Можно ли заполнить согласие на обработку персональных данных на компьютере
Обновлено: 21.11.2024
Настоящая Политика конфиденциальности предназначена для информирования вас об обработке данных в связи с нашим веб-сайтом и сопутствующими услугами. Обработка персональных данных осуществляется исключительно в рамках соответствующих действующих правовых норм о защите данных, в частности Общего регламента по защите данных (далее именуемого «GDPR»).
<р>1. Общая информация1.1 Персональные данные
В соответствии со ст. 4 (1) GDPR, «персональные данные» означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу (далее именуемому «субъект данных»); физическое лицо считается прямо или косвенно идентифицируемым, в частности, с помощью идентификатора, такого как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или одна или несколько особых характеристик, выражающих физические, физиологические, генетические, психические , экономическая, культурная или социальная принадлежность этого физического лица.
1.2 Контроллер
Контролер по смыслу ст. 4 (7) Общего регламента по защите данных
Miele & Cie. KG
Carl-Miele-Straße 29
33332 Гютерсло
1.3 Сотрудник по защите данных
Вы можете связаться с нашим сотрудником по защите данных по почтовому адресу, указанному в разделе 1.2, или отправив электронное письмо по адресу: datenschutz@miele.de
<р>2. Сбор и обработка, связанные с нашим веб-сайтом2.1 Автоматически обрабатываемые данные при посещении
Каждый раз, когда вы заходите на наш веб-сайт, ваш браузер автоматически передает данные, которые хранятся в файлах журнала сервера. Сюда входят следующие данные (далее именуемые «Данные файла журнала»):
- Информация о типе и версии браузера;
- операционная система пользователя;
- Интернет-провайдер и IP-адрес пользователя; и
- дата и время доступа.
Данные файла журнала оцениваются анонимно, чтобы постоянно улучшать веб-сайт, адаптировать веб-сайт к интересам наших пользователей и иметь возможность быстро исправлять ошибки. Для этих целей наш законный интерес к обработке данных соответствует ст. 6 (1)(f) GDPR.
В неанонимной форме данные файла журнала используются исключительно для обнаружения сбоев и обеспечения безопасности системы, включая обнаружение и отслеживание попыток несанкционированного доступа, а также попыток мошенничества и злоупотреблений. Данные хранятся от 7 до 14 дней, а затем удаляются. Данные лог-файла, дальнейшее хранение которых необходимо для целей доказательства, не удаляются до получения окончательного разъяснения по соответствующему инциденту и могут в отдельных случаях быть переданы следственным органам. Для этих целей наш законный интерес к обработке данных соответствует ст. 6 (1)(f) GDPR.
2.2 Коммерческое общение
Если и постольку, поскольку вы дали нам свое согласие на рекламные цели, например. вы подписались на рассылку новостей по электронной почте, опросы об удовлетворенности клиентов и т. д., обработка данных, необходимая в контексте установления контакта, происходит на законном основании вашего согласия, ст. 6 (1) (а) Общего регламента по защите данных. Вы можете отозвать свое согласие с нами в любое время в будущем (например, используя ссылку для отказа от подписки, содержащуюся в электронном письме). Возможно, что коммерческая связь будет осуществляться через наших внешних поставщиков услуг. Эти поставщики услуг действуют для нас как обработчики инструкций.
Если вы хотите подписаться на информационный бюллетень по электронной почте, мы направим вас в соответствующее представительство Miele, которое отвечает в нашей стране и которое вы выбрали в процессе подписки. Дополнительную конкретную информацию о соответствующем подразделении Miele вы найдете на соответствующем веб-сайте.
2.3 Как с нами связаться
На нашем веб-сайте перечислены различные способы связи с нами. Когда вы используете контактную форму на нашем веб-сайте, мы пересылаем ваши данные представителю Miele, ответственному в вашей стране, который вы выбрали в контактной форме. Если вы выбрали страну, в которой нет собственного подразделения Miele, мы передадим ваши данные нашему импортеру, ответственному в вашей стране. Здесь вы найдете полный список импортеров Miele с дополнительной информацией об импортерах Miele. Если вы не хотите, чтобы мы передавали ваши данные представителю Miele или импортеру в вашей стране, вы не должны использовать контактную форму на нашем веб-сайте.
У нас есть законный интерес в пересылке ваших запросов. Правовой основой для обработки данных является ст. (6)(1)(f) GDPR. Если целью вашего запроса является заключение договора, правовым основанием является ст. 6 (1)(b) Общего регламента по защите данных.
При обращении к нам данные, переданные нам, будут удалены после выполнения вашего запроса, при условии, что мы не обязаны хранить их по причинам, основанным на коммерческом и налоговом законодательстве.
2.4 Опросы удовлетворенности Qualtrics
На нашем веб-сайте мы пользуемся услугами Qualtrics LLC, 333 W. River Park Drive, Provo UT 84604, США, для проведения опросов клиентов, продуктов и брендов, чтобы регулярно улучшать наши продукты и услуги. Когда вы проходите опрос, будут обрабатываться только данные журнала (дата и временная метка/информация для вашего браузера и настройки браузера/информация для вашего устройства/дата использования). Вы можете решить, хотите ли вы участвовать в опросе. Если вы не хотите участвовать, вы можете просто закрыть всплывающее окно опроса. Правовой основой для обработки данных является ваше согласие, ст. 6 я зажег. а) GDPR. Вы можете в любое время отозвать свое согласие на будущее.
<р>3. Миле@домаMiele собирает и обрабатывает персональные данные в связи с использованием вами системы Miele@home. Более подробную информацию об использовании ваших данных в связи с системой Miele@home можно найти здесь.
<р>4. Файлы cookie <р>5. Плагины для социальных сетейНа нашем веб-сайте используется подключаемый модуль Facebook для социальных сетей Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, США (далее именуемый «Facebook»).
