Закон ес о персональных данных

Содержание

С 25 мая 2018 года в Европейском союзе начали применяться новые правила по обработке личных данных – Общий регламент о защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 года, или GDPR – Reglamento general protecсion de datos), который является законом прямого действия в 28 странах Евросоюза.

Личные данные

В последнее время в приходящих на ваш электронный адрес письмах вы могли прочитать такую фразу: «Здравствуйте, мы предприятие Х, нам нужно согласие на хранение вашей личной информации в соответствии с Общим регламентом защиты данных (RGPD)». Корпорации-гиганты, такие как Google, Аpple, Facebook, The Big Date, собравшие невероятное количество информации о пользователях, от отпечатков их пальцев до покупательских пристрастий, теперь обязаны соответствовать новым правилам европейского законодательства, касающимся обработки персональных данных.

Личные данные – это разнообразная информация о человеке, например, его имя и местожительство, сведения о здоровье и общественном положении, фотографии или аудиозаписи, т.е. любые данные, которые прямо или косвенно идентифицирует личность. О случаях использования личной информации и передачи ее третьим лицам читайте в статье «Защита персональных данных. Законность предоставления персональных данных и кредитных историй в Испании».

Зона действия GDPR

Этот закон напрямую обращается к компаниям (независимо от их местонахождения), которые обрабатывают личную информацию резидентов и граждан ЕС.

Какие российские предприятия попадают в зону действия закона:

  • компании или представительства, работающие непосредственно в любой из стран ЕС;
  • предприятия, реализующие онлайн-услуги или продажи и использующие для этого персональные данные европейцев, например, железнодорожный транспорт, авиатранспорт, туристические агентства, агентства по бронированию отелей и др.;
  • организации, созданные вне ЕС, проводящие мониторинг поведения субъектов ЕС.

Мониторинг данных подразумевает:

  1. отслеживание поведения гражданина или резидента страны Европейского союза в интернете;
  2. обработка личной информации о пользователе для создания профиля групп людей или отдельных лиц;
  3. анализ их поведения или отношения к чему-либо (например, личные предпочтения).

Согласие на обработку информации

Компании, получающие данные о клиенте, должны иметь от него разрешение на ее хранение, использование в каких-либо целях и на передачу третьей стороне. До появления нового закона действовало правило молчаливого согласия: если клиент давал свои данные компании, то предполагалось, что он разрешает то, что не запрещает. После скандала с Facebook, когда в президентской предвыборной кампании США были использованы данные миллионов пользователей социальной сети для определения их политических предпочтений, наступило время завоевывать доверие клиентов.

Но есть и исключения из новых правил: согласие не нужно, если есть законное обязательство предоставить необходимую информацию, например, в государственные органы. Почему Королевство Испания оштрафовало известную социальную сеть, мы писали в статье «Власти Испании оштрафовали Facebook на 1,2 млн евро». Обратите внимание: не рекомендуется соглашаться с каким-либо текстом, если там есть заранее поставленная «галочка» о согласии.

Сроки использования информации. Право на забвение

У носителя личной информации появилось право требовать удалить переданную информацию, или «право на забвение». До настоящего времени такое действие выполнялось только по решению суда. Теперь человек может требовать у предприятия или властей удалить его личные данные, если:

  • они используются не для тех целей, для которых изначально были получены;
  • прошел необходимый срок для использования;
  • человек принял решение забрать согласие на использование его данных;
  • использовано больше информации, чем было необходимо;
  • информация использовались в некорректной форме и т.д.

Право на забвение применяется не только по отношению к поисковым системам. Компании, обрабатывающие личную информацию, обязаны удалить чьи-либо персональные данные по требованию их владельца, если это не противоречит интересам общества или правам человека. О праве на забвение и проблемах использования системы «Блокчейн» подробно написано в статье «Новый общий регламент о защите данных ЕС: основные моменты».

Перенесение информации

Право на перенесение данных – новшество в правилах обработки данных Европейского союза. Компании обязуются по требованию субъекта данных передавать электронную копию информации другой компании. Например, человек использует сервис для аренды квартир «A», затем решил перейти на сервис «B». В данном случае право на перенос данных по запросу их владельца позволяет получить от «A» информацию о личности (в частности, предпочтения по количеству комнат и дополнительные пожелания) и передать их сервису «B».

