+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Как провести сбор персональных данных и обеспечить безопасность

Содержание

Как собирать и обрабатывать персональные данные, не нарушая закон?

Как провести сбор персональных данных и обеспечить безопасность

С 1 июля 2017 года вступают в силу изменения в статью 13.11. КоАП РФ, устанавливающие новые санкции за нарушение законодательства в области персональных данных. Появилось 6 новых составов административных правонарушений в рамках данной статьи. Увеличены штрафы в десятки раз!

Например, при сборе персональных данных при отсутствии на сайте условий о конфиденциальности или порядка обработки данных о пользователях, индивидуального предпринимателя могут оштрафовать на 10000 рублей, а юридическое лицо – на 30000 рублей.

Если же заниматься обработкой персональных данных без письменного на то согласия, то штраф может достигать 75000 рублей! Должностному лицу, к которым относится как директор, так и индивидуальный предприниматель, придётся выложить 20000 рублей.

При наличии нескольких нарушений законодательства в области защиты персональных данных контролирующие органы могут наложить несколько штрафов.

В зоне риска прежде всего владельцы многочисленных сайтов, где предусмотрена регистрация, оформление заказов, прием заявок. Именно так чаще всего собираются персональные данные о человеке в Интернете.

Чтобы избежать ответственности за нарушения в области защиты персональных данных, мы расскажем об основных требованиях, предъявляемых государством к операторам персональных данных – всем тем, кто занимается получением, обработкой и хранением информации о гражданах РФ.

А также расскажем, что должно быть отражено в положении об обработке персональных данных.

Что такое персональные данные?

Источником информации для данной статьи послужил Федеральный закон “О персональных данных” от 27.07.2006г. №152. Далее по тексту, ссылаясь на закон, мы будем подразумевать именно его.

Законом дано определение понятия персональных данных. К ним относится любая информация, относящаяся прямо или косвенно к определенному физическому лицу. Такое лицо является субъектом персональных данных. В тоже время законом не раскрывается конкретный перечень сведений, относящихся к персональным данным. Представляется, что к персональным данным можно отнести:

  1. Фамилию, имя, отчество;
  2. Адрес места жительства или проживания;
  3. Адрес электронной почты;
  4. Контактный телефон;
  5. Дата и место рождения;
  6. Паспортные данные;
  7. Сведения о воинской обязанности;
  8. Фотографии;
  9. Ссылки на аккаунты в соцсетях;
  10. Сведения об образовании, профессии, опыте работы;
  11. Сведения о финансовом состоянии;
  12. Сведения о семейном положении.

Указанный выше перечень достаточно условный и предусматривает наиболее часто собираемые данные. Они относятся к общим персональным данных.

Есть еще и специальные персональные данные, сбор, обработка и хранение которых не допускается, за исключением некоторых случаев. К таким данным относятся данные о расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни.

Также есть и биометрические персональные данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Они могут собираться только при наличии письменного согласия.

Какую бы информацию о человеке вы не собирали, для ее получения всегда требуется согласие субъекта персональных данных.

Кто относится к операторам персональных данных?

Оператором персональных данных может быть любое лицо, осуществляющее обработку этих данных. Это могут быть как юридические, так и физические лица.

Если на вашем сайте можно зарегистрироваться, оставить заявку на обратный звонок, оформить заказ, приобрести какой-либо товар, подписаться на рассылку, заполнить анкету, пройти опрос, то вас можно смело отнести к оператором персональных данных.

Независимо от того, кто осуществляет администрирование сайта, ответственным лицом за нарушение законодательства о персональных данных будет признан непосредственно владелец сайта (юридическое или физическое лицо).

Кто осуществляет контроль в области защиты персональных данных?

В настоящее время уполномоченным органом на проведение проверок и составление протоколов об административных правонарушениях являются органы прокуратуры.

Однако с 1 июля 2017 года выписывать протоколы об административных правонарушениях будет Роскомнадзор. Передача функций этому органу позволит эффективнее и быстрее привлекать к ответственности нарушителей законодательства о персональных данных.

Почему быстрее? Сократится цепочка уполномоченных органов, задействованных в расследовании нарушений в этой сфере.

Раньше Роскомнадзор обращался в Прокуратуру, затем Прокуратура передавала материалы в суд. Сейчас Роскомнадзор будет передавать материалы по административным правонарушениям не в Прокуратуру, а напрямую в суд.

Ожидается, что Роскомнадзор поставит на поток привлечение владельцев сайтов к административной ответственности за нарушение законодательства в области обработки персональных данных.

Нарушителей будет выявляться больше, бюджет РФ будет систематически пополняться штрафами по ст. 13.11 КоАП РФ.

Что необходимо сделать для соблюдения законодательства о персональных данных?

Чтобы неукоснительно соблюдать требования законодательства, мы рекомендуем:

  1. Разместить на сайте в открытом доступе положение об обработке персональных данных, ознакомившись с которым пользователь сайта сможет выразить свое согласие на обработку персональных данных. Вы можете получить такое согласие, разместив флажок ознакомления с указанным положением, нажатие на который, приведет к автоматическому согласию с условиями использования его персональных данных.
  2. Запрашивать только те данные, которые необходимы для достижения ваших целей. Не следует для оформления простой подписки на рассылку по электронной почте запрашивать паспортные данные. Эта излишняя информация может стать основанием для привлечения вас к административной ответственности.
  3. Предоставлять субъекту персональных данных информацию о том, какие сведения о нём хранятся в ваших базах данных, для чего вы обрабатываете полученную информацию и кому вы её передавали.
  4. Удалить всю информацию о пользователе после получения соответствующего запроса.
  5. Осуществлять хранение персональных данных в защищённом месте, исключающем доступ третьих лиц.
  6. Разработать положение об обработке персональных данных и ознакомить с ним своих работников под роспись.
  7. Зарегистрироваться в качестве оператора персональных данных в Роскомнадзоре.

Что должно быть отражено в положении об обработке персональных данных?

Размещая на сайте положение об обработке персональных данных, не забудьте в нем указать:

  1. Исчерпывающий перечень запрашиваемой информации;
  2. Конкретные цели сбора этой информации;
  3. Порядок обработки персональных данных с указанием исчерпывающего перечня действий, которые могут осуществляться с персональными данными;
  4. Наименование и адрес организации, осуществляющей на обработку персональных данных;
  5. Срок, в течение которого действует согласие на обработку персональных данных, способ отзыва согласия.

Подробнее о регистрации в качестве оператора персональных данных в Роскомнадзоре

По закону оператор персональных данных должен уведомить Роскомнадзор о желании заниматься обработкой персональных данных до начала обработки. Уполномоченный орган внесёт информацию в реестр операторов персональных данных и будет выдавать любому лицу информацию об операторах при вводе наименования организации, ИНН или регистрационного номера.

Законом также предусмотрены случаи, когда Роскомнадзор уведомлять необязательно. Например, в случае обработки персональных данных:

  1. Работников в соответствии с Трудовым кодексом РФ.
  2. Стороны по договору, если персональные данные не распространяются, не передаются третьим лицам без письменного согласия и используются исключительно в целях исполнения договора.
  3. Членов общественных общественного объединения или религиозной организации, если персональные данные не распространяются, не передаются третьим лицам без согласия субъекта персональных данных, используются исключительно для достижения целей, предусмотренных учредительными документами.
  4. Сделанных субъектом персональных данных доступными широкому кругу лиц.
  5. Включающих только фамилии, имена и отчества субъектов персональных данных.
  6. Необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. Включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. Обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
  9. Обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если вы не знаете подпадаете ли вы под указанный выше перечень, советуем подать в Роскомнадзор уведомление о включении в реестр операторов персональных данных.

Обязан ли я хранить персональные данные на российских серверах?

В Законе сказано, что при сборе персональных данных оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Таким образом, собирать, обрабатывать и хранить базу персональных данных о российских гражданах можно только на серверах, размещённых в России.

Если у вас сайт находится на иностранном хостинге, и вы при этом осуществляете сбор и обработку данных о гражданах РФ, то ваш домен могут включить в Реестр нарушителей прав субъектов персональных данных. Ведением этого реестра занимается также Роскомнадзор. Попасть в него легко.

Достаточно нарушить требования законодательства в области защиты персональных данных, дождаться, когда на вас обратит внимание Роскомнадзор, а суд вынесет соответствующее решение.

В тоже время законодатель предусмотрел возможность трансграничной передачи персональных данных граждан РФ на территорию иностранных государств. Отдельного разрешения на такую передачу у Роскомнадзора запрашивать не требуется. Трансграничная передача данных допускается, если:
  1. Есть письменное согласие на такую передачу данных.
  2. Она предусмотрена международным договором или федеральными законами.
  3. Она необходима для исполнения договора, стороной которого является владелец данных, или требуется для защиты его жизни, здоровья и иных жизненно важных интересов, при невозможности получения согласия в письменной форме.

