Юридическая упаковка сайта
Оглавление
1. Наши кейсы по подготовке политик обработки персональных данных.
2. Что такое политика по обработке персональных данных?
3. Что входит в политику по обработке персональных данных?
4. Различные нюансы при подготовке политики по обработке персональных данных для различных сфер: финансы, ритейл, криптовалюты.
5. Политика по обработке персональных данных для международной сферы. Особенности подготовки в различных странах.
6. Важность подготовки политики по обработке персональных данных.
7. Риски при отсутствии политики по обработке персональных данных.
8. Санкции и штрафы.
9. Заключение.
2. Что такое политика по обработке персональных данных?
3. Что входит в политику по обработке персональных данных?
4. Различные нюансы при подготовке политики по обработке персональных данных для различных сфер: финансы, ритейл, криптовалюты.
5. Политика по обработке персональных данных для международной сферы. Особенности подготовки в различных странах.
6. Важность подготовки политики по обработке персональных данных.
7. Риски при отсутствии политики по обработке персональных данных.
8. Санкции и штрафы.
9. Заключение.
1. Подготовка политики по обработке ПД для медицинской клиники.
Клиент - медицинская клиника, собирающая и обрабатывающая медицинские данные пациентов. Поскольку компания зарегистрирована в США и осуществляет свою деятельность там же, при подготовке политики персональных данных мы уделили особое внимание соблюдению стандартов HIPAA, обеспечивая конфиденциальность медицинских записей, контроль доступа к данным и безопасность хранения информации.
2. Подготовка политики по обработке ПД для интернет-магазина.
Клиент - интернет-магазин, собирающий данные о покупателях, их предпочтениях и истории заказов. При разработке политики персональных данных мы учитывали требования Закона Республики Казахстан от 11.12.23 г. № 44-VIII «о персональных данных и их защите» обеспечивая защиту личной информации клиентов, безопасность онлайн-платежей и соблюдение правил хранения данных.
3. Подготовка политики по обработке ПД для финансовой компании.
Клиент - финансовая организация, обрабатывающая чувствительные финансовые данные клиентов. При разработке политики персональных данных необходимо было строго соблюдать требования законодательства о финансовой конфиденциальности, обеспечивая защиту банковских счетов, кредитных карт и других финансовых данных.
4. Подготовка политики по обработке ПД для IT компании.
Клиент - IT, собирающая данные пользователей при использовании своих продуктов и услуг. При разработке политики персональных данных мы обращали особое внимание на особенности обработки больших объемов данных, обеспечивая защиту от киберугроз, соблюдение принципов прозрачности и согласия пользователей.
5. Подготовка политики по обработке ПД для образовательного учреждения.
Клиент - образовательное учреждение, зарегистрированное на территории США, но действующее так же в ЕС, собирающее данные учеников и их родителей для управления учебным процессом. При разработке политики персональных данных необходимо было учитывать требования Закона о защите конфиденциальности детей в Интернете (COPPA) и требования GDPR, обеспечивая безопасность данных детей, контроль доступа к информации и соблюдение принципов детской конфиденциальности.
Политика по обработке ПД представляет собой обязательный документ, который должен быть разработан оператором по обработке персональных данных.
По общему правилу под оператором понимается физическое или юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных.
Также операторами являются лица, которые самостоятельно или совместно с другими лицами организуют и/или осуществляют сбор и обработку персональных данных, а также определяют ее цели. Этот документ разрабатывается с целью создания условий для законности, безопасности и конфиденциальности при обработке персональных данных субъектов, давших на это свое согласие. Политика по обработке персональных данных должна быть общедоступной и пользователь должен с легкостью находить её.
Важно отметить, что форма данного документа является произвольной, уполномоченный орган лишь предлагает рекомендации, касающиеся составления. Структура, разделы и форма политики по обработке персональных данных являются в целом произвольными.