Контроллер по защите данных

В новом законе есть определения ответственных исполнителей по работе с персональными данными: это контроллеры и процессоры данных. Если говорить образно, то контроллер – капитан судна, он несет юридическую ответственность за обработку данных и координирует работу, а процессор – это моряк, исполнитель указаний контроллера. Требование о назначении ответственного лица применяется к публичным компаниям, которые:

  • имеют более 250 сотрудников;
  • регулярно проводят наблюдения или мониторинг лиц из ЕС;
  • обрабатывают специальные персональные данные, например, медицинские заключения или данные о судимости.

Для примера рассмотрим облачную систему, в которой находятся личные данные клиентов и которой пользуются сотрудники фирмы для выполнения задач и проектов. Эти сотрудники – процессоры данных, а их руководитель – контроллер.

Упоминание о несовершеннолетних

Согласие на обработку личных данных ребенка передается родителям или опекунам до достижения детьми допустимого возраста авторизации. В странах ЕС этот возраст наступает от 13–16 лет, в Испании – в 14 лет.

Принципы обработки данных

Общий подход европейцев к обработке персональной информации сформулирован в виде следующих основных положений.

  1. Законность и прозрачность. Персональные данные подлежат только законной и прозрачной обработке. Любая информация о целях, методах и объемах использования персональных данных должна быть изложена в понятной форме.
  2. Определение цели. Информация собирается и используются исключительно в целях, заявленных компанией.
  3. Минимизация данных. Получать и использовать личные данные в объеме большем, чем это необходимо для поставленных и согласованных целей, запрещено.
  4. Точность. Некорректные личные данные по требованию владельца удаляются или исправляются.
  5. Ограничения по срокам и форме хранения. Личная информация хранится в форме, удобной для идентификации субъекта. Срок хранения не должен превышать необходимый для его обработки.
  6. Конфиденциальность и целостность. Компании, получающие от граждан их персональные данные, обеспечивают высокую степень защиты от утечки к третьим лицам, повреждений и уничтожения.

Испанское агентство защиты данных (AEPD)

Для координации действий создан Европейский комитет защиты данных, при этом каждое государство самостоятельно определяет санкции и штрафы для нарушителей. О штрафе, наложенном агентством AEPD, написано в статье «Испания оштрафовала Facebook и WhatsApp на €600 000 за перекрестный анализ данных пользователей».

Ответственность

При нарушении правил обработки личных данных предусмотрена ответственность: штраф – до 20 млн евро или 4% валового дохода компании за год.

Права субъектов данных

GDPR делает шире права резидентов и граждан ЕС в области контроля использования их личных данных, и они могут осуществлять такие действия:

  • требовать подтверждения факта обработки их данных;
  • получать информацию о целях использования;
  • получать сведения о том, передается ли их личная информация третьим лицам;
  • узнавать, в течение какого срока данные будут хранить или использоваться;
  • получать сведения о том, из какого источника информация о них была получена;
  • требовать исправить информацию при необходимости;
  • отправить запрос на прекращение обработки данных.

О ценности владения информацией

Владение информацией в век глобального интернета становится ключом для решения вопросов бизнеса и политических задач. Компания «Испания по-русски» работает на информационном рынке с 1997 года и завоевала доверие клиентов, пользующихся ее сервисами и информацией. Мы всегда готовы помочь вам в реализации ваших проектов, от туризма до покупки недвижимости в Испании и других делах. Конфиденциальность информации и не передача ее третьим лицам, нами гарантируется. О политике конфиденциальности читайте на сайте «Испания по-русски».

В Европейском союзе со следующего года будет действовать новый регламент защиты персональных данных (GDPR): требования к обеспечению безопасности конфиденциальных данных существенно ужесточатся. У компаний, в том числе российских, работающих с европейскими партнерами, осталось немного времени, чтобы приспособиться к новым условиям ведения бизнеса.

Проблему конфиденциальности данных признали крайне важной

Новые нормы General Data Privacy Regulations (GDPR) вступят в силу 25 мая 2018 г. и будут применяться ко всем игрокам европейского рынка, включая иностранные компании. Новый регламент будет действовать и на территории Великобритании до окончательного выхода страны из ЕС.

Проще говоря, не важно, где находится ваша компания, но если вы обрабатываете и храните данные, относящиеся к резидентам ЕС, то на вас распространяется действие GDPR.

GDPR налагает ряд требований, и их невыполнение предполагает серьезные санкции. Одним из главных обязательств, согласно GDPR, является уведомление в течение 72 часов о нарушении конфиденциальности данных. То есть, в случае утечки или хищения данных необходимо в течение трех суток известить об этом контролирующие органы, даже если не удалось установить причину утечки. Фактически, данные считаются скомпрометированными, и попытка утаить этот факт влечет наложение штрафа. Чем выше степень риска, тем быстрее нужно сообщать. Точные сроки, помимо ограничения в 72 часа, не регламентированы, однако, вероятно, если из-за известной утечки будет нанесен серьезный ущерб, компания также понесёт ответственность.

Плюсом GDPR является то, что отныне контроллерам нет необходимости отправлять уведомления об операциях в каждый местный орган, ответственный за защиту персональных данных. Ранее это вызывало сложности, так как в разных странах свои требования к оформлению. Теперь в большинстве случаев достаточно типового договора и правил внутреннего учета деятельности, связанной с обработкой данных. Исключение составляют особые случаи, например работа с персональными данными об уголовных преступлениях.

По данным опросов, пока более половины европейских компаний не готовы к введению таких строгих мер защиты данных. Причем треть компаний даже не определилась с тем, кто в их структуре должен отвечать за выполнение требований GDPR.

Рассмотрим ключевые моменты новых норм регулирования, которые, вероятно, являются примером новой глобальной тенденции к ужесточению правил работы с конфиденциальной информацией.

Какие данные защищает GDPR?

Новые нормы GDPR касаются всех данных с персонифицированной информацией, то есть сведений об организациях и физических лицах. Речь идет, в том числе и о маркетинговых данных, к хранению которых сегодня многие компании относятся менее требовательно, чем к информации, например, финансового или медицинского характера.

Регулирование в соответствии с GDPR будет применяться к обработке персональных данных, связанных с предложением товаров или услуг гражданам ЕС (независимо от того, требуется ли оплата); мониторингом поведения пользователей в ЕС (маркетинг, отслеживание в соцсетях и т.д.).

Более того, больше нельзя использовать длинные неудобочитаемые пользовательские соглашения. Вместо этого пользователь должен получить формы соглашений на простом языке.

Также пользователь должен иметь возможность легко отозвать свое согласие и обязать компанию удалить его персональные данные. Это право, названное Data Erasure, требует прекращения распространения и обработки персональных данных, а также обязывает их стереть. При рассмотрении таких запросов регуляторы могут оценивать «общественный интерес к доступности информации», то есть право Data Erasure может быть аннулировано, если, например, свои данные пытается скрыть злоумышленник.

Контроллеры обязаны передать регуляторам, а процессоры — пользователям как можно быстрее и «без неоправданной задержки» уведомление о нарушении информационной безопасности персональных данных, способное привести к ущемлению прав и свобод.

Компании, находящиеся за пределами ЕС, должны будут назначить представителя для работы с европейскими регуляторами в случае необходимости. Также следует иметь в виду, что в соответствии с GDPR, регуляторы имеют право затребовать информацию о том, как, где и с какой целью обрабатываются персональные данные.

Кроме того, контроллеры обязаны предоставить субъекту данных копию информации в электронном формате — это радикальный переход к прозрачности информации, хотя он и влечет за собой ряд проблем. Прежде всего, передача любых данных по требованию влечет за собой риск утечки. Также в ряде случаев компании не хотят, чтобы пользователи получали данные о том, какие сведения о них собирают. В то же время, это частично снимает проблему непрозрачности данных облачных сервисов, которая создает угрозу для контроллеров и субъектов данных.

Еще один пункт GDPR, на который стоит обратить внимание в первую очередь, — это требование обеспечить защиту данных еще на этапе разработки, то есть конфиденциальность должна быть изначально заложена в дизайн продукта.

Штрафы за нарушение норм GDPR

Максимальный штраф за нарушение норм GDPR составляет до $20 млн, или 4% оборота денежных средств нарушителя (выбирается наибольшая сумма). Такое наказание налагается за серьезные нарушения, например, обработку персональных данных без согласия клиентов, дискредитацию конфиденциальной информации или нарушение правил дизайна продукта.

В GDPR предусмотрен гибкий многоуровневый подход к штрафам. В частности, компания может быть оштрафована на 2% за то, что не уведомила надзорный орган и субъект данных об утечке данных или не провела оценку возможного ущерба. Эти правила применяются к контроллерам и процессорам, то есть облачные сервисы не будут освобождены от обязанностей исполнения норм GDPR.

Что касается российских предприятий, то в первую очередь введение норм регулирования GDPR может коснуться энергетических, финансовых, транспортных и ИТ-компаний. В то же время, прозрачное регулирование в области защиты данных является позитивным фактором для всего рынка информационных технологий.

Когда нормы GDPR вступят в силу, то любая компания будет иметь всего 72 часа, чтобы сообщить об обнаруженной бреши в системе ИТ безопасности контроллерам. Поэтому компания, которая работает с персональными данными резидентов ЕС должна иметь полную копию трафика со всеми заголовками и полезной нагрузкой в объеме за последние 72 часа минимум, чтобы избежать штрафов. И главное в таких решениях, как и в законе Яровой не просто записать трафик, а проиндексировать его и обеспечить быстрый поиск, так как объем хранилища может быть большим.

Если у вас ЦОД с двумя каналами связи на 10Гбит/сек и загрузкой 75%, то для хранения трафика в течение 72 часов понадобится хранилище 768 терабайт.

Сохраненный трафик позволит проанализировать источник проблемы, если необходимо воспроизвести трафик и после удаления бреши проверить, что все теперь соответствует внутренним политикам безопасности.

Всегда на связи, Игорь Панов.

Чем регулируются персональные данные?

Регулирование персональных данных в России осуществляется с применением ряда нормативно-правовых актов:

  1. №152-ФЗ «О персональных данных»;
  2. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  3. ТК РФ Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты;
  4. Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных;
  5. №125-ФЗ «Об архивном деле в Российской Федерации»;

и множества других, а если происходит обработка данных жителей Европейского Союза, то ещё и GDPR, который имеет экстерриториальное действие. Но подробно мы разберем его ниже.

Впрочем, для юристов не так страшны федеральные законы, конвенции и кодексы, как приказы ФСБ, ФСТЭК и Роскомнадзора. Вот только некоторые из них:

  • Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. №378;
  • Приказ ФСТЭК России от 23 марта 2017 г. №49;
  • Приказ Роскомнадзора от 30 октября 2018 г. №159.

И такие приказы выходят с завидной регулярностью, что для крупных операторов данных (телеком, банки, интернет-гиганты) является серьезной юридической нагрузкой.

Что такое большие данные и как они связаны с персональными?

Российское законодательство не даёт большим данным чёткого определения. По сути это массив структурированных и неструктурированных данных (не только персональных), которые динамически меняются, обрабатываются и анализируются программными инструментами с целью выявления новых связей для принятия различных решений.

Буква закона №152-ФЗ «О персональных данных» определяет персональные данные в качестве любой информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Это значит, что фактически любая информация, которая достоверно может определить физическое лицо, к которому эта информация относится, является персональными данными.

В 2018 году группа депутатов внесла на рассмотрение в Госдуму поправки в №149-ФЗ, где вводились такие определения, как «большие пользовательские данные», «оператор больших пользовательских данных», «обработка больших пользовательских данных» и другие. Летом 2019-го журнал Forbes писал об основных проблемах в поправках к федеральному закону об информации.

В итоге никаких поправок так внесено и не было, а законопроект всё ещё находится на рассмотрении.

Большие данные состоят из персональных данных?

Персональные данные — это важная составляющая больших данных, но далеко не единственная. Большие данные могут добывать и из других источников: с помощью геолокационных систем и промышленного оборудования. Например, компания Monsanto (сейчас она принадлежит Bayer) долгое время специализировалась на сборе и обработке больших сельскохозяйственных данных. Корпорация собирала показатели уровня влажности, температуры, урожайности и десятков тысяч других фактов, чтобы предсказывать заинтересованным фермерам урожайность их земель в очередном году и давать рекомендации по её повышению. Даже для самого строгого государственного чиновника очевидно, что данные о количестве колосьев пшеницы, собранных в Техасе в 1986 году, нельзя отнести к персональным.

Операторы больших данных обезличивают персональные данные, обрабатывают их в агрегированном виде и получают статистические или демографические данные. Они являются производными из персональных данных, но юридически не классифицируются как таковые, потому что прямо или косвенно не раскрывают личность субъекта, к которому эти данные относятся. Однако при объединении или связи агрегированных данных с персональными данными появляется возможность идентифицировать физическое лицо. Поэтому такие комбинированные данные будут обрабатываться как персональные.

При этом агрегирование — это лишь один из способов обезличивания персональных данных. Согласно определения, данного в №152-ФЗ, обезличивание — способ обработки персональных данных, в результате которого в обработанных персональных данных нельзя идентифицировать физическое лицо, которому эти данные принадлежат. По сути происходит скрытие, изменение или удаление персональных идентификаторов из набора данных. Конкретные способы и порядок обезличивания устанавливается приказом Роскомнадзора от 5 сентября 2013 г. №996.

На данный момент закон в явной форме не описывает последствия обезличивания данных. Единственное право, которое даёт закон оператору в отношении обработки персональных данных, содержится в п. 9 ч. 1 ст. 6 №152-ФЗ. Оно разрешает использовать обезличенные данные в научных и исследовательских целях. Коммерческое использование данных невозможно без их передачи другим компаниям, что в силу текущих формулировок закона достаточно рискованно.

Также возникают проблемы и в социально-значимых проектах, где не подразумевается коммерческое использование данных. Так, МегаФон совместно с «Лиза Алерт» в марте 2019 года запустил специальную платформу «МегаФон.Поиск» для поиска пропавших детей и взрослых с использованием технологии анализа больших данных, в ходе тестирования которой с помощью платформы удалось найти более 60 человек. Одна из причин использования платформы на базе больших данных, а не просто передача геолокационных данных пропавшего, — ограничения №152-ФЗ «О персональных данных».

Мы написали отдельный материал про то, как большие данные помогают искать пропавших.

Идентификаторы и регуляторы

Перечень данных, который можно отнести к персональным, не является закрытым — это вытекает из определения персональных данных, которое дается в №152-ФЗ. Поэтому любой набор информации, позволяющий определить или идентифицировать вас среди множества других людей, относится к персональным. Даже если информация не позволяет точно идентифицировать физическое лицо, но помогает значительно ограничить круг тех людей, к которым данные могут относится, она является «персональной».

Таких идентифицирующих данных огромное количество, и к ним можно отнести фамилию, имя, отчество, дату рождения, место рождения, возраст, фотографию, ссылку на профиль в социальных сетях и другие.

Например, если вы кому-то сказали вашу фамилию, имя, отчество и дату рождения, то вас с высокой точностью можно будет определить, как конкретную личность. Однако, если мы уберем из набора такие вводные данные, как фамилию или дату рождения, то понять, о каком именно человеке идет речь, будет невозможно. Верно и обратное: безобидные данные, такие как показания электрического счётчика, при их обогащении данными, относящимися к физическим лицам, становятся персональными.
Если говорить о номере мобильного телефона и электронной почте, то представители государственных органов считают, что их использование в качестве персональных данных возможно в отдельных случаях. Например, если имеются дополнительные данные, которые позволяют однозначно соотнести абонентский номер или адрес электронной почты к физическому лицу. Абонентский номер и адрес электронной почты точно не относятся к персональным данным, если договор с оператором был заключен на юридическое лицо. Также почта может являться рабочей или вовсе не содержать никакой идентифицирующей информации.

Бывают и более сложные категории данных. До сих пор нет однозначной позиции о том, является ли IP-адрес персональными данными и обрабатывают ли персональные данные службы Google Analytics и Яндекс.Метрика — позиция регуляторов очень подвижна. В декабре 2018-го Роскомнадзор заблокировал сайт «Умного голосования», сославшись на тот факт, что владельцы ресурса не уведомили пользователей об использовании счётчиков. В то же время ряд судов явно выражал позицию о том, что IP-адреса к персональным данным не относятся. Да и сам Роскомнадзор не спешит блокировать и штрафовать государственные органы, на сайтах которых без каких-либо уведомлений используются аналогичные инструменты.

Политика конфиденциальности персональных данных

Информация о порядке обработки персональных данных ст. 13 Регламента ЕС 2016/679- GDPR

Информация об обработке персональных данных, полученных у Заинтересованной стороны.
В соответствии с положениями Регламента ЕС 2016/679 (Постановление Европейской комиссии о защите персональных данных), мы предоставляем необходимую информацию о порядке обработки полученных персональных данных.

Информация не является действительной для других веб-сайтов, на которые можно перейти по ссылкам, представленным на интернет-сайтах владельца домена, который не несет ответственность за веб-сайты третьих сторон.

Речь идет о политике конфиденциальности, которая предоставляется в соответствии со ст. 13 Регламента ЕС 2016/679 (Постановление Европейской комиссии о защите персональных данных) для всех, кто посещает веб-сайт https://www.hotelmonrepos.com («Сайт») с ссылкой на обработку персональных данных пользователя («Пользователь»), согласно положениям Директивы 2002/58 / EC с обновлением в 2009 г. Директивой 2009/136 / EC о файлах Cookies, а также Положением о защите персональных данных от 08.05.2014 Гарантом защиты персональных данных в отношении файлов Cookies

СУБЪЕКТЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Контроллер или Владелец данных, согласно ст. 4 и 24 Регламента ЕС 2016/679 «Hotel Mon Repos”, именуемый в дальнейшем «Владелец», место регистрации Sirmione Via Arici 2 — Италия, Налог. код 03596890982 в лице законного представителя адрес электронной почты: info@hotelmonrepos.com

АСПЕКТЫ ПРАВОМЕРНОСТИ И СПОСОБ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка данных основывается на принципах законности согласно ст. 6 Регламента ЕС 2016/679 и осуществляется без явного согласия заинтересованной стороны в следующих случаях:

a) Обработка персональных данных в процессе интернет-просмотра:

Во время штатной работы компьютерных систем и программ, используемых для управления сайтом, полученные персональные данные используются для протоколов, обслуживающих передачу данных в Интернет.

Полученная информация позволяет осуществить процедуру распознавания пользователя –идентификацию.

Данная категория включает в себя:

(i) IP-адреса или имена доменов компьютеров пользователей, подключающихся к Веб-сайту;

(ii) адреса унифицированного идентификатора ресурса (URI);

(iii) время запроса;

(iv) метод, используемый для отправки запроса на сервер;

(v) размер полученного в ответ файла;

(vi) числовой код, указывающий статус ответа, заданного сервером (успешный, ошибка);

(vii) другие параметры, относящиеся к операционной системе и информационной среде пользователя.

Правовая основа обработки персональных данных: осуществление запрошенной услуги и выполнение договорных отношений, связанных с доступом к сайту;
— персональные данные:

Могут запрашиваться личные данные и контактные данные, такие как имя, фамилия, дата и место рождения, место жительства, адрес электронной почты и номер телефона:

. посредством заполнения модуля сбора данных для отправки запроса на коммерческое предложение или другую информацию;

. посредством логина для доступа в закрытую систему e-commerce (система электронной коммерции) или для других специализированных услуг.

Правовая основа обработки персональных данных: наше право получать информацию для удовлетворения вашего запроса, возможность предоставления информации клиентам об эволюции нашего сайта, изменениях контрактных условий, а также условий Политики конфиденциальности. В отношении системы электронной коммерции, юридическая основа операции закреплена онлайн документом договора купли – продажи.

Юридическая база операции Booking представлена договором онлайн-бронирования.

ПОЛУЧАТЕЛИ И КАТЕГОРИИ ПОЛУЧАТЕЛЕЙ ПРЕСОНАЛЬНЫХ ДАННЫХ

Персональные данные могут предоставляться Получателям, в соответствии со ст. 28 Регламента ЕС 2016/679 , выступающих в качестве менеджеров и / или физических лиц, действующих под Руководством Владельца данных или ответственного должностного лица для выполнения условий договора. Персональные данные могут быть переданы Получателям, принадлежащим к следующим категориям:
— Субъектам, обслуживающим управление информационной системой и коммуникационной сетью Владельца персональных данных (в качестве поставщиков технических услуг, хостинг-провайдеров, ИТ-компаний, агентств массовых коммуникаций, в том числе электронных);

Субъекты, относящиеся к указанным категориям, выполняют функцию должностных лиц по обработке данных, или работают автономно, как отдельные Владельцы персональных данных.
Список ответственных должностных лиц постоянно обновляется и доступен для ознакомления в операционном офисе Владельца персональных данных.

Допускается передача данных, запрашиваемых в соответствии с законом, в полицейские силовые структуры, в судебные органы, в службы информационной безопасности или в иные государственные органы, в целях обороны или безопасности государства, а также для предотвращения, выявления и пресечения преступлений.

База данных может быть предоставлена в Государственные органы управления по запросу, поданному субъекту, который имеет законное право на судебные и внесудебные отношения с государственной органами власти.

ПЕРЕДАЧА ДАННЫХ В ТРЕТЬЮ СТРАНУ ИЛИ МЕЖДУНАРОДНУЮ ОРГАНИЗАЦИЮ

Предоставленные персональные данные могут передаваться за границу в пределах Европейского Союза, а также за его пределы (Соединенные Штаты придерживаются Privacy Shield «Заявление о конфиденциальности»), только с вашего прямого согласия и только в том случае, если это становится необходимых для достижения целей, обозначенных в пунктах а).
Обработка персональных данных происходит в оперативном офисе Владельца, либо ином месте нахождения сторон, законно выполняющих обработку данных.

ПЕРИОД ХРАНЕНИЯ И КРИТЕРИИ

Владелец обрабатывает персональные данные Пользователя с применением соответствующих мер безопасности, предотвращающих несанкционированный доступ, распространение, изменение или уничтожение персональных данных.
Обработка осуществляется с использованием ИТ-технологий или иных информационных технологий, телематических систем, с применением организационных методов и логики, строго связанных с обозначенными целями, гарантирующих адекватный уровень защиты персональных данных.
В соответствии с положениями ст. 5, п.1 пункта e) Регламента ЕС 2016/679 полученные персональные данные подвергаются обработке и хранятся в форме, которая позволяет идентифицировать субъектов персональных данных на время, не превышающее временной отрезок, необходимый для выполнения поставленных задач. Чтобы узнать о критериях хранения данных, обратитесь по адресу, указанному в пункте 1 данного заявления.

ПРЕДОСТАВЛЕНИЕ ДАННЫХ И ОТКАЗ

Помимо предоставления данных в процессе интернет — обзора, пользователь может предоставлять персональные данные в специально отведенных местах на сайте.
Предоставление персональных данных для целей, указанных в пункте а) настоящего информационного документа, необходимо для уточнения конкретных функций и использования услуг, предлагаемых Владельцем, например, для получения обратной связи на запрос о предоставлении информации,

Отказ предоставить персональные данные приводит к невозможности получить требуемую информацию или пользоваться услугами, предлагаемыми сайтом.

ПРАВО ЗАИНТЕРЕСОВАННОЙ СТОРОНЫ

Заинтересованная сторона может отстаивать свои права, выраженные в статьях 15, 16, 17, 18, 19, 20, 21, 22 Регламента ЕС 2016/679 и обращаться к Владельцу сайта по адресу, указанному в пункте 1 настоящего документа.
Заинтересованная сторона имеет право в любое время запросить у Владельца доступ к своим личным данным, вносить исправления, отменять или ограничивать обработку персональных данных.
Кроме того, имеет право в любое время опротестовать обработку своих данных (включая автоматическую обработку, например, профилирование), а также право переносимости своих данных.

Если Заинтересованная сторона считает, что обработка персональных данных нарушает положения Регламента ЕС 2016/679, согласно ст. 15 пункт f) вышеупомянутого Регламента ЕС 2016/679 , то сторона имеет право подать жалобу Гаранту защиты персональных данных и, ссылаясь на ст. 6, пункт 1, п. А) и ст. 9, абз. 2, п. А), отозвать согласие на обработку данных в любое время, без подачи апелляционной жалобы в административный суд.

В случае запроса на переносимость данных, Владелец обязан предоставить бесплатную копию в электронном формате с автоматического устройства с вашими личными данными, в соответствии с пунктами 3 и 4 ст. 20 Регламента ЕС 2016/679.

Владелец может обрабатывать личные данные Пользователя в целях собственного законного интереса для обеспечения безопасности Сайта и информации, содержащейся в нем.

Обеспечивать определенный уровень безопасности Сайта на случай непредвиденных ситуаций, незаконных или злонамеренных действий, которые ставят под угрозу доступность, достоверность, целостность и конфиденциальность хранящихся или передаваемых персональных данных, а также безопасность и доступность услуг.

Если Пользователь считает, что его права были нарушены, он имеет право подать жалобу Гаранту защиты персональных данных и / или в другой компетентный орган контроля в соответствии с законом. Более подробную информацию можно найти по следующей ссылке

http://www.garanteprivacy.it/home/diritti/come-agire-per-tutelare-i-nostri-dati-personali?#reclamo .

ИЗМЕНЕНИЯ ПОЛИТИКИ КОНФИДЕНЦИАЛЬНОСТИ

Администрация сайта оставляет за собой право вносить изменения в настоящую Политику конфиденциальности в любое время, уведомляя Пользователей на этой странице, в том числе из-за изменений в действующем законодательстве. Поэтому рекомендуем периодически просматривать данную страницу или раздел Сайта, изменение в котором Пользователь обязуется принимать безоговорочно.

Информация о файлах cookie

Определение

Cookie представляют собой фрагменты данных (буквы и/или цифры), позволяющие различать новых и старых посетителей, а также отслеживать действия пользователей на сайте. Данные, собранные cookie, используются для того, чтобы сделать навигацию по сайту удобнее и эффективнее. В файлах «cookie” хранится информация о ваших предпочтениях в интернете на конкретном устройстве (компьютер, планшет, смартфон).
Подобные технологии, как например, веб-маяки, прозрачные картинки и все другие формы локального хранения данных, введенных по протоколу HTML5, используются для сбора информации о сетевом поведении пользователя и о пользовании им услугами сайта.

После публикации настоящего документа мы будет указывать на файлы cookie и на все другие подобные технологии с помощью термина «cookie».

Типы файлов cookie

В зависимости от характеристик и от способов использования файлов cookie их можно отнести к различным категориям:

Необходимые файлы сookie. Такие cookie необходимы для правильной работы сайта, они используются для управления регистрацией и доступом к защищенным функциям сайта. Срок действия файлов cookie строго ограничен временем рабочей сессии (при закрытии браузера эти файлы стираются из памяти).
Файлы сookie для анализа и учета эффективности. Такие cookie применяются для сбора и анализа потока информации, а также для использования сайта в анонимной форме. Эти файлы cookie не идентифицируют пользователя, но позволяют, например, выявлять, подключается ли один и тот же пользователь к сайту в различные моменты. Помимо этого, они обеспечивают постоянный мониторинг системы и совершенствуют ее эффективность и удобство использования. Отключение таких cookie возможно без потери функциональности сайта.
Профильные файлы сookie. Постоянные файлы cookie используются для идентификации (в анонимном и неанонимном порядке) предпочтений пользователя и для совершенствования его опыта в процессе навигации. Настоящий сайт не использует такой тип cookie.

Сторонние файлы Cookie, используемые на настоящем сайте
При посещении веб-сайта можно получать cookie как с непосредственно посещаемого сайта («собственные»), так и с сайтов, контролируемых другими организациями («сторонние»). Ярким примером таких файлов является наличие «выходов на социальные сети» Facebook, Twitter, Google+ и LinkedIn. Речь идет о тех секциях посещаемой страницы, которые создаются непосредственно указанными выше сайтами и интегрированы в принимающий их сайт. Наиболее распространенное применение выходов на социальные сети нацелено на обмен содержанием и его распространением в социальных сетях.
Наличие таких выходов ведет к передаче cookie с и на все (сторонние) сайты, контролируемые третьими лицами. Обработка информации, собранной «третьими лицами», регулируется соответствующими уведомлениями, на которые требуется делать ссылку. Для обеспечения наибольшей ясности и удобства пользования сайтом ниже приводятся веб-адреса различных уведомлений и режимов обработки файлов cookie.

Facebook – Уведомление: https://www.facebook.com/help/cookies/

Facebook – конфигурация: accedere al proprio account. Sezione privacy.

Instagram – Уведомление: https://help.instagram.com/519522125107875

Google Maps, YouTube, Analytics – Уведомление: https://policies.google.com/technologies/types?hl=it

Google Maps, Analytics – конфигурация: https://policies.google.com/technologies/managing?hl=it

YouTube – конфигурация: https://support.google.com/youtube/answer/32050?co=GENIE.Platform%3DDesktop&hl=it

Срок действия файлов cookie

Некоторые файлы cookie (cookie сеанса) активны только до закрытия браузера или до выполнения команды logout (выход). Другие cookie «выживают» и после закрытия браузера и доступны при последующих посещениях сайта пользователем.

Такие cookie называются постоянными, а их срок действия фиксируется сервером в момент создания файлов. В некоторых случаях предусмотрен срок истечения их действия, в других случаях длительность файлов cookie неограниченна.

Управление файлами cookie

Пользователь может решить, принимать или нет cookie с помощью настроек собственного браузера. Большинство веб-браузеров автоматически принимают файлы cookie, но пользователь может изменить настройки своего веб-браузера, чтобы отклонить их

Полное или частичное отключение технических файлов cookie может сказаться на действии функций сайта. Отключение сторонних файлов cookie никоим образом не препятствует навигации.

Как отключить файлы cookie с помощью настроек браузера

Chrome

Mozilla Firefox

Internet Explorer

Safari

Opera

Личные данные, собранные для иных целей

Статистика

Google Analytics с анонимным IP-адресом (Google Inc.)

Google Analytics — это служба веб-аналитики, предоставляемая Google Inc. («Google»). Google использует собранные данные для фиксирования и анализа действий пользователей в целях подготовки отчетов об операциях, которые выполняет приложение, и их последующей передачи другим сервисам Google. Google может использовать собранные данные для того, чтобы генерировать рекламные объявления своей собственной рекламной сети с учетом интересов и предпочтений конкретного пользователя.

Такая интеграция Google Analytics обеспечивает анонимность вашего IP адреса. С этой целью осуществляется сокращение IP адресов Пользователей в пределах территории государств членов Европейского Союза или в других государств участников Соглашения о Европейском экономическом пространстве. Лишь в исключительных случаях полный IP адрес будет пересылаться на сервер Google и сокращаться в США.

Собираемые Персональные данные: Данные об использовании сетевых ресурсов и Файлы «cookie».

Место обработки: США – Правила обеспечения конфиденциальности персональных данных – Отказ от участия – Субъект придерживается политики Privacy Shield.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *