#ркн #пдн #152фз
Сессия вопросов/ответов:
⁃ на сайте должны быть размещены Политика обработки ПДн, Пользовательское соглашение (если предоставляете товары, услуги), условия использования сервисов (телеметрия, обратная связь);
⁃ При передаче ПДн работников внутри Группы компаний согласие должно быть в письменной форме. Одно согласие на все цели брать нельзя. При обработке ПДн работника: одна цель, одно согласие. Конкретные контрагенты должны быть указаны в согласии;
⁃ ИНН, СНИЛС и электронная почта - ПДн; сведения из доверенности не являются общедоступными;
⁃ Для субъектов (не работников, к примеру, клиентов) нет ограничений по количеству целей в согласии (если согласие не в письменной форме);
⁃ При обработке ПДн родственников работника в объеме, предусмотренном законодательством, согласие с родственников брать не требуется, в ином случае (при отсутствии других правовых оснований) - нужно;
⁃ В качестве срока в согласии можно указывать «при достижении цели»;
⁃ Провайдер облачных услуг осуществляет хранение ПДн на своих мощностях, поэтому договор поручения должен быть заключён; такой провайдер должен также подать уведомление в РКН
Сессия вопросов/ответов:
⁃ на сайте должны быть размещены Политика обработки ПДн, Пользовательское соглашение (если предоставляете товары, услуги), условия использования сервисов (телеметрия, обратная связь);
⁃ При передаче ПДн работников внутри Группы компаний согласие должно быть в письменной форме. Одно согласие на все цели брать нельзя. При обработке ПДн работника: одна цель, одно согласие. Конкретные контрагенты должны быть указаны в согласии;
⁃ ИНН, СНИЛС и электронная почта - ПДн; сведения из доверенности не являются общедоступными;
⁃ Для субъектов (не работников, к примеру, клиентов) нет ограничений по количеству целей в согласии (если согласие не в письменной форме);
⁃ При обработке ПДн родственников работника в объеме, предусмотренном законодательством, согласие с родственников брать не требуется, в ином случае (при отсутствии других правовых оснований) - нужно;
⁃ В качестве срока в согласии можно указывать «при достижении цели»;
⁃ Провайдер облачных услуг осуществляет хранение ПДн на своих мощностях, поэтому договор поручения должен быть заключён; такой провайдер должен также подать уведомление в РКН
#fines #gdpr
Где: Франция
Кого: SERGIC
Штраф: 400 000€, первоначальная сумма штрафа: 900 000€
Нарушение: не внедрены соответствующие меры защиты данных (отсутствие процедур аутентификации субъектов при доступе к документам), не определены сроки хранения ПДн; нарушения были выявлены на основании жалобы субъекта
Статьи: 5, 32
Источник: здесь, статья на английском, здесь
Где: Франция
Кого: SERGIC
Штраф: 400 000€, первоначальная сумма штрафа: 900 000€
Нарушение: не внедрены соответствующие меры защиты данных (отсутствие процедур аутентификации субъектов при доступе к документам), не определены сроки хранения ПДн; нарушения были выявлены на основании жалобы субъекта
Статьи: 5, 32
Источник: здесь, статья на английском, здесь
#caselaw #gdpr
Кто: Court of Justice of the EU
Участники: Fashion ID, Verbraucherzentrale NRW, Facebook Ireland
Правовая база: Directive 95/46/EC 2, 7, 10, 22-24, GDPR ст. 80, Directive 2002/58/EC, German law
Выводы:
- оператор веб-сайта, использующий на веб-сайте плагин соц сети, передающий данные о посетителе веб-сайта провайдеру такого плагина (владельцу соц сети), является оператором ПДн: Fashion ID и Facebook - совместные операторы ПДн.
Проще: если на сайте есть возможность поставить лайк, к примеру, от учетки в Facebook,(ваш браузер может передавать Facebook ваши данные: IP, техническую информацию браузера, а также, что вам понравилось), владелец веб-сайта и Facebook становятся совместными операторами ПДн (обращаю внимание, что подобный термин отсутствует в 152фз, а описанное решение действует в правовом поле ЕС);
- оператор веб-сайта должен обеспечить наличие правового основания (согласия) на обработку ПДн, для которых цели и средства обработки определяет оператор веб-сайта, также оператор веб-сайта должен проинформировать пользователя о такой обработке.
Проще: добавить в Политику информацию об этом процессе («лайках») и собирать согласия на «лайк».
Источник: здесь.
Статья Reuters, здесь
Кто: Court of Justice of the EU
Участники: Fashion ID, Verbraucherzentrale NRW, Facebook Ireland
Правовая база: Directive 95/46/EC 2, 7, 10, 22-24, GDPR ст. 80, Directive 2002/58/EC, German law
Выводы:
- оператор веб-сайта, использующий на веб-сайте плагин соц сети, передающий данные о посетителе веб-сайта провайдеру такого плагина (владельцу соц сети), является оператором ПДн: Fashion ID и Facebook - совместные операторы ПДн.
Проще: если на сайте есть возможность поставить лайк, к примеру, от учетки в Facebook,(ваш браузер может передавать Facebook ваши данные: IP, техническую информацию браузера, а также, что вам понравилось), владелец веб-сайта и Facebook становятся совместными операторами ПДн (обращаю внимание, что подобный термин отсутствует в 152фз, а описанное решение действует в правовом поле ЕС);
- оператор веб-сайта должен обеспечить наличие правового основания (согласия) на обработку ПДн, для которых цели и средства обработки определяет оператор веб-сайта, также оператор веб-сайта должен проинформировать пользователя о такой обработке.
Проще: добавить в Политику информацию об этом процессе («лайках») и собирать согласия на «лайк».
Источник: здесь.
Статья Reuters, здесь
Reuters
Companies using Facebook 'Like' button liable for data: EU court
BRUSSELS (Reuters) - Companies that embed Facebook’s “Like” button on their websites must seek users’ consent to transfer their personal data to the U.S. social network, in line with the bloc’s data privacy laws, Europe’s top court said on Monday.
#materials #152фз
Опубликованы проекты о внесении изменений в 152-ФЗ для общественного обсуждения:
- в части уточнения требований к уничтожению ПДн;
- в части уточнения требований при обезличивании ПДн
Опубликованы проекты о внесении изменений в 152-ФЗ для общественного обсуждения:
- в части уточнения требований к уничтожению ПДн;
- в части уточнения требований при обезличивании ПДн