных категорий персональных данных () и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы: 

  Конклюдентное согласие Согласие в письменной форме Иные формы согласия
+ Легко получить (за исключением случаев, когда нужно согласие в письменной форме) При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательства Как правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме)
Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ

Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ

Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ «цель» указана в единственном числе

Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода

Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ

Действия оператора с ПД.

По мнению Роскомнадзора, в политике нужно определить конкретные действия оператора по актуализации, исправлению, удалению, уничтожению персональных данных и определить алгоритм ответов на запросы субъектов ПД. Так, согласно ст. 21 Закона № 152-ФЗ при подтверждении факта неточности данных оператор должен их актуализировать, а при подтверждении факта неправомерности обработки она должна быть прекращена.

Роскомнадзор рекомендует включить в политику регламент реагирования на запросы и обращения субъектов ПД по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и др.

Кроме того, в п. 3.6 Рекомендаций указано: если цели обработки ПД достигнуты либо субъект отозвал свое согласие на обработку ПД, соответствующая информация должна быть уничтожена. Хотя возможны исключения, когда иные условия предусматриваются договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, либо другим соглашением между оператором и субъектом ПД.

Важно отразить в политике и еще одну обязанность оператора – реагировать на запросы субъекта ПД. В силу ст

20 Закона 152-ФЗ оператор обязан сообщить субъекту ПД или его представителю информацию об осуществляемой обработке личных данных такого субъекта по его запросу. В связи с этим Роскомнадзор рекомендует включить в политику регламент реагирования на запросы и обращения субъектов ПД и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия, доступа субъекта ПД к своим данным и соответствующие формы запросов и обращений.

Отметим, что регламент реагирования на запросы граждан автономные учреждения включают в политику нечасто. Обычно возможность получения сведений от оператора прописывается в разделе «Права субъектов персональных данных». В одних случаях упоминается лишь само право субъекта получать информацию об обработке его ПД, в других приводятся положения ч. 7 ст. 14 Закона № 152-ФЗ (состав информации, которую вправе получить гражданин). Но иногда учреждения помимо этого прописывают порядок взаимодействия с субъектом ПД, сроки реагирования на его запросы и даже устанавливают типовые формы заявлений субъекта ПД.

Характеристика обрабатываемых данных и субъектов ПД.

Как сказано в п. 3.4 Рекомендаций, содержание и объем персональных данных должны соответствовать заявленным целям обработки (определены в ст. 5 Закона № 152-ФЗ). При этом обрабатываемые данные не должны быть избыточными.

На практике объем и категории информации, запрашиваемой у субъектов ПД, определяются по-разному. Одни учреждения указывают целый перечень обрабатываемых данных, в то время как другие действуют «от обратного»: перечисляют те категории, с которыми не работают. Например, указывают следующее: «Оператор не осуществляет обработку биометрических персональных данных (характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность), специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, и не производит трансграничную передачу персональных данных на территорию иностранного государства».

Что касается категорий субъектов ПД, по мнению Роскомнадзора, к ним относятся:

  • работники оператора (в том числе бывшие), кандидаты на замещение вакантных должностей, а также родственники работников;
  • клиенты и контрагенты оператора (физические лица);
  • представители (работники) клиентов и контрагентов оператора (юридических лиц).

Эти же категории, но в иных формулировках, отражающих особенности профильной деятельности, как правило, указаны в политиках автономных учреждений.

По каждой категории субъектов ПД и применительно к конкретным целям обработки целесообразно перечислить все обрабатываемые оператором персональные данные, а также отдельно описать все случаи обработки специальных категорий ПД и биометрических ПД (п. 3.4 Рекомендаций).

Принципы и условия обработки персональных данных:

  • Под безопасностью персональных данных Обществом понимает защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных и принимает необходимые правовые, организационные и технические меры для защиты персональных данных.
  • Обработка и обеспечение безопасности персональных данных у Общества осуществляется в соответствии с требованиями Конституции Российской Федерации, Федерального закона № 152-ФЗ «О персональных данных», подзаконных актов, других определяющих случаи и особенности обработки персональных данных федеральных законов Российской Федерации, руководящих и методических документов ФСТЭК России и ФСБ России
  • При обработке персональных данных Общество придерживается следующих принципов:
  • законности и справедливой основы;
  • ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
  • недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
  • недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработки персональных данных, которые отвечают целям их обработки;
  • соответствия содержания.
  • Общество обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
  • Общество вправе поручить обработку персональных данных граждан третьим лицам, на основании заключаемого с этими лицами договора. Лица, осуществляющие обработку персональных данных по поручению Общества, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных». Для каждого лица определены перечень действий (операций) с персональными данными, которые будут совершаться юридическим лицом, осуществляющим обработку персональных данных, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.
  • В случаях, установленных действующим законодательством Российской Федерации, Общество вправе осуществлять передачу персональных данных граждан.
  • В целях информационного обеспечения у Общества могут создаваться общедоступные источники персональных данных работников, в том числе справочники и адресные книги. В общедоступные источники персональных данных с согласия работника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты. Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника либо по решению суда или иных уполномоченных государственных органов.
  • Общество уничтожает либо обезличивает персональные данные по достижении целей обработки или в случае утраты необходимости достижения цели их обработки.
Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Рекомендуем
0
15 примеров классного рекламного копирайтинга
0
3 последовательных этапа, как открыть пункт выдачи заказов
0
4 шага, которые помогут вам выбить повышение зарплаты
0
11 лучших сайтов по поиску работы в россии
0
50 бизнес идей 2020 с минимальными вложениями
0
36 сайтов для поиска удаленной работы в интернете
0
33 идеи для бизнеса с бюджетом от 0 до 50 000 рублей
Инструкция по оформлению дома в собственность: пошаговое описание
0
2 статья 54 фз: общие положения, изменения
Как быстро найти работу: советы, рекомендации, способы поиска
Онлайн-журнал о бизнесе
Нашли ошибку, неточность или опечатку в тексте?
Выделите её и нажмите Ctrl + Enter Система Orphus