Но имейте ввиду, что передача данных о гражданах РФ на иностранные серверы должна отвечать конкретным и законным целям. Если даже вы получите письменное согласие, но обработка, сбор и хранение данных за рубежом будут признаны необоснованными, то можно оказаться в числе нарушителей Закона “О персональных данных” со всеми вытекающими последствиями.

Минкомсвязи России дало некоторые разъяснения по вопросу практического применения Закона “О персональных данных”, но они вряд ли чем помогут. Уж больно много в них противоречий. Если вы не можете сменить хостера, или без трансграничной передачи персональных данных никак не обойтись, советуем задать все интересующие вопросы напрямую в Минкомсвязь и (или) в Роскомнадзор.

Всё очень сложно? Вы не знаете как собирать и обрабатывать персональные данные правильно?

Для соблюдения требований законодательства в области защиты персональных данных без компетентного специалиста не обойтись.

Можно, конечно, использовать готовые положения о конфиденциальности, взяв их с различных сайтов. Но их использование не гарантирует, что вы не будете привлечены к административной ответственности.

Уж очень много в Законе специфичных требований и обязанностей операторов персональных данных.

Поэтому наши юристы готовы проконсультировать вас относительно действующего законодательства, составить положение об обработке персональных данных, о работе с персональных данными, другие локальные нормативные акты (если они у вас отсутствуют), а также проверить действующие положения об обработке персональных данных на соответствие законодательству. Обращайтесь – мы будем рады вам помочь!

Источник: https://argumentplus.ru/blog/information_security/personal-data.html

5 шагов по организации учета и хранения персональных данных

Как провести сбор персональных данных и обеспечить безопасность

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.

Федеральный закон от 27.07.

2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1.  из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ).

Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо. 

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://school.kontur.ru/publications/1583

Политика в области обработки и обеспечения безопасности персональных данных

Как провести сбор персональных данных и обеспечить безопасность

ООО «Бюро 247» берет на себя обязательства по защите персональных данных пользователей сайта https://buro247.ru (далее – Сайт). Просим Вас ознакомиться с данной Политикой в области обработки и обеспечения безопасности персональных данных (далее – Политика).

Политика определяет условия и цели сбора, хранения, защиты, обработки и распространения информации о пользователях Сайта.

Использование Сайта означает безоговорочное согласие пользователя с Политикой и указанными в ней условиями обработки его персональных данных; в случае несогласия в этими условиями пользователь должен воздержаться от использования Сайта.

1. Общие положения

Общество с ограниченной ответственностью «Бюро 247» (ООО «Бюро 247» ИНН 7703782940, ОГРН: 1137746035965, адрес: Нижний Кисловский пер., д. 6, стр. 2, .

Москва 125009) (далее – «Компания») в рамках выполнения своей основной деятельности осуществляет обработку персональных данных различных категорий субъектов персональных данных с использованием информационных систем персональных данных, включающих в том числе Сайт.

В соответствии с действующим законодательством Российской Федерации Компания является оператором персональных данных. При организации и осуществлении обработки персональных данных Компания руководствуется требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним иными нормативными правовыми актами.

Для целей настоящей Политики под персональными данными понимаются любая информация, предоставленная через Сайт Компании и (или) собранная с использованием Сайта, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

2. Сбор персональных данных

Компания осуществляет сбор информации через сайт двумя способами:

1) Персональные данные, предоставляемые пользователями

Компания осуществляет сбор персональных данных, которые вводят в поля данных на сайте Компании сами пользователи или иные лица по их поручению (E-mail, Имя (в произвольной форме), фамилию (по желанию), Город, День рождения, Пол, Профили в социальных сетях Фейсбук и ) при регистрации и заполнении профиля пользователя на Сайте.

Данная категория персональных данных предоставляется для целей: идентификации пользователя на Сайте, идентификации стороны Пользовательского соглашения, связи с пользователем Сайта (для направления сообщений) и иных целей, предусмотренных Пользовательским соглашением Сайта.

2) Пассивный сбор персональных данных о текущем подключении к Сайту в части статистических сведений

На Сайте Компании может проводиться сбор статистических данных о пользователе, включая: посещенные страницы; ip-адрес пользователя; страна пользователя; провайдер пользователя; браузер пользователя.

Данные категории персональных данных предоставляются для таргетирования рекламных материалов, проведения статистических, маркетинговых и иных исследований на основе обезличенных данных.

Данные могут быть получены с помощью различных методов, например, файлов cookies и файловых веб-маяков и др. Компания может использовать сторонние интернет-сервисы для организации сбора статистических персональных данных, сторонние интернет-сервисы обеспечивают хранение полученных данных на собственных серверах.

Компания не несет ответственности за локализацию серверов сторонних интернет-сервисов.

Компания не проводит сопоставление информации, предоставляемой пользователем самостоятельно и позволяющей идентифицировать субъекта персональных данных, со статистическими персональными данными, полученными в ходе применения подобных пассивных методов сбора информации.

3. Принципы и условия обработки персональных данных

Обработка персональных данных в Компании осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей в соответствии с  Пользовательским соглашением, Политикой.

Обработке подлежат только персональные данные, которые отвечают целям их обработки.

и объем обрабатываемых в Компании персональных данных соответствуют заявленным целям обработки, избыточность обрабатываемых персональных данных не допускается.

При обработке персональных данных в Компании обеспечивается точность персональных данных, их достаточность и, в необходимых случаях, актуальность по отношению к целям обработки персональных данных.

Компания в ходе своей деятельности может предоставлять и (или) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ о персональных данных.

При этом обязательным условием предоставления и (или) поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.

Сроки обработки персональных данных определяются в соответствии с целями, для которых они были собраны.

Датой выдачи письменного согласия пользователя на обработку персональных данных, предоставленных им при регистрации на Сайте, является дата регистрации на Сайте.

С момента начала пользования Сайтом пользователи дают свое согласие на использование и пассивный сбор информации об их IP адресах, cookie, данных геолокации, провайдере и браузере.

Согласие на обработку персональных данных пользователя действует бессрочно и может быть отозвано пользователем путем письменного уведомления, направленного в адрес Компании заказным почтовым отправлением или по электронной почте, указанным ниже.

Для уточнения, отзыва согласия на обработку, блокирования либо уничтожения персональных данных Пользователь должен направить письменное уведомление в адрес ООО «Бюро 247»: Нижний Кисловский пер., д. 6, стр. 2, . Москва 125009 заказным почтовым отправлением или по электронной почте info@buro247.ru.

4. Права субъекта персональных данных

Субъект персональных данных имеет право (если иное не предусмотрено законом):

  • требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • требовать перечень своих персональных данных, обрабатываемых Компанией, и источник их получения;
  • получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
  • требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведённых в них исключениях, исправлениях или дополнениях;
  • обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Компания не проверяет достоверность персональных данных, предоставляемых пользователями. Компания исходит из того, что пользователь предоставляет достоверную и достаточную персональную информацию по вопросам, предлагаемым в форме регистрации на Сайте, и поддерживает ее в актуальном состоянии. Риск предоставления недостоверной информации несет предоставивший ее пользователь.

5. Реализация требований к защите персональных данных

С целью поддержания деловой репутации и обеспечения выполнения требований федерального законодательства Компания считает важнейшими задачами обеспечение легитимности обработки персональных данных в бизнес-процессах Компании и обеспечение надлежащего уровня безопасности обрабатываемых в Компании персональных данных.

Компания требует от иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

С целью обеспечения безопасности персональных данных при их обработке Компания принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них.

Компания добивается того, чтобы все реализуемые ею мероприятия по организационной и технической защите персональных данных осуществлялись на законных основаниях, в том числе в соответствии с требованиями законодательства Российской Федерации по вопросам обработки персональных данных.

В целях обеспечения адекватной защиты персональных данных Компания проводит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определяет актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

В соответствии с выявленными актуальными угрозами Компания применяет необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, восстановление персональных данных, ограничение доступа к персональным данным, регистрацию и учет действий с персональными данными, а также контроль и оценку эффективности применяемых мер по обеспечению безопасности персональных данных.

Руководство Компании осознает важность и необходимость обеспечения безопасности персональных данных и поощряет постоянное совершенствование системы защиты персональных данных, обрабатываемых в рамках выполнения основной деятельности Компании.

В Компании назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.

Каждый новый работник Компании, непосредственно осуществляющий обработку персональных данных, ознакамливается с требованиями законодательства Российской Федерации по обработке и обеспечению безопасности персональных данных, настоящей Политикой и другими локальными актами Компании по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.

Дата публикации 17 июня 2017 г. 

Источник: https://www.buro247.ru/misc/privacy.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.