Согласие на обработку персональных данных для покупателя: Обязательно ли согласие покупателя на обработку персональных данных при заключении с ним договора розничной купли-продажи? — Адвокат в Самаре и Москве — Сеть магазинов "3 Этаж": Мужская одежда и обувь Старый Оскол

Содержание

Соглашение на обработку персональных данных

Предоставляя свои персональные данные Покупатель даёт согласие на обработку, хранение и использование своих персональных данных на основании ФЗ № 152-ФЗ «О персональных данных» от 27.07.2006 г. в следующих целях:

Регистрации Пользователя на сайте
Осуществление клиентской поддержки
Получения Пользователем информации о маркетинговых событиях
Выполнение Продавцом обязательств перед Покупателем
Проведения аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг.

Под персональными данными подразумевается любая информация личного характера, позволяющая установить личность Покупателя такая как:

Фамилия, Имя, Отчество
Дата рождения
Контактный телефон
Адрес электронной почты
Почтовый адрес

Персональные данные Покупателей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства.
Продавец обязуется не передавать полученные персональные данные третьим лицам, за исключением следующих случаев:

По запросам уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ

Стратегическим партнерам, которые работают с Продавцом для предоставления продуктов и услуг, или тем из них, которые помогают Продавцу реализовывать продукты и услуги потребителям. Мы предоставляем третьим лицам минимальный объем персональных данных, необходимый только для оказания требуемой услуги или проведения необходимой транзакции.

Продавец оставляет за собой право вносить изменения в одностороннем порядке в настоящие правила, при условии, что изменения не противоречат действующему законодательству РФ. Изменения условий настоящих правил вступают в силу после их публикации на Сайте.

Обработка и защита персональных данных покупателей

7.1 Настоящим Вы как субъект персональных данных даете согласие ООО «Аристос Ритейл» и ООО «Рехау», на обработку своих персональных данных, перечень которых указан в п. 4.3 Положения, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), включая трансграничную передачу данных с учетом действующего законодательства РФ, обезличивание, блокирование, удаление, уничтожение персональных данных, с использованием и без использования средств автоматизации, в целях, указанных в п. 4.1 Положения. Вы выражаете согласие, что помимо ООО «Аристос Ритейл», доступ к Вашим персональным данным имеют в полном соответствии с разделом 6 Положения третьи лица. ООО «Аристос Ритейл» гарантирует соблюдение Ваших следующих прав: право на получение сведений о том, какие из Ваших персональных данных хранятся у ООО «Аристос Ритейл»; право на удаление, уточнение или исправление хранящихся у ООО «Аристос Ритейл» Ваших персональных данных; иные права, установленные действующим законодательством РФ.

7.2 Настоящим Вы как субъект персональных данных даете согласие ООО «Аристос Ритейл» и ООО «Рехау», на обработку своих персональных данных, перечень которых указан в п. 4.3 Положения, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), в том числе, включая трансграничную передачу данных с учетом действующего законодательства РФ, обезличивание, блокирование, удаление, уничтожение персональных данных, с использованием и без использования средств автоматизации, в целях, указанных в п. 4.2 Положения. Вы выражаете согласие, что помимо ООО «Аристос Ритейл», доступ к Вашим персональным данным имеют в полном соответствии с разделом 6 Положения третьи лица. ООО «Аристос Ритейл» гарантирует соблюдение Ваших следующих прав: право на получение сведений о том, какие из Ваших персональных данных хранятся у ООО «Аристос Ритейл»; право на удаление, уточнение или исправление хранящихся у ООО «Аристос Ритейл» Ваших персональных данных; иные права, установленные действующим законодательством РФ.

7.4 Предоставленное Вами в соответствии с настоящим Положением согласие на обработку Ваших персональных данных действует до достижения ООО «Аристос Ритейл» и ООО «Рехау» соответствующей цели их обработки или до момента отзыва Вами указанного согласия на условия п. 7.5 Положения.

7.5 Предоставленное Вами в соответствии с настоящим Положением согласие на обработку Ваших персональных данных может быть в любой момент Вами отозвано. В указанном случае ООО «Аристос Ритейл» и ООО «Рехау» обязано прекратить обработку Ваших персональных данных или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению ООО «Аристос Ритейл») и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению ООО «Аристос Ритейл») в установленный законодательством РФ срок, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому Вы являетесь, иным соглашением между ООО «Аристос Ритейл» и Вами либо если ООО «Аристос Ритейл» не вправе осуществлять обработку персональных данных без Вашего согласия на основаниях, предусмотренных законодательством РФ.

Вы можете направить в ООО «Аристос Ритейл» одним из следующих способов отзыв предоставленного ранее согласия на обработку Ваших персональных данных:

В ряде случаев, предусмотренных пунктами 2-11 части 1 статьи 6 ФЗ «О персональных данных», ООО «Аристос Ритейл» может продолжить обработку Ваших персональных данных после отзыва Вашего согласия.

Дата выпуска Положения: 03 декабря 2018 года

1. НАШИ ОБЯЗАТЕЛЬСТВА ПЕРЕД НАШИМИ КЛИЕНТАМИ ПО ОБЕСПЕЧЕНИЮ КОНФИДЕНЦИАЛЬНОСТИ

Общество с ограниченной ответственностью «Аристос Ритейл» (далее – ООО «Аристос Ритейл») всегда будет заботиться о безопасности и защищенности Ваших данных. В настоящем Положении об обработке и защите персональных данных (далее — «Положение») указаны цели сбора Ваших данных и процесс их обработки ООО «Аристос Ритейл». Пожалуйста, внимательно ознакомьтесь с Положением.

Загружая наш веб-сайт на своем компьютере или мобильном устройстве и заполняя web-формы, содержащие Ваши персональные данные, а также передавая Ваши персональные данные ООО «Аристос Ритейл» иным способом, Вы соглашаетесь на условия, описанные в Положении.

ООО «Аристос Ритейл» обрабатывает Ваши данные в соответствии законодательством РФ. Мы гарантируем добросовестный сбор данных и сохранение их конфиденциальности.

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Персональные данные (далее- «ПДн», или «персональные данные») – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Субъект ПДн – физическое лицо (клиент, посетитель магазина), обладающее персональными данными прямо или косвенно его определяющими. В настоящем документе это физическое лицо, имеющее намерение заказать, приобрести товары и использовать в дальнейшем товары исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности.

Оператор ПДн – ООО «Аристос Ритейл» и ООО «Рехау».

Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка ПДн – обработка персональных данных с помощью средств вычислительной техники.

Неавтоматизированная обработка ПДн – обработка персональных данных при непосредственном участии человека, содержащихся в информационной системе персональных данных либо извлеченных из такой системы.

Трансграничная передача ПДн – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Магазин – пункт самовывоза Rehau, расположенный по адресу: г. Москва, ул. Дмитрия Ульянова, д. 42, стр. 1.

Интернет-магазин (далее- «Интернет-магазина», или «Интернет-магазине») – официальный интернет-магазин Rehau сайт https://shop-rehau.ru/

Товар (далее- «товар», «товаров», или «товары») – продукция Rehau.

Сообщение – письмо в электронной форме, направляемое по адресу электронной почты Субъекта ПДн и содержащее информацию рекламно-информационного характера.

3. ОБЩИЕ ПОЛОЖЕНИЯ

3.1 Настоящее Положение разработано в соответствии с Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных» и иными актами РФ. Положение определяет порядок и условия обработки ПДн компанией оператора ПДн ООО «Аристос Ритейл» и устанавливает порядок работы с ПДн, правила защиты ПДн, определяет права, обязанности и ответственность руководителей структурных подразделений и работников компании оператора ПДн ООО «Аристос Ритейл».

3.2 Целями настоящего Положения являются:

определение порядка обработки ПДн;

обеспечение соответствия порядка обработки ПДн в ООО «Аристос Ритейл» законодательству РФ в области ПДн;

обеспечение защиты ПДн.

3.3 Задачами настоящего Положения являются:

определение принципов обработки ПДн;

определение условий обработки ПДн, способов защиты ПДн;

определение прав субъектов ПДн, прав и обязанностей ООО «Аристос Ритейл» при обработке ПДн.

3.4 Настоящее Положение разработано с учетом требований следующих нормативных актов:

Конституция РФ.

Федеральный закон РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных».

Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

иные применимые акты.

3. 5 Действие настоящего Положения распространяется на процессы обработки ПДн в ООО «Аристос Ритейл» с использованием средств автоматизации, в том числе с использованием информационно-телекоммуникационных сетей, и без использования таких средств.

3.6 Принятие решений, которые затрагивают Ваши права или интересы, на основании исключительно автоматизированной обработки Ваших персональных данных не осуществляется.

3.7 ООО «Аристос Ритейл» обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

3.8 Настоящее Положение вступает в силу с момента его утверждения генеральным директором ООО «Аристос Ритейл» и действует бессрочно до замены его новым положением (новой редакцией Положения).

3.9 ООО «Аристос Ритейл» проводит пересмотр настоящего Положения и его актуализацию по мере необходимости, в частности:

при изменении порядка обработки ПДн в ООО «Аристос Ритейл»;

по результатам проверок органа по защите прав субъектов ПДн, выявившим несоответствия требованиям законодательства РФ по обеспечению безопасности ПДн;

при изменении требований законодательства РФ в области ПДн к порядку обработки и обеспечению безопасности ПДн;

в случае выявления существенных нарушений по результатам внутренних проверок системы защиты ПДн.

3.10 При внесении изменений в настоящее Положение указывается дата последнего обновления. Новая редакция вводится в действие приказом Генерального директора или иных уполномоченных представителей ООО «Аристос Ритейл». Если Вы продолжаете каким–либо образом взаимодействовать с ООО «Аристос Ритейл», в частности (не ограничиваясь) через Интернет-магазин или путем личного обращения в Магазин, Вы соглашаетесь с действующей в это время редакцией Положения, в том числе предоставляете согласие на обработку Ваших данных в соответствии с разделом 7 Положения.

4. СБОР И ПОСЛЕДУЮЩЕЕ ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. ПЕРЕЧЕНЬ И ЦЕЛИ ОБРАБОТКИ

4.1 Ваши персональные данные могут быть нами запрошены и по Вашему усмотрению предоставлены нам с целью осуществления продаж и исполнения наших обязательств при обработке Ваших заказов включая, но не ограничиваясь, следующие случаи:

Продажа товаров и предоставления сопутствующих услуг и сервисов, включая доставку товара, обеспечение возврата товаров надлежащего качества или рассмотрение претензии в отношении приобретенных товаров и(или) услуг, а также реализация иных прав и обязанностей оператора ПДн в качестве продавца и субъекта ПДн в качестве покупателя.

Консультации и любая иная коммуникация в любом виде по вопросам, относящимся к деятельности ООО «Аристос Ритейл» и Интернет-магазина, с нашими сотрудниками или сотрудниками иных компаний, с которыми взаимодействует ООО «Аристос Ритейл».

Ваши персональные данные могут обрабатываться с отдельного согласия в иных случаях по Вашему усмотрению и усмотрению ООО «Аристос Ритейл».

4.2 Ваши персональные данные могут быть нами запрошены и по Вашему усмотрению предоставлены нам с целью продвижения товаров, работ, услуг с использованием различных средств связи (электронная почта, текстовые сообщения, звонки и пр.), включая, но не ограничиваясь, следующие случаи:

С Вашего отдельного согласия участие в конкурсах, акциях, мероприятиях, опросах, исследованиях, проводимых ООО «Аристос Ритейл» и(или) или по заданию общества.

Продажа товаров и предоставления сопутствующих услуг и сервисов, включая доставку товара, обеспечение возврата товаров надлежащего качества или рассмотрение претензии в отношении приобретенных товаров и(или) услуг, а также реализация иных прав и обязанностей оператора ПДн в качестве продавца и субъекта ПДн в качестве покупателя.

Консультации и любая иная коммуникация в любом виде по вопросам, относящимся к деятельности ООО «Аристос Ритейл» и Интернет-магазина, с нашими сотрудниками или сотрудниками иных компаний, с которыми взаимодействует ООО «Аристос Ритейл».

Ваши персональные данные могут обрабатываться с отдельного согласия в иных случаях по Вашему усмотрению и усмотрению ООО «Аристос Ритейл».

4.3 Следующие данные могут быть нами запрошены и по Вашему усмотрению предоставлены:

Фамилия, Имя, Отчество (при наличии), дата рождения.

Адрес доставки.

Контактные данные (телефон, адрес электронной почты).

Данные основного документа, удостоверяющего личность.

История приобретения Вами товаров и сопутствующих услуг и сервисов.

История обращений в ООО «Аристос Ритейл» и взаимодействия с ООО «Аристос Ритейл».

Иные данные по Вашему усмотрению и усмотрению ООО «Аристос Ритейл».

4. 4 Мы работаем с проверенными третьими лицами и можем предоставить им Ваши данные. Например, для оказания услуги по доставке мы можем передать указанным третьим лицам Ваше имя, адрес для доставки и какие-либо сообщенные Вами предпочтения по доставке. Подробнее об этом указано в разделе 6 настоящего Положения.

4.5 Мы используем платежные системы проверенных третьих лиц, обеспечиваем безопасность Ваших платежей и пресекаем возможность использовать Ваши данные в мошеннических целях.

4.6 Если Вы согласились получать рекламную информацию Интернет-магазина, мы можем осуществлять это по телефону, посредством текстовых или графических сообщений, по электронном почте, в письменном виде по почте или иным образом.

4.7 Иногда ООО «Аристос Ритейл» может получать персональные данные от сторонних организаций. К таким случаям относится предоставление ваших персональных данных одной из партнерских компаний. Если вы не хотите, чтобы мы использовали ваши персональные данные, которые вы нам не предоставляли самостоятельно, то вы можете сообщить об этом по указанным ниже адресам.

4.8. Обработка персональных данных, разрешенных субъектом персональных данных для распространения. Персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом.
Обработка таких персональных данных возможна только при сборе отдельного согласия на обработку персональных данных для их распространения неограниченному кругу лиц. Бремя доказывания законности полученных данных, которые были раскрыты вследствие правонарушения лежат на Операторе персональных данных.
В согласии на распространение могут быть установлены запреты на передачу (кроме предоставления доступа) персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) персональных данных неограниченным кругом лиц. Оператор не может отказать в установлении субъектом персональных данных таких запретов и условий. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных, разращённых для распространения.
Оператор может получить согласие непосредственно, либо с использованием системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Молчание или бездействие не считается согласием на обработку таких персональных данных.
Действие согласия на распространение персональных данных заканчивается с момента направления требований о прекращении такой обработки.

5. ОБРАБОТКА ТЕХНИЧЕСКОЙ ИНФОРМАЦИИ, НЕ ОТНОСЯЩЕЙСЯ К ПЕРСОНАЛЬНЫМ ДАННЫМ

5.1 Для улучшения нашего Интернет-магазина и обеспечения наилучшего представления Вам контента на компьютере или мобильном устройстве, а также для предоставления Вам возможности быстрой и легкой навигации по нашему Интернет-магазину, мы обрабатываем такие данные, как IP-адрес, информацию о Вашем браузере и операционной системе, данные из Cookies и иную подобную информацию, которая не содержит персональные данные.

5.2 При работе с Интернет-магазином на ваш компьютер посылаются файлы Cookies — небольшие текстовые файлы. Это позволяет нам распознать ваш компьютер при следующей связи, исключая создающие неудобства запросы на регистрацию. А в случае, если вы пользуетесь «карточкой покупателя», файлы Cookies позволяют нам сохранять записи о совершенных вами покупках. Если вы не хотите получать файлы Cookies на свой компьютер, обратитесь к файлу помощи вашего браузера, чтобы узнать, как блокировать получение всех файлов Cookies, или получать в таких случаях предупреждение о посылке файла Cookies до его сохранения. Если вы хотите узнать больше о файлах Cookies, посетите сайт www.cookiecentral.com.

5.3 Такие данные передаются Вашим устройством, с которого Вы открываете наш Интернет-магазин, автоматически и используются нами исключительно в статистических целях, для анализа способов улучшения качества обслуживания, товаров и сопутствующих услуг (сервисов). По истечении некоторого времени данная информация удаляется.

6. В КАКИХ СЛУЧАЯХ МЫ ВПРАВЕ РАСКРЫВАТЬ ТРЕТЬИМ ЛИЦАМ ПРЕДОСТАВЛЯЕМЫЕ НАМ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Мы можем раскрывать Ваши персональные данные нашим сотрудникам и проверенным партнерам ООО «Аристос Ритейл», которые будут их обрабатывать по поручению ООО «Аристос Ритейл» исключительно в заявленных в настоящем Положении целях.

6.1 Мы обязуемся прикладывать необходимые усилия для защиты Вас от мошенничества и иных преступных действий. По этой причине мы можем передать имеющиеся у нас данные о Вас финансовым организациям и организациям, специализирующимся на предотвращении мошеннических и преступных действий. Иногда мы обязаны раскрывать имеющиеся у нас данные правоохранительным и иным органам власти, если это предусмотрено законодательством РФ.

6.2 Мы прикладываем все усилия для обеспечения защиты Ваших персональных данных при их предоставлении за пределы ООО «Аристос Ритейл» и гарантируем наличие процессов для их защиты. Все третьи лица, обрабатывающие персональные данные по поручению ООО «Аристос Ритейл», гарантируют соблюдение всех применимых норм и стандартов.

7. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.3 Вы также подтверждаете, что ознакомлены и согласны с Глобальной политикой конфиденциальности компании Rehau и политикой ООО «Rehau» об обработке персональных данных пользователей продукции и участников стимулирующих акций.

Лично обратившись в магазин на территории РФ с соответствующим заявлением.

Направив соответствующее заявление почтой по адресу: г. Москва, ул. Дмитрия Ульянова, д. 42, стр. 1.

Направив соответствующее заявление через форму обратной связи.

8. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКИХ ЛИЦ, ПОДПИСАВШИХСЯ НА РАССЫЛКУ

Действуя свободно, по своей воле и в своих интересах, а также подтверждая свою дееспособность, физическое лицо дает свое согласие ООО «Аристос Ритейл», расположенному по адресу: 117218, город Москва, улица Дмитрия Ульянова, 42 стр.1, (далее – Оператор), на обработку своих персональных данных со следующими условиями:

8. 1. Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.

8.2. Согласие дается на обработку следующих моих персональных данных: фамилия, имя, отчество; адреса электронной почты.

8.3. Цель обработки персональных данных: отправка новостных и информационных рассылок.

8.4. В ходе обработки с персональными данными будут совершены следующие действия: сбор, систематизация; хранение; использование; блокирование; запись; удаление; обновление; изменение; предоставление; передача (доступ).

8.5. Персональные данные обрабатываются до отзыва согласия на получение рассылок.

8.6. Согласие может быть отозвано субъектом персональных данных или его представителем путем направления письменного заявления Оператору или его представителю по адресу, указанному в начале данного Согласия, либо запроса в поддержку.

9. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКИХ ЛИЦ, ОБРАТИВШИХСЯ ЧЕРЕЗ ФОРМУ ОБРАТНОЙ СВЯЗИ

Действуя свободно, по своей воле и в своих интересах, а также подтверждая свою дееспособность, физическое лицо дает свое согласие ООО «Аристос Ритейл», расположенному по адресу: 117218, город Москва, улица Дмитрия Ульянова, 42 стр. 1, (далее – Оператор), на обработку своих персональных данных со следующими условиями:

9.1. Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.

9.2. Согласие дается на обработку следующих моих персональных данных: фамилия, имя, отчество; адреса электронной почты.

9.3. Цель обработки персональных данных: предоставление ответов на запросы, оставленные по инициативе физических лиц.

9.4. В ходе обработки с персональными данными будут совершены следующие действия: сбор, систематизация; хранение; использование; блокирование; запись; удаление; обновление; изменение; предоставление; передача (доступ).

9.5. Персональные данные обрабатываются до отзыва согласия на получение рассылок.

9.6. Согласие может быть отозвано субъектом персональных данных или его представителем путем направления письменного заявления Оператору или его представителю по адресу, указанному в начале данного Согласия, либо запроса в поддержку.

10. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ ЗАРЕГИСТРИРОВАННЫХ ПОЛЬЗОВАТЕЛЕЙ САЙТА

10.1. Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.

10.2. Согласие дается на обработку следующих моих персональных данных: фамилия, имя, отчество; адреса электронной почты.

10.3. Цель обработки персональных данных: предоставление доступа в систему, доступную для зарегистрированного пользователя; оформление заказа на товары и услуги; осуществление доставки; получение обратной связи и для улучшения качества обслуживания.

10.4. В ходе обработки с персональными данными будут совершены следующие действия: сбор, систематизация; хранение; использование; блокирование; запись; удаление; обновление; изменение; предоставление; передача (доступ).

10.5. Персональные данные обрабатываются до отзыва согласия на получение рассылок.

10.6. Согласие может быть отозвано субъектом персональных данных или его представителем путем направления письменного заявления Оператору или его представителю по адресу, указанному в начале данного Согласия, либо запроса в поддержку.

11. ЗАЩИТА ПРЕДОСТАВЛЯЕМОЙ ВАМИ ИНФОРМАЦИИ

11.1 Мы осознаем свою ответственность по защите информации, которую вы нам доверяете. ООО «Аристос Ритейл» гарантирует, что полученные от Вас данные хранятся в защищенной среде и использует различные технические способы защиты вашей личной информации, включая специальные службы охраны, брандмауэры (программный или программно-аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами).

В Интернет-магазине также можно посещать чаты, оставлять отзывы, задавать вопросы о товаре. Помните, что всякая информация личного характера (персональные данные), которую вы сообщаете в этих разделах, доступна и другим пользователям, и вы должны соблюдать определенную осторожность при принятии решения о раскрытии сведений.

11.2 Обеспечение безопасности персональных данных в ООО «Аристос Ритейл» достигается, в частности:

определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

учетом машинных носителей персональных данных;

обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональных данных в информационной системе персональных данных;

контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

11.3 Первоначальным местом сбора и хранения Ваших персональных данных является территория РФ. Впоследствии Ваши данные могут быть переданы на территорию иностранного государства в случаях и в порядке, предусмотренными законодательством РФ (трансграничная передача).

12. РАССЫЛКА EMAIL-СООБЩЕНИЙ ИНФОРМАЦИОННО-РЕКЛАМНОГО СОДЕРЖАНИЯ

12.1 Виды Сообщений, которые могут быть Вам направлены.

