#privacy #GDPR
Заметки мероприятия РКН от 26 ноября 2020 года:
Ответы на вопросы:
▪️Гдпр vs 152фз
▪️▪️Нужно понять, кто является оператором, кто руководствуется в своей деятельности Гдпр
▪️▪️Рос оператор, который обрабатывает ПДн граждан ес на территории рф, не подпадает под Гдпр
▪️▪️Подпадает:
▪️▪️▪️Филиальная сеть оператора находится на территории ес
▪️▪️▪️Обработка по поручению, составленному в рамках Гдпр
▪️▪️▪️таргетирование (наличие предложений на языке ес и расчёт в евро (в валюте ес)), если в деятельности компаний нет ни одного из этих критериев, то положения Гдпр не распространяются
▫️гармонизация 152-фз
Идёт нацеленность на гармонизацию с учётом модернизированной версии конвенции
Заметки мероприятия РКН от 26 ноября 2020 года:
Ответы на вопросы:
▪️Гдпр vs 152фз
▪️▪️Нужно понять, кто является оператором, кто руководствуется в своей деятельности Гдпр
▪️▪️Рос оператор, который обрабатывает ПДн граждан ес на территории рф, не подпадает под Гдпр
▪️▪️Подпадает:
▪️▪️▪️Филиальная сеть оператора находится на территории ес
▪️▪️▪️Обработка по поручению, составленному в рамках Гдпр
▪️▪️▪️таргетирование (наличие предложений на языке ес и расчёт в евро (в валюте ес)), если в деятельности компаний нет ни одного из этих критериев, то положения Гдпр не распространяются
▫️гармонизация 152-фз
Идёт нацеленность на гармонизацию с учётом модернизированной версии конвенции
RPPA PRO: Privacy • AI • Cybersecurity • IP
#privacy #GDPR Заметки мероприятия РКН от 26 ноября 2020 года: Ответы на вопросы: ▪️Гдпр vs 152фз ▪️▪️Нужно понять, кто является оператором, кто руководствуется в своей деятельности Гдпр ▪️▪️Рос оператор, который обрабатывает ПДн граждан ес на территории…
Трудовые отношения:
▪️необходимость оформления согласий работников при различных правоотношениях
Российские группы компании: каждая компания внутри группы выступает как отдельный оператор ➡️ согласие в письменной форме на передачу
Международные ➡️ согласие + договор поручения
▫️если привлекаем в рамках договора поручения контрагента на ведение кадрового учёта/ бухгалтерского ➡️ согласие работника с одной целью передачи ПДн
▪️порядок уничтожения ПДн должен быть прописан в локальных актах, с которыми должны быть ознакомлены субъектов
🔥в первом полугодии 2021 будет вам матрица ПДн;)
▪️необходимость оформления согласий работников при различных правоотношениях
Российские группы компании: каждая компания внутри группы выступает как отдельный оператор ➡️ согласие в письменной форме на передачу
Международные ➡️ согласие + договор поручения
▫️если привлекаем в рамках договора поручения контрагента на ведение кадрового учёта/ бухгалтерского ➡️ согласие работника с одной целью передачи ПДн
▪️порядок уничтожения ПДн должен быть прописан в локальных актах, с которыми должны быть ознакомлены субъектов
🔥в первом полугодии 2021 будет вам матрица ПДн;)
RPPA PRO: Privacy • AI • Cybersecurity • IP
Трудовые отношения: ▪️необходимость оформления согласий работников при различных правоотношениях Российские группы компании: каждая компания внутри группы выступает как отдельный оператор ➡️ согласие в письменной форме на передачу Международные ➡️ согласие…
Про ПДн:
▪️сбор копий документов, содержащих ПДн (акции)
Нет з-ых норм, правовым основанием является согласие.
Согласие на биометрию не требуется, но при этом согласие дб информированным, конкретным и сознательным (срок, действия, кто будет иметь доступ и тд)
Форма получения по усмотрению оператора.
▫️идентификаторы: инн, Снилс, почта - это ПДн
Уникальные идентификаторы присваиваются к конкретному физ лицу и не могут быть отнесены к другому.
По отдельности без доп данных - тоже ПДн
▪️MAC - адреса - рассматриваем в контексте положения закона о связи, в чистом виде ПДн не являются, но с доп данными - ПДн
▫️фото и видеозаписи
▫️▫️Фото - это ПДн, в некоторых случаях и биометрия.
В остальных - материальный носитель ПДн.
Оборот фото регулируется з-вом.
▫️▫️Видео - надо понимать цель, потоковое видео - то, что попадает в объектив - не ПДн.
Но если идентификация лица - видеозапись - источники ПДн
▪️история заказов и предпочтений без фио - ПДн, обработка требует согласия
Оценка поведения - это модель профилирования, на основании которых приниматься решения - согласие
▪️сбор копий документов, содержащих ПДн (акции)
Нет з-ых норм, правовым основанием является согласие.
Согласие на биометрию не требуется, но при этом согласие дб информированным, конкретным и сознательным (срок, действия, кто будет иметь доступ и тд)
Форма получения по усмотрению оператора.
▫️идентификаторы: инн, Снилс, почта - это ПДн
Уникальные идентификаторы присваиваются к конкретному физ лицу и не могут быть отнесены к другому.
По отдельности без доп данных - тоже ПДн
▪️MAC - адреса - рассматриваем в контексте положения закона о связи, в чистом виде ПДн не являются, но с доп данными - ПДн
▫️фото и видеозаписи
▫️▫️Фото - это ПДн, в некоторых случаях и биометрия.
В остальных - материальный носитель ПДн.
Оборот фото регулируется з-вом.
▫️▫️Видео - надо понимать цель, потоковое видео - то, что попадает в объектив - не ПДн.
Но если идентификация лица - видеозапись - источники ПДн
▪️история заказов и предпочтений без фио - ПДн, обработка требует согласия
Оценка поведения - это модель профилирования, на основании которых приниматься решения - согласие
RPPA PRO: Privacy • AI • Cybersecurity • IP
Про ПДн: ▪️сбор копий документов, содержащих ПДн (акции) Нет з-ых норм, правовым основанием является согласие. Согласие на биометрию не требуется, но при этом согласие дб информированным, конкретным и сознательным (срок, действия, кто будет иметь доступ и…
Согласия:
▪️указание в согласии нескольких целей
Целеполагание: указание нескольких целей допускается, если нет спец категорий, биометрии и трансгранички
Согласие в письменной форме - одна цель
▫️согласие в рамках договора
Если обработка для достижения договора - не надо согласие.
Если доп цели к договору - согласие дб отдельным, причем в случае отзыва согласия на обработку оператор обязан прекратить эту доп деятельность, тк не основная
▪️кандидаты, родственники
▪️▪️Кандидаты - согласие требуются
▪️▪️Родственники - можно и не брать инфу о близких родственниках, если инфа для оценки конфликта интересов - договаривайтесь:) согласие надо. После трудоустройства в рамках формы согласие не требуется, если данных больше - требуется
▫️электронные копии согласий
▫️▫️Создание таких копий допускается
▫️▫️Согласие на бумажном носителе - в суде первоисточник и подлинник может пригодиться
▫️▫️срок согласия - нужно указывать конкретный срок, подкреплённый правомерными источниками - руководствуйтесь сроками правоотношений или условием достижения цели
▪️достаточно ли получение согласия в виде галочки на сайте (сайт в Америке)
▪️▪️Если оператор имеет направленность на рос потребителя, оператор должен выронить требования по локализации - в этом случае галочка - норм
▪️▪️ПЭП
Согласие можно подписывать ПЭП - критичные ПДн
Для общих ПДн рисков подписания согласия ПЭП ркн не видит
▫️множественные согласия
Напротив целей проставление галочки «разрешаю / не разрешаю» - такой подход в рос з-ве не предусмотрен, при указании нескольких целей достаточно одной подписи
▪️предоставление соц и материальной помощи в рамках трудовых отношений
Коллективный договор есть в организации - при предоставлении родственником в адрес компании доков о родстве - согласие не требуется (такие лица являются выгодоприобретателями)
▫️согласие предоставляется на бумажном носителе.
Части 4 ст 9 согласие должно соотв только в случаях, предусмотренных законом. Во всех остальных, оператор сам определяет форму
▪️при обработке в рамках согласия по ч4 ст9 необходимо указывать все компании, получающие данные, при изменении перечня компаний нужно менять и согласие.
Для остальных согласий - перечень на сайте, обновлённый с указанием цели передачи и информировании субъектов в случае изменения перечня
▫️согласие в рамках публичных мероприятиях
Врач рассказывает на мероприятии про пациента без фио, но с анамнезом, нужно ли брать согласие у врача для дальнейшего распространения презентации на мероприятии.
Эти данные - ПДн, если у мед учреждения есть согласие пациента на подобное использование ПДн - тогда у врача есть правовое основание для использования. А организации на доп действия - размещение презентации и тд, надо получить согласие
▪️указание в согласии нескольких целей
Целеполагание: указание нескольких целей допускается, если нет спец категорий, биометрии и трансгранички
Согласие в письменной форме - одна цель
▫️согласие в рамках договора
Если обработка для достижения договора - не надо согласие.
Если доп цели к договору - согласие дб отдельным, причем в случае отзыва согласия на обработку оператор обязан прекратить эту доп деятельность, тк не основная
▪️кандидаты, родственники
▪️▪️Кандидаты - согласие требуются
▪️▪️Родственники - можно и не брать инфу о близких родственниках, если инфа для оценки конфликта интересов - договаривайтесь:) согласие надо. После трудоустройства в рамках формы согласие не требуется, если данных больше - требуется
▫️электронные копии согласий
▫️▫️Создание таких копий допускается
▫️▫️Согласие на бумажном носителе - в суде первоисточник и подлинник может пригодиться
▫️▫️срок согласия - нужно указывать конкретный срок, подкреплённый правомерными источниками - руководствуйтесь сроками правоотношений или условием достижения цели
▪️достаточно ли получение согласия в виде галочки на сайте (сайт в Америке)
▪️▪️Если оператор имеет направленность на рос потребителя, оператор должен выронить требования по локализации - в этом случае галочка - норм
▪️▪️ПЭП
Согласие можно подписывать ПЭП - критичные ПДн
Для общих ПДн рисков подписания согласия ПЭП ркн не видит
▫️множественные согласия
Напротив целей проставление галочки «разрешаю / не разрешаю» - такой подход в рос з-ве не предусмотрен, при указании нескольких целей достаточно одной подписи
▪️предоставление соц и материальной помощи в рамках трудовых отношений
Коллективный договор есть в организации - при предоставлении родственником в адрес компании доков о родстве - согласие не требуется (такие лица являются выгодоприобретателями)
▫️согласие предоставляется на бумажном носителе.
Части 4 ст 9 согласие должно соотв только в случаях, предусмотренных законом. Во всех остальных, оператор сам определяет форму
▪️при обработке в рамках согласия по ч4 ст9 необходимо указывать все компании, получающие данные, при изменении перечня компаний нужно менять и согласие.
Для остальных согласий - перечень на сайте, обновлённый с указанием цели передачи и информировании субъектов в случае изменения перечня
▫️согласие в рамках публичных мероприятиях
Врач рассказывает на мероприятии про пациента без фио, но с анамнезом, нужно ли брать согласие у врача для дальнейшего распространения презентации на мероприятии.
Эти данные - ПДн, если у мед учреждения есть согласие пациента на подобное использование ПДн - тогда у врача есть правовое основание для использования. А организации на доп действия - размещение презентации и тд, надо получить согласие
👍1
RPPA PRO: Privacy • AI • Cybersecurity • IP
Согласия: ▪️указание в согласии нескольких целей Целеполагание: указание нескольких целей допускается, если нет спец категорий, биометрии и трансгранички Согласие в письменной форме - одна цель ▫️согласие в рамках договора Если обработка для достижения…
Поручение:
▪️является ли провайдер облачных услуг оператором ПДн (на его мощностях осущ хранение).
Договор поручения и согласие субъекта на передачу ПДн в рамках договора на поручение.
В согласии можно указать такие организации (например, ведение кадрового учёта - все аутсорсеры)
▫️уведомление об обработке также нужно предоставлять (обработчикам)
▪️запросы на наличие оснований у оператора для обработки ПДн могут быть урегулированы в рамках договора поручения. Третье лицо не обязано получать согласие субъекта на обработку ПДн в рамках договора поручения
▫️разделены законодательно понятия согласие и договор поручения
▪️обработка ПДн между юридическими лицами.
Если в рамках договора одно юр лицо оказывает услуги другому - согласие+договор на поручение.
Обработка ПДн представителей контрагентов (доверенность) - согласие не требуется, тк обработка в рамках договора
▪️является ли провайдер облачных услуг оператором ПДн (на его мощностях осущ хранение).
Договор поручения и согласие субъекта на передачу ПДн в рамках договора на поручение.
В согласии можно указать такие организации (например, ведение кадрового учёта - все аутсорсеры)
▫️уведомление об обработке также нужно предоставлять (обработчикам)
▪️запросы на наличие оснований у оператора для обработки ПДн могут быть урегулированы в рамках договора поручения. Третье лицо не обязано получать согласие субъекта на обработку ПДн в рамках договора поручения
▫️разделены законодательно понятия согласие и договор поручения
▪️обработка ПДн между юридическими лицами.
Если в рамках договора одно юр лицо оказывает услуги другому - согласие+договор на поручение.
Обработка ПДн представителей контрагентов (доверенность) - согласие не требуется, тк обработка в рамках договора
RPPA PRO: Privacy • AI • Cybersecurity • IP
Поручение: ▪️является ли провайдер облачных услуг оператором ПДн (на его мощностях осущ хранение). Договор поручения и согласие субъекта на передачу ПДн в рамках договора на поручение. В согласии можно указать такие организации (например, ведение кадрового…
Уведомление:
▪️иностранные юр лица, не зарегистрированные в рф, не должны подавать уведомление
▫️указание в уведомлении локализации баз данных организаций, которым данные передаются (фнс, пфр и тд), не требуется
▪️ответственный за обработку
Можно указать в уведомлении одно юридическое или физическое лицо, но в рамках орд функция может быть распределена между несколькими участниками
▪️иностранные юр лица, не зарегистрированные в рф, не должны подавать уведомление
▫️указание в уведомлении локализации баз данных организаций, которым данные передаются (фнс, пфр и тд), не требуется
▪️ответственный за обработку
Можно указать в уведомлении одно юридическое или физическое лицо, но в рамках орд функция может быть распределена между несколькими участниками
RPPA PRO: Privacy • AI • Cybersecurity • IP
Уведомление: ▪️иностранные юр лица, не зарегистрированные в рф, не должны подавать уведомление ▫️указание в уведомлении локализации баз данных организаций, которым данные передаются (фнс, пфр и тд), не требуется ▪️ответственный за обработку Можно указать…
Остальное:
▪️полный адрес относится к сведениям о местожительстве лица - это ПДн, тк косвенно относится к каждому собственнику помещения
Набор: номер кв+сумма задолженности - не ПДн
Лицевой счёт - не ПДн
Тк относиться к помещению
▫️на рассмотрении в думе НПА, который наделяет ркн полномочиями по разработке в том числе методических рекомендаций по обезличиванию для всех категорий операторов
▪️номер телефона - не ПДн, тк не относится к субъекту
▪️полный адрес относится к сведениям о местожительстве лица - это ПДн, тк косвенно относится к каждому собственнику помещения
Набор: номер кв+сумма задолженности - не ПДн
Лицевой счёт - не ПДн
Тк относиться к помещению
▫️на рассмотрении в думе НПА, который наделяет ркн полномочиями по разработке в том числе методических рекомендаций по обезличиванию для всех категорий операторов
▪️номер телефона - не ПДн, тк не относится к субъекту
#news #privacy
Для субъектов из ЕС Instagram обновил порядок управления данными ⬇️⬇️⬇️
Если кому интересно: Data Policy и Terms of use
Для субъектов из ЕС Instagram обновил порядок управления данными ⬇️⬇️⬇️
Если кому интересно: Data Policy и Terms of use