Также операторами являются лица, которые самостоятельно или совместно с другими лицами организуют и/или осуществляют сбор и обработку персональных данных, а также определяют ее цели. Этот документ разрабатывается с целью создания условий для законности, безопасности и конфиденциальности при обработке персональных данных субъектов, давших на это свое согласие. Политика по обработке персональных данных должна быть общедоступной и пользователь должен с легкостью находить её.
Важно отметить, что форма данного документа является произвольной, уполномоченный орган лишь предлагает рекомендации, касающиеся составления. Структура, разделы и форма политики по обработке персональных данных являются в целом произвольными.
Политика обработки персональных данных определяет основные цели, принципы, условия, и способы обработки персональных данных, перечни субъектов и персональных данных, обрабатываемых оператором, права субъектов персональных данных, функции оператора при обработке персональных данных, а также реализуемые у оператора требования к защите персональных данных.
Политика обработки персональных данных является обязательной для всех лиц, которые получили доступ к личной информации, обработке персональных данных или доступу к ней, осуществляемому оператором.
Структура политики:
Политика обработки персональных данных является обязательной для всех лиц, которые получили доступ к личной информации, обработке персональных данных или доступу к ней, осуществляемому оператором.
Структура политики:
- Общие положения.
- Субъекты, осуществляющие обработку (кто обрабатывает / кому передается информация).
- Цели сбора ПД.
- Правовые основания обработки ПД.
- Объем и категории обрабатываемых ПД.
- Порядок и условия обработки ПД.
- Актуализация/удаление ПД.
В зависимости от сферы деятельности компании могут быть предусмотрены особые положения.
Финансы (ПАО Сбербанк)
Политика обработки ПД в сфере финансов утверждается Постановлением Банка от определенной даты.
В текст включаются, помимо общепризнанных положений:
В текст включаются, помимо общепризнанных положений:
- Требования, предъявляемые к работникам банка.
- Положение о действии Политики как на банк, так и на компании, входящие в группу банка.
- Обязательность ознакомления работников банка с условиями и изменениями Политики под подпись.
- Возможность разработки банком дополнительных документов (частной политики) по дополнительным вопросам (доп. политики не могут противоречить настоящей Политике).
- Перечень основных участников системы управления процессом обработки и защиты ПД.
- Функции лиц, ответственных за организацию обработки и защиты ПД.
- Полномочия владельцев процессов.
- Порядок рассмотрения обращений/запросов лиц, предоставляющих ПД, предоставления информации.
- Детализация прав и обязанностей банка как оператора ПД.
- Приложения, включающие следующие положения:
- Список терминов и определений
- Перечень сокращений
- Перечень ссылочных документов, составляющих правовую основу
- Перечень целей обработки ПД и соответствующие им категории
Ритейл (ООО «Инстамарт Сервис», Сбермаркет)
Политика обработки ПД в сфере ритейла утверждается Генеральным директором от определенной даты.
В текст включаются, помимо общепризнанных положений:
В текст включаются, помимо общепризнанных положений:
- Основные понятия и определения.
- Детализация целей, в том числе обеспечение доступа к Сайту и Приложению, получение технической поддержки администратора Сайта или Приложения.
- Детализация бонусной программы, в том числе программ партнеров.
- Положения о передаче ПД (например, Компания информирует принимающую сторону в сопроводительном письме или сообщении о том, что передаваемая информация содержит ПД, в отношении которых должны соблюдаться требования конфиденциальности).
- Положения о трансграничной передаче данных (например, Компания осуществляет трансграничную передачу ПД на территории иностранных государств, обеспечивающих адекватную защиту прав Субъектов ПД).
- Положения об актуализации информации.
- Порядок рассмотрения обращений/запросов Субъектов ПД, предоставления информации.
- Приложения, включающие следующие положения:
- Сведения о реализуемых требованиях к защите ПД
- Меры технической защиты ПД
Криптовалюта (ООО «Финтендер-крипто»)
Политика обработки ПД в сфере криптовалют приказом от определенной даты.
В текст включаются, помимо общепризнанных положений:
В текст включаются, помимо общепризнанных положений:
- Указание на используемые средства автоматизированной обработки.
- Цель выполнения требований законодательства (к примеру, защита информации, обеспечение конфиденциальности и пр.).
- Цели обработки (данное положение является общим, однако в сфере криптовалюты могут быть предусмотрены такие положения, как продвижение продуктов и услуг Компании на рынке; обеспечение пропускного режима на объектах Компании.
- Ограничение категорий обработки ПД (например, не допускается обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья).
- Положения о трансграничной передаче ПД.
- Применимое право для разрешения и место разрешения споров.
Российская Федерация
В российском правопорядке вопросы обработки персональных данных регулируются Федеральным законом "О персональных данных" от 27.07.2006 N 152-ФЗ.
В соответствии с п.1.1 ст.1 указанного ФЗ, положения настоящего Федерального закона применяются к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими лицами или иностранными физическими лицами, на основании договора, стороной которого являются граждане Российской Федерации, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами Российской Федерации либо на основании согласия гражданина Российской Федерации на обработку его персональных данных. В правопорядке РФ политика должна быть разработана в рамках ФЗ «О защите персональных данных», а также с соблюдением требований, установленных Постановлением Правительства. (Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 1 ноября 2012 г. N 1119)
В соответствии с п.1.1 ст.1 указанного ФЗ, положения настоящего Федерального закона применяются к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими лицами или иностранными физическими лицами, на основании договора, стороной которого являются граждане Российской Федерации, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами Российской Федерации либо на основании согласия гражданина Российской Федерации на обработку его персональных данных. В правопорядке РФ политика должна быть разработана в рамках ФЗ «О защите персональных данных», а также с соблюдением требований, установленных Постановлением Правительства. (Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 1 ноября 2012 г. N 1119)
Евросоюз
На территории ЕС действует GDPR (General Data Protection Regulation).
GPPR - это регламент ЕС 2016/679 от 27 апреля 2016 года, устанавливающий правила обработки ПД в Европе. Данный регламент имеет прямое действие во всех 28 странах ЕС.
В соответствии с положением статьи 3 (1) Регламента, действие GDPR распространяется на обработку «в контексте деятельности организационной единицы» учрежденной в ЕС, причем вне зависимости от факта осуществления обработки на территории ЕС. Если процессы обработки компании касаются предложения товаров и услуг субъектам, находящимся в Евросоюзе, или мониторинга поведения таких субъектов, то порядке статьи 3(2) Регламента, такая организация обязана соблюдать требования GDPR
Благодаря данному инструменту субъекты ПД получают возможность полностью контролировать работу с персональными данными, знать цели сбора и обработки. Важно отметить, что GDPR имеет экстерриториальный характер, то есть требования GDPR работают и для иностранных компаний, которые имеют дело с персональными данными граждан ЕС или лиц, находящихся в ЕС.
Для соответствия принципам названного регламента, компаниям следует:
Должны соблюдаться следующие принципы:
GPPR - это регламент ЕС 2016/679 от 27 апреля 2016 года, устанавливающий правила обработки ПД в Европе. Данный регламент имеет прямое действие во всех 28 странах ЕС.
В соответствии с положением статьи 3 (1) Регламента, действие GDPR распространяется на обработку «в контексте деятельности организационной единицы» учрежденной в ЕС, причем вне зависимости от факта осуществления обработки на территории ЕС. Если процессы обработки компании касаются предложения товаров и услуг субъектам, находящимся в Евросоюзе, или мониторинга поведения таких субъектов, то порядке статьи 3(2) Регламента, такая организация обязана соблюдать требования GDPR
Благодаря данному инструменту субъекты ПД получают возможность полностью контролировать работу с персональными данными, знать цели сбора и обработки. Важно отметить, что GDPR имеет экстерриториальный характер, то есть требования GDPR работают и для иностранных компаний, которые имеют дело с персональными данными граждан ЕС или лиц, находящихся в ЕС.
Для соответствия принципам названного регламента, компаниям следует:
- разработать внутренние политики защиты данных;
- проводить обучение персонала, имеющего доступа к данным;
- проводить проверки деятельности по обработке данных;
- вести учет в форме документации по процессам обработки;
- утвердить перечень сотрудников, имеющих доступ к информации и ответственных за обработку персональных данных.
Должны соблюдаться следующие принципы:
- Законность и прозрачность обработки;
- Четко обозначенные цели обработки;
- Минимальный объем данных для обработки;
- Ограничение хранения;
- Конфиденциальность информации.
США
В США порядок обработки персональных данных регулируется законом о конфиденциальности информации (Privacy Act), который применяется к федеральным организациям, и законом о защите конфиденциальности здоровья (Health Insurance Portability and Accountability Act - HIPAA), который регулирует обработку медицинских данных.
Особенности регулирования персональных данных в США включают в себя отсутствие единого законодательного акта, полностью охватывающего все аспекты защиты данных. Вместо этого, регулирование персональных данных в США осуществляется через различные законы и стандарты, такие как Федеральный закон о защите конфиденциальности потребителей (Federal Trade Commission Act) и Закон о защите конфиденциальности детей в Интернете (Children's Online Privacy Protection Act).
Компании, ведущие деятельность на территории США, должны соблюдать ряд требований по обработке персональных данных, включая сбор только необходимой информации, обеспечение безопасности и конфиденциальности данных, а также уведомление о сборе и использовании данных. Кроме того, компании должны соблюдать требования по хранению данных и обеспечению доступа к ним для субъектов данных.
Особенности регулирования персональных данных в США включают в себя отсутствие единого законодательного акта, полностью охватывающего все аспекты защиты данных. Вместо этого, регулирование персональных данных в США осуществляется через различные законы и стандарты, такие как Федеральный закон о защите конфиденциальности потребителей (Federal Trade Commission Act) и Закон о защите конфиденциальности детей в Интернете (Children's Online Privacy Protection Act).
Компании, ведущие деятельность на территории США, должны соблюдать ряд требований по обработке персональных данных, включая сбор только необходимой информации, обеспечение безопасности и конфиденциальности данных, а также уведомление о сборе и использовании данных. Кроме того, компании должны соблюдать требования по хранению данных и обеспечению доступа к ним для субъектов данных.
Значение политики по обработке ПД состоит в следующем:
Во-первых, политика по обработке ПД создает законные основания для сбора и обработки персональных данных, что снижает риск судебных споров и помогает значительно упростить взаимодействие с клиентом/пользователем. Наличие правовых оснований для манипуляций с информацией наделяет оператора данных всем объемом необходимых прав, а также наделяет обязанностями перед пользователем. Благодаря этому защищаются как интересы оператора персональных данных, так и интересы субъекта.
Во-вторых, обеспечивается конфиденциальность информации. Данное обстоятельство крайне важно для пользователя, поскольку угроза утечки ПД является одной из самых распространенных на сегодняшний день.
В-третьих, минимизируются риски получения штрафов и иных мер наказания в случае наличия нарушений.
В-четвертых, благодаря политике по обработке ПД взаимодействие с компанией становится более прозрачным и безопасным для клиента, поскольку данные конфиденциальны, и компания (оператор) берет на себя ответственность за обеспечение этой безопасности.
Во-первых, политика по обработке ПД создает законные основания для сбора и обработки персональных данных, что снижает риск судебных споров и помогает значительно упростить взаимодействие с клиентом/пользователем. Наличие правовых оснований для манипуляций с информацией наделяет оператора данных всем объемом необходимых прав, а также наделяет обязанностями перед пользователем. Благодаря этому защищаются как интересы оператора персональных данных, так и интересы субъекта.
Во-вторых, обеспечивается конфиденциальность информации. Данное обстоятельство крайне важно для пользователя, поскольку угроза утечки ПД является одной из самых распространенных на сегодняшний день.
В-третьих, минимизируются риски получения штрафов и иных мер наказания в случае наличия нарушений.
В-четвертых, благодаря политике по обработке ПД взаимодействие с компанией становится более прозрачным и безопасным для клиента, поскольку данные конфиденциальны, и компания (оператор) берет на себя ответственность за обеспечение этой безопасности.
Юридическая упаковка сайта
- Во-первых, при отсутствии политики по обработке ПД у оператора персональных данных не возникает законных оснований для совершения любых действий с персональными данными субъектов. В таком случае оператор может быть привлечен к ответственности.
Вся информация, полученная от субъекта (клиента), не может быть использована при отсутствии установленного порядка, целей сбора и пр.
Так, возникают законные основания для обращения в суд со стороны пользователя.
- Во-вторых, отсутствие политики по обработке ПД создает серьезную угрозу для конфиденциальности информации.
Так, не создается никаких условий для безопасности информации, что составляет серьезную угрозу для персональных данных, в том числе для биометрических данных субъекта (клиента, пользователя).
- В-третьих, уполномоченный орган предъявляет обширные требования к операторам ПД, следовательно, отсутствие соответствующих документов может грозить применением мер ответственности.
Например, в рамках законодательства РФ, в порядке ч.3 ст. 13.11 КоАП РФ, невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему его политику в отношении обработки ПД, грозит для организации штрафом в размере от 30.000 до 60.000 рублей.
По общему правилу со стороны уполномоченного органа предъявляются требования к оператору, то есть лицу, которое самостоятельно или совместно с другими лицами организуют и/или осуществляют сбор и обработку персональных данных, а также определяют ее цели.
В законодательстве РФ предусмотрена ответственность за:
В законодательстве РФ предусмотрена ответственность за:
- невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему его политику в отношении обработки ПД;
- утечку ПД;
- обработку ПД без согласия субъекта;
- обработку ПД в случаях, не предусмотренных законодательством и несовместимая с целями сбора ПД;
- непредоставление субъекту ПД информации по их обработке;
- неисполнение обязанности по сохранности ПД, что привело к неправомерному или случайному доступу к ПД и стало причиной их уничтожения, изменения, блокирования, копирования.
Так, на должностных лиц, ИП, физ.лиц, юр.лиц распространяется ответственность, предусмотренная ст.13.11 КоАП РФ.
Также действуют нормы, предусмотренные №152-ФЗ «О персональных данных». Так, ст.19 закрепляет перечень мер по обеспечению безопасности персональных данных, выполнение которых является прямой обязанностью оператора.
Юридическая упаковка сайта
Таким образом, политика по обработке ПД является важнейшим документом, который определяет законные основания для сбора и обработки персональных данных субъектов.
Для организации (оператора ПД) это хороший инструмент, позволяющий установить рамки взаимодействия с ПД, избежать различных споров и защитить законные цели и принципы обработки данных.
Для пользователя (субъекта ПД) это дополнительная гарантия конфиденциальности и безопасности персональных данных, что в свою очередь повышает доверие к организации и снижает риск неправомерного использования любой конфиденциальной информации.
Для организации (оператора ПД) это хороший инструмент, позволяющий установить рамки взаимодействия с ПД, избежать различных споров и защитить законные цели и принципы обработки данных.
Для пользователя (субъекта ПД) это дополнительная гарантия конфиденциальности и безопасности персональных данных, что в свою очередь повышает доверие к организации и снижает риск неправомерного использования любой конфиденциальной информации.
Связанные услуги
Юридическая упаковка сайта
Защита интеллектуальных прав
Регистрация юридического лица в МФЦА
Регистрация IT компании в технопарке Астана Хаб
Регистрация юридического лица в Казахстане