12.1.1 Актуальные напоминания — Сообщения о незавершенных действиях на сайте https://shop-rehau.ru/, включая, но не ограничиваясь:

Просмотренные товары.

Товары добавленные в «Корзину», на которые не был оформлен заказ.

Актуальные напоминания могут также содержать предложения приобрести товары, работы, услуги, перечень которых составляется индивидуально на основании просмотренных товаров, услуг, работ на сайте https://shop-rehau.ru/.

12.1.2 Уведомления о событии — Сообщения, содержащие анонсы событий, включая, но не ограничиваясь:

Уведомления о поступлении товара в продажу.

Уведомления о публикации ответа на заданный вопрос.

Уведомления о событии могут также содержать предложения приобрести товары, работы, услуги, перечень которых составляется индивидуально на основании просмотренных или ранее приобретенных товаров, услуг, работ на сайте https://shop-rehau.ru/.

12.1.3 Информационные сообщения — Сообщения, содержащие обзоры и новости, информацию об акциях, скидках, о специальных предложениях, включая, но не ограничиваясь:

Конкурсы.

Акции.

Информацию о бонусных программах.

Промо-коды.

Информационные сообщения могут также содержать предложения приобрести товары, работы, услуги, перечень которых составляется индивидуально на основании просмотренных или ранее приобретенных Вами товаров, услуг, работ на сайте https://shop-rehau.ru/.

12.2 Порядок предоставления Вами согласия на получение Сообщений.

12.2.1 Субъект ПДн предоставляет согласие на получение по электронной почте Сообщений одним из следующих способов:

Путем указания своего адреса электронной почты, на который Субъект ПДн желает получать Сообщения, в поле «Электронная почта» и проставлении галочки в графе «Подписаться на рассылку» или нажатии на кнопку «Отправить вопрос» или нажатии на кнопку «Сообщить о поступлении» в любой форме, предлагаемой Вам к заполнению на сайте https://shop-rehau. ru/.

Путем изменения в разделе «Мои рассылки» Личного кабинета на сайте https://shop-rehau.ru/ статуса с «Не активировано» на «Активировано» напротив вида Сообщений из п.12.1.3 и п.12.1.1, которые желает получать Субъект ПДн.

Способами, предусмотренными Публичной офертой (Правила работы Интернет-магазина), размещенной на сайте https://shop-rehau.ru/.

12.2.2 Указывая адрес электронной почты в любой форме, предлагаемой Вам к заполнению на сайте https://shop-rehau.ru/, Субъект ПДн гарантирует достоверность предоставленных данных.

12.2.3 Предоставляя согласие на получение Сообщений любым из способов, предусмотренных п.12.2.1 настоящих Условий, Субъект ПДн дает согласие на получение рекламы по сетям электросвязи в соответствии с п.1 ст.18 Федерального закона «О рекламе» №38-ФЗ от 13.03.2006 г.

12.3 Порядок отзыва Вами согласия на получение Сообщений.

12.3.1 Отзыв согласия на получение по электронной почте Сообщений осуществляется одним из следующих способов:

Путем изменения в разделе «Мои рассылки» Личного кабинета на сайте https://shop-rehau. ru/ статуса с «Активировано» на «Не активировано» напротив вида Сообщений из п.12.1.3 и п.12.1.1, от получения которых Субъект ПДн желает отказаться.

Путем перехода по ссылке «Отписаться от рассылки», содержащейся в Сообщении, и подтверждения своего желания отписаться на открывшейся странице.

12.3.2 Субъект ПДн вправе отказаться от рассылки как всех, так и отдельных видов Сообщений.

13. ТЕЛЕФОННЫЕ ЗВОНКИ

Звонки в Службу поддержки клиентов ООО «Аристос Ритейл» и звонки от Службы поддержки клиентов ООО «Аристос Ритейл» (далее – «СПК») могут записываться. Это осуществляется в заявленных в п. 4.1 настоящего Положения целях обработки Ваших данных. Совершая звонок в СПК или получая звонок от СПК и продолжая разговор с сотрудником СПК, Вы соглашаетесь на обработку предоставляемых Вами данных на условиях настоящего Положения.

14. ОБНОВЛЕНИЕ ЗАПИСЕЙ

После передачи нам своих персональных данных, за вами сохраняется возможность доступа к этой информации с целью ее изменения или удаления. Свяжитесь с нами, чтобы мы могли их изменить. ООО «Аристос Ритейл» в срок, установленный законодательством РФ, обязано внести в Ваши данные необходимые изменения.

Вы можете направить в ООО «Аристос Ритейл» одним из следующих способов требование о внесении изменений в Ваши персональные данные:

Лично обратившись в магазин с соответствующим заявлением.

Направив соответствующее заявление почтой по адресу: г. Москва, ул. Дмитрия Ульянова, д. 42, стр. 1.

Направив соответствующее заявление через форму обратной связи.

15. ДОСТУП К ИНФОРМАЦИИ

Если Вы хотите знать, какие именно Ваши персональные данные обрабатывает ООО «Аристос Ритейл», мы предоставим Вам эту информацию в установленный законодательством РФ срок.

Для получения такой информации Вы можете обратиться в ООО «Аристос Ритейл» одним из следующих способов при условии выполнения Вами требований, предусмотренных ч. 3 ст. 14 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных»:

Лично обратившись в магазин с соответствующим заявлением.

Направив соответствующее заявление почтой по адресу: г. Москва, ул. Дмитрия Ульянова, д. 42, стр. 1.

Направив соответствующее заявление в форме электронного документа, подписанного электронной подписью в соответствии с законодательством РФ, на адрес электронной почты [email protected].

При этом Ваш запрос должен содержать:

Номер основного документа, удостоверяющего Вашу личность, сведения о дате выдачи указанного документа и выдавшем его органе.

Сведения, подтверждающие Ваше участие в отношениях с ООО «Аристос Ритейл» (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором.

Вашу подпись (в случае электронного заявления – электронную подпись).

16. СПЕЦИАЛЬНАЯ ИНФОРМАЦИЯ ДЛЯ РОДИТЕЛЕЙ, ОПЕКУНОВ, ПОПЕЧИТЕЛЕЙ

Поскольку Интернет-магазин в общем не предназначены для посещения детьми до тринадцати лет, политика выполняет существующие законы, требующие, чтобы родители или назначенные опекуны, попечители были защищены от несанкционированной передачи информации детьми младше тринадцати лет, ее использования или открытия третьим лицам. Мы настоятельно рекомендуем родителям, назначенным опекунам, попечителям присматривать за действиями и бездействиями своих детей, посещающих Интернет-магазин.

17. ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ

Время от времени данный интернет-магазин Rehau может давать ссылки на другие сайты. Внимательно ознакомьтесь с политикой в области конфиденциальности и защиты персональных данных, предоставленной на этих сайтах, поскольку они могут отличаться от политики в области конфиденциальности и защиты персональных данных ООО «Аристос Ритейл»

18. ВОПРОСЫ

Если у Вас есть какие-либо вопросы в отношении настоящего Положения свяжитесь с нами через форму обратной связи.

19. КАКИЕ ИЗМЕНЕНИЯ МЫ МОЖЕМ ВНОСИТЬ В ПОЛОЖЕНИЕ

ООО «Аристос Ритейл» вправе периодически обновлять настоящее Положение. Датой выпуска считается дата, указанная в верхней части Положения. Если Вы продолжаете каким–либо образом взаимодействовать с ООО «Аристос Ритейл», в частности (не ограничиваясь) через Интернет-магазин или путем личного обращения в Магазин, Вы соглашаетесь с действующей в это время редакцией Положения.

Как доказать наличие согласия на обработку ПД в суде? — PDMaster.ru

По сути, посетитель сайта, нажимая на «галочку» дает согласие на обработку своих ПДн в соответствии с законодательством, в принципе нет оснований полагать, что такое действие недействительное при условии, что соблюдены требования об информированности посетителя (на сайте размещена Политика обработки ПДн, пользовательское соглашение, оферта).

Если это интернет-магазин, то без этого согласия не возможно будет оформить покупку.

Так как надо знать данные покупателя, куда отправлять, как связаться с покупателем.

То есть в данном случае доказательством может служить онлайн-оплата товара. Предъявляется онлайн-чек, который был выслан на электронную почту посетителя.

Конечно надо учесть каким образом осуществляется оплата товара (яндекс-деньги, QIWI, или непосредственно на счет продавца и т.д.).

Также можно предусмотреть подтверждение отправкой электронного письма или смс с кодом, который вводит посетитель сайта, таким образом происходит проставление простой электронно-цифровой подписи. Вся переписка и действия фиксируются программой.

В настоящее время практически во все организации можно обратиться посредством электронного обращения, при котором также необходимо проставить «галочку» о согласии на обработку ПДн.

В одном из решений судом указано, что если речь идет о согласии в форме электронного документа, то оно должно сопровождаться электронной подписью, т.е. обязательным реквизитом.

Суды принимают в качестве доказательств предоставление смс-кода, электронной почты и т.д. о чем свидетельствует обширная судебная практика в сфере оформления кредитов онлайн. К примеру вот одна из выдержек из решения.

» …Согласно пунктам 2.1.,2.2.,2.3 Правил предоставления потребительского займа ООО «Мани Мен», расположенных на официальном сайте истца, клиент, имеющий намерение получить заём, заходит на сайт и путем заполнения размещенной на сайте формы предоставляет кредитору свой номер телефона и адрес электронной почты. По завершении заполнения анкеты-заявления клиент путем проставления кода, полученного посредством SMS-сообщения от кредитора (простой электронной подписи), подписывает анкету-заявление и дает согласие на обработку персональных данных , а также принимает на себя иные обязательства, содержащиеся в документе » Согласия и обязательства Заемщика», размещенном на сайте (пункт 2,8. Правил). При принятии положительного решения о заключении договора займа с клиентом кредитор направляет клиенту оферту, содержащую Индивидуальные условия договора потребительского займа (пункт 4.1 Правил). Пункт 4.3 Правил устанавливает, что акцептуя оферту, клиент обязуется возвратить сумму займа и начисленные на нее проценты за пользование займом в размере и сроки, предусмотренные офертой. Согласно п.4.5 Правил оферта признается акцептованной клиентом в случае, если в течение 5 (пяти) рабочих дней со дня предоставления ему оферты клиент подпишет размещенную на сайте , в том числе в личном кабинете, оферту специальным кодом (простой электронной подписью), полученным в SMS-сообщении от кредитора…».

То есть доказательства это — описание процедуры получения ПДн, плюс подпись клиента простой электронной подписью (код смс), плюс электронное уведомление.

Как предоставлять доказательства в суд. Посредством распечатывания данных из программы и /или скриншотов, заверенных непосредственно оператором (кто осуществляет обработку ПДн), пояснений технических специалистов, либо же назначение и проведение судебной экспертизы.

И как уже говорилось ранее, ситуация рассматривается отдельно в каждом конкретном случае. В случае возникновения вопросов, рекомендовано обратиться к специалистам. Причем сделать это еще до начала обработки ПДн.

Если у вас остались вопросы в корректности подготовленного документа «Согласие передачу персональных данных»? Направьте документ, мы проведем проверку и сообщим результаты.

Соглашение на обработку персональных данных

Текст соглашения на обработку данных:

Настоящим в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27.07.2006 года Вы подтверждаете свое согласие на обработку компанией ООО ЗПИ «Альтернатива» персональных данных: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу исключительно в целях продажи программного обеспечения на Ваше имя, как это описано ниже, блокирование, обезличивание, уничтожение.

Компания ООО ЗПИ «Альтернатива» гарантирует конфиденциальность получаемой информации. Обработка персональных данных осуществляется в целях эффективного исполнения заказов, договоров и иных обязательств, принятых компанией ООО ЗПИ «Альтернатива» в качестве обязательных к исполнению.

В случае необходимости предоставления Ваших персональных данных правообладателю, дистрибьютору или реселлеру программного обеспечения в целях регистрации программного обеспечения на ваше имя, вы даёте согласие на передачу ваших персональных данных. Компания ООО ЗПИ «Альтернатива» гарантирует, что правообладатель, дистрибьютор или реселлер программного обеспечения осуществляет защиту персональных данных на условиях, аналогичных изложенным в Политике конфиденциальности персональных данных.

Настоящее согласие распространяется на следующие Ваши персональные данные: фамилия, имя и отчество, адрес электронной почты, почтовый адрес доставки заказов, контактный телефон, платёжные реквизиты.

Срок действия согласия является неограниченным. Вы можете в любой момент отозвать настоящее согласие, направив письменное уведомления на адрес: 452615, г.Октябрьский, ул. 8 марта, д. 9а с пометкой «Отзыв согласия на обработку персональных данных».

Обращаем ваше внимание, что отзыв согласия на обработку персональных данных влечёт за собой удаление Вашей учётной записи с Интернет-сайта (https://alternat.ru), а также уничтожение записей, содержащих ваши персональные данные, в системах обработки персональных данных компании ООО ЗПИ «Альтернатива», что может сделать невозможным пользование интернет-сервисами компании ООО ЗПИ «Альтернатива».

Гарантирую, что представленная мной информация является полной, точной и достоверной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мною в отношении себя лично.

Настоящее согласие действует в течение всего периода хранения персональных данных, если иное не предусмотрено законодательством Российской Федерации.

Правила (условия) приобретения товаров в интернет-магазине ООО «РусПластТорг»

1. ОБЩИЕ ПОЛОЖЕНИЯ

Информация, размещенная на сайте интернет-магазина ООО «РусПластТорг», содержит условия предложения покупки товара и представляет собой публичную оферту согласно ст. 437 Гражданского кодекса Российской Федерации. Акцептом Покупателя является оформление заказа на предложенный товар.

В своей деятельности интернет-магазин руководствуется положениями Гражданского кодекса Российской Федерации, Законом Российской Федерации от 07.02.1992 N 2300-1 «О защите прав потребителей», Правилами продажи товаров дистанционным способом, утвержденными Постановлением Правительства Российской Федерации от 27.09.2007 N 612 и иным действующим законодательством Российской Федерации.

Настоящие Правила (условия) могут быть изменены интернет-магазином без какого-либо специального уведомления, новая редакция Правил (условий) вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Правил (условий), и не распространяется на правоотношения между Покупателем и интернет-магазином, возникшие до вступления новой редакции Правил (условий) в силу. Действующая редакция Правил (условий) всегда находится на странице по адресу: https://www.alternat.ru/oferta.pdf.

2. ОПРЕДЕЛЕНИЯ УСЛОВИЙ

Интернет-магазин — часть торгового предприятия/торговой организации или торговая организация, предназначенная для предоставления покупателю посредством сети Интернет сведений, необходимых при совершении покупки, в том числе об ассортименте товаров, ценах, продавце, способах и условиях оплаты и доставки, для приема от покупателей посредством сети Интернет сообщений о намерении приобрести товары, а также для обеспечения возможности доставки товаров продавцом либо его подрядчиком по указанному покупателем адресу либо до пункта самовывоза.

Веб-сайт интернет-магазина — принадлежащая интернет-магазину и администрируемая им совокупность логически связанных между собой веб-страниц, содержащих данные о товарах и условиях их покупки, по адресу https://www.alternat.ru.

Товар – изделие из пластмасс, представленный в каталоге интернет-магазина на его сайте.

Покупатель — лицо, как приобретающее либо заказывающее товар, так и намеревающееся заказать или уже использующее товар для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности.

Персональные данные — информация, предусмотренная Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», добровольно и осознанно предоставляемая Покупателем при оформлении заказа в интернет-магазине и необходимая для исполнения интернет-магазином заказа Покупателя. Интернет-магазин, осуществляющий по мере необходимости обработку персональных данных Покупателей, принял достаточные организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним или их уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

Защита персональных данных — меры интернет-магазина по обработке персональных данных Покупателя с целью статистических обработок, маркетинговых исследований, повышения эффективности обслуживания каждого Покупателя, предоставления эксклюзивной информации о специальных предложениях, новинках и других маркетинговых материалов.

Заказ — электронная или устная заявка Покупателя на приобретение Товара из каталога интернет-магазина, согласованная Сторонами, принятая и оформленная оператором интернет-магазина.

Договор — соглашение купли-продажи между Покупателем и интернет-магазином о приобретении Покупателем определенных Товаров по определенной цене, с доставкой в согласованные сроки на определенных условиях доставки или получения.

Услуги — комплекс мероприятий интернет-магазина в отношении Покупателя, осуществляемый с целью исполнения условий Договора, включающий в себя, но не исчерпывающий, такие услуги, как доставка Заказа Покупателю, информирование Покупателя о процессе исполнения Договора и т.д.

3. УСЛОВИЯ ПРИОБРЕТЕНИЯ ТОВАРА

Защита интеллектуальной собственности.

Вся текстовая информация и графические изображения, размещенные на сайте, являются собственностью интернет-магазина.

Электронный каталог. Описание и цена Товара.

Вся информация о Товаре, представленная на сайте, носит информационный характер, не является рекламой и не может в полной мере передавать всю информацию о свойствах и характеристиках Товара.

Фото, схемы, рисунки, видеоизображения образцов Товара в каталоге являются собственностью интернет-магазина. Каждое изображение образца сопровождается текстовой информацией о Товаре. Качество настройки и особенности экрана компьютера Покупателя могут искажать цветовую гамму представленного Товара. Покупатель имеет право обратиться в службу поддержки интернет-магазина за дополнительной информацией о заинтересовавшем его Товаре. По просьбе Покупателя менеджер интернет-магазина обязан предоставить (по телефону или посредством электронной почты) прочую информацию, необходимую и достаточную, с точки зрения Покупателя, для принятия им решения о покупке Товара.

Товар может иметь незначительные отличия от изображения, представленного на сайте, по цвету, форме, размеру или другим параметрам. Любые характеристики Товаров могут быть изменены изготовителем Товара без предварительного уведомления. Товар в случаях, предусмотренных законодательством Российской Федерации, имеет все необходимые сертификаты и полностью соответствует нормам и требованиям законодательства Российской Федерации.

В случае возникновения у Покупателя вопросов, касающихся свойств и характеристик Товара, перед созданием Заказа, Покупатель должен обратиться за консультацией в интернет-магазин.

Ответственность Сторон за достоверность информации.

Каждая Сторона несет ответственность за недостоверность предоставляемой ею информации.

Интернет-магазин не несет ответственности за точность и правильность информации, предоставляемой Покупателем при регистрации на Сайте и при создании Заказа.

Для оформления Заказа Покупатель должен предоставить действительные данные, необходимые для выполнения Заказа. Ответственность за действительность и/или актуальность предоставленных данных, а также за некорректные данные, предоставленные Покупателем и/или представителем Покупателя, несет Покупатель.

Настоящими Условиями Покупатель уведомлен, что продажа Товара в интернет-магазине осуществляется в реальном времени (круглосуточно) и подразумевает изменение цены и его наличия без предварительного уведомления об этом. В связи с этим Товар резервируется за Покупателем только после обработки Заказа службой комплектации интернет-магазина и полной предоплаты за Товар.

Договор считается окончательно заключенным в надлежащей форме с момента выдачи интернет-магазином Покупателю кассового или товарного чека или иного документа, подтверждающего оплату Товара.

Иной момент или иные условия заключения Договора могут быть специально предусмотрены законом или самим Договором (в том числе условиями стандартных форм, к которым присоединяется Покупатель).

Ограничение ответственности интернет-магазина за Товар и его использование.

Нарушение Покупателем установленных правил пользования Товаром освобождает интернет-магазин от ответственности.

Интернет-магазин освобождается от ответственности за неисполнение обязательств или за ненадлежащее исполнение обязательств, если докажет, что неисполнение обязательств или их ненадлежащее исполнение произошло вследствие непреодолимой силы, а также по иным основаниям, предусмотренным законом.

Интернет-магазин освобождается от ответственности за вред, причиненный жизни, здоровью или имуществу Покупателя вследствие конструктивных, производственных, рецептурных или иных недостатков Товара, если докажет, что вред причинен вследствие нарушения Покупателем установленных правил использования, хранения или транспортировки товара.

Заказ Товара.

Заказ Товара может быть направлен Покупателем следующими способами:

самостоятельным помещением Товара в «корзину», заполнением формы заказа;

звонком оператору кол-центра интернет-магазина с указанием Товара и предпочтительных условий его приобретения.

При этом интернет-магазин информирует Покупателя о том, что Заказ Покупателя и обязательства интернет-магазина возникают в момент согласования Покупателем состава Заказа, его стоимости и способа доставки с менеджером кол-центра интернет-магазина. Оформление Заказа происходит только после подтверждения заявки на Товар и корректности Персональных данных Покупателя.

В случае изменения состава Заказа при его обработке службами интернет-магазина его переформирование возможно только после согласования с Покупателем его окончательной комплектации.

Случаи удаления Товара самим интернет-магазином из согласованного Заказа.

Интернет-магазин информирует Покупателя об отсутствии у него годного Товара, что выяснилось при натурной комплектации Заказа и предпродажной проверке Товара, а обнаруженный самим интернет-магазином бракованный Товар не мог быть заменен качественным в разумные сроки.

Доставка Товара.

Способ доставки или получения Товара Стороны согласовывают при оформлении Заказа.

Интернет-магазин вправе доставить Товар с привлечением услуг третьих лиц, оставаясь ответственным за надлежащее выполнение своих обязательств.

Способы доставки Товаров указаны на сайте.

Стоимость доставки рассчитывается индивидуально (исходя из габаритов, региона, формы оплаты и способа доставки). Итоговая стоимость доставки Заказа согласовывается с Покупателем посредством телефонного звонка менеджера интернет-магазина в момент оформления Заказа.

Интернет-магазин приложит все возможные усилия для доставки Покупателю Товара так быстро, как это будет возможно, с учетом выбранного способа доставки.

В случае если доставка Заказа осуществляется Почтой России, ответственность за его сохранность и сроки прохождения по территории Российской Федерации с момента передачи отправления в почтовое отделение несет Почта России. Рассмотрение рекламаций на розыск почтовых отправлений производится в соответствии с правилами работы Почты России.

Если доставка Заказа произведена в установленные сроки, но Заказ не был передан Покупателю по его вине, последующая доставка производится в новые сроки, согласованные с продавцом, после повторной оплаты Покупателем стоимости услуг по доставке Товара.

Получение Заказа.

При выборе курьерского способа доставки, а также при получении в пункте выдачи Товара Покупатель имеет возможность в момент передачи Товара проверить его качество и комплектацию, ознакомиться с правилами возврата Товара.

При доставке Заказ вручается непосредственно Покупателю либо лицу, указанному в качестве Получателя Заказа.

При вручении предоплаченного Заказа Курьер в целях предотвращения случаев мошенничества имеет право потребовать документы, удостоверяющие личность получателя. При этом интернет-магазин гарантирует Конфиденциальность и защиту Персональной информации получателя.

В случае если доставка Заказа произведена в оговоренные сроки, но Курьер не смог передать Товар Покупателю по вине получателя, последующая доставка производится в новые сроки, согласованные с продавцом. Повторная доставка Товара возможна только после подтверждения повторной оплаты Покупателем стоимости доставки.

В случае доставки Товара Покупателю с привлечением Третьих лиц при получении Товара Покупатель должен проверить комплектность и целостность Заказа с момента вскрытия упаковки, зафиксировать повреждения (если таковые имеются) посредством фото/видео съёмки, заполнить анкету, прилагаемую с товаром, и отправить менеджеру кол-центра интернет-магазина на контактный e-mail или телефон обращение с прикрепленными фото/видео материалами. Интернет-магазин в праве отказать Покупателю возмещение поврежденного товара, если на фото/видео материалах отсутствует момент вскрытия упаковки и отсутствует заполненная анкета.

При выборе доставки Заказа с помощью Почты России Покупатель может аннулировать Заказ (отказаться от Товара) вплоть до момента передачи его интернет-магазином в почтовое отделение. После этого аннулирование Заказа невозможно. В случае выбора способа доставки с помощью Почты России вернувшийся в интернет-магазин по вине Покупателя Заказ высылается Покупателю вновь только после согласия на дополнительную оплату стоимости услуг по доставке возвращенного Товара и стоимости услуг по их повторной пересылке Покупателю.

Отказ от Товара, возврат Товара.

Покупатель вправе отказаться от Товара в любое время до момента передачи его интернет-магазином в почтовое отделение, а после передачи Товара — в течение семи дней с момента получения.

Возврат товара надлежащего качества возможен в случае, если сохранены его товарный вид, потребительские свойства, а также документ, подтверждающий факт и условия покупки указанного товара. Отсутствие у Покупателя документа, подтверждающего факт и условия покупки Товара, не лишает его возможности ссылаться на другие доказательства приобретения Товара в данном интернет-магазине.

При отказе Покупателя от товара интернет-магазин должен возвратить ему денежную сумму, уплаченную Покупателем по договору, за исключением расходов продавца на доставку от Покупателя возвращенного товара, не позднее чем через десять дней со дня предъявления Покупателем соответствующего требования.

Возврат платы за Товар.

Способ:

безналичным переводом средств на платежную карту Покупателя, с которой осуществлялась оплата за Товар;

Прочие условия.

К отношениям между Покупателем и интернет-магазином применяется законодательство Российской Федерации.

В случае возникновения со стороны Покупателя вопросов и претензий он должен обратиться в Службу по работе с Покупателями интернет-магазина по телефону, указанному на Сайте. Все возникающее споры стороны будут стараться решить путем переговоров, при недостижении соглашения спор может быть передан на рассмотрение в суд в соответствии с действующим законодательством Российской Федерации.

СОГЛАСИЕ на обработку персональных данных

Настоящим я, свободно, своей волей и в своем интересе в соответствии с положениями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (с изменениями и дополнениями) даю свое согласие: Обществу с ограниченной ответственностью «Планета Авто», адрес: 454128, г. Челябинск, ул. Братьев Кашириных, 143 (далее – «Общество»), его филиалам и обособленным подразделениям, а также следующим Операторам (далее – «Операторы»):
ООО «Планета Авто Групп», адрес: 454003, г. Челябинск, ул. Братьев Кашириных, 143;
на обработку своих персональных данных, указанных при регистрации и/или оставлении запроса, заявки на получение предложения и/или подписании на получение рекламной информации путем заполнения веб-формы на сайте http://cadillac.planeta-avto.ru и его поддоменов (далее – «Сайт»), направляемой (заполненной) с использованием Сайта.

Под персональными данными понимается любая информация, относящаяся ко мне как к субъекту персональных данных, в том числе: фамилия, имя, отчество, паспортные данные, дата и место рождения, адрес места жительства, контактные данные (номер домашнего, мобильного, рабочего телефонов, адрес электронной почты), семейное, социальное, имущественное положение, образование, профессия, информация об автомобиле (в случае наличия автомобиля), данные обо мне, которые станут известны в ходе исполнения договоров (в случае заключения договоров между мной и Обществом), а также иная общедоступная информация обо мне.

Я согласен с тем, что в рамках обработки персональных данных Общество, а также Операторы, поименованные выше, вправе осуществлять сбор, запись, систематизацию, накопление, анализ, использование, извлечение, распространение, передачу Операторам и / или любым иным третьим лицам, получение, обработку, хранение, уточнение (обновление, изменение), обезличивание, блокирование, удаление, уничтожение моих персональных данных путем ведения баз данных автоматизированным, механическим, ручным способами в целях:

ведения и актуализации клиентской базы;
получения и исследования статистических данных об объемах продаж и качестве оказываемых услуг;
проведения маркетинговых программ;
изучения конъюнктуры рынка автомобилей, автомобильных запасных частей и аксессуаров, услуг по ремонту автомобилей;
проведению опросов и исследований, направленных на выявление удовлетворенности/неудовлетворенности Пользователя, постоянного совершенствования уровня предоставляемых услуг;
информирования меня о предлагаемых Обществом/Оператором автомобилях, запасных частях и аксессуарах, оказываемых услугах, проводимых бонусных мероприятий, акций и т.д.;
рекламирования и иного любого продвижения товаров и услуг на рынке путем осуществления прямых контактов со мной и иными потребителями;
реализации страховых продуктов, в том числе, но, не ограничиваясь, оформление полисов КАСКО, ОСАГО и т.д.;
технической поддержки при обработке информации, документации и персональных данных с использованием средств автоматизации и без такого использования.

Согласие на обработку персональных данных

Настоящим в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27.07.2006 года свободно, своей волей и в своем интересе выражаю свое безусловное согласие на обработку моих персональных данных АО «ЕЭТП», зарегистрированным в соответствии с законодательством РФ по адресу Кожевническая, д. 14, стр. 5, Москва, Россия, 115114 (далее по тексту — Оператор).
Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу.
Настоящее Согласие выдано мною на обработку следующих персональных данных: фамилия, имя, отчество, телефон, e-mail, а так же иных предоставляемых мною данных.

Согласие дано Оператору для совершения следующих действий с моими персональными данными с использованием средств автоматизации и/или без использования таких средств: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.
Данное согласие дается Оператору для обработки моих персональных данных в следующих целях:

предоставление мне услуг/работ;
направление в мой адрес уведомлений, касающихся предоставляемых услуг/работ;
подготовка и направление ответов на мои запросы;
направление в мой адрес информации, в том числе рекламной, о мероприятиях/товарах/услугах/работах Оператора.

Настоящее согласие действует до момента его отзыва путем направления соответствующего уведомления на электронный адрес [email protected]. В случае отзыва мною согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без моего согласия при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.06.2006 г.

Соглашение на обработку персональных данных

Предоставляя свои персональные данные на сайте https://kotka-babaska.ru/ (далее — Сайт) Покупатель даёт согласие на обработку, хранение и использование своих персональных данных на основании ФЗ № 152-ФЗ «О персональных данных» от 27.07.2006 г. в следующих целях:

Регистрации Пользователя на сайте

Осуществление клиентской поддержки

Получения Пользователем информации о маркетинговых событиях

Выполнение Продавцом обязательств перед Покупателем

Проведения аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг.

Под персональными данными подразумевается любая информация личного характера, позволяющая установить личность Покупателя такая как:

Фамилия, Имя, Отчество

Дата рождения

Контактный телефон

Адрес электронной почты

Почтовый адрес

Пользователь, оставляя свои персональные данные:

Подтверждает, что все указанные им данные принадлежат лично ему

Подтверждает и признаёт, что им внимательно в полном объёме прочитано Соглашение и условия обработки его персональных данных, указываемых им в полях он-лайн заявки (регистрации, формы подписки), текст соглашения и условия обработки персональных данных ему понятны

Пользователь, предоставляет персональные данные ИП Шушеньков Константин Владимирович, который может осуществлять их обработку и следующие действия:

Сбор и накопление

Хранение в течение установленных нормативными документами сроков хранения отчётности, но не менее трёх лет, с момента даты прекращения пользования услуг Пользователем

точнение (обновление, изменение)

Использование

Уничтожение

Обезличивание

Персональные данные Покупателей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства. Продавец обязуется не передавать полученные персональные данные третьим лицам, за исключением следующих случаев:

По запросам уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ

Стратегическим партнерам, которые работают с Продавцом для предоставления продуктов и услуг, или тем из них, которые помогают Продавцу реализовывать продукты и услуги потребителям. Мы предоставляем третьим лицам минимальный объем персональных данных, необходимый только для оказания требуемой услуги или проведения необходимой транзакции.

Отзыв согласия на обработку персональных данных может быть осуществлен путём направления Пользователем соответствующего распоряжения в простой письменной форме на адрес электронной почты [email protected] .

Сайт не несёт ответственности за использование (как правомерное, так и неправомерное) третьими лицами информации, размещённой Пользователем на Сайте, включая её воспроизведение и распространение, осуществленные всеми возможными способами.

Юридические правила при торговле или обмене личными данными

Покупка, продажа или лицензирование — это разные способы обмена личными данными. В результате организации часто могут быстро получить новый доход. Однако личные данные не являются классическим товаром, поэтому можно ли их просто продать или обменять? Какие правовые нормы следует учитывать?

1. Продажа персональных данных

1.1. Совместима ли продажа с первоначальной целью?

Не обращая внимания на юридический вопрос «владения» персональными данными, некоторые организации со временем осознают, что (части) их клиентской базы данных более ценны, чем предполагалось на первый взгляд.Могут ли эти организации использовать эти личные данные, чтобы зарабатывать деньги, продавая их?

Продажа личных данных — это отдельная обработка с отдельной целью, о которой субъект данных должен быть прозрачно проинформирован. Если личные данные были собраны для первоначальной цели, отличной от продажи, такой как предоставление услуг или отправка коммерческих сообщений от продавца, личные данные не могут быть проданы.

В конце концов, цель покупателя почти всегда несовместима с первоначальной целью продавца .Это тем более важно, когда, как это часто бывает, политика конфиденциальности соответствующей организации предусматривает, что личные данные не будут передаваться третьим лицам без согласия соответствующего субъекта данных.

Поэтому нелегко перепродать вашу базу данных клиентов, если это не было намерением во время сбора личных данных. Однако это также не совсем невозможно. Однако, если передача не соответствует первоначальной цели, субъекты данных должны дать свое согласие и быть проинформированы, как описано ниже.

1.2. Как часть бизнес-модели посредника?

1.2.1. Что такое брокер данных?

Другие организации, так называемые брокеры данных , с самого начала строят свою бизнес-модель на торговле персональными данными. Подумайте об организациях, которые собирают данные из частных и / или государственных источников, а затем объединяют их в профиле, чтобы продать их финансовым учреждениям. Эти профили можно использовать для оценки кредитоспособности человека.

1.2.2.Прозрачность и GDPR

Организации с такой бизнес-моделью также подчиняются правилам GDPR . Во время сбора персональных данных субъект данных должен быть проинформирован о правовой основе для обработки и своих правах, а также о передаче своих персональных данных другим организациям. Рекомендуется, чтобы брокеры данных подробно задокументировали свои процессы и обязательства в соответствии с GDPR, чтобы покупатель подготовил их к комплексной проверке (см. Ниже в пункте 3).

Из рекомендации Управления по защите данных Бельгии (DPA) по прямому маркетингу следует, что прозрачность передачи личных данных очень важна. Например, субъекты данных должны быть проинформированы об обработке их персональных данных брокером данных, и должна быть предоставлена дополнительная информация о передаче, например:

Конкретная личность получателей (т.е. покупателей) или по адресу как минимум категории получателей (например,свой сектор).
Действия , выполняемые получателями (например, тип услуг или продуктов, которые они предлагают).
Обработка , которую будут выполнять получатели (например, обогащение и то, как это делается). DPA заявляет, что при обогащении данных следует объяснить, какими другими данными, из какой другой базы данных они обогащаются, каким организациям предоставляются эти расширенные данные и для каких целей эти организации будут использовать расширенные данные.
Если получатель будет использовать личные данные для отправки коммерческих сообщений / рекламы , также необходимо указать метод и максимальную частоту. Если эти рекламные объявления отправляются с помощью электронных средств (например, электронная почта, поведенческая реклама и т. Д.), Также необходимо получить согласие субъекта данных.
Правовая основа для перевода и правовая основа для дальнейшей обработки получателем.

1.2.3. Будьте осторожны с общедоступной информацией

Когда дело доходит до общедоступной информации, например, доступной в общедоступном профиле Facebook, брокеру данных следует быть очень осторожным.Тот факт, что личные данные общедоступны, не означает, что их можно собирать (путем очистки), обогащать и перепродавать. Брокер данных должен всегда соблюдать цель, для которой эта информация была опубликована субъектом данных.

1.3. База данных клиентов в случае банкротства

Интересное противоречие может возникнуть в контексте банкротства. Куратор должен ликвидировать активы обанкротившейся организации, но он также должен уважать основные права, такие как право на неприкосновенность частной жизни.Куратор может продать клиентскую базу данных обанкротившейся организации, но в большинстве случаев он может сделать это только с согласия субъектов данных.

1.4. Могут ли государственные органы продавать личные данные?

Раньше государственные органы или государственные службы продавали личные данные граждан коммерческим организациям. Например, для некоторых коммерческих организаций особенно ценны данные об адресах заявителей на получение разрешения на строительство.

Тем не менее, государственные органы или государственные службы также подчиняются правилам GDPR , хотя административные штрафы не могут быть наложены на большинство государственных органов или государственных служб в Бельгии. В конце концов, сомнительно, что продажа личных данных может быть согласована с обязательствами по обеспечению прозрачности или установленным законом мандатом.

Государственные органы или государственные службы иногда могут быть юридически обязаны сделать определенные данные общедоступными или доступными для повторного использования, но обычно это не личные данные.В этом случае повторное использование подлежит типовой лицензии.

2. Лицензия на использование личных данных

Помимо продажи личных данных, также возможно сохранить базу данных клиентов и содержащиеся в ней личные данные и предоставить право использования другим организациям. После этого персональные данные будут лицензированы.

При соблюдении определенных условий база данных клиентов или другой набор (личных) данных организации (лицензиара) может быть защищен в соответствии с законом sui generis о базах данных .Лицензируя такую базу данных, лицензиар может определять условия ее использования и срок действия в лицензионном соглашении . Это дает лицензиару больше контроля, чем при продаже.

В этом случае также полностью применим GDPR , и прозрачность в отношении субъектов данных очень важна.

3. Покупка персональных данных

3.1. Какие правила применяются?

Организации, приобретающие персональные данные, могут ошибочно полагать, что правила обработки персональных данных, такие как GDPR , больше не применяются к ним, поскольку они не собирают персональные данные непосредственно от субъектов данных.Однако эти правила нельзя обойти, , покупая личные данные через другую организацию.

Если личные данные приобретаются, применяются те же правила, как если бы покупатель собирал личные данные сам. Субъект данных также должен быть проинформирован покупателем не позднее в момент первого контакта с субъектом данных, за исключением случаев, когда это невозможно или необоснованно. Например, если электронное письмо для прямого маркетинга отправляется субъекту данных, адрес электронной почты которого был приобретен, этот субъект данных также должен быть проинформирован посредством этого исходного электронного письма, среди прочего, о:

Какие личные данные обрабатываются,
Для какой цели и на каком правовом основании,
Как были получены персональные данные (например,грамм. через брокера данных),
Как долго будет происходить обработка,
Как можно реализовать права.

По мнению польского надзорного органа, тот факт, что покупатель имеет только почтовый адрес субъекта данных, не освобождает его от обязанности предоставлять информацию. Польский надзорный орган не принял во внимание высокую стоимость почтовой корреспонденции и посчитал, что уведомление по почте не было необоснованным.

3.2. Комплексная проверка и договорные отношения

Кроме того, всегда требуется комплексная проверка продавца. Покупатель должен проверить происхождение данных, а также то, как они были собраны, на каком правовом основании, кем, для каких целей, в течение какого периода и для какой обработки. Другими словами, покупатель должен проверить, были ли личные данные собраны в соответствии с GDPR. Например, если брокер данных утверждает, что субъекты данных дали согласие на продажу их данных в маркетинговых целях, покупатель должен это подтвердить.Если он этого не сделает и согласие позже окажется недействительным, он нарушит GDPR. По крайней мере, так решил надзорный орган Великобритании.

В качестве покупателя всегда рекомендуется заключать соответствующие договорные отношения с продавцом. Обратите внимание, что недостаточно, чтобы продавец просто гарантировал, что личные данные были собраны в соответствии с GDPR. Такая гарантия не освобождает покупателя от собственной ответственности в соответствии с GDPR.

У вас есть вопросы по покупке или продаже персональных данных? Свяжитесь с Timelex.

Покупка или продажа бизнеса? Четыре вопроса о защите данных, которые следует задать при слияниях и поглощениях

Персональные данные Информация, которая относится к идентифицированному или идентифицируемому физическому лицу … является одним из самых ценных активов компании. Понимание и осознание его ценности — важный фактор при покупке и продаже бизнеса. Оказывая помощь клиентам, участвующим в слияниях и поглощениях, опыт DPO Centre показывает, что соображения защиты данных сводятся к четырем основным вопросам, а именно:

1. Имеет ли продавец право передавать перемещение данных из одного места в другое, это может быть, например, от одного контроллера данных к другому или из одной юрисдикции в другую…. личные данные?
2. Может ли покупатель использовать данные на законных основаниях С точки зрения защиты данных, они должны соответствовать одному из соответствующих законных оснований для обработки и не должны противоречить каким-либо другим законодательным или общим обязательствам …. после продажи?
3. Являются потенциальными обязательствами по защите данных Штрафы и штрафы, которые могут быть наложены надзорным органом в отношении контроллеров или обработчиков данных, а также право субъектов данных добиваться судебных средств правовой защиты в случае неправомерного использования их данных…. понял?
4. Были ли соображения защиты данных в достаточной мере встроены в процесс транзакции — серия действий или шагов, предпринятых для достижения определенной цели ….?

Благодаря анализу, полученному с помощью всеобъемлющего инструментария, который DPO Center разработал, чтобы ответить на эти вопросы, в этом блоге мы рассмотрим некоторые основные соображения по защите данных и идеи, лежащие в их основе.

Вправе ли продавец передавать личные данные?

До GDPR в основе большинства предприятий лежало предположение, что они владеют и могут свободно получать прибыль от личных данных, которыми они владеют, будь то данные их клиентов, сотрудников, поставщиков, заинтересованных сторон или данные, хранящиеся в их маркетинговых базах данных.GDPR значительно адаптировал это восприятие, поэтому теперь существует большее понимание того, что персональные данные остаются собственностью субъекта данных, лица, которое может быть идентифицировано или идентифицируемым по данным … и не могут быть переданы без разбора.

Итак, существуют ли обстоятельства, при которых продавцы не могут на законных основаниях передавать личные данные покупателю? Вот некоторые из ключевых моментов, которые следует учитывать:

- Политика конфиденциальности продавцов Термин, используемый для описания ряда документов (таких как Уведомления о конфиденциальности и Реестры действий по обработке), которые используются для учета и объяснения субъектам данных, как их данные должны обрабатываться (чаще всего связаны с веб-сайтом). «политика конфиденциальности»)…. разрешить продажу бизнеса и смену собственника?
- Если субъекты данных предоставили свое согласие Недвусмысленное, информированное и свободно данное физическое лицо, согласное на обработку их персональных данных … (включая явное согласие и согласие родителей Если согласие запрашивается у родителя или законного опекуна ребенка, когда это ребенок не обладает достаточной компетентностью, чтобы понимать свои права (поскольку его согласие не может быть подтверждено, поскольку оно не является «информированным»), за исключением случаев, когда получение такого согласия противоречит интересам ребенка…. для детей), то может ли это согласие быть законным образом передано покупателю?
- Если продавец обрабатывает данные от имени третьей стороны, допускаются ли соглашения о совместном использовании данных для смены владельца или контроля?

В частности, при торговле активами, а не при продаже акций, не забывайте, что политика конфиденциальности нового владельца может больше не применяться. Также помните, что согласие не может быть передано в случае смены владельца, если такая возможность не была замечена и заявлена при предоставлении согласия и отражена в политике конфиденциальности, действовавшей на момент предоставления согласия.

Имеют ли покупатели право использовать данные?

Предполагая, что продавец имеет право передать личные данные новому владельцу, покупателям важно убедиться, что они имеют право использовать эти данные, и понять, существуют ли какие-либо ограничения на их использование. Если вы новый владелец бизнеса, подумайте о следующем, прежде чем использовать какие-либо личные данные, которые вы получили:

- Будете ли вы использовать данные для тех же целей, что и предыдущий владелец? В случае изменения цели важно убедиться, что все еще существует соответствующая законная основа в случае обработки персональных данных, соответствующее обоснование для обработки персональных данных…. для обработки
- Если согласие используется в качестве законного основания, новые владельцы должны обеспечить возможность передачи согласия. В противном случае может потребоваться возобновить согласие субъектов данных перед продолжением обработки. Ключевым моментом является четкая и недвусмысленная запись того, как и на каком основании было дано согласие изначально. Если будут ограничения для новых владельцев бизнеса, связывающихся с субъектами данных после передачи, возможность продления согласия должна быть обсуждена с текущим владельцем на ранних этапах транзакции
- Где будут храниться и обрабатываться данные после покупки? Если персональные данные должны храниться за пределами ЕС, то они должны храниться в стране, которую Европейская комиссия считает адекватной — одном из основных институтов Европейского Союза, отвечающих за законотворчество, разработку политики и мониторинг соблюдения законодательства ЕС….. В противном случае необходимо будет ввести другой законный механизм передачи В отсутствие решения об адекватности, гарантии, обеспечивающие защиту прав и свобод человека в отношении их личных данных в рамках передачи …. необходимо будет ввести в действие, например. Стандартные договорные положения Стандартные договорные положения — это правовые инструменты, обеспечивающие адекватные гарантии для передачи данных из ЕС или Европейской экономической зоны в третьи страны …. Схема сертификации Privacy Shield, действующая в настоящее время в США, которая налагает на компании требования по защите личных данных и предоставить людям соответствующее возмещение…. и т. д.
- Кому будут предоставлены данные? Важно убедиться, что у нового владельца есть соответствующие соглашения о совместном использовании данных и, если вы полагаетесь на исходные соглашения о совместном использовании данных бизнес-поставщика, чтобы эти соглашения можно было юридически переназначить в случае необходимости

Оценка потенциальных обязательств

Если новый владелец берет на себя обязательства продавца, важно понимать, в чем они заключаются. Чтобы получить полное представление об уровне соблюдения продавцом требований до момента передачи права собственности, как правило, требуется тщательный аудит, охватывающий широкий спектр областей.Некоторые из ключевых областей, которые должен понимать аудитор, включают:

- Все ли личные данные точно и всесторонне каталогизированы и нанесены на карту?
- Полны ли и актуальны ли их записи о процессах обработки?
- Были ли завершены надежные DPIA для наборов данных высокого риска?
- Если законный интерес используется в качестве законного основания, проводилась ли оценка законного интереса (LIA)?
- Были ли данные получены честно и законно, с прозрачными уведомлениями о конфиденциальности и согласии?
- Иметь исчерпывающие записи согласия В терминологии защиты данных под согласием понимается любое свободно данное, конкретное и осознанное указание на пожелания субъекта данных, посредством которого он / она соглашается на обработку персональных данных, относящихся к нему / ей (см. Пункт 11 статьи 4). Регламента (ЕС) 2016/679 и статьи 3 подпункта 15 Регламента (ЕС) 2018/1725)…. поддерживался?
- Кому были предоставлены данные и обрабатывались ли другие обработчики соответствующим образом?
- Были ли нарушения?
- Есть ли невыполненные ответы на запросы прав отдельных лиц (например, DSAR)?
- Есть ли какие-либо неурегулированные или потенциальные претензии / расследования в отношении защиты данных?

Всесторонний и структурированный процесс аудита позволит раскрыть эту информацию. В сделке и продаже активов, когда обязательства могут оставаться у продавца, важно, чтобы продавец понимал состояние соблюдения и свои собственные потенциальные обязательства по завершении.При продаже акций покупатели должны обратиться к продавцу за предоставлением гарантий и компенсаций в отношении соблюдения требований защиты данных.

В конечном итоге оценка стоимости любых потенциальных обязательств — это коммерческий вопрос, но для того, чтобы сделать обоснованную оценку, важно четко и структурированно понимать степень соблюдения продавцом требований и любых нерешенных вопросов.

Рекомендации по защите данных для процесса транзакции

Обеспечение соответствующей безопасности Соответствующие технические и организационные меры, обеспечивающие уровень безопасности, соответствующий возникающим рискам…., наличие прав и разрешений на протяжении всего процесса приобретения является последним ключевым моментом. Степень, в которой личные данные передаются и проверяются покупателями, продавцами и их консультантами, обычно увеличивается за счет первоначального запроса, заполнения комнаты данных, должной осмотрительности, обмена, завершения и после завершения. Важно убедиться, что:

- Соглашения о неразглашении включают достаточно строгие положения о защите данных
- Соглашения о совместном использовании данных между покупателями, продавцами и их агентами заключаются по мере необходимости
- Особое внимание уделяется настройке комнаты данных.Обеспечение достаточной безопасности и рассмотрение того, где он размещен, особенно если данные будут храниться за пределами ЕС. Убедитесь, что он заполнен только необходимыми данными и доступен только уполномоченным лицам
- Политика конфиденциальности обновлена, и данные о состоянии могут быть переданы для процесса M&A
- Положения о защите данных, которые продолжают защищать обе стороны, записаны в договоре купли-продажи
- Журнал операций по обработке (RoPA) обновляется на протяжении всего процесса транзакции, признавая, что персональные данные обрабатываются для поддержки деятельности по слияниям и поглощениям
- Ограничение доступа в комнату данных, в результате чего личные данные не могут быть загружены или удалены
- Все данные, включая данные в комнате данных, хранятся только до тех пор, пока это необходимо для оценки и проведения транзакции, и доступ аннулируется, как только процесс завершится.

Защита данных теперь является ключевым фактором при слияниях и поглощениях

Многие компании, особенно в развивающихся секторах, таких как Электронная торговля Покупка или продажа продуктов или услуг в Интернете., AdTech Использование цифровых инструментов и аналитики для доставки рекламы …., FinTech Разработка и использование программного обеспечения и технологий для обеспечения автоматизации и внесение улучшений в отрасль финансовых услуг…., Интернет вещей Концепция подключения повседневных устройств к Интернету и друг к другу с целью сбора, получения и отправки данных об их использовании …. (IoT), AI и науки о жизни получают значительную ценность от личные данные, которые они обрабатывают, и способ их обработки. В настоящее время ведется активная деятельность по слияниям и поглощениям, и их оценки зачастую невероятно высоки. Однако из-за объемов данных и технической сложности их обработки уровень защиты данных часто бывает низким.Управление комиссара по информации (ICO — независимый «надзорный орган» Соединенного Королевства для обеспечения соблюдения GDPR Великобритании, Закона о защите данных 2018, Правил конфиденциальности и электронных коммуникаций и т. Д.) Уже уделяет особое внимание тому, как такие секторы, как Real Time Ставки (RTB) работают (см. Наш недавний блог о защите данных в индустрии AdTech).

Потенциальная ответственность за ошибку велика, но ценность компании за то, что она сделана правильно, значительно.Традиционно защита данных не входила в число ключевых вопросов при слияниях и поглощениях, однако ситуация быстро меняется. Никогда еще не было так важно задавать себе эти четыре ключевых вопроса о защите данных при покупке и продаже бизнеса.

Комплексный и структурированный подход к тому, как вы на них отвечаете, жизненно важен для осознания ценности, будь то покупатель или продавец.

Обратитесь в DPO Center, если вам нужна помощь в аудите соответствия требованиям защиты данных или если вам нужна помощь во внедрении структуры защиты структурированных данных.

Введите свои данные ниже, и мы свяжемся с вами в ближайшее время.

Или щелкните один из вариантов ниже, чтобы поговорить с нами

Эл. Почта Позвонить

Как продавать, не нарушая закона!

Сводка сообщения:

Отдел продаж не может избежать GDPR. Изменились ваши поисковые запросы, и методы продаж должны соответствовать Общему регламенту защиты данных — в противном случае вы рискуете быть оштрафованными.

Для отделов продаж вопрос заключается в том, что считается соответствующим новым правилам ЕС и как найти новых потенциальных клиентов, не нарушая закона? У нас есть ответы.

Вместе с нашим сотрудником по защите данных (DPO) мы рассмотрели 7 наиболее распространенных методов продаж и рассказали, как (и если) вы можете использовать их в процессе продаж в соответствии с GDPR.

Продажи B2B являются конкурентными по своей природе.

И учитывая, что 50% всех продаж поступает в первую компанию, которая откликнется на потенциального клиента, наличие эффективного процесса продаж имеет решающее значение для бизнеса.

Поднимите ли вы трубку, чтобы позвонить потенциальным клиентам, встретиться с потенциальными клиентами во время общения на мероприятиях или заняться чем-то совершенно другим, проверенные стратегии, которые быстро превращают незнакомцев в клиентов, считаются «святым Граалем» в продажах.

Это потому, что есть наука о продажах, и как только вы овладеете ею, вы сможете использовать несколько методов продаж, чтобы быстро достичь квот продаж и получить эту хорошо заработанную комиссию с продаж.

Но теперь это изменилось.

Способ, который вы использовали для поиска, получил серьезное обновление в связи с регламентом ЕС о защите данных, известным как GDPR, который вступил в силу в мае 2018 года.

Несоблюдение GDPR может привести к наложению штрафов на вашу компанию в размере до 20 миллионов евро или 4% от мирового оборота — в зависимости от того, что больше.

Например, British Airways будут оштрафованы на сумму до 200 миллионов евро за утечку данных, произошедшую в сентябре 2018 года, в то время как гостиничную сеть Marriott International ожидают штрафы в районе 99 миллионов евро за нарушение утечка данных с 2014 по 2018 год

От этого никуда не деться:

Самое крупное обновление конфиденциальности в ЕС за более чем два десятилетия вступило в силу — и поскольку 57% специалистов по продажам B2B не знают о том, что такое GDPR (через отчет Demand Gen Report), настало время посмотреть, как GDPR повлиял на вашу команду продаж и на то, как вы можете «законно» вести дела согласно GDPR.

Итак, приступим.

Повлияет ли GDPR на вашу команду продаж?

Вы можете подумать, что GDPR к вам не относится, но для многих торговых представителей GDPR представляет собой большой сдвиг в вашем повседневном поиске.

Задайте себе вопрос:

Вы автоматически добавляете контактные данные визитной карточки в свой список рассылки?

Просите ли вы у существующих клиентов рекомендации и рекомендации?

Если вы ответили «да» на любой из вышеперечисленных вопросов, то GDPR оказывает влияние на вас и вашу организацию.

Кроме того, если вы думаете, что GDPR влияет только на европейский бизнес, вы ошибаетесь.

Не имеет значения, находится ли ваш бизнес в ЕС или нет — если данные, которые вы собираете хотя бы по одному из ваших потенциальных клиентов, принадлежат гражданину ЕС, вы обязаны соблюдать GDPR.

GDPR для продаж

GDPR — это термин, используемый для описания ряда основных обновлений закона ЕС о защите данных, который вступил в силу 25 мая ^{-го года}, 2018.

По сути, GDPR предоставляет гражданам ЕС больший контроль над своими личными данными и гарантирует безопасность их информации, независимо от того, происходит ли обработка данных в ЕС или нет.

Для отделов продаж личные данные лежат в основе их перспектив для нового бизнеса, и GDPR изменит то, как вы собираете, храните и обрабатываете их. И как долго вы можете его хранить.

Что такое личные данные?

Ну, он бывает разных форм и может включать в себя такие вещи, как имя, адрес электронной почты, номер телефона и интересы — тип информации, которую торговые представители обычно хранят в своей системе CRM о ваших потенциальных клиентах.

В более крупном масштабе личные данные также включают такие вещи, как IP-адрес, сообщения в социальных сетях, банковские реквизиты и даже медицинскую информацию, поэтому важно убедиться, что вы правильно обрабатываете все типы личных данных.

Как изменится поиск продаж в соответствии с GDPR

Сначала у вас есть сбор и хранение данных, а затем у вас есть обработка.

Давайте подробнее рассмотрим, как это изменилось в соответствии с GDPR.

Сбор данных и получение разрешения от физического лица

GDPR вращается вокруг правильного получения разрешения на сбор, хранение и использование личных данных.

Наиболее типичный пример запроса разрешения — через веб-форму, включая ссылку на заявление о конфиденциальности, или в последующем электронном письме.

Согласно GDPR, люди имеют право получать информацию о том, какие данные вы собираете, для чего вы их собираете и как вы собираетесь их использовать.

Но это еще не все.

Физические лица также имеют право на получение информации о целях обработки их данных и периоде, в течение которого их персональные данные будут храниться (вы можете узнать больше о правах физических лиц в соответствии со статьями 13 и 14).

Итак, если вы не получили их согласия на момент сбора их личных данных, вы должны сообщить им — в течение 30 дней с момента получения данных — что вы это сделали, и цель, по которой вы храните их личные данные в вашей системе.

Если человек отвечает на подобное сообщение и просит вас удалить его данные, вы должны выполнить этот запрос и удалить их из своей базы данных CRM. Или, как минимум, храните как можно меньше информации, чтобы не связываться в будущем.

Хотя легче сказать, чем сделать.

В некоторых случаях от вас может потребоваться по закону хранить их данные, даже если они попросят вас удалить их. В этом случае ваш сотрудник по защите данных (DPO) должен будет проинформировать человека о том, что вы обязаны хранить его данные, и о причинах этого.

Однако, если вы не получили ответа после того, как приложили справедливые и разумные усилия, чтобы связаться с ними, вы можете предположить, что сохранение их данных не проблема — при условии, что у вас есть законный интерес.

Просто убедитесь, что не отправляет никаких маркетинговых сообщений (если они не подписаны) и храните записи о согласии, чтобы оставаться в соответствии с GDPR.

Обработка данных

После того, как вы запросили разрешение на хранение данных о потенциальном клиенте, следующий шаг — использовать их, чтобы помочь вам в поисках новых продаж. Однако вы должны быть осторожны, потому что GDPR ограничивает способ обработки (или использования) этих данных.

Когда вы собираете информацию от потенциальных клиентов, они обычно добавляются к различным продажам и маркетинговым мероприятиям.

Например, если кто-то:

загружает технический документ, позже вы отправляете им электронное письмо с приглашением на веб-семинар.

запрашивает дополнительную информацию о ваших ценовых пакетах, вы добавляете их в свой список рассылки по привлечению потенциальных клиентов.

звонит в вашу компанию, чтобы попросить бесплатную пробную версию, вы отправляете ему серию электронных писем.

Если вы все еще делаете это, то вам нужно прекратить это — или вы рискуете быть оштрафованным.

Когда вы собираете личные данные, такие как адрес электронной почты, вам необходимо не только сообщить человеку, что вы его сохранили, но также необходимо убедиться, что ваши потенциальные клиенты активно «соглашаются» или хотят присоединиться к определенному электронному письму. список, прежде чем вы начнете отправлять им маркетинговые сообщения.

Проще говоря:

Вы не можете предполагать, что у вас есть разрешение на рассылку массовых рассылок по электронной почте только потому, что у вас есть их адрес электронной почты.

Один из способов справиться с этим — позволить потенциальным клиентам управлять своими подписками по электронной почте с помощью инструмента управления подписками.

Однако, прежде чем вы сможете начать думать о хранении и обработке личных данных, вам сначала нужно их найти, поэтому давайте посмотрим, как вы можете вести поиск в соответствии с GDPR.

7 способов поиска в соответствии с GDPR

Для многих компаний GDPR означает, что отделам продаж необходимо внести некоторые изменения в свои методы продаж, чтобы соответствовать требованиям.Вот 7 методов поиска продаж, которые вам следует рассмотреть сейчас, когда вступили в силу новые правила.

1. Объем продаж

Если вы в последнее время рассылаете электронные письма с холодным поиском и коммерческие предложения на автопилоте, то вам придется остановиться.

Немедленно.

С GDPR вы не можете отправлять автоматические электронные письма о продажах потенциальным клиентам, не получив их разрешения. Это включает в себя демонстрацию продукта, быстрые встречи и электронные письма «просто связаться» или любую другую форму общения, о которой ваши потенциальные клиенты не просили.

Если вы никогда раньше не контактировали с потенциальным клиентом, вам следует продемонстрировать в своем исходящем коммерческом электронном письме, что вы пытались связаться с ним по телефону, прежде чем отправлять им электронное письмо.

В приведенном ниже примере видно, что не было предпринято никаких попыток связаться со мной по телефону и, следовательно, подпадает под прямую маркетинговую коммуникацию.

Если вы собираетесь рассылать подобные информационные письма в мире, где нет GDPR, то сначала вам необходимо получить согласие потенциального клиента.Без этого вы не сможете подчиниться.

При этом вы, , можете продолжать рассылать письма с холодными продажами потенциальным клиентам, если письмо отправлено индивидуальному , а не группе получателей (если оно включает ссылку для отказа от подписки, это, скорее всего, автоматизировано) если вы включили ссылку на свое заявление о конфиденциальности, в первую очередь объясняя, почему вы обращаетесь к ним (т. е. у вас есть законный интерес).

Итак, хорошие новости для отделов продаж и маркетинга, которые реализовали маркетинговые кампании на основе учетных записей.

2. Социальные продажи

Продажа через социальные сети — это новый термин для многих торговых представителей.

Тем не менее, только каждый четвертый торговый представитель действительно использует продажи через социальные сети.

Для тех, кто его использует, это быстро становится популярным способом привлечения потенциальных клиентов!

Хорошая новость заключается в том, что GDPR не мешает вам находить потенциальных клиентов и общаться с ними в социальных сетях. Независимо от того, связываетесь ли вы с клиентами в Интернете и запрашиваете рекомендации или решаете напрямую обратиться к новым потенциальным клиентам, вы можете продолжать использовать социальные сети как часть своей общей стратегии продаж.

Если вы используете LinkedIn или любую другую социальную сеть для бизнеса, вот удобный шаблон, который можно копировать и вставлять каждый раз, когда вы отправляете запрос на подключение, чтобы начать разговор.

После того, как эти контакты примут ваш запрос на подключение, вы можете связаться с ними и написать им, чтобы получить согласие на воспитание и продажу им.

Принимая во внимание, что принцип предоставления ценности перед тем, как что-то просить, все еще актуален в мире социальных сетей.Спам ваших контактов в социальных сетях не даст лучших результатов, чем если бы вы рассылали спам потенциальным клиентам по любому другому каналу.

Если разговор выходит за рамки социальных сетей, вам нужно будет установить, что существует законный интерес в том, чтобы связаться с ними по электронной почте или по телефону. Лучший способ сделать это — получить их согласие. Однако согласие на обращение к ним не может рассматриваться как согласие на рассылку им массовых маркетинговых кампаний!

3. Списки приобретенных потенциальных клиентов

Списки приобретенных потенциальных клиентов часто могут быть отличным способом пополнить воронку продаж — либо в период засухи, либо в качестве дополнения к вашей текущей поисковой работе.

Но с 25 мая ^-го года это изменилось.

Если вы приобретаете потенциальных клиентов, которые содержат персональные данные от сторонних «генераторов лидов», то они не только должны иметь согласие на передачу этой информации вам, но и вы также должны будете получить конкретное согласие на использование адресов электронной почты на список — если они не дали согласия на обращение ассоциированных партнеров. (т.е. сказали «да», что их данные передаются третьим лицам).

В этом случае вы, , можете связаться с ними .

Однако вы должны документально подтвердить свое согласие от третьей стороны, у которой вы приобрели список, и вам также нужно будет разрешить людям отказаться от подписки на ваши рассылки по электронной почте.

Это изменение, связанное с GDPR, также влияет на существующих потенциальных клиентов. Если вы уже приобрели потенциальных клиентов в своем списке рассылки, но еще не связались с ними, вам необходимо документально подтвердить их согласие от стороннего поставщика, прежде чем отправлять маркетинговые сообщения.

4.Холодный вызов

Холодные звонки — один из наиболее эффективных способов наладить новые отношения с потенциальными клиентами.

Но разрешены ли холодные звонки в соответствии с GDPR?

Хорошая новость заключается в том, что холодные звонки не подпадают под те же правила, что и GDPR, и в результате получили новую жизнь, что является хорошей новостью для экспертов по холодным звонкам!

На этом этапе стоит повторить, что каждый раз, когда вы добавляете нового потенциального клиента в свою базу данных CRM, вам нужно будет получать его согласие, прежде чем вы сможете начать отправлять им рекламные предложения.

Итак, пока вы разговариваете с потенциальным клиентом, просто спросите его, хотят ли они получать информационные бюллетени. Если они ответят «да», вы можете отправить им ссылку на страницу «Управление моими подписками», где они смогут подписаться на определенные новости, контент и обновления.

Проблема с холодным звонком заключается в том, что может быть трудно документально подтвердить их согласие, если вы не записываете звонок потенциальному клиенту. Чтобы преодолеть это, вы можете дополнить звонок электронным письмом, в котором резюмируется все, что вы обсуждали.

Не забудьте указать в этом письме:

Цель, почему вы им позвонили,
О чем договорились во время звонка,
Почему вы отвечаете по электронной почте.

Вот пример того, как может выглядеть это электронное письмо.

Каждый раз, когда вы отправляете электронное письмо с этой информацией, убедитесь, что вы сохранили ее в своей базе данных под данными потенциального клиента. Если потенциальный клиент отвечает и просит удалить его из вашего списка рассылки, вы должны выполнить его запрос.

5. Сеть

Нетворкинг на конференциях и мероприятиях — отличное место для знакомства с новыми клиентами.

Большая часть сетей включает давнюю традицию обмена визитными карточками. Раньше это означало брать контактную информацию с визитной карточки, такую как имя, компания и адрес электронной почты, и сохранять ее в вашей CRM-системе.

Хотя вы можете продолжать обмениваться и хранить информацию о визитных карточках, вы не можете использовать их адрес электронной почты в маркетинговых целях, если у вас нет их согласия и если они не согласились получать маркетинговые электронные письма.

Но еще не все потеряно.

Вы, , можете, , по-прежнему отправлять индивидуальные электронные письма и следить за потенциальными клиентами, которые предоставили вам свою визитную карточку с момента установления законного интереса. Так что пока не отказывайтесь от нетворкинга!

6. Список литературы

Один из наиболее успешных способов найти новых клиентов — попросить существующих клиентов дать рекомендации или рекомендации людям, которых они знают, которые могут быть заинтересованы в вашем продукте или услуге.Сегодня вы можете просто снять трубку и позвонить новым потенциальным клиентам, которых к вам рекомендуют существующие клиенты, или отправить им электронное письмо.

Согласно GDPR, вы, , можете и дальше звонить и писать потенциальным клиентам по электронной почте, основываясь на рекомендациях существующих клиентов.

Один из лучших способов привлечь новых потенциальных клиентов через рефералов — это попросить существующего клиента представить вас обоих и рассказать им, почему он / она это делает. Кроме того, использование электронной почты означает, что введение записывается в цифровом виде.

Конечно, не каждый клиент захочет написать электронное письмо в вашу пользу.

Чтобы помочь вам в этом, вот шаблон рекламного письма, которое ваши клиенты могут отправить, чтобы представить вас.

7. Сайт

Веб-сайты — отличное место для привлечения новых потенциальных клиентов.

Если вы используете веб-форму для сбора контактной информации, то сейчас самое время проверить тип информации, которую вы собираете, поскольку GDPR требует от вас юридического обоснования персональных данных, которые вы собираете от посетителей веб-сайта.

Это означает, что в дальнейшем вы можете запрашивать только информацию , которая вам нужна , а не информацию , которую вы хотели бы иметь . И хотя запрос о размере личного дохода и дате рождения поможет вам определить и расставить приоритеты для потенциальных клиентов, вам необходимо убедиться, что вы можете доказать, почему вы просите об этом.

В противном случае, если вы не можете оправдать дополнительную информацию, просто сконцентрируйтесь на запросе имени, компании и рабочего адреса электронной почты.

Вам также необходимо четко и честно заявить, как вы используете их данные и для каких целей, а также предоставить им возможность выбрать или отказаться соответственно (с помощью инструмента управления подпиской).

Это означает, что тот факт, что они ввели свой адрес электронной почты для регистрации на веб-семинар, не означает, что они подписываются на все ваши списки рассылки.

Потенциальные клиенты должны подписаться на рассылку маркетинговых кампаний по электронной почте, поэтому четко укажите, как они могут подписаться.

Заключение

С 25 мая 2018 г. изменились методы поиска продаж.

Но, в конечном итоге, это к лучшему.

Вместо того, чтобы пытаться продавать новым потенциальным клиентам, которых нет на рынке для покупки, GDPR заставляет вас сосредоточиться на построении отношений и продажах людям, которые действительно хотят услышать от вас. Поступая так, вы имеете дело с потенциальными клиентами, которые гораздо более заинтересованы и готовы к покупке.

GDPR помогает вам сосредоточиться на качественных перспективах, а не на их количестве, поэтому в долгосрочной перспективе он должен облегчить вашу работу.

Помните, что GDPR не ограничивает способы поиска и создания нового бизнеса.Фактически, соблюдая GDPR, вы и ваша команда продаж быстро достигнете своих ключевых показателей эффективности продаж, привлечете более качественных потенциальных клиентов, привлечете больше заинтересованных потенциальных клиентов и, в конечном итоге, получите более высокие показатели закрытия.

П.С. Если вам понравилось читать этот пост, вы можете легко поделиться им здесь!

Соответствуют ли данные о потенциальных клиентах, которые вы собираете и храните, GDPR?

Если нет, загрузите этот бесплатный контрольный список GDPR.

Заявление об отказе от ответственности: Содержание этого сообщения в блоге (включая все ответы на комментарии) не следует рассматривать как юридическую консультацию и должно использоваться только в информационных целях.

Продажи

Вернуться к статьям

Полное руководство на 2021 год

Сводка сообщения:

GDPR изменил способ общения компаний с потенциальными клиентами и клиентами, но что такое GDPR и зачем вводить новый закон о конфиденциальности сейчас?

Несоблюдение GDPR может привести к большим штрафам.Фактически, уже оштрафованы 3 марки бытовой техники. Учитесь на их ошибках, прежде чем планировать следующую маркетинговую кампанию.

Чтобы соответствовать GDPR, мы делимся используемым нами маркетинговым контрольным списком, который включает 9 практических советов, которые помогут вам приблизиться к соблюдению этих требований ЕС.

В современном подключенном мире личные данные собираются с невероятной скоростью.

Веб-сайты, которые вы используете, звонки, которые вы делаете, места, которые вы посещаете, и даже фотографии, которые вы делаете, записываются, измеряются и оставляют цифровой след — след, который быстро становится ценным ресурсом.

Фактически, цифровые следы стали настолько ценными, что The Economist назвал личные данные «самым ценным ресурсом в мире», опередив нефть, потому что теперь они влияют на то, как компании общаются со своими клиентами, и как они положительно влияют на качество обслуживания клиентов.

Однако, поскольку личные данные настолько ценны, они уязвимы для кражи или неправомерного использования, и это привело к тому, что потребители требовали знать, как компании используют и хранят их личные данные. По сути, потребители не уверены, что компании делают достаточно для их защиты.

Исследование конфиденциальности потребителей, проведенное TRUSTe / NCSA, показало, что 92% онлайн-клиентов считают безопасность и конфиденциальность данных проблемой . В то время как, согласно отчету, опубликованному Chartered Institute of Marketing, , 57% потребителей не доверяют брендам ответственно использовать свои данные .

Другая проблема заключается в том, что в отчете Symantec State of European Privacy Report указано, что 90% предприятий считают, что удалить данные клиентов слишком сложно, и что 60% (!) Не имеют систем, которые помогли бы им это сделать.

Очевидно, что между потребителями, их личными данными и тем, как компании, которые их собирают, используют, существует значительный разрыв.

Это еще более беспокоит, когда речь идет о GDPR для маркетинга, поскольку 41% маркетологов признают, что не полностью понимают как закон, так и передовой опыт использования личных данных потребителей .

Верно!

Люди, которые используют данные о клиентах больше всего, не совсем понимают , как им следует их использовать.

Было ясно, что необходимо что-то сделать, чтобы регулировать управление личными данными, защищать интересы потребителей и контролировать компании, которые собирают, хранят и используют данные, поэтому в 2018 году Европейский союз ввел GDPR — новый свод законов, направленных на защиту личных данных и информирование маркетологов во всех странах-членах.

Что такое GDPR?

Общий регламент по защите данных (GDPR) — это новый регламент цифровой конфиденциальности, который был введен 25 ^{-го числа} мая 2018 г. .Он стандартизирует широкий спектр различных законов о конфиденциальности в ЕС в один центральный набор правил, который будет защищать пользователей во всех государствах-членах.

Проще говоря, это означает, что компании теперь должны встраивать параметры конфиденциальности в свои цифровые продукты и веб-сайты и включать их по умолчанию. Компаниям также необходимо регулярно проводить оценку воздействия на конфиденциальность, усиливать способы получения разрешения на использование данных, документировать способы использования личных данных и улучшать способы сообщения о нарушениях данных.

И, поскольку это нормативный акт, а не директива, является юридически обязательным , то есть от него нельзя отказаться или проигнорировать. Фактически, несоблюдение требований может привести к штрафам в размере до 20 миллионов евро или 4% от вашего мирового оборота!

Вот несколько недавних примеров того, насколько высоки могут быть эти штрафы GDPR:

British Airways грозит штраф до 200 миллионов евро за нарушение данных, имевшее место в сентябре 2018 года

Ожидается, что

Marriott International будет оштрафована на в районе 99 миллионов евро за нарушение данных в период с 2014 по 2018 год

Итак, будет справедливо сказать, что ЕС очень серьезно относится к этому .

Зачем вводить GDPR сейчас?

GDPR — это самое далеко идущее изменение в защите данных за последнее поколение и кардинальный сдвиг в том, как ЕС хочет, чтобы персональные данные управлялись.

Новый подход ЕС к конфиденциальности в Интернете ставит людей на первое место, считая, что они должны быть защищены и наделены полномочиями, а не эксплуатироваться или игнорироваться.

Этот новый подход к защите данных — это способ ЕС повысить ответственность крупных и малых компаний за свои действия.Регулирующие органы ЕС считают, что компании используют персональные данные для собственной выгоды, и не раскрывают прозрачности в том, как они их использовали. GDPR был разработан, чтобы положить конец всему этому и вернуть власть в руки потребителя.

Но зачем ждать до этого момента, чтобы представить его?

Основная причина введения этого сейчас заключается в том, что предыдущие правила ЕС о конфиденциальности данных все еще основывались на документе, который был впервые принят в 1980 году (позже обновлен в 1995 году).

Это означает, что принципы конфиденциальности данных, над которыми работал ЕС, устарели, не включают соображения для социальных сетей, смартфонов или даже передовых веб-технологий (т.e Искусственный интеллект, виртуальная реальность и т. д.).

Кроме того, предыдущее регулирование было всего лишь директивой, поэтому компании (и страны) могли легко отказаться от участия.

С 25 ^{-го числа} мая 2018 года этого больше не было.

В то время как согласованность правил конфиденциальности данных в Европе является хорошей новостью для всех маркетологов, GDPR также сопряжен с рядом проблем, которые влияют на маркетинговые команды, особенно маркетинговые группы, которые общаются с клиентами из ЕС.

Как GDPR влияет на маркетинг?

На первый взгляд GDPR может показаться чрезмерным, особенно для малого бизнеса или индивидуальных практикующих.

На самом деле, есть только 3 ключевые области, о которых нужно беспокоиться маркетологам — разрешение на данные , доступ к данным и фокус данных .

Давайте рассмотрим каждый из них по отдельности.

1. Разрешение на данные

Разрешение на данные касается того, как вы управляете подпиской на электронную почту — людьми, которые запрашивают от вас рекламные материалы.Вы не можете предположить, что они хотят, чтобы с ними связались. В будущем им необходимо выражать согласие «свободно, конкретно, осознанно и недвусмысленно», которое подкрепляется «четкими позитивными действиями».

Погодите, что значит , что ?

На практике это означает, что лиды, клиенты и партнеры должны физически подтвердить, что они хотят, чтобы с ними связались. Вам необходимо убедиться, что вы активно запрашивали (а не предполагали) разрешения от потенциальных клиентов и клиентов, подтверждающие, что они хотят, чтобы с ними связались.Таким образом, предварительно установленный флажок, который автоматически выбирает их, больше не сокращает его — выбор должен быть осознанным.

Например, вместо того, чтобы предполагать, что посетители, заполняющие веб-форму, хотят получать маркетинговые электронные письма от SuperOffice (слева), теперь мы просим посетителей специально подписаться на информационные бюллетени, отметив поле подписки (справа).

Единственное предостережение — когда дело доходит до порекомендуйте другу программы .

В большинстве случаев программы «Пригласи друга» работают, когда потенциальный клиент или клиент вводит адрес электронной почты друга, чтобы запросить предложение (т.е. скидка, распродажа, бонус и т. д.). После того, как они ввели адрес электронной почты друга, электронное письмо от компании автоматически отправляется «другу» без получения явного согласия на связь с ним. Эти электронные письма обычно являются «уведомлениями», а не рекламными.

Если эти данные не хранятся и не обрабатываются, то соответствует и соответствует требованиям GDPR .

Однако, если данные хранятся и используются для маркетинговых коммуникаций, вы нарушаете правила.

Для уточнения:

Никакие маркетинговые сообщения не должны отправляться на адрес электронной почты судьи .

2. Доступ к данным

Право на забвение стало одним из самых обсуждаемых постановлений в истории Европейского суда. Он дает людям право удалять устаревшие или неточные личные данные и в некоторых случаях уже реализован такими компаниями, как Google, которые были вынуждены удалить страницы из результатов своей поисковой системы, чтобы соответствовать.

Введение GDPR предлагает людям способ получить больший контроль над тем, как их данные собираются и используются, включая возможность доступа к ним или их удаления, в соответствии с их правом на забвение.

Как маркетолог, вы обязаны убедиться, что ваши пользователи могут легко получить доступ к своим данным и отозвать согласие на их использование.

На практике это может быть так же просто, как включение ссылки для отказа от подписки в ваш маркетинговый шаблон электронной почты и ссылка на их профиль клиента, который позволяет пользователям управлять своими предпочтениями электронной почты (как показано в примере ниже).

Конечно, звучит достаточно просто.

Тем не менее, в нашем собственном сравнительном отчете по электронному маркетингу B2B (исследование 4500 почтовых кампаний) мы обнаружили, что 8% всех электронных писем не содержат ссылки для отказа от подписки!

3. Фокус данных

Как маркетологи, мы все можем быть виноваты в том, что собираем от человека немного больше данных, чем нам на самом деле нужно. Спросите себя, действительно ли мне нужно знать чей-то любимый фильм, прежде чем он подпишется на нашу рассылку?

Наверное, нет.

Имея это в виду, GDPR требует от вас юридического обоснования обработки собираемых вами персональных данных.

Не волнуйтесь; это , а не , как страшно звучит.

Это означает, что вам нужно сосредоточиться на тех данных, которые вам нужны, и перестать просить «того, что приятно иметь». Если вам действительно нужно знать размер обуви посетителей и измерение внутренней части ноги, и вы можете доказать, зачем они вам нужны, вы можете продолжать спрашивать об этом. В противном случае старайтесь избегать сбора ненужных данных и придерживайтесь основ.

Стоимость несоблюдения

Крайний срок для GDPR уже истек, и многие компании уже находятся в «паническом режиме», чтобы убедиться, что они соблюдают правила.

Проблема в том, что это приводит к ошибкам …

… и эти ошибки могут дорого обойтись.

Тем более, что Управление комиссара по информации (ICO) начало еще более жестко пресекать неправомерное использование личных данных.

Фактически, ICO уже сообщало о нескольких инцидентах, связанных с домашними торговыми марками, которые пытались использовать хорошо известные стратегии активации электронной почты для доступа к своей базе данных.В следующих трех кампаниях, разосланных Flybe, Honda и Morrisons, клиентов спрашивали, хотят ли они, чтобы с ними связались по электронной почте и обновили свои предпочтения.

Как они связались со своими клиентами, спросите вы?

Ну, они связались с ними по электронной почте — , даже те клиенты, которые ранее отказались от .

И это серьезное нарушение соответствия.

1. Flybe оштрафован на 70 000 фунтов стерлингов

В августе 2016 года Flybe отправил электронное письмо на адрес 3.3 миллиона человек в своей базе данных с темой «Ваши данные верны?»

Теоретически это звучит как умная стратегия, но, к сожалению, эти 3,3 миллиона человек ранее отказались (отписались) от рекламных писем и, таким образом, не дали согласия на связь.

Источник

Результат? Штраф в размере 70 000 фунтов стерлингов.

Ключевые выводы: Если ваши клиенты отказались от рассылки маркетинговых писем, не отправляйте им письма по электронной почте — это очень просто.Если вы это сделаете, вы нарушите закон.

2. Honda Motor Europe оштрафована на 13 000 фунтов стерлингов

В ходе другого инцидента Honda Motor Europe разослала электронное письмо 289 790 подписчикам в период с мая по август 2016 года с просьбой их базы данных, «не хотите ли вы получить известие от Honda?».

Это письмо было отправлено, чтобы уточнить, сколько из 289 000 подписчиков хотели бы получать маркетинговые электронные письма в будущем. Но, опять же, это электронное письмо было отправлено лицам, которые специально отказались.

Эта ошибка принесла Honda штраф в размере 13 000 фунтов стерлингов.

Заберите ключ: Если у вас нет явного согласия на отправку электронных писем вашим клиентам, не отправляйте им письма! Даже запрос согласия классифицируется как маркетинг и нарушает правила GDPR.

3. Моррисон оштрафован на

10 500 фунтов стерлингов

В конце 2016 года британская сеть супермаркетов Morrisons возобновила свою программу лояльности Match & More.

Стремясь привлечь больше участников, чтобы воспользоваться их предложениями, они разослали электронное письмо всем 230 000 участников из своей базы данных, прося подписчиков обновить настройки своей учетной записи.К сожалению, это включает 131 000 подписчиков, которые ранее отказались от подписки.

Эта ошибка привела к штрафу в размере 10 500 фунтов стерлингов.

Отнятие ключа: В данном случае это был клиент, который сообщил о Моррисоне в ICO. Итак, вы должны быть на 100% уверены, что подписчики, которым вы отправляете электронное письмо, согласились. Теперь, когда клиенты берут дела в свои руки, вы должны быть еще более осторожными.

Эти три примера должны послужить четким предупреждающим знаком для предприятий — как больших, так и малых — чтобы убедиться, что вы делаете все правильно в мире пост-GDPR.

На кого больше всего влияет GDPR в маркетинге?

Если у вас есть клиенты, то GDPR влияет на всех сотрудников вашей компании.

Но в отделе маркетинга есть три роли, которые претерпели самые большие изменения в своей повседневной работе.

Давайте подробнее разберемся, на кого это повлияло и как.

1. Электронная почта менеджеров по маркетингу

Для маркетологов B2B адреса электронной почты являются источником жизненной силы программ лидогенерации.

Часто считается началом процесса продаж, когда пользователь, который охотно предоставляет вам свой адрес электронной почты в обмен на дополнительную информацию, например, подписывается на ваш список рассылки или загружает фрагмент контента, называется «согласием».

Это резко контрастирует с фирмами, которые покупают списки адресов электронной почты или очищают (или копируют) их с веб-сайта. Согласно новому регламенту GDPR, покупка списков (или их очистка) строго запрещена.

Обеспечение того, чтобы пользователи подписались на ваши маркетинговые кампании по электронной почте B2B и дали согласие на связь, теперь является требованием GDPR для электронного маркетинга, и вы больше не можете автоматически добавлять их в свой список рассылки, а затем ждать, пока они откажутся.

2. Специалисты по автоматизации маркетинга

Автоматизация маркетинга может быть чрезвычайно мощным инструментом.

Но он также может вызвать проблемы с GDPR, если он не настроен правильно.

Если ваша система автоматизации маркетинга рассылает электронные письма от имени вашей CRM-системы, вы можете столкнуться с серьезными штрафами со стороны ICO, если электронное письмо будет автоматически отправлено тому, кто отказался.

Вам необходимо убедиться, что каждое имя в вашей базе данных CRM и каждое электронное письмо в вашей системе автоматизации дает вам разрешение на их продажу.И, если кто-то откажется от автоматической последовательности электронных писем, эти две системы будут обновлены, чтобы гарантировать, что дальнейшие электронные письма не будут отправляться. И нет, наличие запланированного следующего электронного письма не может служить оправданием.

3. Руководители по связям с общественностью

Реклама новых продуктов или информации о компании для журналистов ничем не отличается от маркетинга для сотрудников компании. Хотя возможно, что ответственность за это согласие будет лежать в базах данных СМИ, таких как PRweb и MyNewsDesk, журналисты все равно должны будут дать согласие на то, чтобы вы связались с вами, вместо традиционной программы распространения информации по электронной почте.

Это согласие может быть дано через такие платформы, как HARO, где журналисты просят вас связаться с ними, или через запросы, сделанные в социальных сетях. Так что, если вы еще не пользуетесь этими платформами, самое время зарегистрироваться!

Конечно, если журналист обратится к вам напрямую, он проявит интерес к разговору с вами.

GDPR — прекрасная возможность для маркетологов

На данном этапе вы можете подумать, что GDPR оказывает негативное влияние на то, как вы ведете бизнес сегодня.

Но, , не о чем беспокоиться .

Конечно, GDPR звучит устрашающе, и штрафов, наложенных ICO, достаточно, чтобы заставить вас переосмыслить всю свою маркетинговую стратегию. Но на самом деле это новое законодательство ЕС не является неудачей. Фактически, это прекрасная возможность для вас делать то, что маркетологи умеют лучше всего, а именно проводить целевые маркетинговые кампании с людьми, которые взаимодействуют с вашим брендом.

Вот почему:

1. Получение согласия

В соответствии с GDPR вам необходимо явное согласие на использование личных данных.Ваши клиенты также могут спросить вас, какая именно информация о них у вас есть, кому она предоставляется и для каких целей она использовалась.

Возможность здесь заключается в том, что вместо простого ответа «да» или «нет» при опросе клиентов о данных теперь вы можете предоставить им ряд вариантов, чтобы они могли узнать, что их интересует. Посредством согласия вы может понять интересы каждого человека, чтобы предоставить им информацию, которую они хотят получать.

Это не только помогает обеспечить соответствие GDPR, но также помогает вам еще больше сегментировать ваших клиентов и сфокусировать ваше общение на конкретных интересах, а не рассылать универсальную рассылку по электронной почте.

2. Право на забвение

Согласно GDPR, каждый человек имеет так называемое «право на забвение».

По запросу клиента ваша компания должна будет удалить все данные, которые вы храните об этом конкретном человеке, по всей организации.Если вы храните данные в разных местах для разных целей, это может вызвать проблемы.

Решением этой проблемы является создание единой платформы, на которой размещается запись согласия каждого отдельного пользователя. Наличие единой платформы, такой как CRM-система, поможет вам отслеживать все данные о ваших разрешениях и обеспечить соответствие GDPR.

Преимущество единой платформы в том, что она дает вашим клиентам возможность включать и выключать согласие для разных целей. Это, в свою очередь, дает вам возможность узнать больше о своих клиентах и нацелить их на более конкретные или релевантные кампании.

3. Прозрачность

Люди ведут бизнес с другими людьми (или организациями), которых они знают, любят и которым доверяют, и укрепление доверия достигается за счет прозрачности проекта. Вы должны быть откровенными и честными в отношении того, кто вы и что делаете.

Исследование, проведенное Harris Interactive, показало, что 93% онлайн-покупателей считают безопасность своих личных данных проблемой . Вы можете преодолеть эти проблемы, если будете прозрачны с данными. Вам необходимо продемонстрировать, что с личными данными обращаются с уважением и надежно хранятся.Если вы сможете сделать это и показать, что вы искренне заботитесь о своих интересах, то вы укрепите как доверие, так и взаимодействие со своими клиентами.

9 практических советов по GDPR для маркетинга

Исследование, проведенное Osterman Research, Inc, показало, что 73% предприятий не были готовы выполнять обязательства по соблюдению GDPR . В то время как исследование Symantec показало, что , 23% компаний считают, что они лишь частично соблюдают требования к сроку , установленному в мае 2018 года.

Хорошая новость заключается в том, что если вы все еще не уверены, соответствует ли ваш бизнес требованиям GDPR, мы создали краткий контрольный список, который включает 9 практических советов, которые помогут вам приблизиться к выполнению этих требований.

Проверьте свой список рассылки. Согласно исследованию W8 data, до 75% маркетинговых баз данных устарели в соответствии с GDPR, и только 25% существующих данных о клиентах соответствуют требованиям GDPR. Поэтому удалите всех, у кого нет записи об их согласии.Для новых подписчиков убедитесь, что потенциальный подписчик подтверждает, что он или она хочет присоединиться к вашему списку рассылки, отправив автоматическое электронное письмо для подтверждения подписки.

Проверьте, как вы собираете личные данные. Вы все еще покупаете списки рассылки? Если так, возможно, сейчас самое время начать все сначала с новым списком рассылки. В Великобритании сеть пабов JD лиспун предприняла беспрецедентный шаг , удалив всю свою базу данных электронного маркетинга (более 650 000 адресов электронной почты).В письме своего генерального директора (показано ниже) Джон Хатсон сообщил клиентам, что все электронные письма клиентов будут безопасно удалены. Хотя для некоторых это может быть пугающей перспективой, это следует учитывать, поскольку тогда вам будет гарантирован список заинтересованных и заинтересованных читателей.

Создаете ли вы контент, ориентированный на ваших потенциальных клиентов? Инвестируйте в стратегию контент-маркетинга , создавая официальные документы, руководства и электронные книги, к которым посетители могут получить доступ и загрузить в обмен на то, что они поделятся своей контактной информацией.

Пригласите посетителей добавить себя в ваш список рассылки , запустив всплывающее окно на вашем веб-сайте . Вы можете аккуратно сегментировать свой список рассылки, создавая специальные всплывающие окна для новостей о продуктах, сообщений в блогах и общих новостей компании. Просто не забудьте указать ссылку на свою политику конфиденциальности, чтобы обеспечить ее соответствие — как мы сделали с нашим веб-сайтом GDPR, всплывающим до крайнего срока.

Обучите свой отдел продаж новым методам продаж .По сути, торговые представители должны связываться с потенциальными клиентами в социальных сетях и делиться релевантным контентом, а не пытаться привлечь новых клиентов по электронной почте. Инвестируйте в такие стратегии, как социальные продажи и маркетинг на основе аккаунта.

Время использования документов Google или таблиц Excel для хранения данных о клиентах прошло. Начните централизованный сбор ваших личных данных в системе CRM . И убедитесь, что ваши пользователи могут получить доступ к своим данным, просмотреть предлагаемое использование и внести необходимые изменения.
Разберитесь в собираемых данных более подробно. Это все необходимо или есть элементы, без которых можно обойтись? Когда дело доходит до форм регистрации, спрашивайте только о том, что вам нужно и что вы будете использовать. Для маркетологов B2B полного имени, адреса электронной почты и названия компании обычно более чем достаточно.

Попробуйте использовать push-уведомления. Push-уведомление — это всплывающее сообщение, которое появляется на настольном компьютере или мобильном устройстве. Маркетологи могут использовать push-уведомления для отправки сообщения подписчикам в любое время.Однако, в отличие от маркетинговых кампаний по электронной почте, push-уведомления не обрабатывают личные данные (IP-адреса анонимны), и пользователи должны дать явное согласие, чтобы подписаться на рассылку и получать уведомления.

Обновите свое заявление о конфиденциальности. Просмотрите свое текущее заявление о конфиденциальности и внесите в него соответствующие поправки в соответствии с требованиями GDPR. Трудно ли читать содержание вашего заявления о конфиденциальности? Или вы целенаправленно используете терминологию, чтобы потенциальные клиенты не знали, на что они подписываются? Если это так, перепишите его, чтобы облегчить чтение — как мы это сделали здесь.

Заключение

GDPR изменил способ обработки персональных данных компаниями, работающими в странах ЕС, с наложением штрафов до 20 миллионов евро в случае несоблюдения требований. Вот почему для вас важно проконсультироваться с юристом относительно того, что является юридическим требованием для вашего бизнеса, а что нет.

Помните, GDPR не предназначен для того, чтобы предприятия не могли общаться со своими клиентами. Наоборот, на самом деле. Это привело к повышению качества данных, поэтому лучшие и наиболее изобретательные маркетологи видят более широкую картину в том, что это возможность глубже вникнуть в потребности своих потенциальных клиентов и клиентов, вместо того, чтобы использовать традиционный принцип «одного размера». универсальный подход к маркетингу.

При этом правила соблюдения GDPR довольно просты — не связывайтесь ни с кем, если они не попросят об этом. Не думайте, что они хотят слышать от вас. Не связывайтесь с ними и не отправляйте им не относящуюся к делу информацию, которую они не запрашивали.

Если вы можете все это сделать, значит, вы выполнили свою работу по обеспечению соответствия GDPR.

Готова ли ваша маркетинговая команда к GDPR?

П.С. Если вам понравилось читать этот пост, вы можете легко поделиться им здесь.

Заявление об ограничении ответственности: Содержание этого сообщения в блоге (включая все ответы на комментарии) не следует рассматривать как юридическую консультацию и должно использоваться только в информационных целях.

Маркетинг

Вернуться к статьям

Обязательства по передаче персональных данных и после закрытия

Одним из аспектов слияний и поглощений, которому уделяется все больше внимания, является актуальность вопросов конфиденциальности в соответствии с U.Законы США и Европейского Союза («ЕС»), а также законы растущего числа других юрисдикций. В этом сообщении в блоге, состоящем из двух частей, обсуждаются основные риски конфиденциальности, связанные с слияниями и поглощениями, и выделяются некоторые «ловушки», которые часто упускаются из виду. В Части 1 мы обсудили риски, связанные с обязательствами цели до закрытия, связанными с конфиденциальностью, и рассмотрели способы снижения этих рисков посредством надлежащей осмотрительности и заявлений, связанных с конфиденциальностью, в соглашениях M&A. В этой Части 2 мы обсуждаем риски, связанные с передачей или раскрытием идентифицирующей личность информации («личные данные») объекта слияния и поглощения (или продавца) покупателю (или потенциальному покупателю), а также риски, связанные с последующим приобретением покупателем. использование таких личных данных.

Риски, связанные с передачей или разглашением личных данных цели (или продавца) покупателю

Сделки

M&A часто включают раскрытие или передачу персональных данных от продавца покупателю. Обычно сюда входят личные данные, связанные с приобретенным объектом (или приобретенными активами), например, данные, относящиеся к сотрудникам, клиентам, пользователям, подрядчикам, поставщикам и деловым партнерам. Хотя большая часть личных данных передается при закрытии, некоторые раскрытия также могут происходить между подписанием и закрытием.

Риски, связанные с раскрытием информации между подписанием и закрытием

Юристы

M&A не всегда осведомлены о рисках, связанных с раскрытием личных данных между подписанием и закрытием (когда подписание и закрытие не одновременны). В частности, соглашения M&A часто содержат пункт, обеспечивающий доступ к бухгалтерским книгам и записям в период между подписанием и закрытием, что позволяет покупателю запрашивать определенные типы данных, в которых он обоснованно нуждается, в том числе для целей планирования интеграции.Но ошибочно полагать, что, поскольку сделка подписана, личные данные, относящиеся к целевому бизнесу, могут свободно передаваться между покупателем и продавцом. Хотя в некоторых соглашениях о слияниях и поглощениях указано, что продавец не обязан предоставлять доступ к информации до закрытия, если предоставление такого доступа противоречило бы применимому законодательству, такое исключение не обязательно применяется на практике и, в любом случае, при понимании того, является ли конкретное раскрытие нарушает законы о конфиденциальности, может быть затруднительно.

i) Согласно законодательству США, раскрытие личных данных перед закрытием должно осуществляться в соответствии со всеми соответствующими законами штата, договорными ограничениями и любыми обещаниями, сделанными в отношении обработки личных данных в опубликованной политике конфиденциальности цели. Как обсуждалось в Части 1 нашего сообщения в блоге, Федеральная торговая комиссия («FTC») ясно дала понять, что рассматривает несоблюдение опубликованных политик конфиденциальности как нарушение Раздела 5 Закона FTC, который запрещает недобросовестные или вводящие в заблуждение действия или практики.Соответствующие законы штата включают Закон Калифорнии о защите конфиденциальности в Интернете от 2003 года, который требует, чтобы все операторы коммерческих веб-сайтов и онлайн-сервисов, собирающие личные данные жителей Калифорнии через веб-сайт, определяли категории сторонних лиц или организаций, с которыми оператор может делиться информацией. личные данные.

В идеале политика конфиденциальности цели должна содержать четкое заявление о том, что передача или раскрытие личных данных может произойти в связи с транзакцией M&A, в том числе до завершения транзакции (может быть недостаточно указать, что личные данные могут быть переданы » после »или« после »слияния или продажи компании или ее предприятий, при условии, что до закрытия сделка не завершается).Кроме того, важно убедиться, что покупатель защищает информацию в той степени, в которой это требуется действующим законодательством, не раскрывает личные данные и не использует их каким-либо образом, нарушающим применимую политику конфиденциальности (включая любое использование необходимы для планирования интеграции или завершения сделки M&A). Поэтому продавцу может быть целесообразно заключить с покупателем «соглашение о защите данных» в отношении таких обязательств.Соглашение о защите данных может также включать в себя требования соблюдать любые ограничения, содержащиеся в контрактах продавца / цели с третьими сторонами, в той степени, в которой они связаны с личными данными, переданными до закрытия.

ii) В соответствии с законодательством ЕС раскрытие данных, касающихся идентифицированных или идентифицируемых лиц («субъектов данных»), должно соответствовать законам, реализующим Директиву ЕС 95/46 / EC от 24 октября 1995 г. («Директива») в каждом из государства-члены ЕС («государства-члены»). Как правило, для разрешения «обработки» персональных данных (широкое понятие, включающее передачу или раскрытие) она должна быть основана на одном из оснований, перечисленных в Директиве, среди которых наиболее актуальны для предшествующего закрытию слияния и поглощения. раскрытие составляют:

Законный интерес контроллера данных или получателя данных, при условии, что он не несовместим с интересами или основными правами и свободами субъекта данных . Основание так называемого «законного интереса» часто используется в сделках M&A, поскольку оно является бессрочным, что позволяет утверждать, что получение данных отвечает законным интересам покупателя ( т. Е. для подготовки на приобретение). Однако некоторые субъекты данных могут заявлять, что заинтересованы в сохранении конфиденциальности своих данных, по крайней мере, до тех пор, пока транзакция не будет близка к завершению. На практике, поэтому часто рекомендуется попытаться подождать, пока все или большинство условий для закрытия транзакции не будут выполнены, прежде чем передавать личные данные на этом основании.
Согласие субъекта данных . В контексте слияний и поглощений часто нецелесообразно полагаться на согласие субъектов данных. Таким образом, основание «согласие» используется на практике только в том случае, если речь идет всего о нескольких лицах, и у таких лиц есть основания знать о предполагаемой транзакции (, например, , крупные клиенты, чье согласие требуется для передачи контрактов с клиентом на покупатель). Обратите внимание, что согласие субъекта данных на передачу может потребоваться в определенных обстоятельствах, в том числе когда речь идет о «конфиденциальных данных» ( e.грамм. , где здоровье, религия или членство в профсоюзе фигурируют или могут быть выведены из записей сотрудников).
Выполнение договора с субъектом данных . Это основание обычно используется в контексте M&A, когда проданные активы включают контракты, и для продолжения исполнения этих контрактов необходимо передать личные данные.

В дополнение к существованию одного из вышеуказанных оснований для раскрытия информации перед закрытием, соблюдение законодательства ЕС, как правило, также требует, чтобы личные данные, переданные покупателю до закрытия, не были недостаточными или чрезмерными.Другими словами, единственные поля данных, которые должны быть переданы до закрытия, — это те, которые необходимы новому работодателю для подготовки к завершению транзакции (например, в случае данных, полученных для целей, связанных с кадрами, должности и зарплаты, но потенциально не домашние адреса или реквизиты банковского счета).

Наконец, в ЕС могут потребоваться определенные дополнительные шаги, в частности, уведомление, включение стандартных договорных положений Европейской комиссии («Типовые положения») и потенциальных заявок органов по защите данных («DPA»); поскольку эти шаги в целом аналогичны независимо от того, происходит ли раскрытие / передача до закрытия или при закрытии, мы обсуждаем их ниже в разделе B.

Ловушка : Ошибочно полагать, что обмен личными данными разрешен после подписания сделки M&A и до ее завершения . В США формулировка политики конфиденциальности может быть недостаточно широкой, чтобы полностью решить эту ситуацию, и использование таких данных покупателем должно быть строго ограничено в свете законодательства штата и договорных обязательств. В ЕС перед передачей личных данных необходимо предпринять несколько шагов, и, как правило, поскольку раскрытие данных считается более законным по мере того, как сделка продвигается и закрытие становится более определенным, доступ к данным должен быть адаптирован к тому, что необходимо для каждый этап сделки.

Риски, связанные с переводами при закрытии

При закрытии покупатель ожидает получить все личные данные, относящиеся к приобретенному бизнесу. В зависимости от характера транзакции (, например, — дочерняя компания) переданные персональные данные могут фактически оставаться в целевых системах, которые продаются как часть транзакции.

i) Согласно законодательству США, снова будет важно учитывать как законы штата, так и Закон о Федеральной торговой комиссии, а также любые договорные обязательства, взятые на себя покупателем / продавцом в соглашениях, предусматривающих сбор персональных данных.При продаже от банкротства также будет задействован Кодекс о банкротстве. Во всех случаях решающим фактором при анализе законности передачи личных данных будут обещания, содержащиеся в опубликованной политике конфиденциальности цели.

Сравнение покупок активов и слияний или покупки акций . Возможно, всякий раз, когда сторонняя организация получает доступ к личным данным в результате сделки M&A, происходит «передача» таких личных данных, которая может нарушать законы о конфиденциальности.Другими словами, «передача» технически может происходить даже при покупке акций целевой компании, в соответствии с которой все операции компании остаются неизменными (кроме ее окончательного контроля), но после чего покупатель и его аффилированные лица получают доступ к такой компании. данные. Однако правоприменительная деятельность до сих пор не была сосредоточена на «передачах», которые происходят при слияниях или покупке акций, а вместо этого была сосредоточена только на конечном использовании таких данных покупателем (как обсуждается в Разделе 2 ниже).Напротив, в контексте продажи активов, даже сама передача данных подверглась тщательной проверке со стороны Федеральной торговой комиссии, государственных регулирующих органов и (если применимо) судов по делам о банкротстве. Набор фактов примечательных случаев касался политики конфиденциальности компании, которая обещала не продавать и не передавать личные данные третьим сторонам (без каких-либо исключений для продаж в рамках реструктуризации, продажи активов, несостоятельности или банкротства) и желания такой компании затем продать личные данные как отдельный актив или в контексте более широкой сделки по продаже активов (например, продажи бизнеса).

FTC против государственных регуляторов против судов по делам о банкротстве . Как описано ниже, FTC, государственные регулирующие органы и суды по делам о банкротстве использовали несколько разные подходы к такой продаже активов.

Подход FTC. Либо (A) согласие на передачу данных, либо (B) покупатель должен заниматься той же сферой деятельности, что и целевой объект, должен соответствовать существующей политике конфиденциальности целевого объекта и должен получить согласие на подписку, чтобы любые существенные изменения политики . FTC часто ссылается на соглашение, которое было достигнуто с интернет-магазином Toysmart в 2000 году («Урегулирование Toysmart»), которое позволило компании Toysmart после прекращения операций передавать личные данные клиентов третьей стороне, несмотря на ее политику конфиденциальности, в которой говорилось, что такие личные данные «никогда не будут переданы третьим лицам.FTC подала в суд, чтобы заблокировать продажу Toysmart своей клиентской базы данных, утверждая, что это нарушение статьи 5 Закона FTC. В соответствии с мировым соглашением Toysmart компания Toysmart могла продавать данные о клиентах, но: (i) не как отдельный актив; (ii) только покупателю, занимающемуся практически теми же видами деятельности, что и Toysmart; и (iii) только покупателю, который согласился соблюдать и соблюдать условия политики конфиденциальности Toysmart, а также получить положительное (отказоустойчивое) согласие от потребителей на любые существенные изменения в политике, которые влияют на информацию, собираемую в соответствии с политикой Toysmart. (далее «Принципы Toysmart»).В качестве альтернативы Принципам Toysmart FTC предложила (в делах RadioShack и Borders , обсуждаемых ниже) требовать от цели получения положительного согласия субъектов данных на передачу данных в покупатель и очистить данные тех, кто не дал согласия.
Подход государственных регулирующих органов в RadioShack — Принцип Toysmart «iii», плюс уведомление о передаче данных и право отказа . В 2015 году генеральные прокуроры в 38 штатах оспорили сделку RadioShack по поводу банкротства ее личных данных (в политике конфиденциальности RadioShack говорилось: «Мы не будем продавать или сдавать в аренду вашу личную информацию кому-либо в любое время»).Штаты достигли соглашения с RadioShack, которое ограничило тип передаваемой информации (, например, , только адреса электронной почты клиентов, которые были активны в течение двухлетнего периода до даты обращения; только определенные поля данных, такие как магазин номер, цена и номер SKU для транзакции, собранной за пятилетний период, предшествующий петиции). Кроме того, урегулирование требовало, чтобы покупатель (а) принял пункт «iii» Принципов Toysmart FTC (будучи связанным политикой конфиденциальности RadioShack и требующим согласия на любые существенные изменения, которые могут повлиять на передаваемые данные) и (b) предоставлять клиентам RadioShack возможность уведомить и отказаться от участия, чтобы они могли исключить свои личные данные из продажи.
Суд по делам о банкротстве — RadioShack (согласие на существенные изменения политики) vs. Borders (отказ от существенных изменений политики) . Хотя в 2015 году суд по делам о банкротстве округа Делавэр одобрил вышеупомянутое соглашение, достигнутое между штатами и RadioShack, четыре года назад, в 2011 году, суд по делам о банкротстве Южного округа Нью-Йорка пришел к несколько иному выводу в деле Borders . дело. FTC выразила обеспокоенность, когда Borders планировала продать личные данные примерно 45 миллионов клиентов Barnes & Noble на аукционе о банкротстве.Политика конфиденциальности Borders со временем изменилась, и изначально в ней говорилось, что «мы не сдаем в аренду и не продаем вашу информацию третьим лицам…». и позже заявив, что информация о клиенте может быть передана, если Borders участвует в сделке M&A. Суд по делам о банкротстве Borders отказался принять подход FTC, описанный выше, и вместо этого потребовал от Barnes & Noble (i) принять политику конфиденциальности, аналогичную политике Borders, и предоставить существующим клиентам возможность отказаться от любых существенных изменений политики и ( ii) предоставить уведомление и механизм отказа от передачи данных, как в RadioShack .Суд также потребовал от Barnes & Noble удовлетворить предыдущие запросы потребителей (сделанные в Borders) об отказе от получения маркетинговых сообщений (если только такие потребители не были также клиентами Barnes & Noble, которые не отказались от маркетинговых сообщений).

В каждом из вышеперечисленных случаев в применимой политике конфиденциальности не было явных положений, разрешающих продажу личных данных в случае реструктуризации, продажи активов или банкротства (или даже в случае слияния или поглощения).Включение такого положения рекомендуется не только в политику конфиденциальности, но и в контракты, содержащие обязательства в отношении обработки персональных данных.

Ловушка: Хотя «передача» личных данных в связи со слияниями или покупкой акций до сих пор не подвергалась критике со стороны регулирующих органов, продажа активов, включающая передачу личных данных, подвергалась тщательной проверке в США и, в некоторых случаях, При планировании таких переводов могут потребоваться шаги, чтобы предотвратить потенциальную ответственность.

ii) В ЕС передача персональных данных при закрытии в рамках сделки M&A требует доказательства того, что по крайней мере одно из оснований для передачи, описанных в Разделе A выше («законный интерес», согласие или необходимое для выполнения договор) найден. Это должно быть проще, чем в случае раскрытия информации перед закрытием, поскольку после завершения транзакции покупатель должен иметь «законный интерес» в обработке полученных личных данных.Кроме того, следует учитывать следующие шаги:

Субъекты данных должны быть проинформированы о передаче . Продавец должен предоставить субъектам данных определенную информацию о передаче их данных третьей стороне не позднее, чем во время передачи, за исключением случаев, когда такое раскрытие «потребует непропорциональных усилий». Такую информацию не обязательно предоставлять каждому субъекту данных индивидуально (в зависимости от обстоятельств может быть достаточно публикации на веб-сайте).Возможно, потребуется предоставить право отказаться от передачи.
Могут потребоваться дополнительные шаги в случае передачи данных за пределы Европейской экономической зоны («ЕЭЗ»). Законодательство ЕС налагает строгие нормативные ограничения на передачу персональных данных за пределы ЕЭЗ в страну, которая, как считается, не имеет адекватного уровня защиты данных, включая Соединенные Штаты, за исключением случаев передачи в компанию, имеющую самостоятельную сертификацию. под ЕС-У.S. Privacy Shield. Согласие субъектов данных делает передачу законной в соответствии с законодательством ЕС, но ее часто также трудно или очень обременительно получить. Таким образом, при отсутствии сертификации Privacy Shield или индивидуального согласия субъектов данных передача, связанная с M&A, должна производиться только после заключения между сторонами соглашения о передаче персональных данных, которое включает Типовые положения. Типовые положения возлагают на получателей персональных данных договорные обязательства, аналогичные тем, которые требуются в ЕС.Однако обратите внимание, что, как обсуждается ниже, в некоторых странах ЕС (, например, , Франция) соглашение о передаче данных (содержащее Типовой пункт) должно быть одобрено местным DPA, что может занять до нескольких месяцев и может в некоторых случаях делают вариант Model Clause неприемлемым.
Ловушка: Решающий фактор для определения того, происходит ли передача личных данных за пределы ЕЭЗ (что может потребовать использования Типовых положений или самосертификации в рамках ЕС-U.S. Privacy Shield) не означает, является ли продавец / цель корпорацией ЕС, а покупатель — нет; это то, передаются ли личные данные, хранящиеся в ЕЭЗ (физически или в электронном виде), в места за пределами ЕЭЗ субъектом, подпадающим под юрисдикцию ЕС.
Проверить, нужно ли подавать документы в органы по защите данных . В зависимости от национального законодательства, применимого к продавцу, объекту или покупателю, передача личных данных может быть уведомлена или разрешена одним или несколькими DPA.Требования к подаче заявок различаются в разных государствах-членах и должны пересматриваться в индивидуальном порядке. Заблаговременное планирование важно, поскольку утверждение DPA, если необходимо, может занять много времени. Заранее подготовившись к этому, покупатель может обеспечить минимальные перерывы в обработке персональных данных адресата.

Риски, связанные с интеграцией персональных данных после приобретения

Сразу после закрытия покупатель должен подумать, как интегрировать личные данные цели и ИТ-системы цели в свои собственные данные и системы.Проблемы возникают, если либо действия цели не соответствуют политике конфиденциальности покупателя (или договорным обязательствам), либо действия покупателя не соответствуют политике конфиденциальности цели (или договорным обязательствам, оставшимся после продажи, в том числе взятым на себя покупателем).

Практика и политика Target более надежны, чем

покупателя

Даже в тех случаях, когда завершение сделки M&A и соответствующая «передача» личных данных покупателю не нарушают законы о конфиденциальности, возникают проблемы, когда действия покупателя не соответствуют стандарту, указанному в политике конфиденциальности перед приобретением.Например, в политике цели может быть указано, что определенные типы информации не собираются, или что личные данные используются только для определенных целей, передаются только определенным третьим сторонам, хранятся только в определенных географических регионах или деидентифицируются или зашифрованы. Однако у покупателя могут быть разные политики и методы обеспечения конфиденциальности, которые могут противоречить этим заявлениям.

Facebook в настоящее время находится под пристальным вниманием во всем мире, поскольку он борется с вышеупомянутыми рисками, связанными с приобретением WhatsApp в 2014 году.Хотя на момент приобретения политика конфиденциальности WhatsApp содержала прямое положение о том, что компания оставляет за собой право передавать личные данные пользователей третьей стороне в случае слияния или поглощения, FTC заняла позицию, согласно которой после приобретения WhatsApp должен продолжать соблюдать свою исходную политику конфиденциальности (которая обещала не передавать личные данные сторонним компаниям для коммерческого или маркетингового использования, кроме как с согласия пользователей или как часть программ или функций, которые пользователи могут выбрать, или отказаться от).Когда было объявлено о продаже, и Facebook, и WhatsApp пообещали потребителям, что после приобретения WhatsApp продолжит работать автономно и что для его пользователей ничего не изменится. Однако в августе 2016 года WhatsApp изменил свою политику конфиденциальности, чтобы разрешить ему делиться личными данными клиентов (включая данные до получения) с Facebook, если клиенты не откажутся от такого обмена в течение 30 дней. Группы по надзору за конфиденциальностью потребителей и другие организации подали официальную жалобу в FTC и призвали FTC провести расследование в отношении WhatsApp и Facebook.

Руководство о том, как FTC рассматривает этот вопрос в контексте слияний и поглощений, можно найти в «деловом блоге» FTC, опубликованном в марте 2015 года («Блог FTC»), который, по крайней мере частично, был вызван приобретением Facebook компанией WhatsApp. Блог FTC сформулировал несколько важных принципов:

Политика целевого объекта перед приобретением по-прежнему регулируется в отношении персональных данных, собранных целью . Как заявила FTC: «Покупка одной компанией другой не отменяет обещаний о конфиденциальности, данных при первом сборе данных.”
Что касается данных, собранных целью до приобретения, покупатель может либо соблюдать уже существующие политики цели, либо разрешить согласие. Покупатель может просто соблюдать обещания цели перед приобретением, , то есть , обрабатывать данные, как и было обещано, когда цель собирала их от потребителей. В качестве альтернативы, если он желает существенно изменить способ обработки данных, он должен получить положительное согласие (согласие) от лиц, которым эти данные принадлежат.
В отношении данных, собранных приобретенным бизнесом или целью (если они сохранятся) после приобретения, покупатель должен предоставить уведомление и отказаться от участия. Если покупатель желает изменить свою практику в отношении вновь собранных персональных данных, он должен будет предоставить достаточное уведомление об изменении и предоставить пользователям возможность отказаться. Согласно блогу FTC: «Простого изменения формулировок политики конфиденциальности или пользовательского соглашения недостаточно, поскольку существующие клиенты могли ознакомиться с исходной политикой и разумно предположить, что она все еще действует.Хотя может и не быть необходимости предоставлять утвердительное прямое согласие, уведомление и выбор должны быть достаточно заметными и четкими, чтобы существующие клиенты могли видеть уведомление и легко осуществлять свой выбор ».
В отношении любых данных физического лица, которое не принимает участие (для данных до получения) или которое пользуется правом отказаться (для данных после получения), покупатель должен будет соблюдать применимые правила конфиденциальности до приобретения. политика цели.

Таким образом, если политика конфиденциальности цели и методы обеспечения конфиденциальности данных более надежны, чем у покупателя, если покупатель желает интегрировать личные данные цели в свои системы или иным образом использовать данные, собранные целью перед приобретением, покупателю может потребоваться привести свои собственные методы обеспечения конфиденциальности данных в соответствие с применимой политикой конфиденциальности целевой компании.Если обновление методов и систем покупателя невозможно или нежелательно, покупатель должен будет разделить данные.

Наконец, цель может собирать определенные персональные данные, которые подлежат дополнительному регулированию (например, данные о здравоохранении, подпадающие под действие Закона о переносимости и подотчетности медицинского страхования от 1996 г. (HIPAA), или персональные данные детей младше 13 лет, подпадающие под действие Закона о детском Интернете). Правило защиты конфиденциальности). Если покупатель желает интегрировать такие персональные данные и использовать их, покупатель должен будет обеспечить соблюдение всех соответствующих правил.

Мы отмечаем, что приведенное выше обсуждение относится к законодательству США, где основное внимание уделяется политике и обещаниям цели и покупателя в отношении конфиденциальности. В ЕС при рассмотрении практики после приобретения (при условии, что передача данных является законной, как описано в разделе A выше) основное внимание уделяется целям, для которых данные были изначально собраны. Использование данных покупателем должно соответствовать указанным (и законным) целям, для которых они были изначально получены целью.В качестве иллюстрации: в случае данных, полученных для целей, связанных с кадрами, таких как расчет заработной платы и административное управление, данные должны и далее использоваться покупателем для тех же целей.

Ловушка: Для покупателя недостаточно установить, что действия цели соответствуют вашей политике конфиденциальности. Вы можете нарушить закон, если ваше использование данных, собранных целью, не соответствует политике цели (или, в ЕС, если ваше использование таких данных не соответствует указанным целям , для которых это было собраны мишенью).

Практика и политика компании менее надежны, чем

покупателя

Другой набор проблем возникает, если методы защиты данных цели менее защищают конфиденциальность, чем методы покупателя, и поэтому несовместимы с политиками конфиденциальности покупателя ( например, , личные данные, собранные целью, могут содержать информацию о кредитной карте или другие поля данных. что покупатель обещает не собирать и не хранить, или цель может использовать сторонних поставщиков услуг на условиях, которые несовместимы с заявлениями в политике конфиденциальности покупателя).В то время как политика конфиденциальности покупателя может быть изменена для удаления обещаний, несовместимых с практикой цели, измененная политика будет действовать только для вновь собранных личных данных (собранных после даты вступления в силу измененной политики) и в соответствии с В блоге FTC клиенты должны получить уведомление об изменении и возможность отказаться от участия. Кроме того, покупатель может пострадать от репутации из-за снижения защиты в своей политике конфиденциальности.Кроме того, покупателю потребуется согласие на включение любых изменений, которые повлияют на ранее собранные данные клиентов.

Наиболее разумным подходом, вероятно, будет для покупателя либо (1) сохранить целевой объект как отдельную организацию / подразделение, которое не использует данные покупателя, либо (2) привести методы целевого объекта в соответствие с предыдущими обещаниями покупателя (хотя это может включать значительные затраты).

Ловушка: Даже если «передача» личных данных покупателю в результате сделки M&A является законной, обработка личных данных после закрытия либо покупателем (данных цели), либо выжившей целью (данных покупателя), что противоречит политике конфиденциальности, действующей на момент сбора таких данных, может привести к ответственности .

Заключение

В этой записи блога, состоящей из двух частей, мы обрисовали в общих чертах некоторые сложные проблемы конфиденциальности, возникающие на каждом этапе сделки M&A. Перед подписанием должная осмотрительность покупателя будет включать несколько областей исследования для определения всех потенциальных рисков, связанных с существующими обязательствами цели, связанной с конфиденциальностью, и для максимальной защиты могут потребоваться заявления о конфиденциальности в соглашениях M&A. В период между подписанием и закрытием как продавцы, так и покупатели должны проявлять осторожность при раскрытии личных данных и обращаться за советом как к содержанию любого раскрытия информации, так и к процессу раскрытия информации.После закрытия транзакции покупатель должен будет тщательно обдумать, какие шаги необходимо предпринять, чтобы позволить ему использовать полученные данные и гарантировать, что такое использование соответствует всем применимым законам. Учитывая быстро развивающийся характер законов о конфиденциальности, рекомендуется проконсультироваться с юристом по конфиденциальности на каждом этапе транзакции, чтобы наиболее эффективно снизить эти и другие связанные с ними риски.

Примечания

1В этом сообщении в блоге мы используем термин «конфиденциальность» (или «вопросы конфиденциальности» или «законы о конфиденциальности») в широком смысле, включая кибербезопасность, защиту данных и безопасность данных в отношении личных данных (и связанных вопросов и законов).(вернуться)

2Этот пост посвящен законодательству США и ЕС, но мы отмечаем, что несколько других юрисдикций приняли или принимают строгие законы о конфиденциальности. Среди них страны, признанные Европейской комиссией имеющими «адекватный уровень» защиты для всех или определенных типов обработки персональных данных (, т.е. на дату публикации этого поста, Андорра, Аргентина, Швейцария, Фарерские острова, Гернси, Израиль, остров Мэн, Джерси, Новая Зеландия и Уругвай — посетите http: // ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm), а также в других государствах, таких как Бразилия, Сингапур и Южная Корея. В любой трансграничной сделке необходимо изучить законы всех соответствующих юрисдикций. (Вернуться)

3 Например, глава 93H Общего закона штата Массачусетс и его положения 201 CMR 17.00 налагают требования ко всем компаниям, которые получают, хранят, обслуживают, обрабатывают или иным образом имеют доступ к персональным данным жителей штата, для разработки, внедрения и поддержки комплексной программы информационной безопасности. который содержит административные, технические и физические меры безопасности для защиты данных.(вернуться)

4 Хотя Директива обеспечивает согласованную нормативную базу защиты данных, которая применима на всей территории ЕС, есть несколько областей, в которых национальное законодательство отличается в каждом государстве-члене. Начиная с 25 мая 2018 г., Директива и национальные законы, реализующие ее, будут в значительной степени заменены Общим регламентом по защите данных («GDPR»), который усилит существующие юридические требования, создаст новые правила и установит значительные штрафы для организаций, не выполняющих исполнить.Дополнительную информацию о ключевых изменениях, которые следует ожидать в соответствии с режимом GDPR, см. В нашем Меморандуме об оповещении от 13 мая 2016 г. (https://www.clearygottlieb.com/news-and-insights/publication-listing/general-data- защита-регулирование-ключевые-изменения-и-последствия). (вернуться)

5 Чувствительные персональные данные могут быть переданы только в том случае, если субъект данных предоставил свое явное и полностью осознанное согласие или если существует юридическое обязательство в контексте работы, которое делает передачу необходимой.Прежде чем полагаться на «юридическое обязательство» в связи с передачей конфиденциальных данных о сотрудниках, следует обратиться за советом к местному юрисконсульту. (Вернуться)

6 Условия и положения, устанавливающие порядок продажи информации о клиентах, см. На https://www.ftc.gov/sites/default/files/documents/cases/toysmarttbankruptcy.1.htm.( вернуться назад)

7См. Письмо Федеральной торговой комиссии назначенному судом Уполномоченному по защите прав потребителей в RadioShack от 16 мая 2015 г., доступное здесь.(вернуться)

8 См. In re RadioShack Corporation и др., No. 15-10197 (BLS) (Bankr. D. Del.). (Вернуться)

9 См. In re Borders Group, Inc., et al. , No. 11-10614 MG, 2011 WL 5520261 (Bankr. S.D.N.Y. 27 сентября 2011 г.) (вернуться)

10 В 2001 году DPA Франции объявило (в контексте слияния трех компаний), что файлы личных данных могут быть переданы или предоставлены третьей стороне только при условии предварительного уведомления субъектов данных, а также права возражать против такой передачи.В Германии необходимо предоставить уведомление о передаче в контексте транзакции с указанием крайнего срока для объекта, если переданные данные выходят за рамки так называемых «данных списка» (имя и почтовый адрес). DPA Баварии наложило штрафы на покупателя и нацелило его на сделку с активами в 2015 году, когда данные клиента были переданы без указания сторонами крайнего срока для возражения против передачи до транзакции.

11 См. Сноску 2 выше. (Вернуться)

12Решение Комиссии от 12.07.2016 в соответствии с Директивой 95/46 / EC Европейского парламента и Совета об адекватности защиты, предоставляемой ЕС-США. Privacy Shield («Privacy Shield между ЕС и США»). Для получения дополнительной информации о программе защиты конфиденциальности ЕС-США и признании недействительной ее предшественницы (Safe Harbor ЕС-США), пожалуйста, обратитесь к нашему меморандуму об оповещениях от 2 августа 2016 года: https://www.clearygottlieb.com/~/media/ cgsh / files / alert-memos / alert-memo-pdf-version-201679.pdf). (вернуться)

13 GDPR предусматривает механизм «единого окна », в соответствии с которым контроллеры данных, учрежденные в ЕС, смогут регистрироваться только в одном DPA (в своей стране «основного учреждения»).(вернуться)

14 См. Https://www.ftc.gov/news-events/blogs/business-blog/2015/03/mergers-privacy-promises.( вернуться назад)

Что каждый онлайн-продавец должен знать о GDPR.

Было много разговоров о том, что GDPR вступит в силу в мае 2018 года, но, если, как и многие, вы не уверены, что такое GDPR, как он повлияет на ваш онлайн-бизнес и каковы последствия несоблюдения нового правила, мы настоятельно рекомендуем вам прочитать.

Итак, что такое GDPR?

С пятницы, 25 мая 2018 г., GDPR, также известный как Общий регламент ЕС по защите данных, заменит существующий Закон о защите данных.

Теперь важная часть — независимо от того, находится ли ваш бизнес в ЕС или нет, есть ли у вас европейские клиенты, этот новый закон о защите данных повлияет на ваш бизнес.

Я сейчас перейду к вопросу «как», но очень важно понять «почему». Основная цель этого нового закона — предоставить физическим лицам больший контроль над безопасностью их личных данных.

Как розничный продавец электронной коммерции, вы постоянно имеете дело с личными данными — именами контактов, адресами электронной почты, физическими адресами, данными карт, вплоть до информации о просмотре веб-страниц — и поэтому вам потребуется изменить способ сбора , управлять и обрабатывать данные такого рода в соответствии с новым законодательством.Несоблюдение требований может привести к серьезным штрафам — до 17 миллионов фунтов стерлингов или 4% от глобального оборота вашей компании.

Если вы думаете, что это кажется чрезмерным, есть несколько причин, которые привели к созданию GDPR, которые стоит понять:

Персональные данные попадают не в то место
Неправильное использование персональных данных
Низкий -уровневое регулирование в настоящее время

Однако основная цель GDPR — обеспечить предоставление всех персональных данных на основе консенсуса.

Понимание разницы между субъектом данных, контроллером и процессором.

Прежде всего, вы должны знать общую терминологию, используемую при обсуждении GDPR.

Субъект данных: Лицо, предоставляющее свои личные данные, в данном случае потенциальный или существующий клиент

Контроллер данных: Бизнес, предоставляющий товары или услуги, в котором будет указано, как и почему будут использоваться личные данные пользователя, и в конечном итоге будет нести ответственность за хранение и использование данных.

Обработчик данных: Это будут любые сторонние поставщики, такие как Linnworks, ваша платформа электронной коммерции, система электронного маркетинга, поставщик услуг доставки и т. д.

GDPR — ключевые вещи, которые вам нужно знать как онлайн-продавцу.

Хотя вы можете просмотреть здесь весь документ, вас простят за нежелание читать все 88 страниц GDPR, поэтому мы рассмотрели некоторые ключевые темы и наиболее важные моменты для брендов электронной коммерции.

Пожалуйста, имейте в виду, что, хотя мы стремились предоставить вам как можно больше информации и советов, исходя из того, как мы интерпретируем GDPR в Linnworks, каждый бизнес отличается, и мы настоятельно рекомендуем вам проконсультироваться с юристом для получения юридической консультации чтобы убедиться, что вы полностью соответствуете требованиям.

Итак, вот что вам нужно знать…

Расширенные права для физических лиц.

Учитывая, что GDPR предоставляет физическим лицам (в данном случае вашим существующим и потенциальным клиентам) больший контроль над своими личными данными, это поможет понять конкретные «права», которые они будут иметь по состоянию на 25 мая 2018 года, и многое другое. конкретно то, к чему нужно подготовиться.

Какой бы ни была причина вашего запроса информации о контакте, вы должны будете сообщить им эту причину, а также подробную информацию о том, как вы будете обрабатывать и хранить эти данные.

Отличным примером того, как вы можете это сделать, будет использование уведомления о конфиденциальности в реальном времени, метод, поддерживаемый ICO.

Как видно из приведенного ниже примера, необходимо отображать соответствующую информацию в формате всплывающего окна, когда пользователь взаимодействует с определенным полем данных.

Одна из основных проблем, с которой вы столкнетесь, — это решить, как соблюдать GDPR, при этом отображая необходимую информацию таким образом, чтобы это не повлияло отрицательно на взаимодействие с пользователем.

Помимо использования уведомлений о конфиденциальности в реальном времени, вам также следует рассмотреть возможность использования многоуровневого подхода. Слои, в частности, позволяют пользователям получать доступ к ключевой информации с возможностью более глубокого погружения при необходимости.

В приведенном ниже примере ICO используются три уровня; первый — это вопрос заголовка, второй — сворачиваемая информация, а третий — гиперссылка на соответствующий раздел полной политики конфиденциальности.

Помимо знания причин, по которым вам нужны их личные данные, пользователи, которые делятся с вами своей информацией, также будут иметь право доступа к этим данным в любое время.

Если кто-то запросит эти данные, у вас будет один месяц, чтобы бесплатно предоставить ему копию этой информации.

Для получения дополнительной информации об этом, включая подробности об исключениях из правил, мы рекомендуем вам прочитать это.

Право на исправление

Ваши контакты также смогут в любой момент изменить / обновить имеющуюся у вас информацию. Запрос такого рода обычно возникает, если их личные данные неточны или неполны, но в этом случае у вас также будет один месяц, чтобы ответить на этот запрос.Опять же, для получения дополнительных сведений об этом обязательно обратитесь к руководству ICO.

Никогда не бывает идеальным, когда кто-то просит вас удалить их из вашей базы данных, но с этим новым «правом на удаление» — также называемым «правом на забвение» — это то, что вам нужно будет сделать, если клиент попросит удаление и удаление их личных данных.

Право на ограничение обработки

Вместо того, чтобы запрашивать удаление личных данных, ваш клиент также имеет право заблокировать / запретить обработку своих личных данных.

В этой ситуации вам будет разрешено хранить их данные, но не обрабатывать их дальше.

Для получения дополнительной информации прочтите это руководство.

Право на переносимость данных

По сути, это позволяет пользователям безопасно перемещать, копировать или передавать свои личные данные другой службе или розничному продавцу, не влияя на удобство использования. К сожалению, это может включать профили покупателей, которые вы для них создали.

Но как к этому подготовиться?

На самом деле вам и вашей команде необходимо знать, как найти и экспортировать все соответствующие данные в структурированном машиночитаемом формате.

Хотя вы можете узнать больше о соблюдении этого конкретного прямо здесь, еще одна вещь, которую следует иметь в виду, — это то, что на самом деле это может быть возможностью. Подумай об этом. Если к вам приходит новый покупатель со своими «историями о розничной торговле» от других розничных продавцов, вы сразу понимаете его предпочтения.

В сценарии электронной коммерции право на возражение может означать отказ пользователя от профилирования для целей прямого маркетинга, таких как поведенческая реклама. Другой пример — для исследовательских целей.

Права, связанные с автоматическим принятием решений и профилированием

GDPR также распространяется на все автоматизированные индивидуальные решения и профилирование, оба из которых требуют согласия пользователя.

Поскольку многие интернет-магазины в настоящее время используют сложные процессы автоматизации данных для персонализации взаимодействия с пользователем, благодаря файлам cookie и IP-адресам, вам необходимо признать это.

Простое отслеживание посетителя веб-сайта на вашем веб-сайте не является профилированием, но использование этих данных для оценки их поведения и личных предпочтений делает.

Для получения дополнительной информации о том, как соблюдать требования, прочтите эти инструкции.

Новые правила получения согласия

Необходимость получения личных данных является фундаментальной для любого онлайн-бизнеса. В конце концов, без контактных данных и платежных данных вашего клиента вам будет сложно совершить продажу.

Как онлайн-продавец, очень важно, чтобы вы не только знали правила GDPR, касающиеся того, как вы получаете, обрабатываете и обрабатываете данные своих клиентов (будь то потенциальные или существующие данные), но и что вы действуете в соответствии с ними заранее. мая.

Хотя вы можете узнать больше о согласии здесь, несколько ключевых моментов, которые вам необходимо соблюдать, включают следующее:

Согласие должно даваться свободно, конкретное, информированное и недвусмысленное

Любое лицо, предоставляющее свои личные данные with вы не должны сомневаться в том, как их данные будут обрабатываться и обрабатываться, и даже почему их данные необходимы.

Это означает, что при запросе согласия формулировка должна быть ясной, краткой, легко доступной и различимой, что это запрос на согласие.

Как я уже упоминал в разделе «право на получение информации», отличный способ сделать это — использовать «уведомление о конфиденциальности в реальном времени», при котором пользователю предоставляется объяснение того, почему и как его информация будет использовал.

Физические лица должны активно подписаться на рассылку

Если вы в настоящее время используете поля с предварительно установленными флажками (аналогично приведенному ниже примеру), будь то согласие с условиями, подписка на ваш список рассылки, согласие для передачи информации третьим лицам или чего-либо еще в этом отношении вам необходимо незамедлительно изменить это.

Причина этого проста в том, что согласно правилам GDPR «молчание» не означает согласия.

Вместо этого ваши клиенты должны будут предоставить согласие посредством заявления или четкого позитивного действия, то есть сами активно отметив поле согласия.

Согласие должно быть отдельным от других Положений и условий, и оно не должно быть предварительным условием для подписки на вашу службу

В дальнейшем пользователи должны иметь возможность принимать ваши условия отдельно от предоставления согласия.Сделать предварительным условием согласия пользователя на подписку на ваш информационный бюллетень или любую другую услугу, просто приняв ваши Условия и положения, больше не будет приемлемо.

В целях соблюдения GDPR вам необходимо будет предоставить пользователям отдельную опцию / опцию для согласия с вашими положениями и условиями, как в примере ICO, приведенном ниже.

Разрешить пользователям отдельно давать согласие на разные услуги

Вы больше не сможете использовать единое поле согласия в случаях, когда обработка данных имеет несколько целей.Вместо этого необходимо «разделить» согласие на использование различных услуг.

Если, например, вы предоставляете пользователям возможность дать согласие на то, чтобы с ними связались с помощью нескольких служб — почты, электронной почты, телефона, SMS и т. Д., — вам необходимо убедиться, что они могут дать согласие на каждую из них по отдельности.

Пример ниже демонстрирует рекомендуемый ICO способ использования ящиков согласия в таких ситуациях.

Вы должны указать всех третьих лиц, которые будут полагаться на согласие

Теперь это невероятно важно.Как интернет-магазин, вы очень вероятно поделитесь личными данными своего клиента с многочисленными третьими сторонами — вашим поставщиком CRM, программным обеспечением для электронного маркетинга, системой управления запасами, платформой электронной коммерции, поставщиком обработки платежей, маркетинговым агентством, рекламной службой, такой как Google, и скоро.

Согласно GDPR, теперь вам необходимо будет четко указать, кто эти третьи стороны, которые будут иметь доступ к данным вашего клиента, с дополнительным объяснением причин этого.

Вы должны четко дать понять, что ваши клиенты имеют право отозвать свое согласие в любое время, подробно описав, как они могут это сделать.

Поскольку право на удаление является фундаментальной частью GDPR, это важно, чтобы вы знали, как обрабатывать любые запросы.

Вы должны сделать так же просто, как для клиентов отозвать, как для них было согласие

Следуя вышеизложенному, процесс, через который клиент проходит, чтобы отозвать свое согласие и, в конечном итоге, запросить удаление из ваша система должна быть такой же простой, как если бы они изначально давали согласие.

Хотя GDPR устанавливает высокий стандарт согласия, стоит помнить, что он дает вашим клиентам контроль, что, в свою очередь, может укрепить доверие и помочь улучшить репутацию вашего бренда.

Конфиденциальность по дизайну.

Конфиденциальность по дизайну требует, чтобы защита данных была во главу угла при разработке, а не просто второстепенной задачей.

Это связано с требованием к вам четко указывать, что происходит с данными вашего клиента, в том числе, куда они отправляются и кто несет ответственность за их хранение и обработку, в любом месте вашего веб-сайта, где вы запрашиваете согласие.

Ключевым примером может служить процесс оформления заказа. Рассмотрите возможность обновления как вашей корзины, так и страниц оплаты, чтобы предоставить четкие отчеты с подробным описанием того, какой поставщик платежных шлюзов будет обрабатывать платеж клиента и как будут обрабатываться и храниться его личные данные — платежные данные, адрес электронной почты и контактные данные, такие как их физический адрес.

Чтобы помочь вам лучше понять концепцию конфиденциальности и ее влияние на ваш бизнес, мы изложили 7 принципов конфиденциальности по дизайну.

1. Упреждающая, а не реактивная

Это, в частности, относится к тому факту, что вы должны учитывать конфиденциальность данных в начале процесса планирования безопасности данных, а не просто после утечки данных.

В конечном счете, конфиденциальность должна лежать в основе всего, что вы делаете, обеспечивая принятие превентивных мер для предотвращения утечки данных в целом.

2. Конфиденциальность по умолчанию

Личные данные должны автоматически защищаться в системе по умолчанию, и от клиента не следует требовать выполнения каких-либо действий для защиты своей конфиденциальности.

Вдобавок к этому, минимизация данных должна быть огромным вниманием, и вам следует стремиться только к тем данным, которые вы действительно будете обрабатывать. Это также подтверждается тем фактом, что вам нужно будет подробно описать, почему вы запрашиваете определенные данные. Так что, если у вас нет веской причины для получения номера телефона клиента, не спрашивайте его.

3. Конфиденциальность, встроенная в дизайн

Методы защиты данных, такие как шифрование и аутентификация, не должны откладываться на второй план, а должны стать ключевым фактором для вашего бизнеса.

4. Полная функциональность

Конфиденциальность по дизайну ни в коем случае не должна ставить под угрозу ваши бизнес-цели. Другими словами, вы можете иметь конфиденциальность, доход и рост, не жертвуя одним ради другого.

5. Сквозная безопасность

Опять же, вы должны использовать соответствующие процессы шифрования и аутентификации для защиты персональных данных вашего потребителя на всех этапах.

6. Наглядность и прозрачность

Четкое изложение ваших методов обеспечения конфиденциальности не только соответствует требованиям GDPR, но и помогает завоевать доверие ваших клиентов.

7. Соблюдение конфиденциальности пользователей

Вы должны четко дать понять, что данные вашего клиента принадлежат. По сути, это означает, что вы должны предоставить этим потребителям возможность не только исправлять свои собственные данные, чтобы они были точными, но и гарантировать, что они единственные, кто может давать и отзывать согласие на использование этих данных.

Уведомления об утечке данных.

В случае утечки данных вы как контроллер данных обязаны сообщить об этом в соответствующий надзорный орган в течение 72 часов после того, как стало известно о нарушении.Здесь также должны быть подробно описаны возможные задержки.

Если нарушение считается высоким риском для прав и свобод человека, вы также должны будете проинформировать их в том же 72-часовом окне.

Как GDPR влияет на вас при продаже через онлайн-торговую площадку?

Если вы продаете исключительно через онлайн-торговую площадку, не обрабатываете данные своих клиентов и не принимаете оплату через такую службу, как PayPal, скорее всего, GDPR не коснется вас.Это связано с тем, что обеспечение безопасности данных клиента будет зависеть от рынка и поставщика платежных услуг.

Тем не менее, мы советуем вам проконсультироваться напрямую с вашим онлайн-рынком (-ами).

Следующие шаги для брендов электронной коммерции.

Убедитесь, что вы выполняете следующие шаги как можно скорее.

Изучите существующие процессы сбора, обработки и обработки личных данных
Проведите полный аудит всех текущих форм согласия и уведомлений о конфиденциальности, которые вы используете для своего бизнеса электронной коммерции, и убедитесь, что они соответствуют стандартам GDPR. данные доступны и что ваша группа обслуживания клиентов оснащена для обработки запросов на удаление, исправление и / или передачу личных данных клиента — вы можете получить выгоду от создания шаблонов электронных писем с ответами
Перечислите всех сторонних поставщиков, которые будут иметь доступ к личным данным вашего клиента и оценка их собственных процессов обеспечения соответствия требованиям безопасности
Обновите все соответствующие страницы на вашем веб-сайте и в приложении, чтобы предоставить четкие заявления о том, какие третьи стороны (т.е. ваш провайдер обработки платежей) будет иметь доступ к данным клиента, дополнительно указав, что это за данные, причины, по которым они будут иметь доступ, и как они будут обрабатывать и хранить эти данные. разделены и соответствуют положениям GDPR, касающимся согласия.
Изучите личные данные, которые вы в настоящее время храните, для существующих клиентов, прошлых клиентов и других контактов, и если вы не можете доказать свое согласие, рассмотрите возможность проведения кампании повторного разрешения (как эмпирическое правило: если кто-то не покупал у вас в течение 1-2 лет, рекомендуется удалить его данные)
Убедитесь, что у вас есть правильные процессы для обнаружения, сообщения и расследования любых утечек данных в требуемый 72-часовой период
Проведите оценку защиты данных

Хотя новые правила GDPR создадут проблемы для вашей компании, они действительно открывают больше возможностей rtunities для вашего бизнеса, давая вам возможность оптимизировать свои процессы и способы взаимодействия с клиентами.

Полная инфографика

Чтобы узнать, как Linnworks соблюдает GDPR, и лучше понять изменения, которые мы вносим в наши функции для поддержки наших клиентов в соответствии с этим новым законодательством, прочитайте эту статью.

Какие общие проблемы могут возникнуть на практике?

Подробно

О чем нам нужно подумать, если мы планируем делиться личными данными с другими организациями (или продавать их)?

Если вы намереваетесь собирать личные данные с намерением продать их (или поделиться ими) с третьими лицами, вы должны проинформировать людей как часть предоставляемой вами информации о конфиденциальности.Вы должны сообщить им, кому вы будете предоставлять их информацию и почему, если вы не полагаетесь на исключение или исключение. Вы можете сообщать людям названия организаций или категорий, к которым они относятся. Вам следует выбрать наиболее значимый и полезный для отдельных лиц вариант, учитывая, что вы делаете с их личными данными.

Пример

Интернет-магазин розничной торговли использует несколько разных компаний для обработки финансовых транзакций со своими покупателями с помощью различных способов оплаты.Розничный торговец решает, что предоставление своим клиентам конкретных названий всех этих компаний не имеет смысла для его клиентов, поскольку неясно, кто эти компании и чем они занимаются. Таким образом, он сообщает своим клиентам, что их платежные реквизиты передаются компаниям по обработке платежей при размещении заказа.

Тот же розничный торговец также продает имена, контактные данные и истории покупок своих клиентов другим розничным компаниям в целях почтового маркетинга. Розничный торговец предоставляет своим клиентам конкретные названия организаций, которым он продает свою информацию, в отличие от категорий, к которым они принадлежат.Это делается для того, чтобы его клиенты были точно осведомлены о том, кто хранит их личные данные, и могли легко осуществлять свои права на их использование.

Если вы решите, что наиболее целесообразно предоставить отдельным лицам названия организаций, которым вы передаете их информацию, это не обязательно означает, что вам нужно перечислить каждую организацию заранее. Если существует большое количество организаций, рекомендуется использовать многоуровневый подход к предоставлению этой информации.Например, в онлайн-контексте вы можете дать отдельным лицам ссылку на полный список организаций.

Также рекомендуется встраивать ссылки на такие инструменты, как информационные панели, в места, где вы предоставляете людям информацию о конфиденциальности. Это позволяет людям управлять своими предпочтениями и предотвращать продажу или передачу своих данных там, где у них есть выбор. Продажа или обмен личными данными — это одна из областей, в которой использование значка рядом с вашей информацией о конфиденциальности также может быть полезным.

Что касается сроков, когда вы собираете информацию от лица, к которому она относится, вы должны сообщить им, кому вы дадите свою информацию в момент ее получения.Если вы получаете персональные данные из источника, отличного от лица, к которому они относятся, вам необходимо сообщить лицам, которым их информация будет передана, не позднее, чем через месяц после получения информации. Однако, если личные данные передаются другой организации в течение месяца с момента их получения, вы должны сообщить об этом лицам не позднее, чем при передаче информации.

Дополнительная литература

Дополнительная литература — Европейский совет по защите данных

Европейский совет по защите данных (EDPB), который заменил Рабочую группу по статье 29 (WP29), включает представителей органов по защите данных каждого государства-члена ЕС.Он принимает рекомендации по соблюдению требований GDPR. Руководящие принципы EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании. Однако они могут по-прежнему давать полезные советы по определенным вопросам.

WP29 принял руководящие принципы прозрачности, которые были одобрены EDPB.

Что делать, если мы покупаем личные данные у других организаций?

При покупке личных данных у другой организации вы должны предоставить людям свою личную информацию о конфиденциальности, если только вы не полагаетесь на исключение или исключение.Если вы полагаетесь на исключение, согласно которому предоставление информации о конфиденциальности было бы невозможным или потребовало бы непропорциональных усилий, вы должны выполнить DPIA, чтобы выявить и снизить риски, связанные с использованием вами персональных данных.

Может быть полезно проверить информацию, которую другая организация предоставила людям, чтобы увидеть, о чем они были проинформированы и о чем не были. Если вы не уверены в том, что людям была предоставлена соответствующая информация о конфиденциальности, вы должны предоставить им ее сами.Помните, что, поскольку вы не получаете личные данные от лица, к которому они относятся, вам необходимо сообщить им о различных типах информации, которую вы о них собрали, а также об источнике этой информации.

Если то, что вы планируете делать с личными данными людей, отличается от того, что им изначально сказали, вы должны убедиться, что информация о конфиденциальности, которую вы им предоставляете, отражает новую цель использования данных. Помимо этого, вам также необходимо будет рассмотреть (и сообщить людям), каковы ваши законные основания.Возможно, вам потребуется оценить, совместимо ли новое использование с первоначальной целью, для которой были получены личные данные.

Вам необходимо предоставить людям информацию о вашей конфиденциальности в течение разумного периода времени с момента покупки их персональных данных, но не позднее, чем через месяц. Чтобы ваши действия были честными и прозрачными, вам следует сделать это раньше, чем позже, особенно если люди не будут разумно ожидать, что вы планируете делать с их личными данными, или если это окажет на них значительное влияние. .

Дополнительная литература

Дополнительная литература — Европейский совет по защите данных

Европейский совет по защите данных (EDPB), который заменил Рабочую группу по статье 29 (WP29), включает представителей органов по защите данных каждого государства-члена ЕС. Он принимает рекомендации по соблюдению требований GDPR. Руководящие принципы EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании.Однако они могут по-прежнему давать полезные советы по определенным вопросам.

WP29 опубликовал следующие руководящие принципы, одобренные EDPB:

Руководство по прозрачности

Руководство по оценке воздействия на защиту данных (DPIA)

Руководство по согласию

О чем нам нужно думать, если мы получаем персональные данные из общедоступных источников?

Тот факт, что личные данные являются общедоступными, не означает, что люди больше не имеют права получать информацию о любом дальнейшем использовании их информации.Если вы получаете персональные данные из общедоступных источников (таких как социальные сети, открытый список избирателей и Регистрационная палата), вам все равно необходимо предоставить отдельным лицам информацию о конфиденциальности, если только вы не полагаетесь на исключение или исключение. Как указано выше, если вы полагаетесь на исключение, согласно которому предоставление информации о конфиденциальности будет невозможным или что это потребует непропорциональных усилий, вы должны выполнить DPIA, чтобы выявить и снизить риски, связанные с дальнейшим использованием вами личных данных.

Организации иногда получают информацию из общедоступных источников, чтобы объединить, сопоставить или дополнить информацию, которая у них уже есть о человеке (или которую они купили). Это может быть особенно навязчивым и неожиданным, поскольку может создать очень подробную картину дел человека. Если вы собираетесь это сделать, вам нужно рассказать об этом людям. Это наглядный пример того, где уместно выделять эту информацию для людей, например, путем включения ее в первый уровень многоуровневого уведомления о конфиденциальности.Этот тип обработки также требует от вас проведения DPIA из-за высоких рисков.

Что бы вы ни планировали делать с личными данными, полученными из общедоступных источников, вам необходимо убедиться, что у вас есть действительное законное основание, и вы должны сообщить людям, что это за информация о конфиденциальности, которую вы им предоставляете. Законное основание, на которое вы полагаетесь, повлияет на права отдельных лиц в отношении использования вами их личных данных. Ваша информация о конфиденциальности должна четко указывать, какими правами обладают люди, и, в частности, право на возражение должно быть явным образом доведено до сведения людей.

Вам необходимо предоставить людям информацию о вашей конфиденциальности в течение разумного периода времени с момента ее получения. Последний момент, когда вы можете это сделать, — это через месяц после получения личных данных, но, в зависимости от обстоятельств, не всегда будет справедливо ждать так долго. Обоснованные ожидания людей относительно дальнейшего использования их персональных данных будут различаться в зависимости от характера персональных данных и типа общедоступного источника, из которого вы их получили. Если дальнейшее использование общедоступных персональных данных маловероятно или может существенно повлиять на отдельных лиц, вы должны предоставить им информацию о конфиденциальности как можно скорее после ее получения.

Дополнительная литература

Дополнительная литература — Европейский совет по защите данных

Европейский совет по защите данных (EDPB), который заменил Рабочую группу по статье 29 (WP29), включает представителей органов по защите данных каждого государства-члена ЕС. Он принимает рекомендации по соблюдению требований GDPR. Руководящие принципы EDPB больше не имеют прямого отношения к режиму Великобритании и не являются обязательными для режима Великобритании.Однако они могут по-прежнему давать полезные советы по определенным вопросам.

WP29 опубликовал следующие руководящие принципы, одобренные EDPB:

Руководство по прозрачности

Руководство по оценке воздействия на защиту данных (DPIA)

Руководство по согласию

Указания по праву на переносимость данных

О чем нам нужно думать, если мы используем искусственный интеллект (ИИ)?

Использование искусственного интеллекта поднимает особые вопросы о защите и прозрачности данных при использовании личных данных.ИИ обычно может включать обработку больших объемов информации и использование алгоритмов для обнаружения тенденций и корреляций, часто для целей автоматического принятия решений и профилирования. В некоторых случаях этот тип обработки может иметь относительно ограниченное влияние на людей, но в других он может быть чрезвычайно навязчивым и иметь значительные последствия.

Люди часто плохо осведомлены о том, что информация о них собирается и обрабатывается таким образом. Хотя с самого начала может быть труднее предугадать, как вы будете использовать личные данные в этом контексте, вам все же необходимо дать людям представление о том, что вы делаете с их данными.При необходимости вы должны добавлять дополнительные детали к своей информации о конфиденциальности по мере продвижения, не забывая при этом обращать на это внимание людей. Для доставки информации такого типа людям может быть полезно использовать своевременные уведомления.

Если вы используете ИИ, чтобы принимать решения о людях или составлять их профили, вам необходимо заранее сообщить об этом и объяснить свои цели для этого. Если решения полностью автоматизированы и имеют юридические или аналогичные значимые последствия, вы должны предоставить людям дополнительную информацию о задействованной логике, значении обработки и предполагаемых последствиях.На практике это означает сообщать людям, какую информацию вы используете, почему она актуальна и каковы будут возможные последствия. То, как вы предоставляете эту информацию людям, должно быть ясным и значимым, вы не должны путать людей слишком сложными объяснениями аналитики.

Применение ИИ к персональным данным часто может найти для него новые применения. Если вы получили информацию для одной цели, а теперь собираетесь использовать ее для другой, вы должны сообщить об этом людям, прежде чем начинать новую обработку.Это означает обновление вашей информации о конфиденциальности и проактивное доведение изменений до сведения людей. Вы можете использовать информационную панель, чтобы предупреждать людей об изменениях в использовании их данных и позволять им осуществлять свои права в отношении новой обработки.

Помимо новых целей, ИИ может также создавать новые данные о людях. Например, вы можете использовать алгоритм машинного обучения для профилирования людей, чтобы вы могли делать выводы или предсказывать их интересы. Если вы знаете, какой тип новых персональных данных вы планируете создать, вы должны сообщить об этом людям заранее, как часть вашего объяснения целей обработки.Однако ИИ также может обнаруживать неожиданные закономерности в данных. Если вы создаете новую информацию о людях, которую они не могли бы обоснованно ожидать от вас, и вы планируете хранить и использовать эти данные, вам необходимо сообщить им об этом в течение разумного периода времени с момента их создания, но не позднее, чем в течение месяца.

Использование искусственного интеллекта может принести широкий спектр преимуществ, но он часто непонятен людям, чьи данные обрабатываются, и может иметь для них неожиданные последствия. Если вы используете данные таким образом, важно построить доверительные отношения с людьми.Открытость в отношении того, что вы делаете, и поиск эффективных способов предоставления информации о конфиденциальности — ключ к этим отношениям.

Дополнительная литература

Дополнительная литература — Европейский совет по защите данных

WP29 опубликовал следующие руководящие принципы, одобренные EDPB:

Руководство по прозрачности

Руководство по автоматизированному принятию индивидуальных решений и профилированию

Указания по праву на переносимость данных

Вернуться наверх
Предыдущий
.

Соглашение на обработку персональных данных

Под персональными данными подразумевается любая информация личного характера, позволяющая установить личность Покупателя такая как:

Обработка и защита персональных данных покупателей

1. НАШИ ОБЯЗАТЕЛЬСТВА ПЕРЕД НАШИМИ КЛИЕНТАМИ ПО ОБЕСПЕЧЕНИЮ КОНФИДЕНЦИАЛЬНОСТИ

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

3. ОБЩИЕ ПОЛОЖЕНИЯ

4. СБОР И ПОСЛЕДУЮЩЕЕ ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. ПЕРЕЧЕНЬ И ЦЕЛИ ОБРАБОТКИ

5. ОБРАБОТКА ТЕХНИЧЕСКОЙ ИНФОРМАЦИИ, НЕ ОТНОСЯЩЕЙСЯ К ПЕРСОНАЛЬНЫМ ДАННЫМ

6. В КАКИХ СЛУЧАЯХ МЫ ВПРАВЕ РАСКРЫВАТЬ ТРЕТЬИМ ЛИЦАМ ПРЕДОСТАВЛЯЕМЫЕ НАМ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

7. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

8. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКИХ ЛИЦ, ПОДПИСАВШИХСЯ НА РАССЫЛКУ

9. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКИХ ЛИЦ, ОБРАТИВШИХСЯ ЧЕРЕЗ ФОРМУ ОБРАТНОЙ СВЯЗИ

10. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ ЗАРЕГИСТРИРОВАННЫХ ПОЛЬЗОВАТЕЛЕЙ САЙТА

11. ЗАЩИТА ПРЕДОСТАВЛЯЕМОЙ ВАМИ ИНФОРМАЦИИ

12. РАССЫЛКА EMAIL-СООБЩЕНИЙ ИНФОРМАЦИОННО-РЕКЛАМНОГО СОДЕРЖАНИЯ

13. ТЕЛЕФОННЫЕ ЗВОНКИ

14. ОБНОВЛЕНИЕ ЗАПИСЕЙ

15. ДОСТУП К ИНФОРМАЦИИ

16. СПЕЦИАЛЬНАЯ ИНФОРМАЦИЯ ДЛЯ РОДИТЕЛЕЙ, ОПЕКУНОВ, ПОПЕЧИТЕЛЕЙ

17. ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ

18. ВОПРОСЫ

19. КАКИЕ ИЗМЕНЕНИЯ МЫ МОЖЕМ ВНОСИТЬ В ПОЛОЖЕНИЕ

Как доказать наличие согласия на обработку ПД в суде? — PDMaster.ru

Соглашение на обработку персональных данных

СОГЛАСИЕ на обработку персональных данных

Согласие на обработку персональных данных

Соглашение на обработку персональных данных

Юридические правила при торговле или обмене личными данными

1. Продажа персональных данных

1.1. Совместима ли продажа с первоначальной целью?

1.2. Как часть бизнес-модели посредника?

1.2.1. Что такое брокер данных?

1.2.2.Прозрачность и GDPR

1.2.3. Будьте осторожны с общедоступной информацией

1.3. База данных клиентов в случае банкротства

1.4. Могут ли государственные органы продавать личные данные?

2. Лицензия на использование личных данных

3. Покупка персональных данных

3.1. Какие правила применяются?

3.2. Комплексная проверка и договорные отношения

Покупка или продажа бизнеса? Четыре вопроса о защите данных, которые следует задать при слияниях и поглощениях

Как продавать, не нарушая закона!

Полное руководство на 2021 год

3. Моррисон оштрафован на

Обязательства по передаче персональных данных и после закрытия

Риски, связанные с передачей или разглашением личных данных цели (или продавца) покупателю

Риски, связанные с раскрытием информации между подписанием и закрытием

Риски, связанные с переводами при закрытии

Риски, связанные с интеграцией персональных данных после приобретения

Практика и политика Target более надежны, чем

Практика и политика компании менее надежны, чем

Заключение

Примечания

Что каждый онлайн-продавец должен знать о GDPR.

Какие общие проблемы могут возникнуть на практике?

Подробно

О чем нам нужно подумать, если мы планируем делиться личными данными с другими организациями (или продавать их)?

Дополнительная литература

Что делать, если мы покупаем личные данные у других организаций?

Дополнительная литература

О чем нам нужно думать, если мы получаем персональные данные из общедоступных источников?

Дополнительная литература

О чем нам нужно думать, если мы используем искусственный интеллект (ИИ)?

Дополнительная литература

Добавить комментарий

Рубрики