Facebook может получать информацию о том, что вы зашли на соответствующий веб-сайт нашей онлайн-службы и, возможно, взаимодействовали с подключаемым модулем. После активации плагина ваши личные данные будут сохранены и отправлены в Facebook в США.
Facebook хранит собранные о вас данные в виде профилей использования и использует их в целях рекламы, исследования рынка и/или индивидуального дизайна веб-сайта. Такая оценка проводится, в частности (также для незарегистрированных пользователей) для представления рекламы, основанной на потребностях, и для информирования других пользователей социальной сети о ваших действиях на нашем веб-сайте. У вас есть право возражать против создания этих профилей пользователей, при этом вы должны воспользоваться этим правом в отношении Facebook.
С помощью подключаемых модулей мы предлагаем вам возможность взаимодействовать с социальными сетями и другими пользователями, чтобы мы могли улучшить наше предложение и сделать его более интересным для вас как пользователя. Правовой основой для использования плагинов является ст. 6(1)(f) GDPR.
Вы можете полностью запретить загрузку подключаемых модулей с помощью надстроек для вашего браузера, так называемых блокировщиков скриптов.
<р>6. Присутствие в социальных сетях6.1 Примечание относительно фан-страницы Facebook
6.2. Примечание относительно Instagram
6.3. Примечание относительно YouTube
<р>7. Пользовательский контент в социальных сетяхКогда вы отметили нас в своем контенте в социальных сетях, возможно, мы попросим вашего разрешения на повторную публикацию вашего контента на наших каналах в социальных сетях (например, в Facebook, Instagram, YouTube, Twitter и других). Мы будем использовать ваш контент только после того, как получим ваше явное разрешение. Для этого мы обрабатываем ваш контент, ваше имя пользователя / имя учетной записи в социальных сетях, ваш адрес электронной почты и дополнительную информацию, которой вы делитесь с нами, например. ваше имя. Правовой основой для обработки ваших данных является ваше согласие, ст. 6 (1) лит. (а) GDPR. Данные хранятся нами только до тех пор, пока это необходимо для выполнения соответствующей цели, если иное не предусмотрено применимым законодательством. Вы можете отозвать свое согласие в любое время с вступлением в силу в будущем.
<р>8. Заявление о приеме на работуЕсли вы подаете заявку через портал приложений Miele, форму или иным образом на вакансию у нас и отправляете нам документы заявки, мы будем обрабатывать персональные данные, которые вы предоставляете в этом контексте, только для целей процесса подачи заявки.
Поскольку вы подали заявку на объявленную вакансию, документы будут автоматически удалены через шесть месяцев после завершения процедуры объявления, при условии, что удаление не противоречит каким-либо законным интересам. В случае заявки без ссылки на рекламируемую должность (незапрашиваемая заявка) заявка будет храниться в течение максимум одного года, чтобы при необходимости связаться с вами по поводу объявления о вакансии, которое возникает в течение этого времени. В любое время у вас есть возможность запросить удаление вашего приложения до истечения запланированных сроков хранения. В случае успешного применения переданные данные будут сохранены для целей трудовых отношений в соответствии с требованиями законодательства.
Если вы подали заявление о приеме на работу в другую компанию группы Miele, мы направим ваше заявление в соответствующую компанию для принятия решения о трудовых отношениях.
Насколько мы обрабатываем ваши данные для принятия решения об установлении трудовых отношений, правовым основанием является ст. 26 (1) (1) Федерального закона Германии о защите данных.
Во всех остальных случаях правовым основанием для хранения данных вашего приложения является ваше согласие в соответствии с. Изобразительное искусство. 6(1) лит. (а) Общего регламента по защите данных.
<р>9. Участие Miele на выставкеЕсли вы посещаете один из наших стендов, мы собираем ваши данные, если вы предоставляете нам их, например.передав свою визитную карточку. Мы обрабатываем эти данные, чтобы ответить на ваше беспокойство, например. контакт для дальнейших обсуждений или предложений. Если это необходимо для решения вашей проблемы (например, при запросе контакта за границей), мы передадим ваши данные ответственному лицу соответствующей компании группы Miele.
У нас есть законный интерес отвечать на ваши запросы. Правовой основой для обработки данных является ст. (6)(1)(f) GDPR. Если целью вашего запроса является заключение договора, правовым основанием является ст. 6 (1)(b) Общего регламента по защите данных. Если вы даете нам свое согласие на это, правовым основанием является ст. 6 (1) (а) Общего регламента по защите данных. Вы можете отозвать свое согласие в любое время с вступлением в силу в будущем.
При обращении к нам данные, переданные нам, будут удалены после выполнения вашего запроса, при условии, что мы не обязаны хранить их по причинам, основанным на коммерческом и налоговом законодательстве.
На наших стендах мы также время от времени делаем фотографии и видеозаписи для документации, маркетинга и прессы, которые затем публикуются через i.a. наши каналы в социальных сетях (например, Facebook, YouTube или Instagram). В этом случае мы прямо указываем вам на это, размещая уведомление на стенде. Вы можете отозвать любое предоставленное нам согласие на использование изображения в любое время с вступлением в силу на будущее.
<р>10. Передача персональных данныхВ контексте обработки данных, описанной в этом уведомлении о конфиденциальности, мы можем передавать персональные данные следующим категориям получателей (в дополнение к получателям, прямо указанным в этом уведомлении о конфиденциальности):
Мы передаем персональные данные третьим лицам только в той мере, в какой это необходимо для выполнения наших договорных обязательств, в случае, если у нас или у соответствующей третьей стороны есть законный интерес в обработке персональных данных или если вы дали согласие на передачу. Кроме того, мы передаем личные данные третьим лицам только в том случае, если мы обязаны это делать в соответствии с действующим законодательством, нормативными актами или постановлением суда.
