Сайт согласие на обработку персональных данных: Что сделать на сайте, чтобы избежать штрафов за нарушение закона.

Согласие на обработку персональных данных

Настоящим, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», вы подтверждаете свое согласие на обработку Акционерным обществом «СофтЛайн Трейд» юридический адрес: 119270, город Москва, Лужнецкая набережная, 2/4 стр.3а, офис 304, в том числе Группе компаний Softlinei (далее — Softline) ваших персональных данных.

Под персональными данными подразумевается любая информация, относящаяся к прямо или косвенно к Вам, включая, но не ограничиваясь: фамилия, имя, отчество, дата рождения, контактный телефон, адрес электронной почты, почтовый адрес

Настоящим согласием вы подтверждаете, что проинформированы о том, что под

обработкой персональных данных понимаются действия с персональными данными, определённые в Федеральном законе № 152-ФЗ от 27.07.2006 «О персональных данных», а именно: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление персональных данных, совершаемые использованием средств автоматизации Softline.

Данным согласием вы подтверждаете, что проинформированы о том, что обработка предоставляемых вами персональных данных может осуществляется для достижения следующей цели: исполнения обязательств Softline по заказам, договорам и иным обязательствам, принятым Softline в качестве обязательных к исполнению перед Вами. Для указанной цели Softline реализует комплекс действий, направленных на выполнение следующих задач:

• идентификация стороны в рамках оказания Услуги;
• предоставление пользователю персонализированных Услуг;
• улучшение качества Услуг и разработка новых;
• проведение статистических и иных исследований, на основе обезличенных данных;
• предоставление персональных данных пользователя правообладателям, дистрибьюторам или реселлерам программного обеспечения в целях регистрации программного обеспечения на имя пользователя или организации, интересы которой представляет пользователь;
• предоставление пользователям Веб-сайта безопасного и удобного функционала по его использованию, эффективному отображению информации;
• эффективное исполнение заказов, договоров и иных обязательств, принятых Softline в качестве обязательных к исполнению перед пользователем;
• обработка вопросов пользователей Веб-сайта;
• регистрация пользователей Веб-сайта на мероприятия;
• регистрация клиентов/партнеров Softline в системе service desk, для последующего осуществления технической поддержки;
• осуществление и/или исполнение функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Softline.

Настоящее согласие распространяется на следующие персональные данные: фамилия, имя, отчество, дата рождения, адрес доставки; контактный телефон, сведения об организации, должность, номер факса, номер сотового телефона, адрес электронной почты, сведения о стране, городе, области проживания, сведения о банковской карте (номер, CVV, фамилия имя на латинице, год и месяц окончания действия карты).

Срок действия Вашего согласия ограничен сроком, требующимся для достижения цели обработки персональных данных, если иной срок хранения персональных данных не установлен действующим законодательством, однако, Вы вправе в любой момент отозвать настоящее согласие, путём направления письменного уведомления на адрес: 119270 Российская Федерация, г. Москва, Лужнецкая набережная, д. 2/4, стр.3А, офис 304, в АО «СофтЛайн Трейд», с пометкой «отзыв согласия на обработку персональных данных». Удаление ваших персональных данных будет произведено Softline в течении 30 дней с момента получения данного уведомления.

Softline гарантирует соблюдение следующих прав субъекта персональных данных: право на получение сведений о том, какие персональные данные субъекта персональных данных хранятся у Softline; право на удаление, уточнение или исправление хранящихся у Softline персональных данных; иные права, установленные действующим законодательством Российской Федерации.

Обращаем Ваше внимание, что отзыв вашего согласия на обработку персональных данных влечёт за собой удаление вашей учётной записи с Веб-сайта (www.softline.ru), а также уничтожение записей, содержащих ваши персональные данные, в информационных системах обработки персональных данных Softline, что может сделать невозможным пользование Интернет-сервисами Softline.

iВ Группу компаний Softline входят следующие юридические лица: АО «СофтЛайн Трейд» 119270, г. Москва, Лужнецкая набережная, д. 2/4, стр.3А, офис 304; ООО «СК Софтлайн» 119270, Москва, Лужнецкая набережная, д.2/4, стр.3А, офис 302, класс Б; ООО «СофтЛайн Интернет Трейд» 119270, г. Москва, Лужнецкая наб., дом 2/4, стр. 3 этаж 2, пом. 205; ООО «Софт Лоджистик» 119270, Москва, Лужнецкая набережная д.2/4, стр.3А, офис 304; АНО ДПО «СофтЛайн Эдюкейшн» 115114, Москва, Дербеневская набережная, д. 7, стр. 8; АО «СофтЛайн Интернейшнл» 115114, Москва, Дербеневская наб., д. 7, стр. 8; ООО «ИНФОСЕКЬЮРИТИ» 107140, Москва, ул. Русаковская, д.13, Эт/оф 10/10-01

Шаблоны соглашений на обработку персональных данных для ваших сайтов

В блог

Недавно в Тинькофф-журнале вышла статья, которая доступно и подробно объясняет какими штрафами грозит неисполнение формальностей нового закона и как этих штрафов избежать.

Самая главная работа, которую нужно проделать на своих сайтах – добавить обязательное поле-галочку, отмечая которое, посетители соглашаются с вашими правилами обработки их данных. Соответственно, необходимо эти правила разместить.

Для облегчения жизни своим клиентам, мы подготовили два шаблона – для корпоративных сайтов, где только форма обратной связи и форма заказа звонка, и для интернет магазинов, где форм побольше. И нам не жалко поделиться ими :)

Обязательно прочитайте то, что будете копировать на свой сайт – можете удалить строчки про цели использования и перечень персональных данных, если какие-то из них вас не касаются.

Если у вас уже есть соглашение на сайте, добавьте в него блок про обработку данных и сделайте ссылку на это соглашение.

Для корпоративного сайта

Предоставляя свои персональные данные Пользователь даёт согласие на обработку, хранение и использование своих персональных данных на основании ФЗ № 152-ФЗ «О персональных данных» от 27.07.2006 г. в следующих целях:

• Осуществление клиентской поддержки
• Получения Пользователем информации о маркетинговых событиях
• Проведения аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг.

Под персональными данными подразумевается любая информация личного характера, позволяющая установить личность Пользователя/Покупателя такая как:

• Фамилия, Имя, Отчество
• Дата рождения
• Контактный телефон
• Адрес электронной почты
• Почтовый адрес

Персональные данные Пользователей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства.

Компания обязуется не передавать полученные персональные данные третьим лицам, за исключением следующих случаев:

• По запросам уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ
• Стратегическим партнерам, которые работают с Компанией для предоставления продуктов и услуг, или тем из них, которые помогают Компании реализовывать продукты и услуги потребителям. Мы предоставляем третьим лицам минимальный объем персональных данных, необходимый только для оказания требуемой услуги или проведения необходимой транзакции.

Компания оставляет за собой право вносить изменения в одностороннем порядке в настоящие правила, при условии, что изменения не противоречат действующему законодательству РФ. Изменения условий настоящих правил вступают в силу после их публикации на Сайте.

Для интернет-магазинов

Предоставляя свои персональные данные Покупатель даёт согласие на обработку, хранение и использование своих персональных данных на основании ФЗ № 152-ФЗ «О персональных данных» от 27.07.2006 г. в следующих целях:

• Регистрации Пользователя на сайте
• Осуществление клиентской поддержки
• Получения Пользователем информации о маркетинговых событиях
• Выполнение Продавцом обязательств перед Покупателем
• Проведения аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг.

Под персональными данными подразумевается любая информация личного характера, позволяющая установить личность Покупателя такая как:

• Фамилия, Имя, Отчество
• Дата рождения
• Контактный телефон
• Адрес электронной почты
• Почтовый адрес

Персональные данные Покупателей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства.

Продавец обязуется не передавать полученные персональные данные третьим лицам, за исключением следующих случаев:

• По запросам уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ
• Стратегическим партнерам, которые работают с Продавцом для предоставления продуктов и услуг, или тем из них, которые помогают Продавцу реализовывать продукты и услуги потребителям. Мы предоставляем третьим лицам минимальный объем персональных данных, необходимый только для оказания требуемой услуги или проведения необходимой транзакции.

Продавец оставляет за собой право вносить изменения в одностороннем порядке в настоящие правила, при условии, что изменения не противоречат действующему законодательству РФ. Изменения условий настоящих правил вступают в силу после их публикации на Сайте.

Согласие на обработку персональных данных

Политика конфиденциальности персональных данных ООО «ТерраЛинк»

1. Общие положения.

1.1. Настоящая Политика конфиденциальности персональных данных (далее — Политика) действует в отношении всех персональных данных, которую компания ООО «ТерраЛинк», ОГРН 1027700516117, ИНН 7729139042 (далее – Компания), может получить от пользователя (лица, заполнившего форму обратной связи, использующего другие сервисы официальных сайтов
www.terralink.ru,
www.terraid.ru, 
www.idcards.ru, 
www.idcards.kz, 
www.terraportal.pro, 
террапортал.рф, 
one-q.ru, 
www.purchase2pay.ru, 
www.projectbi.ru, 
xde.terralink.ru, 
2fa.terralink.ru, 
ecm.terralink.ru, 
www.mediastards.ru, 
www.revolabs.ru, 
www.rightfax.pro, 
shop.terralink.ru, 
suprema.terralink.ru 
suprema.kz 
(далее – Сайт и/или Сайты)), в частности в ходе: отправки отзывов или вопросов, заказа услуг, участия в рекламных и/или маркетинговых кампаниях или акциях и/или ином взаимодействии (далее – Услуги).

1.2. Заполняя форму обратной связи и нажимая кнопку «Согласен/на», расположенную на странице Сайта, на которой размещена форма обратной связи, а равно указывая свои персональные данные при использовании других сервисов Сайта, пользователь выражает согласие с настоящей Политикой и указанными в ней условиями обработки и передачи его персональных данных. Согласие Пользователя на предоставление, обработку и передачу его Персональных данных Компании в соответствии с Политикой является полным и безусловным.

1.3. Посетителям Сайта следует воздержаться от заполнения формы и/или от использования других сервисов Сайта в случае несогласия (полного или частичного) с Политикой, а равно несогласия предоставить персональные данные.

1.4. Согласие, даваемое пользователем, включает в себя согласие на сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, занесение в базы данных (в том числе электронные) Компании, передачу внутри Компании другим отделам и подразделениям или поставщику услуг, обязующегося выполнять условия договора о защите персональных данных, в целях рассылки информационных материалов и/или в рекламных целях (в том числе рассылку приглашений на мероприятия, проводимые/организованные Компанией), трансграничную передачу, блокирование, обезличивание, уничтожение персональных данных.

1.5. Согласие, даваемое пользователем, распространяется на следующие персональные данные: фамилия, имя, отчество, адрес электронной почты, должность, наименование организации, в которой работает пользователь, контактный телефон.

1.6. Срок действия согласия пользователя является неограниченным, однако, пользователь вправе в любой момент отозвать настоящее согласие путём направления письменного уведомления на адрес электронной почты: [email protected], с пометкой «отзыв согласия на обработку персональных данных».

2. Персональные данные пользователей, которые получает и обрабатывает Компания.

2.1. В рамках настоящей Политики под персональными данными пользователя понимаются персональные данные, которые пользователь предоставляет о себе самостоятельно при заполнении формы обратной связи на Сайте, при использовании других сервисов Сайта, при регистрации (создании учётной записи) на Сайте или в процессе использования услуг, предоставляемых Компанией. Соответствующая информация явно обозначена, к ней, в частности отнесены: фамилия, имя, отчество, адрес электронной почты, должность, наименование организации, в которой работает пользователь, контактный телефон. Иная информация предоставляется пользователем на его усмотрение.

2.2. Компания исходит из того, что пользователь представляет достоверные персональные данные, а также, что пользователь имеет право предоставить персональные данные.

3. 1С Битрикс

3.1. Компания использует средство 1С Битрикс для сбора сведений об использовании Сайта, таких как частота посещения Сайта пользователями, посещенные страницы и сайты, на которых были пользователи до перехода на данный Сайт. 1С Битрикс собирает только IP-адреса, назначенные пользователю в день посещения данного Сайта, но не имя или другие идентификационные сведения. 

3.2. 1С Битрикс размещает постоянный cookie-файл в веб-браузере пользователя для идентификации в качестве уникального пользователя при следующем посещении данного Сайта. Этот cookie-файл не может использоваться никем, кроме 1С Битрикс. Сведения, собранные с помощью cookie-файла, будут храниться на серверах, находящихся в Российской Федерации. 

3.3. Компания использует сведения, полученные через 1С Битрикс, только для обработки и хранения персональных данных.

4. Цели обработки персональной информации пользователей.

4.1. Компания обрабатывает только те персональные данные, которые необходимы для оказания услуг.

4.2. Персональную информацию пользователя Компании может использовать в следующих целях:

4.2.1. Идентификация стороны в рамках оказания услуги.

4.2.2. Рассылка рекламных и/или маркетинговых материалов Компании, рассылка приглашений на мероприятия, конференции, выставки, проводимые и/или организуемые Компанией, проведение телемаркетинговых компаний.

4.2.3. Проведение статистических и иных исследований, на основе обезличенных данных.

5. Передача персональных данных пользователя третьим лицам.

5.1. В отношении персональных данных пользователя сохраняется ее конфиденциальность, кроме случаев обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен пользователем либо по его просьбе.

5.2. Компания вправе передать персональную информацию пользователя третьим лицам в следующих случаях:

5.2.1. Пользователь предоставил свое согласие на такие действия.

5.2.2. Передача персональных данных организациям, которые оказывают услуги Компании по рассылке рекламных и/или маркетинговых материалов, организации и проведению мероприятий, конференций, выставок, телемаркетингу, обзвону потенциальных клиентов Компании.

5.2.2. Передача необходима для достижения целей, осуществления и выполнения функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Компанию.

6. Меры, применяемые для защиты персональных данных пользователей.

Компания принимает необходимые и достаточные организационные и технические меры для защиты персональных данных пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с персональными данными третьих лиц.

7. Права и обязанности пользователя.

7.1. Компания предпринимает разумные меры для поддержания точности и актуальности, имеющихся у Компании персональных данных, а также удаления устаревших и других недостоверных или излишних персональных данных, тем не менее, Пользователь несет ответственность за предоставление достоверных сведений, а также за обновление предоставленных данных в случае каких-либо изменений.

7.2. Пользователь может в любой момент изменить (обновить, дополнить, блокировать, уничтожить) предоставленную им персональную информацию или её часть, а также параметры её конфиденциальности путем обращения в Компанию.

7.3. Пользователь вправе в любой момент отозвать согласие на обработку Компанией персональных данных путём направления письменного уведомления на электронный адрес: [email protected] с пометкой «отзыв согласия на обработку персональных данных», при этом отзыв пользователем согласия на обработку персональных данных влечёт за собой удаление учётной записи пользователя с Сайта и баз данных Компании, а также уничтожение записей, содержащих персональные данные, в системах обработки персональных данных Компании

7.4. Пользователь имеет право на получение информации, касающейся обработки его персональных данных Компанией.

Конструктор политики конфиденциальности и обработки персональных данных

2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу httpsː//thismywebsite·com.

2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.

2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.

2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта httpsː//thismywebsite·com.

2.9. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее — персональные данные, разрешенные для распространения).

2.10. Пользователь – любой посетитель веб-сайта httpsː//thismywebsite·com.

2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.12. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

2.14. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.

Как владельцам сайтов работать с персональными данными, чтобы избежать штрафа

С 1 июля 2017 г. возбуждать дела об административных правонарушениях будут органы Роскомнадзора, а не прокуратура, как это делается сегодня. Уже сейчас понятно, что данные дела будут возбуждаться проще и быстрее, так как это будет делать сам орган, выявивший правонарушение.

В настоящее время за нарушение закона №152 ФЗ «О защите персональных данных» (сколько бы таких нарушений за 1 раз не было выявлено) можно привлечь только 1 раз. Начиная с 1 июля 2017 г. Роскомнадзор за один «визит» может составить сколько угодно протоколов об административном правонарушении по каждому нарушению. О размере возможно штрафа в таком случае можно только догадываться.

Расположение хостинга сайта

В соответствии с ФЗ № 152, все интернет-ресурсы, на которых хранятся и обрабатываются персональные данные, должны быть расположены на территории Российской Федерации. С учётом того, что контролирующие органы считают персональными данными также и данные о поведении пользователя на сайте, то это касается практически любого интернет-ресурса. За нарушение этого требования Роскомнадзор их блокирует.

Под расположением хостинга подразумевается физическое местонахождение ЦОДа, на котором размещен ваш сайт. То есть, если хостинг-провайдер зарегистрирован в России, а его ЦОДы расположены, к примеру, в Эстонии, вы нарушаете закон и попадаете под блокировку сайта.

Что нужно сделать на сайте, чтобы избежать штрафов

Мы составили список работ, которые стоит сделать на своём сайте прямо сейчас. Это тот необходимый минимум, который позволит вам избежать проблем в случае проверок Роскомнадзора.

1.    Добавить текст согласия на обработку персональных данных

Под каждой формой ввода данных на сайте (регистрация, заявки на услугу, обратный звонок) разместить текст «Нажимая на кнопку «Название кнопки», я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на документ. Примеры документов вы можете посмотреть на федеральных сайтах, например, ozon.ru и tinkoff.ru. 

Вместо согласия можно использовать единую публичную оферту, но в ней будет нужно прописать, в каких целях, какие данные обрабатываются, то есть указать всё, согласно ч.4 ст.9 152-ФЗ. В этом случае обязательно хранить логи, чтобы, в случае чего, доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.

2.    Составить документ «Политика в отношении обработки персональных данных»

Этот документ нужно разместить на сайте в свободном доступе. В данном документе должны быть описаны процедуры сбора, обработки и хранения персональных данных пользователей сайта. Хорошо проработанный документ о политике в отношении обработки персональных данных есть на ikea.com. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.

3.    Узнать, где находится хостинг сайта

Узнать у хостинг-провайдера, где физически находится ЦОД, в котором расположен ваш сайт и, в случае, если он расположен не на территории РФ, перенести сайт на другой хостинг. Сделать это вы можете, отправив запрос в техническую поддержку сайта.

4.    Указать email для обращений пользователей по персональным данным

Укажите email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще, куда он может задать вопрос по персональным данным. Email можно указать в документах, описанных выше.

Важно, чтобы указанный email был рабочим, информация на нем регулярно проверялась, чтобы не пропустить запрос пользователя на удаление персональных данных с сайта.

5.    Подать уведомление об обработке персональных данных в Роскомнадзор

Вам или агентству-разработчику сайта необходимо подать уведомление об обработке персональных данных в Роскомнадзор, для этого нужно перейти по ссылке и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в них содержатся.

6.    Заключить соглашение о безопасности персональных данных с разработчиком сайта

В случае если агентство-разработчик сайта имеет доступ к персональным данным из заявок или базы данных сайта (например, сайт находится на технической поддержке), вам необходимо заключить соглашение с агентством об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные агентство может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных.

7.    Поставить на сайте дисклеймер

До 1 июля 2017 года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и, если он не согласен, то должен покинуть сайт. Примеры дисклеймеров вы можете посмотреть на сайтах marykay.ru и bmw.ru. В противном случае это будет являться согласием на обработку его персональных данных.

Список внушительный, но не стоит бояться этих изменений. Специалисты Мэйка в течение 5 рабочих дней внесут изменения, которые обезопасят ваш сайт от штрафов Роскомнадзора.

Мы оказываем эту услугу как нашим клиентам в рамках технического обслуживания, так и сторонним сайтам.

Согласие на обработку персональных данных

Пользователь обязуется принять настоящее Согласие на обработку персональных данных (далее — Согласие). Принятием (акцептом) оферты Согласия является предоставление персональных данных в формах обратной связи, размещенных на сайте. Пользователь дает свое согласие ПАО «Мечел» (далее — Общество), которому принадлежит сайт mechel.ru
и которое расположено по адресу: 125167, Москва, ул. Красноармейская, д. 1, на обработку своих персональных данных со следующими условиями:

Соглашение о предоставлении персональных данных

Присоединяясь к настоящему Соглашению и оставляя свои данные на Сайте https://aledo-pro.ru
(далее – Сайт) принадлежащий компании aledo, которая расположено по адресу: 190005,
Санкт-Петербург, Измайловский пр., 31/163, путем заполнения полей формы обратной связи
Пользователь:

1. Подтверждает, что все указанные им данные принадлежат лично ему.

2. Подтверждает и признает, что им внимательно в полном объеме прочитано Соглашение и условия
обработки его персональных данных, указываемых им в полях он-лайн заявки (регистрации), текст
соглашения и условия обработки персональных данных ему понятны.

3. Даёт согласие на обработку Сайтом предоставляемых в составе информации персональных данных
как без, так и с использованием средств автоматизации, в целях заключения между ним и Сайтом
настоящего Соглашения, а также его последующего исполнения; выражает согласие с условиями
обработки персональных данных без оговорок и ограничений.

Согласие дается в том числе на возможную трансграничную передачу персональных данных и
информационные (рекламные) оповещения.

Пользователь дает свое согласие на обработку его персональных данных, а именно совершение
действий, предусмотренных п. 3 ч. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О
персональных данных», и подтверждает, что, давая такое согласие, он действует свободно, своей
волей и в своем интересе.

Согласие Пользователя на обработку персональных данных является конкретным, информированным и
сознательным.

Настоящее согласие Пользователя признается исполненным в простой письменной форме, на обработку
следующих персональных данных: номер телефона, адрес электронной почты (E-mail), почтовый адрес,
Ф.И.О., адрес места жительства.

Пользователь, предоставляет https://aledo-pro.ru право осуществлять следующие действия
(операции) с персональными данными: сбор и накопление; хранение в течение установленных
нормативными документами сроков хранения отчетности, но не менее трех лет, с момента даты
прекращения пользования услуг Пользователем, уточнение (обновление, изменение), использование,
уничтожение, обезличивание, передача по требованию суда, в т.ч., третьим лицам, с соблюдением
мер, обеспечивающих защиту персональных данных от несанкционированного доступа.

Указанное согласие действует бессрочно с момента предоставления данных и может быть отозвано
Вами путем подачи заявления администрации сайта с указанием данных, определенных ст. 14 Закона
«О персональных данных».

Отзыв согласия на обработку персональных данных может быть осуществлен путём направления
Пользователем соответствующего распоряжения в простой письменной форме на адрес электронной
почты (E-mail) [email protected]

В случае отзыва субъектом персональных данных или его представителем Согласия на обработку
персональных данных, aledo вправе продолжить обработку без разрешения субъекта персональных
данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и
части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 26.06.2006 г.

Сайт не несёт ответственности за использование (как правомерное, так и неправомерное) третьими
лицами Информации, размещенной Пользователем на Сайте, включая её воспроизведение и
распространение, осуществленные всеми возможными способами.

Сайт имеет право вносить изменения в настоящее Соглашение. При внесении изменений в актуальной
редакции указывается дата последнего обновления. Новая редакция Соглашения вступает в силу с
момента ее размещения, если иное не предусмотрено новой редакцией Соглашения.

К настоящему Соглашению и отношениям между пользователем и Сайтом, возникающим в связи с
применением Соглашения подлежит применению право Российской Федерации.

Принципы обработки персональных данных

ООО «Аледо» принимает и обеспечивает выполнение следующих принципов обработки персональных
данных:

• Обработка персональных данных ограничивается достижением конкретных, заранее определенных и
  законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора
  персональных данных.




• Не допускается объединение баз данных, содержащих персональные данные, обработка которых
  осуществляется в целях, несовместимых между собой.




• Обработке подлежат только персональные данные, которые отвечают целям их обработки.




• Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям
  обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к
  заявленным целям их обработки.




• При обработке персональных данных обеспечиваются точность персональных данных, их
  достаточность, а в необходимых случаях и актуальность по отношению к целям обработки
  персональных данных. В ООО «Аледо» принимаются необходимые меры по удалению или уточнению
  неполных или неточных данных.




• Хранение персональных данных осуществляется в форме, позволяющей определить субъекта
  персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если
  срок хранения персональных данных не установлен федеральным законом, договором, стороной
  которого, выгодоприобретателем или поручителем по которому является субъект персональных
  данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по
  достижении целей обработки или в случае утраты необходимости в достижении этих целей, если
  иное не предусмотрено федеральным законом.




• ООО «Аледо», получившее доступ к персональным данным, обязано не раскрывать третьим лицам и
  не распространять персональные данные без согласия субъекта персональных данных, если иное
  не предусмотрено федеральным законом.

Основания для обработки персональных данных

Обработка персональных данных в ООО «Аледо» производится в следующих случаях:

• обработка персональных данных осуществляется с согласия субъекта персональных данных на
  обработку его персональных данных;




• обработка персональных данных необходима для достижения целей, предусмотренных международным
  договором Российской Федерации или законом, для осуществления и выполнения, возложенных
  законодательством Российской Федерации на ООО «Аледо» функций, полномочий и обязанностей;




• обработка персональных данных необходима для исполнения договора, стороной которого либо
  выгодоприобретателем или поручителем по которому является субъект персональных данных, а
  также для заключения договора по инициативе субъекта персональных данных или договора, по
  которому субъект персональных данных будет являться выгодоприобретателем или поручителем;




• обработка персональных данных необходима для осуществления прав и законных интересов ООО
  «Аледо» или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта
  персональных данных;




• обработка персональных данных осуществляется в статистических или иных исследовательских
  целях, за исключением целей, требующих обязательного обезличивания персональных данных в
  соответствии с законодательством Российской Федерации.

Общее описание обработки персональных данных

При обработке персональных данных ООО «Аледо» совершает следующие действия (операции) или
совокупность действий (операций), с использованием средств автоматизации или без использования
таких средств с персональными данными: сбор, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, передачу (распространение,
предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Обработка
специальных категорий персональных данных, касающихся расовой, национальной принадлежности,
политических взглядов, религиозных или философских убеждений, интимной жизни, не осуществляется.
Данные о состоянии здоровья работников обрабатываются в ООО «Аледо» в соответствии с трудовым
законодательством Российской Федерации.

Сроки хранения и требования к уничтожению персональных данных

Сроки хранения персональных данных в ООО «Аледо» определены законодательством Российской
Федерации и зависят от состава обрабатываемых данных. Перечень сроков хранения зафиксирован в
документе «Перечень персональных данных», принятом в ООО «Аледо». Персональные данные,
обрабатываемые в ООО «Аледо», подлежат уничтожению в следующих случаях:

• при достижении целей обработки или в случае утраты необходимости в их достижении;




• при получении соответствующего запроса от субъекта персональных данных, если это не
  противоречит требованиям к сроку хранения персональных данных либо документв, содержащих
  персональные данные, установленному федеральным законом или договором, стороной которого,
  выгодоприобретателем или поручителем по которому является субъект персональных данных;




• при получении соответствующего предписания от уполномоченного органа по защите прав
  субъектов персональных данных;




• по истечении определенных сроков хранения персональных данных.

Каковы требования к согласию GDPR?

Один из простых способов избежать крупных штрафов GDPR — всегда получать разрешение от пользователей перед использованием их личных данных. В этой статье объясняются требования к согласию GDPR, которые помогут вам соответствовать.

Вопреки распространенному мнению, GDPR (Общий регламент по защите данных) ЕС не требует, чтобы компании получали согласие людей перед использованием их личной информации в деловых целях. Скорее, согласие — это лишь одна из шести правовых основ, изложенных в статье 6 GDPR.Компании должны определить правовую основу для обработки своих данных.

Согласие является одним из самых простых для удовлетворения, поскольку оно позволяет вам делать с данными практически все, что угодно — при условии, что вы четко объясните, что собираетесь делать, и получите явное разрешение от субъекта данных. Однако, как недавно узнала компания Google, оштрафовав ее на 50 миллионов евро, нельзя срезать углы. Французские органы по защите данных заявили, что версия компании о получении согласия не является «осознанной», «однозначной» и «конкретной».”

В этой статье основное внимание уделяется тому, как удовлетворить требования GDPR для получения согласия в качестве правовой основы.

Чтобы получить более подробную информацию о GDPR, прочтите нашу статью «Что такое GDPR?» Он дает концептуальный обзор закона. Мы также опубликовали полный текст GDPR.

GDPR требует правовой основы для обработки данных

«Чтобы обработка была законной, личные данные должны обрабатываться на основе согласия соответствующего субъекта данных или на каком-либо другом законном основании», — поясняет GDPR в Recital 40.Другими словами, согласие — это лишь одна из юридических оснований, которую вы можете использовать для оправдания сбора, обработки и / или хранения личных данных людей. В статье 6 говорится о пяти других оправданиях.

Как мы объясняем в нашем обзоре GDPR, это и другие правовые основания:

1. Обработка необходима для выполнения контракта, стороной которого является субъект данных.
2. Вам необходимо обработать данные в соответствии с юридическим обязательством.
3. Вам нужно обработать данные, чтобы спасти чью-то жизнь.
4. Обработка необходима для выполнения задачи в общественных интересах или для выполнения некоторых официальных функций.
5. У вас есть законный интерес в обработке чьих-либо личных данных. Это наиболее гибкая законная основа, хотя «основные права и свободы субъекта данных» всегда имеют приоритет над вашими интересами, особенно если это данные ребенка.

Вам нужно выбрать только одно правовое основание для обработки данных, но как только вы выберете его, вы должны его придерживаться.Вы не можете изменить свое правовое основание позже, хотя вы можете указать несколько оснований. Перед обработкой персональных данных вам следует провести оценку воздействия на защиту данных GDPR.

Определение согласия GDPR

Если вы обрабатываете чьи-либо данные на основании их согласия, GDPR четко объясняет обязательства, которые вы должны выполнить. Статья 4 (11) определяет согласие:

Согласие субъекта данных означает любое свободно данное, конкретное, информированное и недвусмысленное указание желаний субъекта данных, посредством которого он или она посредством заявления или четкого позитивного действия означает согласие на обработку относящихся к нему персональных данных.

GDPR дополнительно разъясняет условия согласия в статье 7:

1. Если обработка основана на согласии, контролер должен иметь возможность продемонстрировать, что субъект данных дал согласие на обработку его или ее личных данных. .

2. Если согласие субъекта данных дается в контексте письменного заявления, которое также касается других вопросов, просьба о согласии должна быть представлена ​​способом, который четко отличается от других вопросов, в понятной и легко доступной форме. , используя ясный и понятный язык.Любая часть такого заявления, которая представляет собой нарушение настоящего Регламента, не является обязательной.

3. Субъект данных имеет право отозвать свое согласие в любое время. Отзыв согласия не влияет на законность обработки на основании согласия до его отзыва. Перед тем, как дать согласие, субъект данных должен быть проинформирован об этом. Отзыв должен быть таким же легким, как и дать согласие.

4. При оценке того, дано ли согласие свободно, в максимальной степени учитывается, зависит ли, среди прочего, выполнение контракта, включая предоставление услуги, согласием на обработку персональных данных, в которой нет необходимости. для выполнения этого контракта.

Теперь, когда у вас есть определение, давайте рассмотрим некоторые из этих понятий.

Согласие должно быть дано свободно.

Согласие «добровольно дано» по существу означает, что вы не заставили субъекта данных дать согласие на использование его данных. Во-первых, это означает, что вы не можете требовать согласия на обработку данных в качестве условия использования службы. Им нужно иметь возможность сказать «нет». Согласно Счету 42, «согласие не следует рассматривать как предоставленное свободно, если субъект данных не имеет подлинного или свободного выбора или не может отказать или отозвать согласие без ущерба.”

Единственное исключение — если вам нужны какие-то данные от кого-то, чтобы предоставить им вашу услугу. Например, вам может потребоваться информация об их кредитной карте для обработки транзакции или почтовый адрес для отправки продукта.

Подробное описание 43 обсуждает добровольно данное согласие. В нем объясняется, что вы должны получать отдельное согласие на каждую операцию обработки данных. Поэтому, если вам нужен их адрес электронной почты для маркетинговых целей и их IP-адрес для целей аналитики веб-сайта, вы должны предоставить пользователю возможность подтвердить или отклонить каждое использование.

Согласие должно быть конкретным.

«Запрос на согласие должен быть представлен в форме, которая четко отличается от других вопросов». Должно быть ясно, какие действия по обработке данных вы собираетесь выполнять, давая субъекту возможность дать согласие на каждое действие.

В примере с адресом электронной почты и IP-адресом вы не можете объяснить их использование в рамках одного длинного абзаца с подробным описанием деятельности вашей маркетинговой группы с единственным флажком согласия в конце.Вместо этого вы должны объяснять каждый вариант использования данных отдельно, давая субъектам данных возможность давать согласие на каждое действие индивидуально.

Если у вас есть несколько причин для выполнения действий по обработке данных, вы должны получить согласие для всех этих целей. Поэтому, если вы храните номера телефонов как для маркетинговых целей, так и для целей проверки личности, вы должны получать согласие для каждой цели.

Согласие должно быть проинформировано

Информированное согласие означает, что субъект данных знает вашу личность, какие действия по обработке данных вы собираетесь проводить, цель обработки данных и что он может отозвать свое согласие в любое время.

Это также означает, что запрос на согласие и объяснение действий по обработке данных и их цели описаны простым языком («в понятной и легко доступной форме, используя ясный и простой язык»). Это не означает никакого технического жаргона или юридического языка. Любой, кто обращается к вашим услугам, должен понимать, на что вы просите его согласиться.

Случай с Google предлагает поучительный пример из реальной жизни. Французские власти заявили, что компания не выполнила требования информированного согласия:

Информация об операциях обработки для персонализации рекламы представлена ​​в нескольких документах и ​​не позволяет пользователю узнать об их объеме.Например, в разделе «Персонализация рекламы» невозможно узнать о множестве служб, веб-сайтов и приложений, участвующих в этих операциях обработки… и, следовательно, об объеме обработанных и объединенных данных.

Управление британского комиссара по информации предоставляет дополнительный контекст: «Если запрос о согласии является расплывчатым, обширным или трудным для понимания, то он будет недействительным. В частности, формулировка, которая может ввести в заблуждение — например, использование двойного отрицания или противоречивой формулировки — сделает согласие недействительным.”

Согласие должно быть недвусмысленным

То есть не должно быть никаких сомнений в том, дал ли субъект данных согласие. Согласно GDPR Recital 32.

Однозначное согласие, «молчание, предварительно отмеченные поля или бездействие не должны означать согласие», «может включать в себя установку флажка при посещении веб-сайта, выбор технических настроек для услуг информационного общества или другое заявление или поведение, которое четко указывает в этом контексте на согласие субъекта данных с предлагаемой обработкой его или ее личных данных.”

Согласие можно отозвать

GDPR не указывает срок хранения согласия. Теоретически согласие человека бессрочно, хотя могут быть ситуации, в которых становится ясно, что согласие больше не является действительным или разумным или нарушает какой-либо принцип обработки данных.

Однако субъект данных имеет право отозвать согласие в любое время. Более того, вы должны упростить им это. В общем, для них должно быть так же легко отозвать согласие, как и для вас, чтобы получить согласие.

Требования GDPR относительно легко понять, но, возможно, сложнее реализовать. Вы можете столкнуться с техническими препятствиями или проблемами, связанными с согласованием потребностей вашего бизнеса с требованиями соответствия GDPR. Может помочь заполнение вашей оценки воздействия на защиту данных. Так что можно поговорить с юристом GDPR.
GDPR — это непрерывный процесс. Обратитесь к нашему контрольному списку GDPR, чтобы убедиться, что ваша организация честно.

Примеры согласия GDPR — Политика конфиденциальности

В последнее время началась активная деятельность по получению согласия.Веб-сайты представляли «баннеры cookie». Компании рассылают электронные письма с вопросом, хотят ли пользователи по-прежнему подписываться на списки рассылки. Этот список можно продолжить.

Это все из-за Общего регламента ЕС по защите данных (GDPR) , закона о конфиденциальности, который устанавливает более высокий стандарт согласия, чем привыкли многие компании. Согласно GDPR, согласие на самом деле означает согласие . Некоторые методы, которые ранее использовались для получения согласия, больше не действуют.

Давайте посмотрим, как ваша компания может убедиться, что она получает согласие правильным и правильным образом.

Что такое GDPR?

GDPR — почти наверняка самый строгий закон о конфиденциальности в мире. Но в строгих законах ЕС о конфиденциальности и защите данных нет ничего нового. Директива о защите данных , более старый закон о конфиденциальности, который заменяет GDPR, и Директива ePrivacy , иногда известная как «закон о файлах cookie», уже обеспечивали жителей ЕС высоким уровнем защиты конфиденциальности.

GDPR оказал особенно значительное влияние, отчасти потому, что он также применяется к компаниям за пределами ЕС .

Кому нужно соблюдать GDPR?

GDPR применяется к вашей компании вне зависимости от того, находитесь вы в ЕС или нет, если вы:

• Предложение товаров и услуг жителям ЕС. Это независимо от того, преследуете ли вы прибыль.
• Мониторинг поведения людей в ЕС. Это может включать « профилирование » людей — попытку предсказать, как они могут действовать, основываясь на наблюдениях за их прошлым поведением. На самом деле это очень распространено, так как это то, что делают многие рекламные файлы cookie.

Что покрывает GDPR?

Всякий раз, когда ваша компания обрабатывает персональные данные , она должна соответствовать GDPR. Обработка персональных данных — это то, чем компании занимаются каждый день.

« Персональные данные » — это информация, которая может использоваться для идентификации человека. Если вам интересно, может ли что-то квалифицироваться как личные данные, вы можете поспорить, что это, вероятно, так.

Например,

динамических IP-адресов были признаны высшим судом ЕС персональными данными.Это связано с тем, что динамический IP-адрес теоретически может быть объединен с другой информацией для идентификации человека. Некоторые файлы cookie также подходят.

« Обработка » персональных данных означает что-то с ними делать. Опять же, если вам интересно, можно ли что-то квалифицировать как обработку, скорее всего, это так.

Помимо очевидных вещей, таких как получение платежных реквизитов или составление списка рассылки, такие действия, как сохранение чьего-либо IP-адреса в файлах журнала вашего веб-сервера, также могут представлять собой «обработку личных данных».«

Чем отличается согласие согласно GDPR

В большинстве законов о конфиденциальности существует два типа согласия: подразумеваемое и явное .

Они могут иметь разные названия. Например, в законах Австралии о коммерческой электронной почте Закона о спаме 2003 г. подразумеваемое согласие называется «согласие на основании предполагаемого ». А в США закон о конфиденциальности CAN-SPAM называет явное согласие « утвердительным согласием ».

В то время как большинство законов о конфиденциальности признают оба типа согласия, подразумеваемого согласия не существует в GDPR .Гораздо сложнее продемонстрировать, что у вас есть согласие клиента в соответствии с GDPR, чем в соответствии с другими законами о конфиденциальности.

Подразумеваемое согласие

По сути, «подразумеваемое согласие» означает, что у вас есть основания полагать, что лицо даст вам свое согласие , если вы его попросите.

Подразумеваемое согласие может существовать в отношениях между клиентом и компанией. Если кто-то регулярно покупает продукты у компании, у этой компании есть основания полагать, что они согласились получать от нее маркетинговые электронные письма.Компании почти всегда придется предлагать клиенту « opt-out » от такого общения через средство отказа от подписки.

Например, в Законе Канады о борьбе со спамом (CASL), канадском законе о конфиденциальности, подразумеваемое согласие автоматически существует при определенных условиях. Правительство Канады объясняет это на своем веб-сайте:

Экспресс-согласие

Экспресс-согласие — это то, что означает «согласие» в соответствии с GDPR. Вы спрашиваете о чьем-то согласии, они понимают вопрос и последствия, и они делают подлинный выбор .

Закон Новой Зеландии о незапрашиваемых электронных сообщениях 2007 года, закон о спаме признает как явное, так и подразумеваемое согласие. Вот как Департамент внутренних дел Новой Зеландии характеризует явное согласие на отправку коммерческих писем:

Пять элементов согласия в соответствии с GDPR

Статья 4 GDPR определяет согласие как « любое , предоставленное бесплатно , конкретное , информированное и недвусмысленное […] четкое позитивное действие », посредством которого лицо дает разрешение чтобы их личные данные обрабатывались определенным образом.

Мы можем разбить это на пять элементов:

1. Выдается бесплатно — на человека нельзя принуждать давать согласие или причинять ему какой-либо ущерб в случае отказа.
2. Конкретный — необходимо попросить человека дать согласие на отдельные типы обработки данных.
3. Информировано — человеку нужно сказать, на что он соглашается.
4. Однозначно — язык должен быть ясным и простым.
5. Четкое позитивное действие — человек должен прямо дать согласие, делая или говоря что-то.

Если вам не хватает одного из этих пяти элементов, у вас нет согласия в соответствии с GDPR.

Когда требуется согласие?

Один из распространенных мифов о GDPR заключается в том, что он требует согласия для всех типов обработки данных. Это неправда.

GDPR является лишь одним из шести законных оснований для обработки персональных данных, предусмотренных GDPR. Они резюмированы Управлением комиссара по информации (Управление по защите данных Великобритании):

Вообще говоря, вы не должны просить согласия, если:

• Вы выполняете основную услугу (вместо этого используйте контракт).
• Вы требуется для обработки персональных данных в соответствии с законом (юридическое обязательство).
• Вы обрабатываете персональные данные в интересах своей компании или других лиц, , таким образом, что ваши пользователи разумно ожидали бы , с минимальным риском и воздействием на отдельных лиц (законные интересы).

Вы, , должны запросить согласие, если вы предлагаете реальный выбор несущественной услуги. Типичные примеры включают:

• Использование отслеживания / рекламы cookie
• Отправка маркетинговых электронных писем или информационных бюллетеней
• Предоставление персональных данных другим компаниям в коммерческих целях

Как получить согласие в соответствии с GDPR

Вы должны реализовать пять элементов согласия каждый раз, когда вы запрашиваете согласие у своих пользователей.

Согласие на использование файлов cookie

Многие из баннеров cookie выросли с момента внедрения GDPR. Многие из них были бы приемлемы в системе, допускающей «подразумеваемое» согласие, но помните — GDPR признает только явное согласие .

Также есть баннеры cookie, которые почти просят согласия, но все же не дают результата, как в этом примере из Southbank Center:

В этом примере даже не запрашивается согласие, а файлы cookie размещаются по умолчанию.Пользователи будут перенаправлены к дополнительной информации, которая информирует их, как отказаться от файлов cookie.

Но помните о пяти элементах. При таком подходе согласие не предоставляется свободно, . Также это не однозначно , и не сделано с помощью четкого утвердительного акта .

Вот пример гораздо лучшего уведомления о файлах cookie от Европейского центрального банка:

Все пять элементов здесь. Согласие:

1. Бесплатно предоставляется — нет акцента ни на «принять», ни на «не принимать».«
2. Информировано — пользователю сообщается причина обработки и предлагается узнать больше.
3. Однозначно — язык ясный и понятный.
4. Конкретный — пользователю предлагается дать согласие только на один тип обработки данных.
5. Получено посредством четкого утвердительного действия — пользователь должен нажать «Я понимаю и принимаю».

Обратите внимание, что дополнительный флажок «Я согласен» не требуется.Одного клика достаточно для одного запроса согласия.

Это довольно простой случай — веб-сайт Европейского центрального банка использует только самые простые файлы cookie. Вот пример от Experian того, как вы можете запросить конкретное согласие для различных типов файлов cookie:

Согласие на создание соответствующего файла cookie

Вы должны сообщить своим пользователям об использовании файлов cookie в своей Политике конфиденциальности (или Политике использования файлов cookie). Вот как Makermet объясняет различные типы файлов cookie, которые он использует:

Помните, что согласие зависит не только от того, что вы говорите, но и от того, что вы делаете.Не устанавливайте рекламные файлы cookie, если ваши пользователи не дали на них согласия.

Согласие на отправку маркетинговых материалов

GDPR должен сигнализировать об окончании предварительно отмеченного поля — тактики, используемой в течение многих лет компаниями, надеющимися обмануть подписчиков, чтобы они случайно присоединились к их спискам рассылки.

Может показаться, что есть довольно незначительное различие между просьбой кого-то поставить галочку и просить кого-то снять галочку. Однако « не снял отметку с поля » не соответствует ни одному из пяти элементов согласия в соответствии с GDPR.Следовательно, это не может использоваться для демонстрации того, что у вас есть согласие человека.

Вы можете легко реализовать пять элементов согласия GDPR, когда просите людей подписаться на ваш список рассылки. Вот пример от Dynastar:

Как это соотносится с пятью элементами?

1. Предоставляется бесплатно — у пользователя есть очевидный выбор, предоставлять ли свой адрес электронной почты.
2. Информировано — пользователю сообщается причина обработки, однако слово «маркетинг» напечатано мелким шрифтом.Пользователю предлагается ознакомиться с Политикой конфиденциальности Dynastar.
3. Однозначно — язык ясный и понятный.
4. Конкретный — было бы яснее, что информационный бюллетень — это форма маркетинга, но это второстепенный момент.
5. Получено за счет четкого позитивного действия — ввод адреса электронной почты и нажатие кнопки «подписаться на рассылку новостей» является явным позитивным действием.

Это довольно хороший пример механизма подписки на список рассылки.

Вот еще один пример от Cooper Vision. Во-первых, пользователю сообщается, на что он подписывается:

.

Затем пользователю предлагается выбрать способ получения информации:

Запрос согласия

Cooper Vision легко соответствует требованиям GDPR.

Часто согласие на отправку маркетинговых материалов достигается, когда пользователь подписывается на какую-либо другую услугу или взаимодействует с вашей компанией каким-либо иным образом. Вот пример из Protect Your Gadget.На этом этапе пользователь собирается подписаться, чтобы получить расценку на страхование:

Пока ясно, что это отдельный вариант , а ответ по умолчанию — «нет», тогда здесь нет проблем. Проблема возникает, если пользователь подписывается на маркетинговые материалы, не осознавая, что они это сделали или активно делают.

В этой связи хорошей практикой также является внедрение « double opt-in », при котором пользователей просят подтвердить свою подписку по электронной почте с подтверждением.Вот пример от Textbroker:

Согласие на сторонний маркетинг

Есть два способа привлечь пользователей к маркетингу других компаний. Вы можете послать им сторонние маркетинговые материалы напрямую , или вы можете поделиться их контактными данными с другими компаниями.

Ни один из этих случаев не запрещен GPDR. Но, как и во всех аспектах обработки данных, вы должны быть ясными и прозрачными . Для этих целей почти всегда нужно запрашивать согласие.

Вы не должны связывать свой запрос согласия на обмен личными данными с другими запросами на согласие. Взгляните на этот запрос согласия от Escapio:

Пользователям сообщают, что они подписываются на «наши советы и предложения [Escapio]». Но прокрутка страницы вниз показывает больше:

Пользователь будет получать стороннюю маркетинговую информацию, рекомендации отелей, конкурсы — больше, чем просто «советы и предложения» от Escapio. Согласие на все это объединено в один запрос.Похоже, что это не соответствует требованию о том, что согласие должно быть « конкретным ».

Вот пример отдельного запроса согласия от Steam Railway:

Это три разные цели, для которых будет использоваться адрес электронной почты пользователей. Следовательно, уместно запрашивать согласие в тремя разными способами с тремя разными флажками.

Примечание. Никогда не устанавливайте заранее флажки, которые вы используете при запросе какого-либо согласия.

Вот еще один пример разделенных запросов согласия от Alfa Romeo:

Это отличный пример согласия, которое дается свободно, информировано, конкретное, недвусмысленное и дается посредством четкого позитивного действия .

Шестой элемент согласия — легко отозвать

Существует шестое требование GDPR — согласие должно быть , легко отозвать .

Конечно, вы должны включить в свои маркетинговые электронные письма функцию отказа от подписки .Вот как это делает Гермес:

Другие способы отзыва согласия должны быть четко объяснены в вашей Политике конфиденциальности. Вот как это делает Bauer Publishing:

Файлы cookie часто можно управлять с помощью «диспетчера файлов cookie». Вот пример от Onedox:

Обратите внимание, что многие из этих настроек по умолчанию должны быть отключены.

Согласие на мобильное приложение

Принципы получения согласия в мобильных приложениях такие же, как и в любых других средах.

Вот пример запроса согласия из мобильного приложения Swiftkey:

Swiftkey претендует на получение согласия при установке приложения пользователем. Установка приложения, возможно, не является однозначным или четким утвердительным действием , которое обязательно показывает согласие.

Это не обязательно проблема, если приложение не работает таким образом, что может потребоваться Swiftkey для запроса согласия. Но беглый взгляд на Заявление о конфиденциальности Swiftkey (управляемое Microsoft) показывает, что в идеале следует запрашивать согласие на конкретное :

В мобильных приложениях часто встречается такая информация, как сбор данных о местоположении для несущественных услуг.Вы должны дать своим пользователям некоторый контроль над этим. Вот отличный пример информированного согласия от Google:

Резюме

— Получение согласия в соответствии с GDPR

Чтобы согласие было значимым согласно GDPR, оно должно быть:

• Предоставляется бесплатно — не пытайтесь «обманом» заставить вас дать согласие. Не отменяйте любые другие услуги, если они не соглашаются.
• Конкретный — если вы хотите обрабатывать согласие человека для нескольких целей, вы должны попросить его дать согласие на каждый тип обработки.
• Информированный — предоставьте четкую информацию о том, на что пользователя просят дать согласие, и что делать, если он передумает.
• Однозначно — используйте ясный и простой язык и сделайте простой выбор.
• Выдается посредством четкого утвердительного действия . — никогда не предполагайте, что у вас есть чье-то согласие, пока он не согласится на что-то активно.

И, наконец, как только у вас есть согласие человека, вы должны упростить ему его отзыв.

Обработка персональных данных — Стокгольмский международный институт водных ресурсов

1. Обработка персональных данных

1.1 Введение

Стокгольмский международный институт водных ресурсов («SIWI», «мы», «нас», «наш») отвечает за обработку персональных данных посетителей веб-сайта www.siwi.org и лиц, которые связываются с нами или пользуются нашими услугами. . Ниже объясняется, как мы обрабатываем ваши личные данные.

1.2 Что такое личные данные?

«Персональные данные» означает любую информацию, которая может быть использована, прямо или косвенно, для идентификации личности.Примеры личных данных включают, помимо прочего, имя, возраст, пол, контактную информацию, адрес, IP-адрес и платежную информацию.

Наша обработка персональных данных регулируется Общим регламентом о защите данных (ЕС) 2016/679 («GDPR») и шведским законом о защите данных (вместе «Закон о защите данных»). Более подробную информацию о законе о защите данных можно найти на веб-сайте Управления по защите данных Швеции:

http://www.datainspektionen.se

1.3 Кто контролер?

Stiftelsen Стокгольмский международный институт водных ресурсов (SIWI), номер организации 802425-8702, является контролером. Контроллер принимает решение о способах и целях обработки персональных данных.

Адрес для посещений:

Стокгольмский международный институт водных ресурсов
Linnégatan 87A
115 23 Стокгольм
Швеция

2. Как обрабатываются личные данные?

В этом разделе описывается, как мы обрабатываем ваши личные данные и цели обработки.Мы обрабатываем ваши персональные данные в следующих случаях:

2.1 Вы общаетесь с нами

ситуаций, мы будем обрабатывать личные данные, которые вы отправляете нам при общении с нами.

Обработанные персональные данные: Когда вы общаетесь с нами, мы обрабатываем персональные данные, которые вы сами нам предоставляете, включая, помимо прочего, имя и контактную информацию. Мы также можем обрабатывать ваши личные данные, связанные с вопросом, по которому вы связались с нами, и любыми другими комментариями или вопросами, которые могут у вас возникнуть.

Цели обработки персональных данных: Мы обрабатываем ваши персональные данные, чтобы ответить на ваши вопросы и решить вопрос, по которому вы связались с нами, предоставить вам информацию или материалы, которые вы запросили, и улучшить наши предложения, услуги и информация, которую мы предоставляем на наших веб-сайтах.

Правовая основа для обработки : Мы обрабатываем ваши персональные данные на том основании, что это необходимо для целей законного интереса. Мы также можем обрабатывать персональные данные на том основании, что это необходимо для выполнения контракта или для принятия мер до его заключения.

2.2 Вы подписываетесь на информационный бюллетень SIWI или получаете предложения

SIWI предоставляет ряд информационных бюллетеней через списки рассылки. Если вы подпишетесь на рассылку новостей, вы будете включены в соответствующий список рассылки и будете получать регулярные обновления новостей. Вы также можете подписаться на получение предложений от SIWI, например, об участии в предстоящих мероприятиях.

Обработано личных данных: Когда вы подпишетесь на информационный бюллетень, мы обработаем ваше имя и адрес электронной почты.

Цели обработки персональных данных: Мы обрабатываем ваши персональные данные, чтобы предоставлять вам информационные бюллетени и предложения, на которые вы подписались.

Правовая основа для обработки : Мы обрабатываем ваши персональные данные на основании вашего согласия. Вы можете отозвать свое согласие в любое время, это не повлияет на законность предыдущей обработки. Важно отметить, что мы не сможем предоставлять вам наши информационные бюллетени или предложения, если вы откажетесь от согласия.Мы просим вас связаться с нами, используя контактную информацию в Разделе 10, если вы хотите отозвать свое согласие на обработку ваших личных данных.

2.3 Вы регистрируетесь для участия в мероприятии, организованном SIWI

SIWI организует множество различных мероприятий, включая семинары и семинары, но не ограничиваясь ими. Мы можем потребовать от вас зарегистрироваться, чтобы участвовать в таких мероприятиях.

Обработанные персональные данные: Мы обрабатываем информацию, которую вы предоставляете нам при регистрации для участия в мероприятии, включая, помимо прочего, ваше имя, должность, контактную информацию, место работы, адрес и платежные реквизиты.

Мы также можем обрабатывать личные данные, такие как фотографии, видео и аудиозаписи мероприятий, организованных SIWI.

Цели обработки персональных данных: Мы обрабатываем ваши персональные данные, чтобы управлять вашим участием в мероприятии, на которое вы зарегистрированы.

Мы также обрабатываем личные данные, такие как имена, названия и фотографии, видео- и аудиозаписи, чтобы создавать и публиковать рекламные материалы и информацию о наших мероприятиях на веб-сайтах SIWI.

Правовая основа для обработки : Мы обрабатываем информацию, необходимую для администрирования вашего участия в мероприятии на основе вашего согласия. Вы можете отозвать свое согласие в любое время, это не повлияет на законность предыдущей обработки. Важно отметить, что вы не сможете принять участие в мероприятии, если вы откажетесь от согласия на обработку персональных данных. Мы просим вас связаться с нами, используя контактную информацию в Разделе 10, если вы хотите отозвать свое согласие на обработку ваших личных данных.

Мы обрабатываем личные данные, такие как имена, заголовки и фотографии, видео- и аудиозаписи, для использования в рекламных материалах и на нашем веб-сайте, исходя из того, что это необходимо для целей законного интереса.

2.4 Наши публикации и веб-сайты

Мы генерируем, делимся и продвигаем знания по вопросам, связанным с водой, через нашу программу публикаций. Сюда входят несколько серий публикаций, рассчитанных на разные цели и аудиторию. Эти публикации включают личные данные лиц, участвовавших в статьях, интервью, авторских комментариях и фотографиях.

Мы также публикуем информацию о нашей организации, деятельности, публикациях и мероприятиях на наших веб-сайтах. Это включает в себя услуги, в которых можно зарегистрироваться, чтобы быть внесенными в список на наших веб-сайтах, например, в качестве консультанта, выпускника, наставника или в списках выступающих.

Обрабатываемые персональные данные: Мы обрабатываем имя, должность, контактную информацию, адрес, биографические данные, пол и национальность, а также фотографии лиц, участвующих в наших публикациях или зарегистрированных на нашем веб-сайте.

Цели обработки персональных данных: Мы обрабатываем ваши персональные данные, чтобы производить и публиковать наши публикации и предоставлять списки различных категорий лиц, представляющих интерес, на наших веб-сайтах.

Правовая основа для обработки : Мы обрабатываем персональные данные, используемые в наших публикациях, на том основании, что это необходимо для целей законного интереса.

Когда вы регистрируетесь для включения в список на одном из наших веб-сайтов, мы обрабатываем ваши персональные данные на основании вашего согласия.Вы можете отозвать свое согласие в любое время, это не повлияет на законность предыдущей обработки. Важно отметить, что мы не сможем разместить вас на наших веб-сайтах, если вы откажетесь от согласия. Мы просим вас связаться с нами, используя контактную информацию в Разделе 10, если вы хотите отозвать свое согласие на обработку ваших личных данных.

2.5 Закупки

Мы рекламируем процедуры закупок на наших веб-сайтах и ​​в других средствах массовой информации. Мы также можем напрямую взаимодействовать с потенциальными поставщиками.Наши процедуры закупок включают обработку персональных данных представителей, контактных лиц и других соответствующих сотрудников потенциальных поставщиков.

Обрабатываемые персональные данные: Мы обрабатываем имя, должность и контактную информацию контактных лиц и представителей потенциальных поставщиков. Мы также будем обрабатывать персональные данные, предоставленные потенциальными поставщиками в рамках тендеров, выражений заинтересованности или запросов на участие. Такие личные данные включают, помимо прочего, имена, должности, контактную информацию, образование и историю работы, другую биографическую информацию и ссылки.

Цели обработки персональных данных: Мы обрабатываем персональные данные для проведения процедур закупок, то есть для выявления, приглашения и выбора подходящих и квалифицированных поставщиков, для оценки тендеров и заключения контракта с поставщиком, который представляет наиболее экономически выгодные нежный.

Правовая основа для обработки : Мы обрабатываем ваши персональные данные на том основании, что это необходимо для целей законного интереса. Мы также можем обрабатывать персональные данные на том основании, что это необходимо для выполнения контракта или для принятия мер до его заключения.

2,6 Набор персонала

Мы рекламируем доступные вакансии на наших сайтах и ​​в других средствах массовой информации. Мы обрабатываем персональные данные, которые вы отправляете в своем заявлении о приеме на работу, любые сообщения, касающиеся процесса найма, и информацию, касающуюся собеседований. Мы также обрабатываем персональные данные, касающиеся любых ссылок, которые вы предоставляете

Обработанные персональные данные: Мы обрабатываем информацию, которую вы предоставляете в своем заявлении о приеме на работу и в сообщениях относительно процесса найма, включая, помимо прочего, имя, возраст, личную контактную информацию, адрес, образование и данные о занятости, другую биографическую информацию и ссылки .

Цели обработки персональных данных: Мы обрабатываем ваши персональные данные, чтобы управлять процессом приема на работу. И оцените свое заявление о приеме на работу.

Правовая основа для обработки : Мы обрабатываем личные данные на том основании, что это необходимо для целей законного интереса. Мы также можем обрабатывать персональные данные на том основании, что это необходимо для выполнения контракта или для принятия мер до его заключения.

2.7 Администрирование призов

SIWI ежегодно присуждает Стокгольмскую водную премию («SWP») и Стокгольмскую молодежную водную премию («SWJP») ежегодно, а также может присуждать другие призы, связанные с водой. Управление призами включает в себя обработку личных данных лиц, участвующих в процессе присуждения призов.

Мы обрабатываем персональные данные тех, кто номинирован или участвует в конкурсах цен, и тех, кто подает заявки на призы. Мы также обрабатываем персональные данные членов комитетов и жюри, ответственных за оценку номинантов и конкурентов, а также за рекомендацию или принятие решения о том, кто должен получить приз, а также лиц, участвующих в церемониях награждения и финалах.

Обработанные персональные данные: Мы обрабатываем имя, контактную информацию о должности, адрес, биографические данные, пол, национальность, фотографии, аудио- и видеозаписи лиц, участвующих в процессах присуждения вознаграждений, по нашим ценам.

Цели обработки персональных данных: Мы обрабатываем ваши персональные данные для администрирования и присуждения наших призов.

Правовая основа для обработки : Мы обрабатываем личные данные на том основании, что это необходимо для целей законного интереса.Мы также можем обрабатывать персональные данные на том основании, что это необходимо для выполнения контракта или для принятия мер до его заключения.

2.8 Когда от нас требуется обрабатывать ваши личные данные

В дополнение к обработке персональных данных, описанной выше, мы также обрабатываем персональные данные, когда это требуется по закону или постановлению, например, когда это необходимо в связи с юридическим обязательством вести бухгалтерский учет или в ответ на приказ суд или другой компетентный государственный орган.

Правовая основа для обработки : Когда мы обязаны обрабатывать персональные данные по закону или постановлению, мы делаем это на том основании, что это необходимо для соблюдения юридического обязательства.

3. Как долго мы храним ваши личные данные?

Мы храним ваши персональные данные до тех пор, пока это необходимо для достижения целей, для которых они обрабатываются, или до тех пор, пока мы обязаны хранить их в соответствии с законом или постановлением.

4.С кем мы делимся личными данными?

Мы никогда не будем продавать ваши личные данные третьим лицам. Мы можем передавать ваши персональные данные нашим поставщикам ИТ-услуг. В соответствии с законом или постановлением от нас также может потребоваться передача ваших личных данных в компетентный государственный орган.

5. Как мы защищаем ваши личные данные?

Мы стремимся к защите личных данных. У нас есть меры по защите целостности и безопасности личных данных в соответствии с требованиями GDPR.Мы обрабатываем личные данные, используя зашифрованные и защищенные паролем системы. Мы внедряем внутренние процедуры для защиты данных.

6. Файлы cookie

Прочтите об использовании файлов cookie на наших веб-сайтах здесь: https://www.siwi.org/use-of-cookies/

7. Внешние ссылки

Веб-сайты

SIWI могут содержать ссылки, ведущие на веб-сайты, которые SIWI не контролирует. SIWI не несет ответственности за обработку персональных данных, которая может происходить на веб-сайтах, находящихся вне контроля SIWI.

8. Ваши права

У вас есть определенные права в отношении нашей обработки ваших личных данных в соответствии с законом о защите данных:

• Информация и доступ к вашим личным данным — вы имеете право получить подтверждение того, обрабатываются ли ваши личные данные нами, и, в таком случае, получить доступ и получить информацию о ваших личных данных.
• Исправление личных данных — у вас есть право на исправление ваших личных данных, если они неточны и устарели.
• Удаление личных данных — в определенных ситуациях вы имеете право на удаление ваших личных данных.
• Возражение против обработки — вы имеете право возражать против обработки, когда ваши личные данные обрабатываются в целях прямого маркетинга.
• Переносимость данных — вы имеете право на передачу ваших личных данных другой организации, если вы предоставили нам эти данные, и мы обрабатываем их на основании вашего согласия.

Если вы хотите воспользоваться любым из этих прав, мы просим вас связаться с нами, используя контактную информацию, указанную в Разделе 10 ниже.

Свяжитесь с нами, если вы считаете, что наша обработка ваших личных данных не соответствует требованиям закона о защите данных. Вы также имеете право подать жалобу в надзорный орган по защите данных. Компетентным надзорным органом в Швеции является Управление по защите данных Швеции.

https: // www.datainspektionen.se/in-english/contact-us/

9. Изменения в этой информации

Информация на этой странице может время от времени изменяться. Мы сообщим вам о любых существенных изменениях, которые мы внесем в эту информацию. В ситуациях, когда ваши персональные данные обрабатываются на основании вашего согласия, мы попросим вас возобновить ваше согласие, если есть какие-либо существенные изменения в обработке персональных данных или ваших прав в отношении обработки.

10.Свяжитесь с нами

Для запросов, запросов или жалоб, касающихся личных данных, конфиденциальности, использования файлов cookie или другой информации, связанной с защитой данных, свяжитесь с нами по адресу [email protected] или напишите по адресу, указанному ниже:

Стокгольмский международный институт водных ресурсов
Box 101 87
100 55 Стокгольм
Швеция

Получение согласия на обработку персональных данных (GDPR)

Согласно Общему регламенту защиты данных (GDPR) в Европейском Союзе, любая обработка персональных данных должна иметь правовое основание, которое может включать согласие.Заключение договора также может быть действительным правовым основанием для обработки персональных данных. Другими словами, при бронировании отеля вы можете полагаться на «выполнение контракта» как на правовую основу для обработки личных данных гостя.

Однако важно отметить, что GDPR ограничивает обработку персональных данных первоначальной целью. Например, если вы также планируете отправлять своим гостям маркетинговые электронные письма, вам необходимо получить их согласие на обработку персональных данных для этой конкретной цели.

(Следующая информация не предназначена для использования в качестве юридической консультации).

Это определение согласия согласно GDPR:

«Любое свободно данное, конкретное, информированное и недвусмысленное указание желаний субъекта данных, посредством которого он или она посредством заявления или четкого позитивного действия означает согласие на обработку личных данных, относящихся к нему или ей».

Бронирования можно получить разными способами — через ваш сайт, электронную почту, телефон и т. Д.Основываясь на приведенном выше определении, можно утверждать, что когда гость связывается с вашей гостиницей, чтобы сделать бронирование, и сообщает свои личные данные для регистрации в этом бронировании, это является «явным положительным действием». Нет необходимости явно запрашивать разрешение на обработку персональных данных с целью бронирования.

Для бронирований, сделанных онлайн через систему бронирования Sirvoy, вы все равно можете четко получить согласие гостя, особенно если вы планируете обрабатывать личные данные для других целей.Вы можете сделать это, установив флажок «Условия и положения». Или вы можете создать «настраиваемое поле» в системе бронирования — флажок с вашим собственным настраиваемым текстом; например, «Я даю согласие на обработку моих персональных данных для целей бронирования».

Согласие на обработку персональных данных

1. Нажимая кнопку «Следующий шаг» , я выражаю свое добровольное, недвусмысленное и осознанное согласие с тем, что мои персональные данные, которые я предоставил Sum and Substance Limited , включены и зарегистрированы в Англии с номером компании 09688671, зарегистрированный офис которой находится по адресу: 30 St.Mary Axe, Лондон, Великобритания, EC3A 8BF, обрабатывается Sum and Substance Limited в целях проведения процедур «Знай своего клиента» (KYC) и противодействия отмыванию денег (AML).
2. Мое имя и другие средства идентификации для целей получения этого согласия должны быть установлены в процессе обработки моих личных данных, осуществляемой в соответствии с этим согласием.
3. Я подтверждаю и согласен с тем, что Sum and Substance Limited будет обрабатывать мои персональные данные от имени, средствами и для целей, определенных организацией, с которой я хочу установить деловые отношения после завершения KYC и AML. процедуры, т.е. контролером данных, если только Sum and Substance Limited не является единственным контролером данных. В любом случае я подтверждаю и соглашаюсь, что мне известны данные и адрес контроллера данных.
4. Я подтверждаю и соглашаюсь с тем, что обработка должна выполняться для целей идентификации и соблюдения требований к клиенту в соответствии с законами, регулирующими предполагаемые деловые отношения .
5. Я подтверждаю и согласен с тем, что Sum and Substance Limited будет обрабатывать мои персональные данные посредством автоматического считывания, проверки подлинности и другой автоматической обработки фотографий и отсканированных копий документов, а также с последующей проверкой данных в нескольких базах данных. , включая, в частности, международных политически значимых лиц (ПЗЛ) и санкции, списки санкций для конкретных стран, списки преступников и финансовые списки.
6. Я подтверждаю и согласен с тем, что Sum and Substance Limited будет обрабатывать мои личные данные только на серверах, физически расположенных на территории Европейского Союза.
7. Я подтверждаю и согласен с тем, что личные данные могут быть раскрыты организациям, связанным с Sum and Substance Limited , для достижения цели обработки в соответствии с настоящим Согласием. Подрядчики, которым Sum and Substance Limited раскрывают личные данные, принимают соответствующие технические и организационные меры для обеспечения безопасности личных данных.
8. Согласие на обработку, выраженное настоящим документом, распространяется на следующие операции: сбор, запись, организация, структурирование, хранение, адаптация или изменение, поиск, консультация, использование, раскрытие путем передачи, распространения или иного предоставления, согласование или комбинация, ограничение, стирание или разрушение.
9. Согласие на обработку, выраженное настоящим документом, включает следующие личные данные: имя и фамилию, паспорт или любые данные удостоверения личности, зарегистрированный адрес, банковские реквизиты, изображение лица .
10. Настоящим подтверждаю, что я был проинформирован о том, что мои биометрические персональные данные, то есть мое изображение лица, будут обработаны, и я даю свое добровольное, недвусмысленное и осознанное согласие на это.
11. Настоящим подтверждаю, что мне сообщили о моем праве:

• отозвать свое согласие на обработку персональных данных;
• доступ и корректировка моих личных данных;
• предъявлять обоснованное требование в письменной форме о блокировании обработки моих данных в связи с конкретной ситуацией;
• возражать против обработки моих персональных данных;
• возражать против передачи моих личных данных, включая право возражать против привлечения любого из подрядчиков Sum and Substance к обработке моих личных данных;
• возражает против принятия решения, основанного исключительно на автоматизированной обработке / профилировании
• предъявляет обоснованное требование в письменной форме удалить мои личные данные в соответствии с действующим законодательством,
• все права могут быть реализованы, связавшись с Sum and Substance Limited с соответствующим уведомлением на Priva [электронная почта защищена].

12. Настоящим подтверждаю, что я внимательно ознакомился со всеми вышеуказанными положениями и добровольно и безоговорочно согласен с ними.

Когда уместно согласие? | ICO

Подробнее

Всегда ли нам нужно согласие?

Короче нет. Согласие является одним из законных оснований для обработки, но есть еще пять других. Согласие не всегда бывает самым уместным или самым простым.

Вы всегда должны выбирать законную основу, которая наиболее точно отражает истинный характер ваших отношений с человеком и цель обработки.Если согласие затруднено, это часто происходит потому, что другое законное основание является более подходящим, поэтому вам следует рассмотреть альтернативы. См. Раздел «Каковы альтернативы согласию?».

Точно так же явное согласие — это один из способов узаконить обработку персональных данных особой категории, но не единственный. В статье 9 (2) перечислены девять других условий (дополненных приложением 1 Закона о защите данных 2018 г.). Альтернативные условия обработки данных специальной категории, как правило, более строгие и адаптированы к конкретным ситуациям, но вы все равно должны сначала проверить, применимы ли какие-либо из них.

Когда мы должны получить согласие?

Вам, вероятно, потребуется рассмотреть вопрос о согласии, когда явно не применимо иное законное основание. Например, это может произойти, если вы хотите использовать или поделиться чьими-либо данными особенно неожиданным или потенциально навязчивым способом или способом, несовместимым с вашей первоначальной целью.

Если вы используете данные особой категории, вам может потребоваться получить явное согласие для узаконивания обработки, если не применяется одно из других особых условий статьи 9 (2).Обратите внимание, что некоторые другие условия по-прежнему требуют, чтобы вы сначала рассмотрели согласие или получили согласие на некоторые элементы вашей обработки. Например, если вы некоммерческая организация и решите полагаться на Статью 9 (2) (d), вам все равно потребуется явное согласие на раскрытие данных любым сторонним контролерам.

Вам также может потребоваться согласие в соответствии с законами об электронной конфиденциальности для многих типов маркетинговых звонков и маркетинговых сообщений, файлов cookie веб-сайтов или других методов онлайн-отслеживания, а также для установки приложений или другого программного обеспечения на устройства людей.Эти правила в настоящее время содержатся в Положениях о конфиденциальности и электронных коммуникациях 2003 года (PECR), они применяют определение согласия GDPR. Обратите внимание: если ePR будет принят, мы подготовим дальнейшие инструкции.

Если вам необходимо согласие в соответствии с законами об электронной конфиденциальности для отправки маркетингового сообщения, то на практике согласие также является надлежащим законным основанием в соответствии с GDPR Великобритании. Если законы об электронной конфиденциальности не требуют согласия на маркетинг, вы можете вместо этого учитывать законные интересы.

Если вам нужно согласие на размещение файлов cookie, это должно соответствовать стандарту GDPR Великобритании.Однако вы все равно можете рассмотреть альтернативное законное основание, такое как законные интересы, для любой связанной обработки персональных данных.

При каких еще обстоятельствах согласие может быть уместным?

Согласие, вероятно, будет наиболее подходящим законным основанием для обработки (или подходящим шлюзом с помощью других соответствующих положений), если вы хотите предоставить отдельным лицам реальный выбор и контроль над тем, как вы используете их данные. В частности, вы можете рассмотреть возможность использования согласия, чтобы повысить уровень их взаимодействия с вашей организацией и побудить их доверять вам более полезные данные.

Однако то, является ли согласие уместным и действительным, всегда будет зависеть от конкретных обстоятельств.

См. Также «Каковы преимущества правильного получения согласия?»

Когда уместно использовать согласие для данных специальной категории?

Если вы хотите обрабатывать данные особой категории, вы должны указать как законное основание в соответствии со статьей 6, так и отдельное условие для обработки данных особой категории в соответствии со статьей 9, дополненное Приложением 1 Закона о защите данных 2018.

Первым условием, перечисленным в статье 9, является «явное согласие». Однако это не означает, что это всегда лучшее или наиболее подходящее состояние. Вы всегда должны учитывать, подходят ли какие-либо другие условия для конкретной ситуации.

Ваш выбор законного основания в соответствии со статьей 6 не обязательно определяет, какое условие статьи 9 вы должны применить. Даже если вы не полагались на согласие в качестве законного основания для обработки, вы все равно можете рассматривать «явное согласие» как условие статьи 9 для любых данных специальной категории.Однако вы должны помнить, что явное согласие должно соответствовать стандарту GDPR Великобритании для получения действительного согласия и может быть отозвано в любое время.

Подробнее о том, что считается «явным» согласием, см. В разделе «Что такое действительное согласие?».

Если вам необходимо обработать данные особой категории для предоставления услуги, запрошенной физическим лицом, наиболее подходящим законным основанием, вероятно, будет «необходимое для заключения контракта». Но явное согласие может быть доступно в качестве вашего условия для обработки необходимых данных специальной категории.Однако вы должны быть уверены, что можете продемонстрировать, что согласие по-прежнему дается свободно, в частности, что обработка действительно необходима для службы.

Пример

Человек записывается на занятия йогой для беременных. Инструктор будет обрабатывать данные, касающиеся их здоровья (то есть факт их беременности вместе с любой информацией о сроках родов), и поэтому ему необходимы как законные основания, так и условие для обработки данных специальной категории.

Поскольку инструктору необходимо обработать эти данные для проведения занятия йогой, подходящим законным основанием, вероятно, будет «выполнение контракта».

Хотя человек не может записаться на занятия без раскрытия информации о своей беременности, явное согласие, вероятно, будет подходящим условием для обработки данных о состоянии здоровья. Обработка объективно необходима для предоставления запрашиваемого класса, и у человека есть свободный выбор, подписаться или нет на этот класс.

Дополнительная литература — Руководство ICO

Последние рекомендации по условиям обработки данных особых категорий см. На странице «Данные особых категорий» нашего Руководства по GDPR в Великобритании.

Дополнительная литература — Европейский совет по защите данных

Европейский совет по защите данных (EDPB) состоит из представителей органов по защите данных каждого государства-члена ЕС. Он принимает рекомендации по соблюдению требований GDPR. Руководящие принципы EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании. Однако они могут по-прежнему давать полезные советы по определенным вопросам.

EDPB выпустила Руководство по согласию.

Когда согласие неприемлемо?

Отсюда следует, что если по какой-либо причине вы не можете предложить людям реальный выбор в отношении того, как вы используете их данные, согласие не будет подходящим основанием для обработки. Это может иметь место, например, если:

• вы все равно будете обрабатывать данные на другом законном основании, если в согласии будет отказано или отозвано;
• вы запрашиваете «согласие» на обработку в качестве предварительного условия для доступа к вашим услугам; или
• вы имеете власть над человеком — например, если вы являетесь государственным органом или работодателем, обрабатывающим данные о сотрудниках.

Вы все равно будете обрабатывать данные без согласия

Если вы все равно будете обрабатывать персональные данные на другом законном основании, даже если в согласии было отказано или отозвано, то получение согласия от лица вводит в заблуждение и по своей сути несправедливо. Он представляет человеку ложный выбор и только иллюзию контроля. Вы должны с самого начала определить наиболее подходящую законную основу.

Пример

Компания, предоставляющая кредитные карты, просит своих клиентов дать согласие на отправку их личных данных в кредитные справочные агентства для кредитного скоринга.

Однако, если клиент откажется или отзовет свое согласие, компания-эмитент кредитной карты все равно отправит данные в справочные агентства на основе «законных интересов». Поэтому просьба о согласии вводит в заблуждение и неуместно — реального выбора нет. Компании с самого начала следовало полагаться на «законные интересы». Чтобы обеспечить справедливость и прозрачность, компания все равно должна сообщать клиентам, что это произойдет, но это сильно отличается от предоставления им выбора с точки зрения защиты данных.

Перед обработкой персональных данных вам необходимо хорошо подумать, потребуется ли вам сохранить какие-либо данные для каких-либо других целей, если физическое лицо отзовет свое согласие. Например, вам может потребоваться сохранить его в соответствии с юридическим обязательством или для целей аудита. Если это так, вы должны с самого начала четко и заранее заявить, какова ваша цель и законное основание для сохранения этих данных после отзыва согласия.

«Согласие» — это условие предоставления услуги

Если вы требуете от кого-то согласия на обработку в качестве условия обслуживания, согласие вряд ли будет наиболее подходящим законным основанием для обработки.В некоторых случаях это даже не считается действительным согласием.

Вместо этого, если вы считаете, что обработка необходима для услуги, более подходящее правовое основание, вероятно, будет «необходимым для выполнения контракта» в соответствии со статьей 6 (1) (b). Скорее всего, вам нужно будет полагаться на согласие только в том случае, если это требуется в соответствии с другим положением, например, для некоторого электронного маркетинга в соответствии с PECR.

Если обработка данных особой категории действительно необходима для предоставления услуги физическому лицу, вы все равно можете рассчитывать на явное согласие в качестве вашего условия для обработки данных этой особой категории, если не применяются другие условия статьи 9.См. Раздел Когда уместно использовать согласие для данных специальной категории?

Может оказаться, что обработка является условием обслуживания, но на самом деле не является необходимой для этой услуги. В таком случае согласие не просто неприемлемо в качестве законного основания, но и считается недействительным, поскольку оно не дается добровольно. В этих обстоятельствах вы можете рассмотреть вопрос о том, подходят ли «законные интересы» в соответствии со статьей 6 (1) (f) в качестве вашего законного основания для обработки. В этом случае вы не можете полагаться на явное согласие на данные какой-либо специальной категории, и вам нужно искать другое условие статьи 9.

Пример

Кафе решает предоставить своим клиентам бесплатный Wi-Fi. Чтобы получить доступ к Wi-Fi, клиент должен указать свое имя, адрес электронной почты и номер мобильного телефона, а затем согласиться с условиями использования кафе.

В условиях указано, что, предоставляя свои контактные данные, клиент соглашается получать маркетинговые сообщения от кафе. Таким образом, кафе дает согласие на отправку прямого маркетинга в качестве условия доступа к услуге.

Однако сбор данных об их клиентах для целей прямого маркетинга не является необходимым для предоставления Wi-Fi. Следовательно, это недействительное согласие.

Подробнее о том, когда согласие дается свободно, см. В разделе «Что такое действительное согласие?».

Вы находитесь у власти

Согласие обычно неуместно, если существует явный дисбаланс сил между вами и человеком. Это связано с тем, что те, кто зависит от ваших услуг или опасается неблагоприятных последствий, могут подумать, что у них нет другого выбора, кроме как согласиться, поэтому согласие не считается предоставленным добровольно.Это будет особая проблема для государственных органов и работодателей.

Пример

Компания просит своих сотрудников дать согласие на мониторинг на работе. Однако, поскольку средства к существованию сотрудников зависят от компании, они могут чувствовать себя вынужденными согласиться, поскольку не хотят рисковать своей работой, не хотят, чтобы их считали трудными или им есть что скрывать.

Пример

Жилищной ассоциации необходимо собирать информацию о предыдущих судимостях арендаторов и потенциальных арендаторов в целях оценки рисков при распределении собственности и посещении домов.Однако неуместно запрашивать согласие на это в качестве условия аренды. Арендатор, подающий заявку на социальное жилье, может оказаться в уязвимом положении и может не иметь многих других вариантов жилья. Таким образом, у них может не быть реального выбора, кроме как подписаться на условиях жилищной ассоциации. Даже если обработка необходима для обеспечения размещения, их согласие не считается предоставленным свободно из-за несбалансированности полномочий.

Если вы являетесь государственным органом или обрабатываете данные сотрудников, или занимаетесь каким-либо другим положением над отдельным лицом, вам следует искать другую основу для обработки, такую ​​как «общественная задача» или «законные интересы».

Однако государственным органам и работодателям не запрещается использовать согласие в качестве законного основания. Даже если вы находитесь у власти, могут возникнуть ситуации, когда вы все равно сможете показать, что согласие дано свободно.

Пример

Местный совет управляет несколькими фитнес-центрами. Он хочет узнать, что люди думают об объектах, чтобы решить, на чем сосредоточить улучшения. Он решает разослать анкету по электронной почте лицам, имеющим членство в фитнесе, чтобы спросить их об удобствах.

Решение о том, принимать ли участие в опросе, является совершенно необязательным, и, учитывая характер взаимоотношений и опроса, нет реального риска неблагоприятных последствий в случае отсутствия ответа. Совет может полагаться на согласие на обработку ответов.

Пример

Работодатель решает сделать видеоролик о найме на своем веб-сайте. Он проинструктировал некоторых профессиональных актеров, но дает персоналу возможность добровольно принять участие в ролике.Работодатель ясно дает понять, что никаких требований к участию сотрудников не требуется, и участие не будет приниматься во внимание при оценке результатов работы.

Поскольку участие не является обязательным и нет никаких неблагоприятных последствий для тех, кто не хочет принимать участие, работодатель может рассмотреть вопрос о согласии.

Однако вам необходимо внимательно изучить конкретные обстоятельства и быть уверенным, что вы сможете продемонстрировать, что у человека действительно есть свободный выбор дать согласие или отказаться от него.Возможно, вам потребуется предпринять шаги, чтобы убедиться, что человек не чувствует давления, чтобы дать согласие, и развеять любые опасения по поводу последствий отказа в согласии.

Пример

Человек получает диагноз рака от своего врача. Врач объясняет, что есть помощь и поддержка со стороны благотворительной организации по борьбе с раком, и они могут передать данные о человеке благотворительной организации, если человек пожелает.

На первый взгляд, наблюдается явный дисбаланс сил, когда человек болеет и обращается к квалифицированному специалисту с обширными медицинскими знаниями, который отвечает за его лечение.Если врач предлагает им обратиться в благотворительную организацию или что это стандартная практика, проблема дисбаланса сил вступит в игру, поскольку человек может почувствовать, что они должны согласиться. Они также могут опасаться, что им не предложат так много вариантов лечения или что на их лечение каким-то образом повлияет их несогласие.

Однако, если врач позаботится о том, чтобы предложение помощи было нейтральным, и пояснил, что это отдельная и полностью необязательная услуга, не влияющая на план лечения, тогда контролер может продемонстрировать, что согласие дается свободно. .

Врач также должен удостовериться, что согласие является конкретным, информированным, дано четким положительным действием и должным образом задокументировано. В частности, им необходимо четко указать благотворительную организацию, объяснить, какими данными они будут делиться с благотворительной организацией, и четко указать, для чего они будут использоваться.

Подробнее о том, когда согласие дается свободно, см. В разделе «Что такое действительное согласие?».

Другое ненадлежащее использование согласия

Будьте очень осторожны при использовании других ранее существовавших концепций согласия вне контекста, поскольку они не всегда могут быть подходящими для целей защиты данных.

Даже если к вам предъявляются отдельные юридические или этические требования для получения «согласия» на какие-либо действия, это не означает, что вы автоматически имеете или должны иметь действующее согласие GDPR Великобритании на любую связанную обработку персональных данных. В некоторых случаях стандарт согласия может сильно отличаться. По-прежнему важно тщательно рассмотреть ваши законные основания.

Если вы намереваетесь полагаться на согласие в качестве законного основания, всегда проверяйте, что согласие также соответствует стандарту GDPR Великобритании, а не просто предполагать, что оно применимо.В частности, подразумеваемое согласие часто не подходит в качестве законного основания для обработки в соответствии с GDPR Великобритании.

Пример

В секторе здравоохранения данные о пациентах хранятся в секрете. Поставщики медицинских услуг обычно действуют на основе подразумеваемого согласия на передачу данных о пациентах в целях оказания непосредственной помощи без нарушения конфиденциальности.

Подразумеваемое согласие на оказание прямой помощи в данном контексте является отраслевой практикой. Но это «подразумеваемое согласие» на передачу конфиденциальных историй болезни — это не то же самое, что согласие на обработку персональных данных в контексте законной основы в соответствии с GDPR Великобритании.

В контексте здравоохранения согласие часто не является надлежащим законным основанием в соответствии с GPDR. Этот тип предполагаемого подразумеваемого согласия не будет соответствовать стандарту четкого утвердительного действия или квалифицироваться как явное согласие для данных специальной категории, которые включают данные о здоровье. Вместо этого поставщики медицинских услуг должны указать другое законное основание (например, жизненно важные интересы, общественную задачу или законные интересы). Что касается более строгих правил в отношении данных специальной категории, статья 9 (2) (h) конкретно узаконивает обработку данных в медицинских или социальных целях.

Даже если от вас требуется получить согласие пациента на лечение, это полностью отделено от ваших обязательств по защите данных. Это не означает, что вы должны полагаться на согласие на обработку персональных данных пациента.

Как правило, всякий раз, когда у вас возникают трудности с соблюдением стандарта для согласия, это предупреждающий знак о том, что согласие может быть не самым подходящим основанием для вашей обработки. Поэтому рекомендуем поискать другую основу.

Дополнительная литература — Европейский совет по защите данных

Европейский совет по защите данных (EDPB) состоит из представителей органов по защите данных каждого государства-члена ЕС. Он принимает рекомендации по соблюдению требований GDPR. Руководящие принципы EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании. Однако они могут по-прежнему давать полезные советы по определенным вопросам.

EDPB выпустила Руководство по согласию.

Каковы альтернативы согласию?

Если вы ищете другое законное основание, оно изложено в статье 6 (1). Таким образом, вы можете обрабатывать личные данные без согласия, если это необходимо для:

• Договор с физическим лицом : например, на поставку товаров или услуг, которые они запросили, или для выполнения ваших обязательств по трудовому договору. Это также включает шаги, предпринятые по их запросу до заключения контракта.

• Соответствие юридическим обязательствам : вы можете это сделать, если в соответствии с законодательством Великобритании или ЕС вы должны обрабатывать данные для определенной цели.

• Жизненно важные интересы : вы можете обрабатывать личные данные, если это необходимо для защиты чьей-либо жизни. Это может быть жизнь субъекта данных или кого-то еще.

• Общедоступная задача : если вам нужно обрабатывать личные данные для выполнения ваших официальных функций или задачи в общественных интересах — и у вас есть правовая основа для обработки в соответствии с законодательством Великобритании — вы можете.Если вы являетесь государственным органом Великобритании, мы считаем, что это может дать вам законное основание для многих, если не всех ваших действий.

• Законные интересы : вы можете обрабатывать личные данные без согласия, если вам нужно сделать это по подлинной и законной причине (включая коммерческую выгоду), если только это не перевешивается правами и интересами человека. Обратите внимание, однако, что государственные органы ограничены в своих возможностях использовать эту основу.

Организации частного или третьего сектора часто могут рассмотреть основание «законных интересов» в статье 6 (1) (f), если им сложно выполнить стандарт согласия и не применимо другое конкретное основание.Это означает, что у вас может быть веская причина для обработки чьих-либо личных данных без их согласия, но вы должны избегать того, чего они не ожидают, убедитесь, что это не окажет на них неоправданного воздействия, и что вы по-прежнему честны, прозрачны и подотчетны.

Если вы являетесь государственным органом и можете продемонстрировать, что обработка предназначена для выполнения ваших официальных функций в соответствии с законодательством Великобритании, то основание «публичная задача», вероятно, будет более подходящим. В противном случае вы все равно можете учитывать законные интересы или одну из других оснований.Как всегда, вы должны быть честными, прозрачными и подотчетными.

Если вы ищете другие условия для обработки данных специальной категории, они изложены в статье 9 (2) (дополненной Законом о защите данных 2018 г.). Они более ограничены и конкретны и, например, включают положения, касающиеся трудового законодательства, здравоохранения и социального обеспечения, а также исследований. См. Наше руководство по данным специальных категорий для получения дополнительной информации.

Руководство по GDPR Великобритании также содержит дополнительные инструкции по правилам ограниченной обработки, автоматического принятия решений (включая профилирование) и переводов за границу.

Помните, что даже если вы не запрашиваете согласия, вам все равно необходимо предоставить четкую и полную информацию о том, как вы используете личные данные для соблюдения права на получение информации.

Законное основание для обработки | ICO

Кратко

• У вас должно быть законное основание для обработки личных данных.
• Существует шесть доступных законных оснований для обработки. Ни одна из основ не может быть «лучше» или важнее других — какая основа будет наиболее подходящей для использования, будет зависеть от вашей цели и взаимоотношений с человеком.
• Большинство законных оснований требуют, чтобы обработка была «необходимой» для определенной цели. Если вы можете разумно достичь той же цели без обработки, у вас не будет законных оснований.
• Вы должны определить свои законные основания, прежде чем начинать обработку, и вы должны задокументировать это. У нас есть интерактивный инструмент, который поможет вам.
• Позаботьтесь о том, чтобы сделать это правильно с первого раза — вам не следует переходить на другое законное основание позже без уважительной причины. В частности, вы обычно не можете перейти с согласия на другую основу.
• В вашем уведомлении о конфиденциальности должно быть указано ваше законное основание для обработки, а также цели обработки.
• Если ваши цели изменятся, вы сможете продолжить обработку в соответствии с исходным законным основанием, если ваша новая цель совместима с вашей первоначальной целью (если исходной законной основой не было согласие).
• Если вы обрабатываете данные особой категории, вам необходимо указать как законное основание для общей обработки, так и дополнительное условие для обработки этого типа данных.
• Если вы обрабатываете данные о судимости или данные о правонарушениях, вам необходимо указать как законное основание для общей обработки, так и дополнительное условие для обработки этого типа данных.

Контрольный список

☐ Мы рассмотрели цели нашей деятельности по обработке и выбрали наиболее подходящую законную основу (или основы) для каждой деятельности.

☐ Мы проверили, необходима ли обработка для соответствующей цели, и убедились, что нет другого разумного и менее интрузивного способа достижения этой цели.

☐ Мы задокументировали наше решение о том, какое законное основание применяется для демонстрации соблюдения.

☐ Мы включили информацию как о целях обработки, так и о законных основаниях для обработки в наше уведомление о конфиденциальности.

☐ Там, где мы обрабатываем данные специальной категории, мы также определили условие для обработки данных специальной категории и задокументировали это.

☐ Если мы обрабатываем данные об уголовных преступлениях, мы также определили условие обработки этих данных и задокументировали это.

Вкратце

Каковы законные основания для обработки?

Законные основания для обработки изложены в статье 6 GDPR Великобритании. Как минимум одно из них должно применяться при обработке персональных данных:

(a) Согласие: физическое лицо дало вам четкое согласие на обработку его персональных данных для определенной цели.

(b) Контракт: обработка необходима для контракта, который у вас есть с физическим лицом, или потому, что они попросили вас предпринять определенные шаги перед заключением контракта.

(c) Юридическое обязательство: обработка необходима для соблюдения закона (не включая договорные обязательства).

(d) Жизненно важные интересы: обработка необходима для защиты чьей-либо жизни.

(e) Общественная задача: обработка необходима для выполнения вами задачи в общественных интересах или для ваших официальных функций, и эта задача или функция имеют четкую юридическую основу.

(f) Законные интересы: обработка необходима для ваших законных интересов или законных интересов третьей стороны, если нет веской причины для защиты личных данных человека, которая имеет приоритет над этими законными интересами.(Это не применимо, если вы являетесь государственным органом, обрабатывающим данные для выполнения своих служебных задач.)

Для получения более подробной информации по каждому законному основанию прочтите конкретную страницу этого руководства.

Дополнительная литература

Когда обработка «необходима»?

Многие законные основания для обработки зависят от того, является ли обработка «необходимой». Это не означает, что обработка должна быть абсолютно необходимой. Однако это должно быть больше, чем просто полезное, и больше, чем просто стандартная практика.Это должен быть целенаправленный и соразмерный способ достижения конкретной цели. Законное основание не будет применяться, если вы можете разумно достичь цели с помощью других менее навязчивых средств или путем обработки меньшего объема данных.

Недостаточно утверждать, что обработка необходима, потому что вы выбрали определенный способ ведения бизнеса. Вопрос в том, является ли обработка объективно необходимой для заявленной цели, а не является ли она необходимой частью выбранных вами методов.

Почему важна законная основа для обработки?

Первый принцип требует, чтобы вы обрабатывали все личные данные законным, справедливым и прозрачным образом. Если к вашей обработке не применяется законное основание, ваша обработка будет незаконной и нарушит первый принцип.

Физические лица также имеют право удалять персональные данные, которые были обработаны незаконно.

Право человека на получение информации в соответствии со статьями 13 и 14 требует от вас предоставления людям информации о ваших законных основаниях для обработки.Это означает, что вам необходимо указать эти данные в своем уведомлении о конфиденциальности.

Законное основание для вашей обработки также может повлиять на то, какие права доступны отдельным лицам. Например, некоторые права не будут применяться:

Тем не менее, физическое лицо всегда имеет право возражать против обработки в целях прямого маркетинга, независимо от того, что применимо на законных основаниях.

Остальные права не всегда абсолютны, и есть другие права, которые могут быть затронуты другими способами.Например, ваша законная основа может повлиять на то, как применяются положения, касающиеся автоматизированных решений и профилирования, и если вы полагаетесь на законные интересы, вам потребуется более подробная информация в уведомлении о конфиденциальности.

Пожалуйста, прочтите раздел настоящего Руководства о правах физических лиц для получения полной информации.

Дополнительная литература

Как мы решаем, какое законное основание применяется?

Это зависит от ваших конкретных целей и контекста обработки.Вам следует подумать о том, почему вы хотите обрабатывать данные, и подумать, какое законное основание лучше всего соответствует обстоятельствам. Вы можете использовать наш интерактивный инструмент руководства, чтобы помочь вам.

Вы можете подумать, что применимо несколько оснований, и в этом случае вы должны идентифицировать и задокументировать их все с самого начала.

Вы не должны применять универсальный подход. Ни одно основание не должно всегда считаться лучше, безопаснее или важнее других, и в GDPR Великобритании нет иерархии в порядке списка.

Некоторые из законных оснований относятся к конкретной указанной цели — юридическому обязательству, выполнению контракта с физическим лицом, защите чьих-либо жизненно важных интересов или выполнению ваших общественных задач. Если вы обрабатываете данные для этих целей, то соответствующее законное основание вполне может быть очевидным, поэтому полезно сначала рассмотреть их.

В других случаях у вас, вероятно, будет выбор между использованием законных интересов или согласия. Вам нужно подумать о более широком контексте, в том числе:

• Кому выгодна обработка?
• Ожидают ли люди, что такая обработка будет иметь место?
• Каковы ваши отношения с человеком?
• Имеете ли вы над ними власть?
• Как обработка влияет на человека?
• Они уязвимы?
• Вероятно, что некоторые из заинтересованных лиц будут возражать?
• Можете ли вы остановить обработку в любой момент по запросу?

Вы можете предпочесть рассматривать законные интересы в качестве законной основы, если хотите сохранить контроль над обработкой и взять на себя ответственность за демонстрацию того, что она соответствует разумным ожиданиям людей и не окажет на них неоправданного воздействия.С другой стороны, если вы предпочитаете предоставить отдельным лицам полный контроль над своими данными и ответственность за них (в том числе возможность изменить свое мнение о том, можно ли продолжать их обработку), вы можете подумать о том, чтобы полагаться на их согласие.

Подробнее

Мы разработали инструмент интерактивного руководства на законных основаниях, чтобы дать более индивидуальные рекомендации, на основании которых законная основа может быть наиболее подходящей для вашей деятельности по обработке.

Отличается ли это для государственных органов?

Основной подход такой же.Вам следует подумать о своих целях и выбрать наиболее подходящую основу. Вы по-прежнему можете использовать наш законный инструмент, чтобы помочь вам.

Основа общественных задач, скорее всего, будет иметь отношение к большей части того, что вы делаете. Если вы являетесь государственным органом и можете продемонстрировать, что обработка предназначена для выполнения ваших задач в соответствии с законодательством Великобритании, то вы можете использовать основу для общедоступных задач. Но если это для другой цели, вы все равно можете рассмотреть другую основу.

В частности, в некоторых случаях вы по-прежнему можете учитывать согласие или законные интересы, в зависимости от характера обработки и ваших взаимоотношений с физическим лицом.Абсолютного запрета на использование органами государственной власти согласия или законных интересов в качестве законного основания не существует, хотя есть некоторые ограничения. Для получения дополнительной информации см. Специальную страницу с инструкциями по каждому законному основанию.

В Законе о защите данных 2018 года говорится, что «государственный орган» здесь означает государственный орган в соответствии с Законом о свободе информации или Законом о свободе информации (Шотландия), за исключением приходских и общественных советов.

Пример

Университет, который хочет обрабатывать персональные данные, может рассмотреть множество законных оснований в зависимости от того, что он хочет делать с данными.

Университеты классифицируются как органы государственной власти, поэтому основа общественных задач, вероятно, будет применяться к большей части их обработки, в зависимости от деталей их конституций и юридических полномочий. Если обработка данных осуществляется отдельно от их задач как государственного органа, тогда университет может вместо этого рассмотреть вопрос о том, уместны ли согласие или законные интересы в конкретных обстоятельствах. Например, университет может полагаться на публичную задачу по обработке персональных данных в учебных и исследовательских целях; но смесь законных интересов и согласия для отношений с выпускниками и в целях сбора средств.

Однако университету необходимо тщательно изучить его основу — контролер несет ответственность за возможность продемонстрировать, какое законное основание применимо к конкретной цели обработки.

Дополнительная литература

Можем ли мы изменить нашу законную основу?

Вы должны определить свои законные основания, прежде чем начинать обработку персональных данных. Важно сделать это правильно с первого раза. Если позже вы обнаружите, что выбранная вами основа на самом деле была неподходящей, будет сложно просто переключиться на другую.Даже если бы с самого начала могла применяться другая основа, ретроспективная смена законной основы, вероятно, будет по своей сути несправедливой по отношению к отдельному лицу и приведет к нарушениям требований отчетности и прозрачности.

Пример

Компания решила провести обработку на основе согласия и получила согласие от частных лиц. Впоследствии человек решил отозвать свое согласие на обработку своих данных, что является его правом. Однако компания хотела продолжить обработку данных, поэтому решила продолжить обработку на основании законных интересов.

Даже если бы она изначально могла полагаться на законные интересы, компания не может сделать это позже — она ​​не может сменить основу, когда поняла, что изначально выбранная основа была неуместной (в данном случае, потому что она не хотела предлагать физическому лицу подлинный постоянный контроль). Он должен был с самого начала дать понять человеку, что обработка осуществляется на основе законных интересов. Заставить человека поверить в то, что у него был выбор, по своей сути несправедливо, если этот выбор не имеет значения.Поэтому компания должна прекратить обработку, когда физическое лицо отозвает согласие.

Поэтому важно заранее тщательно оценить подходящую основу и задокументировать ее. Возможно, что к обработке применимо несколько оснований, потому что у вас более одной цели, и если это так, вам следует четко указать это с самого начала.

Если обстоятельства действительно изменились или у вас появилась новая и непредвиденная цель, что означает, что есть веская причина пересмотреть ваши законные основания и внести изменение, вам необходимо проинформировать об этом человека и задокументировать это изменение.

Дополнительная литература

Что произойдет, если у нас появится новая цель?

Если ваши цели меняются со временем или у вас появляется новая цель, которую вы изначально не ожидали, вам может не понадобиться новое законное основание, если ваша новая цель совместима с первоначальной.

Однако это не относится к обработке на основе согласия. Согласие всегда должно быть конкретным и информированным, а повторное использование данных для новой цели несправедливо подорвет исходное согласие.Обычно вам нужно получить новое согласие, которое конкретно касается новой цели. Если вы получили конкретное согласие для новой цели, вам не нужно доказывать, что оно совместимо.

В остальных случаях, чтобы оценить, совместимо ли новое назначение с первоначальным, следует принять во внимание:

• любая связь между вашей первоначальной целью и новой целью;
• контекст, в котором вы собирали данные — в частности, ваши отношения с человеком и то, чего он разумно ожидал;
• характер персональных данных — например, данные особой категории или данные об уголовных преступлениях;
• возможные последствия для физических лиц новой обработки; и
• , существуют ли соответствующие меры безопасности — например, шифрование или псевдонимизация.

Этот список не является исчерпывающим, и то, на что вам нужно обратить внимание, зависит от конкретных обстоятельств.

Вы можете найти наш шаблон оценки законных интересов полезным инструментом для оценки совместимости, поскольку оба учитывают схожие факторы.

Как правило, если новая цель сильно отличается от первоначальной, будет неожиданной или окажет неоправданное влияние на человека, она вряд ли будет совместима с вашей первоначальной целью сбора данных.Затем вы можете продолжить, только если вы получите конкретное согласие для новой цели или вы можете указать на конкретное правовое положение, требующее или разрешающее новую обработку в общественных интересах (в этом случае вашей новой законной основой будет юридическое обязательство или общественная задача. ).

Если вы обрабатываете данные специальной категории, вам необходимо убедиться, что вы можете определить соответствующее условие, которое применяется к вашей новой обработке.

GDPR Великобритании специально говорит, что дальнейшая обработка для следующих целей должна считаться совместимой законной обработкой:

• для целей архивирования в общественных интересах;
• научно-исследовательских целей; и
• статистических целей.

Здесь есть ссылка на принцип «ограничения цели» в статье 5, в которой говорится, что «личные данные должны собираться для определенных, явных и законных целей и не обрабатываться в дальнейшем способом, несовместимым с этими целями».

Даже если обработка для новой цели является законной, вам также необходимо будет рассмотреть, является ли она справедливой и прозрачной, и предоставить отдельным лицам информацию о новой цели.

Дополнительная литература

Как мы должны документировать наши законные основания?

Принцип подотчетности требует, чтобы вы могли продемонстрировать, что вы соблюдаете GDPR Великобритании, и имеете соответствующие политики и процессы.Это означает, что вам необходимо продемонстрировать, что вы должным образом рассмотрели, какие законные основания применимы к каждой цели обработки, и можете обосновать свое решение.

Следовательно, вам необходимо вести учет того, на какое основание вы полагаетесь для каждой цели обработки, а также обоснование того, почему вы считаете, что это применимо. Для этого не существует стандартной формы, если вы гарантируете, что то, что вы записываете, достаточно, чтобы продемонстрировать наличие законного основания. Это поможет вам соблюдать обязательства по подотчетности, а также поможет вам при написании уведомлений о конфиденциальности.

Вы несете ответственность за то, чтобы продемонстрировать, какое законное основание применимо к конкретной цели обработки.

Для получения дополнительной информации по этой теме прочтите раздел об ответственности этого руководства. На соответствующих страницах руководства также есть дополнительные инструкции по документированию оценок согласия или законных интересов.

Дополнительная литература

Что нам нужно сказать людям?

Вам необходимо включить информацию о ваших законных основаниях (или основаниях, если применимо более одного) в ваше уведомление о конфиденциальности.В соответствии с положениями GDPR Великобритании о прозрачности информация, которую вы должны предоставить людям, включает:

• ваши предполагаемые цели обработки персональных данных; и
• законное основание для обработки.

Это применимо независимо от того, собираете ли вы личные данные непосредственно от человека или вы собираете его данные из другого источника.

Прочтите раздел «Право на получение информации» этого руководства, чтобы узнать больше о требованиях к прозрачности GDPR.

Дополнительная литература

А как насчет данных специальной категории?

Если вы обрабатываете данные особой категории, вам необходимо указать как законное основание для обработки, так и условие особой категории для обработки в соответствии со Статьей 9. Вы должны задокументировать как свое законное основание для обработки, так и условие особой категории, чтобы вы могли продемонстрировать соответствие и подотчетность.