<р>11. Место хранения данныхЕсли в настоящей политике конфиденциальности прямо не указано иное, все личные данные, полученные от вас в связи с использованием вами нашей системы Miele@home или с использованием вами приложений Miele и навыков Miele, обычно хранятся на серверах на территории Евросоюз. Тем не менее, возможно, что ваши данные должны быть переданы и обработаны за пределами территории Европейского Союза. В таком случае ваши данные будут защищены соответствующими мерами безопасности, изложенными в ст. 46 (2) Общего регламента по защите данных, в частности, но не ограничиваясь этим, путем использования Стандартных договорных условий для передачи данных между странами ЕС и странами, не входящими в ЕС (с которыми можно ознакомиться здесь).
<р>12. Права субъекта данныхСубъекты данных имеют различные права в соответствии с GDPR. К ним относятся, в частности:
Чтобы заявить о вышеупомянутых правах, свяжитесь с нами, указав свою проблему, свое имя и, если применимо, свой номер клиента. Пожалуйста, направьте свой запрос по контактной информации, указанной в разделах 1.2 и 1.3.
<р>13. Право на апелляциюВы имеете право подать жалобу на обработку ваших личных данных органом по защите данных, ответственным за вас или нас.
С вашей жалобой обращайтесь в Landesbeauftragte für den Datenschutz und Informationssicherheit в Северном Рейне-Вестфалии, Postfach 20 04 44, 40102 Дюссельдорф.
<р>14. Право на возражениеЕсли ваши личные данные на основании законных интересов обрабатываются в соответствии со ст. 6(1)(f) GDPR, вы имеете право возражать против обработки ваших персональных данных в соответствии со ст. 21 Общего регламента по защите данных, если для этого существуют причины, вытекающие из вашей конкретной ситуации, Miele не может продемонстрировать веские законные основания для обработки, которые преобладают над интересами, правами и свободами субъекта данных, или если ваше возражение основано на том, что оно направлено на личную рекламу. В последнем случае у вас есть общее право на возражение, которое мы реализуем без указания конкретной ситуации.
Пожалуйста, направьте свой запрос по контактной информации, указанной в разделах 1.2 и 1.3.
Основные требования к эффективности действительного законного согласия определены в статье 7 и дополнительно указаны в пункте 32 GDPR. Согласие должно быть дано свободно, конкретно, информировано и недвусмысленно. Чтобы получить свободное согласие, оно должно быть дано на добровольной основе. Элемент «бесплатно» подразумевает реальный выбор субъекта данных. Любой элемент ненадлежащего давления или влияния, который может повлиять на результат этого выбора, делает согласие недействительным. При этом юридический текст учитывает определенный дисбаланс между контролером и субъектом данных.Например, в отношениях между работодателем и работником: работник может беспокоиться о том, что его отказ дать согласие может иметь серьезные негативные последствия для его трудовых отношений, поэтому согласие может быть законным основанием для обработки только в нескольких исключительных обстоятельствах. Кроме того, действует так называемый «запрет на сцепку» или «запрет на сцепку или связывание». Таким образом, выполнение договора не может быть поставлено в зависимость от согласия на дальнейшую обработку персональных данных, которые не нужны для выполнения этого договора.
Чтобы согласие было информированным и конкретным, субъект данных должен быть, по крайней мере, уведомлен о личности контролера, о том, какие данные будут обрабатываться, как они будут использоваться и о цели операций обработки в качестве защиты от «функции». слизняк'. Субъект данных также должен быть проинформирован о своем праве отозвать согласие в любое время. Выход должен быть таким же простым, как и согласие. В соответствующих случаях контролер также должен информировать об использовании данных для автоматизированного принятия решений, возможных рисках передачи данных из-за отсутствия решения об адекватности или других соответствующих мерах безопасности.
Согласие должно быть связано с одной или несколькими указанными целями, которые затем должны быть достаточно объяснены. Если согласие должно узаконивать обработку особых категорий персональных данных, информация для субъекта данных должна прямо указывать на это.
Всегда должно быть четкое различие между информацией, необходимой для информированного согласия, и информацией о других договорных вопросах.
И последнее, но не менее важное: согласие должно быть недвусмысленным, то есть требуется либо заявление, либо четкое утвердительное действие. Согласие не может быть подразумеваемым и всегда должно даваться путем подписки, заявления или активного движения, чтобы не возникло недопонимания того, что субъект данных дал согласие на конкретную обработку. При этом для согласия не требуется формы, даже если письменное согласие рекомендуется из-за ответственности контролера. Таким образом, он также может быть предоставлен в электронной форме. В связи с этим согласие детей и подростков в отношении услуг информационного общества представляет собой особый случай. Для лиц моложе 16 лет требуется дополнительное согласие или разрешение от лица, несущего родительскую ответственность. Возрастное ограничение регулируется оговоркой о гибкости. Государства-члены могут установить более низкий возраст в соответствии с национальным законодательством при условии, что такой возраст не ниже 13 лет. Когда предложение услуги явно не адресовано детям, оно освобождается от этого правила. Однако это не относится к предложениям, адресованным как детям, так и взрослым.
Как видно, согласие не является панацеей, когда речь идет об обработке персональных данных. Особенно с учетом того, что европейские органы по защите данных ясно дали понять, «что если контролер решит полагаться на согласие на какую-либо часть обработки, он должен быть готов уважать этот выбор и остановить эту часть обработки, если физическое лицо отзовет согласие. ” В строгом понимании это означает, что контролеру не разрешается переключаться с согласия на законных основаниях на законный интерес после того, как субъект данных отзывает свое согласие. Это применимо даже в том случае, если изначально существовал действительный законный интерес. Поэтому согласие всегда следует выбирать в качестве последнего варианта обработки персональных данных.
ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ
Информация об обработке персональных данных
Уважаемый пользователь,
для предоставления Вам доступа к страницам на сайтах, интернет-домен которых зарегистрирован Fondazione Istituto Italiano di Tecnologia (далее «Веб-сайты IIT»), мы просим вас ознакомиться с правилами, которые мы применяем для управления персональными данными в соответствии с положениями статьи 12 Европейского регламента 679/2016 («GDPR») и в соответствии с Положением об уполномоченном органе по защите персональных данных №. 229 от 8 мая 2014 г.
Раскрытие предоставляется только для вышеупомянутых доменов, а не для других веб-сайтов, доступ к которым пользователь может получить через ссылки на другие домены.
Поэтому после консультации с веб-сайтами IIT данные могут обрабатываться в отношении лиц, идентифицированных или идентифицируемых, для которых мы предоставляем следующую информацию:
Контроллер данных
Контролер данных для данных, предоставленных пользователями, является Fondazione Istituto Italiano di Tecnologia, базирующийся в Генуе, Via Morego n. 30.
Сотрудник по защите данных
Ответственное лицо отдела защиты данных, Rödl&Partner, Милан – телефон +39 010 71781 – электронная почта: dpo@iit.it.
Цели обработки данных
Цели обработки данных относятся к просмотру в Интернете веб-сайтов IIT и к возможной отправке данных, связанных с вашей личностью, для запроса информации заполнение специальных бланков.
Типы обрабатываемых данных
Просматриваемые данные
Системы ИТ и процедуры программного обеспечения для работы веб-сайтов IIT во время нормальной работы получают некоторые личные данные, передача которых подразумевается использованием протоколов связи в Интернете.
Эта информация собирается не для связи с идентифицированными заинтересованными сторонами, но по самой своей природе может, путем обработки и сопоставления с данными, хранящимися у третьих лиц, позволить идентифицировать пользователей.
Эта категория данных включает IP-адреса или доменные имена компьютеров, используемых пользователями, которые подключаются к веб-сайту, адреса URI (унифицированный идентификатор ресурса) запрошенных ресурсов, время запроса, метод, используемый для подачи запроса. на сервер, размер файла, полученного в ответ, числовой код, указывающий на статус ответа от сервера (успешно, ошибка и т. д.) и другие параметры, касающиеся операционной системы и ИТ-среды пользователя.
Эти данные используются только для получения анонимной статистической информации об использовании веб-сайтов и проверки их правильной работы, после обработки они удаляются. Эти данные могут быть использованы для установления ответственности в случае гипотетических компьютерных преступлений против веб-сайтов IIT.
Заинтересованный субъект имеет право на получение:
a. обновление, исправление или, при необходимости, интеграция данных;
б. аннулирование, обезличивание или блокирование данных, обработанных незаконно, включая данные, хранение которых не требуется в связи с целями, для которых данные были собраны или впоследствии обработаны;
с. подтверждение того, что операции, указанные в пунктах а) и б), были уведомлены, а также в отношении их содержания, тем, кому данные были сообщены или стали известны, за исключением случаев, когда такое соблюдение невозможно или связано с явно несоразмерным использованием средств по отношению к защита этого права.
В GDPR изложены подробные требования к компаниям и организациям по сбору, хранению и управлению персональными данными. Это относится как к европейским организациям, которые обрабатывают персональные данные лиц в ЕС (в данном случае 28 государств-членов ЕС плюс Исландия, Лихтенштейн и Норвегия), так и к организациям за пределами ЕС, которые нацелены на людей, проживающих в ЕС. р>
Когда применяется Общий регламент по защите данных (GDPR)?
Регламент GDPR применяется, если:
- ваша компания обрабатывает персональные данные и базируется в ЕС, независимо от того, где происходит фактическая обработка данных
- ваша компания создана за пределами ЕС, но обрабатывает персональные данные в связи с предложением товаров или услуг физическим лицам в ЕС или отслеживает поведение отдельных лиц в ЕС.
Компании за пределами ЕС, обрабатывающие данные граждан ЕС, должны назначить представителя в ЕС.
Когда не применяется Общий регламент по защите данных (GDPR)?
Регламент GDPR не применяется, если:
- субъект данных мертв
- субъект данных является юридическим лицом
- обработка осуществляется лицом, действующим в целях, не связанных с его торговлей, бизнесом или профессией.
Что такое персональные данные?
Персональные данные — это любая информация об идентифицированном или идентифицируемом лице, также известном как субъект данных. Персональные данные включают в себя такую информацию, как их:
- имя
- адрес
- номер удостоверения личности/паспорта
- доход
- культурный профиль
- IP-адрес
- данные, хранящиеся в больнице или у врача (которые однозначно идентифицируют человека в медицинских целях).
Особые категории данных
Вы не можете обрабатывать личные данные о чьих-либо:
- расовое или этническое происхождение
- сексуальная ориентация
- политические взгляды
- религиозные или философские убеждения
- членство в профсоюзе
- генетические, биометрические данные или данные о здоровье, за исключением особых случаев (например, когда вы получили прямое согласие или когда обработка необходима по причинам, представляющим значительный общественный интерес, на основании законодательства ЕС или национального законодательства)
- личные данные, связанные с уголовными судимостями и правонарушениями, если это не разрешено законодательством ЕС или национальным законодательством
Кто обрабатывает персональные данные?
Во время обработки персональные данные могут проходить через различные компании или организации. В рамках этого цикла есть два основных профиля, которые занимаются обработкой персональных данных:
- Контролер данных — определяет цель и способ обработки персональных данных.
- Обработчик данных — хранит и обрабатывает данные от имени контроллера данных.
Кто отслеживает, как персональные данные обрабатываются внутри компании?
Сотрудник по защите данных (DPO), который может быть назначен компанией, отвечает за контроль за тем, как обрабатываются персональные данные, а также за информирование и консультирование сотрудников, обрабатывающих персональные данные, об их обязанностях. DPO также сотрудничает с Управлением по защите данных (DPA), выступая в качестве контактного лица для DPA и частных лиц.
Когда следует назначать ответственного за защиту данных?
Ваша компания обязана назначить DPO в следующих случаях:
- вы регулярно или систематически отслеживаете отдельных лиц или обрабатываете особые категории данных
- эта обработка является основным видом деятельности
- вы обрабатываете данные в больших масштабах.
Например, если вы обрабатываете личные данные для таргетинга рекламы через поисковые системы на основе поведения людей в Интернете, вам необходимо иметь DPO. Однако, если вы отправляете своим клиентам рекламные материалы только раз в год, вам не понадобится DPO. Точно так же, если вы врач, который собирает данные о здоровье пациентов, DPO, вероятно, не нужен. Но если вы обрабатываете персональные данные о генетике и здоровье для больницы, то потребуется DPO.
DPO может быть штатным сотрудником вашей организации или может быть нанят извне на основе служебного контакта. DPO может быть физическим лицом или частью организации.
Обработка данных для другой компании
Контроллер данных может использовать только обработчика данных, который предлагает достаточные гарантии, которые должны быть включены в письменный договор между вовлеченными сторонами. Контракт также должен содержать ряд обязательных пунктов, в т.ч. что обработчик данных будет обрабатывать персональные данные только по указанию контроллера данных.
Передача данных за пределы ЕС
Когда персональные данные передаются за пределы ЕС (в данном случае 28 государств-членов ЕС, а также Исландия, Лихтенштейн и Норвегия). Защита, предлагаемая GDPR, должна распространяться вместе с данными. Это означает, что если вы экспортируете данные за границу, ваша компания должна обеспечить соблюдение одной из следующих мер:
- Защита страны, не входящей в ЕС, считается ЕС адекватной.
- Ваша компания принимает необходимые меры для обеспечения надлежащих гарантий, например, включение конкретных пунктов в согласованный договор с неевропейским импортером персональных данных.
- Ваша компания полагается на определенные основания для передачи (отступлений), такие как согласие физического лица.
Когда разрешена обработка данных?
Правила ЕС о защите данных означают, что вы должны обрабатывать данные честным и законным образом для определенной и законной цели и обрабатывать только те данные, которые необходимы для достижения этой цели. Вы должны убедиться, что вы выполняете одно из следующих условий для обработки персональных данных; ты:
- получили согласие заинтересованного лица
- требуются персональные данные для выполнения договорных обязательств с физическим лицом
- требуются личные данные для выполнения юридических обязательств
- нужны личные данные для защиты жизненно важных интересов человека
- обрабатывать персональные данные для выполнения задачи в интересах общества
- действуют в законных интересах вашей компании при условии, что основные права и свободы человека, чьи данные обрабатываются, серьезно не затрагиваются. Если права человека важнее интересов вашей компании, вы не можете обрабатывать персональные данные.
Согласие на обработку данных — согласие
В GDPR применяются строгие правила обработки данных на основе согласия. Цель этих правил состоит в том, чтобы гарантировать, что человек понимает, на что он или она соглашается. Это означает, что согласие должно быть предоставлено свободно, конкретно, информировано и недвусмысленно в виде запроса, представленного четким и понятным языком. Согласие должно быть дано утвердительным действием, например установкой флажка в Интернете или подписанием формы.
Когда кто-то дает согласие на обработку своих личных данных, вы можете обрабатывать данные только в тех целях, для которых было дано согласие. Вы также должны предоставить им возможность отозвать свое согласие.
Предоставление прозрачной информации
Вы должны четко предоставить людям информацию о том, кто обрабатывает их персональные данные и почему. Как минимум должно быть включено следующее:
- кто вы
- почему вы обрабатываете персональные данные
- что является правовым основанием
- кто получит данные (если применимо)
В некоторых случаях предоставляемая вами информация должна также содержать следующую информацию:
- контактная информация сотрудника по защите данных (DPO), когда это применимо
- какие законные интересы преследует компания, когда вы полагаетесь на это законное основание для обработки
- меры, применяемые для передачи данных в страну за пределами ЕС
- как долго будут храниться данные
- права физического лица на защиту данных (т. е. право на доступ, исправление, удаление, ограничение, возражение, переносимость и т. д.)
- как можно отозвать согласие (если согласие является законным основанием для обработки)
- есть ли законодательное или договорное обязательство по предоставлению данных
- в случае автоматизированного принятия решений информация о логике, значении и последствиях решения
Вы должны представить эту информацию ясным и простым языком.
Особые правила для детей
Если вы собираете личные данные от ребенка на основе согласия, например, используя учетную запись в социальной сети или учетную запись для загрузки, вы должны сначала получить согласие родителей, например. отправив уведомление родителю или опекуну. Возраст, до которого человек считается ребенком, зависит от того, где он живет, но составляет от 13 до 16 лет.
Право на доступ и право на переносимость данных
Вы должны обеспечить право отдельных лиц на бесплатный доступ к своим личным данным. Если вы получили такой запрос, вы должны:
- сообщите им, если вы обрабатываете их личные данные
- рассказать им об обработке (цель обработки, категории соответствующих персональных данных, получатели их данных и т. д.)
- предоставить им копию обрабатываемых персональных данных (в доступном формате)
Если обработка основана на согласии или договоре, физическое лицо также может попросить вас вернуть ему его личные данные или передать их другой компании. Это известно как право на переносимость данных. Вы должны предоставлять данные в широко используемом и машиночитаемом формате.
Право на исправление и право на возражение
Если человек считает, что его личные данные неверны, неполны или неточны, он имеет право на их исправление или дополнение без неоправданной задержки.
В этом случае вы должны уведомить всех получателей данных, если какие-либо личные данные, которыми вы им поделились, были изменены или удалены. Если какие-либо личные данные, которыми вы поделились, были неверны, вам, возможно, придется сообщить всем, кто их видел, что это так (если только это не требует несоразмерных усилий).
Человек также может в любое время возразить против обработки своих персональных данных для конкретного использования, когда ваша компания обрабатывает их на основании ваших законных интересов или для выполнения задачи в общественных интересах. Если у вас нет законных интересов, которые преобладают над интересами отдельного лица, вы должны прекратить обработку персональных данных.
Кроме того, физическое лицо может попросить ограничить обработку своих личных данных, пока не будет установлено, имеет ли ваш законный интерес приоритет перед его интересом. Однако в случае прямого маркетинга вы всегда обязаны прекратить обработку персональных данных по запросу физического лица.
Право на удаление (право на забвение)
В некоторых случаях человек может попросить контроллера данных удалить его личные данные, например, если данные больше не нужны для выполнения цели обработки. Однако ваша компания не обязана это делать, если:
- обработка необходима для соблюдения свободы выражения мнений и информации
- вы должны хранить личные данные для соблюдения юридических обязательств
- существуют и другие причины, представляющие общественный интерес для хранения персональных данных, такие как общественное здравоохранение или научные и исторические исследования
- вам необходимо сохранить личные данные для предъявления иска
Автоматизированное принятие решений и профилирование
Люди имеют право не подвергаться решению, основанному исключительно на автоматизированной обработке. Однако из этого правила есть некоторые исключения, например, когда они дали свое явное согласие на автоматизированное решение. За исключением случаев, когда автоматизированное решение основано на законе, ваша компания должна:
- информировать пользователя об автоматизированном принятии решений
- предоставить пользователю право на проверку автоматизированного решения другим лицом
- предоставить пользователю возможность оспорить автоматизированное решение
Например, если банк автоматизирует принятие решения о предоставлении кредита определенному лицу, это лицо должно быть проинформировано об автоматизированном решении и ему должна быть предоставлена возможность оспорить решение и запросить вмешательство человека.
Утечки данных — предоставление надлежащих уведомлений
Утечка данных — это случай, когда личные данные, за которые вы несете ответственность, случайно или незаконно раскрываются неавторизованным получателям, становятся временно недоступными или изменяются.
Если утечка данных все же произошла и представляет угрозу для прав и свобод личности, вы должны уведомить об этом свой орган по защите данных в течение 72 часов после того, как вам стало известно о нарушении.
В зависимости от того, представляет ли утечка данных высокий риск для затронутых лиц, от вашей компании также может потребоваться проинформировать всех затронутых лиц.
Ответы на запросы
Если ваша компания получает запрос от лица, которое хочет воспользоваться своими правами, вы должны ответить на этот запрос без неоправданной задержки и в любом случае в течение 1 месяца с момента получения запроса. Это время ответа может быть увеличено на 2 месяца для сложных или множественных запросов, если лицо будет проинформировано о продлении. Запросы должны обрабатываться бесплатно.
Если запрос отклонен, вы должны проинформировать человека о причинах этого и о его праве подать жалобу в орган по защите данных.
Оценка воздействия
Проведение оценки воздействия на защиту данных (DPIA) является обязательным, когда предполагаемая обработка может представлять высокий риск для прав и свобод людей, например. когда используются новые технологии.
Существует такой высокий риск, когда:
- для оценки лиц используются автоматизированные механизмы обработки и профилирования.
- общедоступная территория находится под широкомасштабным наблюдением (например, с помощью видеонаблюдения)
- специальные категории данных или персональные данные, относящиеся к уголовным судимостям и правонарушениям, обрабатываются в больших масштабах (например, данные о состоянии здоровья)
Примечание. Органы по защите данных могут также рассматривать другие категории обработки данных как связанные с высоким риском.
Если меры, указанные в DPIA, не устраняют все выявленные высокие риски, необходимо проконсультироваться с Органом по защите данных, прежде чем будет осуществляться предполагаемая обработка данных.
Ведение записей
Вы должны быть в состоянии доказать, что ваша компания действует в соответствии с GDPR и выполняет все применимые обязательства, в частности, по запросу или проверке со стороны Управления по защите данных.
Один из способов сделать это — вести подробные записи о таких вещах, как:
- название и контактные данные вашей компании, занимающейся обработкой данных
- причина(ы) обработки персональных данных
- описание категорий лиц, предоставляющих персональные данные
- категории организаций, получающих персональные данные
- передача персональных данных в другую страну или организацию
- срок хранения персональных данных
- описание мер безопасности, используемых при обработке персональных данных
Ваша компания также должна иметь и регулярно обновлять письменные процедуры и инструкции и доводить их до сведения своих сотрудников.
Предупреждение
Если ваша компания относится к малому и среднему бизнесу или меньше, вам не нужно вести учет своей деятельности по обработке, если она:
- не выполняются регулярно
- они не затрагивают права и свободы вовлеченных лиц
- не иметь дело с конфиденциальными данными или сведениями о судимости
Защита данных по дизайну и по умолчанию
Защита данных по дизайну означает, что ваша компания должна учитывать защиту данных на ранних этапах планирования нового способа обработки персональных данных. В соответствии с этим принципом контролер данных должен предпринять все необходимые технические и организационные шаги для реализации принципов защиты данных и защиты прав отдельных лиц. Эти шаги могут включать, например, использование псевдонимизации.
Защита данных по умолчанию означает, что ваша компания всегда должна выбирать наиболее безопасные настройки по умолчанию. Например, если возможны две настройки конфиденциальности, и одна из них предотвращает доступ к личным данным других лиц, ее следует использовать в качестве настройки по умолчанию.
Нарушение правил и наказания
Несоблюдение GDPR может привести к значительным штрафам в размере до 20 млн евро или 4 % от глобального оборота вашей компании за определенные нарушения. Орган по защите данных может принять дополнительные меры по исправлению положения, например, приказать вам прекратить обработку персональных данных.
Правила ЕС о защите данных гарантируют защиту ваших личных данных всякий раз, когда они собираются, например, когда вы покупаете что-то в Интернете, подаете заявку на работу или запрашиваете банковский кредит. Эти правила применяются как к компаниям и организациям (государственным и частным) в ЕС, так и к компаниям и организациям, базирующимся за пределами ЕС, которые предлагают товары или услуги в ЕС, например Facebook или Amazon, всякий раз, когда эти компании запрашивают или повторно используют личные данные физических лиц. в ЕС.
Неважно, в каком формате находятся данные — онлайн в компьютерной системе или на бумаге в структурированном файле — всякий раз, когда информация, прямо или косвенно идентифицирующая вас как личность, хранится или обрабатывается, ваши права на защиту данных должны соблюдаться. .
Когда разрешена обработка данных?
Правила ЕС по защите данных, также известные как Общий регламент ЕС по защите данных (или GDPR), описывают различные ситуации, когда компании или организации разрешено собирать или повторно использовать вашу личную информацию:
- у них есть договор с вами, например договор на поставку товаров или услуг (например, когда вы покупаете что-то в Интернете) или договор с сотрудником.
- они соблюдают юридическое обязательство — например, когда обработка ваших данных является юридическим требованием, например, когда ваш работодатель предоставляет информацию о вашей месячной зарплате в орган социального обеспечения, чтобы у вас была страховая защита.
- когда обработка данных отвечает вашим жизненно важным интересам, например, когда это может защитить вашу жизнь
- для выполнения общественной задачи, в основном связанной с задачами государственных администраций, таких как школы, больницы и муниципалитеты.
- при наличии законных интересов, например, если ваш банк использует ваши личные данные, чтобы проверить, имеете ли вы право на открытие сберегательного счета с более высокой процентной ставкой.
Во всех других случаях компания или организация должны запросить ваше согласие (известное как «согласие»), прежде чем они смогут собирать или повторно использовать ваши личные данные.
Нет согласия, нет обработки данных
Когда компания или организация запрашивает ваше согласие, вы должны сделать явное действие, соглашаясь с этим, например, подписав форму согласия или выбрав «да» из четкого варианта «да/нет» на веб-странице.
Недостаточно просто отказаться, например, установив флажок, говорящий о том, что вы не хотите получать маркетинговые электронные письма. Вы должны дать согласие на хранение и/или повторное использование ваших личных данных для этой цели.
Прежде чем вы решите подписаться, вам также должна быть предоставлена следующая информация:
- информация о компании/организации, которая будет обрабатывать ваши данные, включая их контактные данные и контактные данные сотрудника по защите данных (DPO), если таковой имеется
- причина, по которой компания/организация будет использовать ваши персональные данные
- как долго они намерены хранить ваши личные данные
- сведения о любой другой компании или организации, которая получит ваши личные данные
- информация о ваших правах на защиту данных (доступ, исправление, удаление, жалоба, отзыв согласия)
Вся эта информация должна быть представлена в ясной и понятной форме.
Отзыв согласия на использование персональных данных и права на возражение
Если вы ранее давали согласие на использование компанией или организацией ваших личных данных, вы можете связаться с контролером данных (лицом или органом, обрабатывающим ваши личные данные) и отозвать свое разрешение в любое время. После того как вы отозвали свое разрешение, компания или организация больше не могут использовать ваши личные данные.
Когда организация обрабатывает ваши персональные данные в своих законных интересах или в рамках задачи в общественных интересах или для официального органа, вы можете иметь право возражать. В некоторых конкретных случаях общественный интерес может преобладать, и компании или организации может быть разрешено продолжать использовать ваши личные данные. Например, это может быть случай научных исследований и статистики, задача, выполняемая в рамках официальной роли государственного органа.
Для писем прямого маркетинга, рекламирующих определенные бренды или продукты, требуется ваше предварительное согласие. Однако, если вы являетесь существующим клиентом определенной компании, они могут отправлять вам электронные письма с прямым маркетингом о своих собственных аналогичных продуктах или услугах. Вы имеете право в любое время возразить против получения такого прямого маркетинга, и компания должна немедленно прекратить использование ваших данных.
Во всех случаях вам всегда должна быть предоставлена информация о праве возражать против использования ваших личных данных при первом обращении компании или организации к вам.
Пример истории
Вы можете запретить использование ваших данных для прямого маркетинга
Анатолий купил через Интернет два билета, чтобы увидеть живой концерт своей любимой группы. С момента покупки билетов Анатолий начал получать электронные письма с рекламой концертов и мероприятий, которые его не интересовали. Он связался с онлайн-билетной компанией и попросил их прекратить присылать ему эти рекламные электронные письма. Компания немедленно удалила его из своих списков прямого маркетинга. Анатолий был счастлив, что больше не получал от них рекламных писем.
Особые правила для детей
Если ваши дети хотят использовать онлайн-сервисы, такие как социальные сети, скачивание музыки или игр, им часто требуется разрешение от вас как родителя или законного опекуна, поскольку эти сервисы используют личные данные ребенка. Вашему ребенку больше не потребуется согласие родителей, когда ему исполнится 16 лет (в некоторых странах ЕС этот возрастной предел может составлять всего 13 лет). Элементы управления для проверки согласия родителей должны быть эффективными, например, с помощью сообщения подтверждения, отправленного на адрес электронной почты родителя.
Доступ к вашим личным данным
Вы можете запросить доступ к персональным данным о вас, которые есть у компании или организации, и вы имеете право на бесплатное получение копии ваших данных в доступном формате. Они должны ответить вам в течение 1 месяца и должны предоставить вам копию ваших личных данных и любую соответствующую информацию о том, как данные использовались или используются.
Пример истории
Вы имеете право знать, какие данные о вас хранятся и как они используются
Мацей из Польши недавно подписался на программу лояльности своего местного супермаркета. Вскоре после присоединения к схеме он заметил, что стал получать ваучеры на более выгодные скидки на покупки. Он задался вопросом, связано ли это со схемой лояльности, поэтому попросил сотрудника по защите данных супермаркета сообщить ему, какая информация о нем хранится и как она используется. Мацей обнаружил, что супермаркет хранит данные о продуктах, которые он покупает каждую неделю, а затем может предоставлять ему скидки, связанные с конкретными продуктами, которые он любит покупать.
Исправление ваших личных данных
Если компания или организация сохранила личные данные о вас, которые неверны или в них отсутствует какая-либо информация, вы можете попросить их исправить или обновить ваши данные.
Пример истории
Вы имеете право исправить неверные данные о себе
Элисон хотела купить новый дом в Ирландии и подала заявку на получение ипотечного кредита в своем банке. При заполнении регистрационной формы она ошиблась, указав дату своего рождения, и банк неправильно зарегистрировал ее возраст в своей системе.
Когда Элисон получила предложения по новой ипотеке и связанному с ней страхованию жизни, она осознала свою ошибку, поскольку ее страховая премия была намного выше, чем ее нынешняя. Она связалась с банком и попросила их исправить ее личные данные в их системе. Затем она получила новую версию страхового предложения, в которой была правильно указана дата ее рождения.
Передача ваших личных данных (право на переносимость данных)
В определенных ситуациях вы можете попросить компанию или организацию вернуть вам ваши данные или передать их напрямую другой компании, если это технически возможно. Это известно как «переносимость данных». Например, вы можете воспользоваться этим правом, если решите переключиться с одной услуги на другую аналогичную услугу — например, перейти с одного сайта социальной сети на новый — и хотите, чтобы ваша личная информация была быстро и легко передана в новая услуга.
Удаление ваших личных данных (право на забвение)
Если ваши личные данные больше не нужны или используются незаконно, вы можете запросить удаление ваших данных. Это известно как «право на забвение».
Эти правила также применяются к поисковым системам, таким как Google, поскольку они также считаются контролерами данных. Вы можете запросить удаление ссылок на веб-страницы, включая ваше имя, из результатов поиска, если информация является неточной, неадекватной, неуместной или чрезмерной.
Если компания предоставила доступ к вашим личным данным в Интернете, а вы просите их удалить, компания также должна проинформировать любые другие веб-сайты, на которых они были опубликованы, о которых вы запрашивали свои данные и ссылки на них. быть удалены.
Для защиты других прав, таких как свобода выражения мнений, некоторые данные не могут быть удалены автоматически. Например, противоречивые заявления, сделанные людьми на виду у публики, могут не удаляться, если общественный интерес лучше всего отвечает их размещению в Интернете.
Пример истории
Вы можете запросить удаление ваших личных данных с других веб-сайтов
Альфредо решил, что больше не хочет пользоваться никакими социальными сетями, поэтому удалил свой профиль с сайтов социальных сетей, которыми он пользовался. Однако несколько недель спустя он обнаружил, что его старые фотографии профиля из его учетных записей в социальных сетях все еще видны, когда он искал свое имя в поисковой системе Интернета. Альфредо связался с социальными сетями и попросил их удалить эти фотографии. Когда месяц спустя он провел поиск, фотографии действительно были удалены, и они больше не появлялись в результатах поиска.
Несанкционированный доступ к вашим данным (утечка данных)
Если ваша личная информация украдена, утеряна или к ней получен незаконный доступ, что называется «утечкой персональных данных», контролер данных (лицо или орган, обрабатывающий ваши личные данные) должен сообщить об этом в национальный орган по защите данных.Контроллер данных также должен информировать вас напрямую, если в связи с нарушением конфиденциальности существуют серьезные риски, связанные с вашими личными данными или конфиденциальностью.
Подать жалобу
Если вы считаете, что ваши права на защиту данных не были соблюдены, вы можете подать жалобу непосредственно в национальный орган по защите данных, который рассмотрит вашу жалобу и даст вам ответ в течение 3 месяцев.
Вы также можете подать иск непосредственно в суд против заинтересованной компании или организации вместо того, чтобы сначала обращаться в национальный орган по защите данных.
Вам может быть предоставлено право на компенсацию, если вы понесли материальный ущерб, например финансовые потери, или нематериальный ущерб, например психологический стресс, из-за того, что компания или организация не соблюдают правила защиты данных ЕС.
Файлы cookie – это небольшие текстовые файлы, которые веб-сайт запрашивает у вашего браузера для сохранения на вашем компьютере или мобильном устройстве. Файлы cookie широко используются для повышения эффективности работы веб-сайтов за счет сохранения ваших предпочтений. Они также используются для отслеживания вашего использования Интернета во время просмотра, создания профилей пользователей, а затем для отображения целевой онлайн-рекламы на основе ваших предпочтений.
Веб-сайты должны объяснять, как будет использоваться информация из файлов cookie. Вы также должны иметь возможность отозвать свое согласие. Если вы решите это сделать, веб-сайт все равно должен предоставить вам какую-то минимальную услугу, например предоставить доступ к части веб-сайта.
Читайте также: