ПОЛИТИКА ЗАЩИТЫ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ
ПОЛЬЗОВАТЕЛЕЙ MIXMAG АКАДЕМИЯ
ООО «Академия Онлайн»
(в рамках осуществления деятельности Общества)
г. Москва, 11 марта 2019 года
1. Общие условия

1.1. Настоящая Политика (далее - «Политика») определяет порядок обработки и защиты Обществом с ограниченной ответственностью «Академия Онлайн» (ИНН 7714434609, ОГРН 1187746919513, далее — "Академия" «Исполнитель»), информации (в т.ч. персональных данных) о физических лицах (включая лиц, имеющих статус индивидуального предпринимателя, а также физических лиц, действующих в интересах юридического лица, далее — «Пользователь», «Пользователи»), предоставивших такую информацию Исполнителю путем размещения ее на Сайте Академии, в том числе при заключении договоров в рамках Оферты от 11 марта 2019 г. (далее – «Договор»), при предоставлении Пользователю доступа к образовательным материалам Академии, а также при использовании доступа к сайту Академии (далее – «Сайт»), сайтам партнеров Академии, веб - страниц, сервисов, служб, программ, используемых Академией для осуществления реализации своих обучающих методик и наработок («Программы обучения», «ПО») в рамках исполнения Академией своих обязательств или в рамках осуществления иной деятельности Исполнителя.

1.2. Целью настоящей Политики является обеспечение надлежащей защиты персональной информации, которую Пользователь предоставляет о себе самостоятельно при выполнении определенных Договором, или иными коммерческими предложениями Академии условий Доступа к ПО, образовательным материалам, и при использовании Сайта, Сервисов или в процессе регистрации (создании учетной записи), для предоставления права доступа к ПО и иным материалам, от несанкционированного доступа к такой информации и ее разглашения, несанкционированного использования третьими лицами

1.3. Отношения, связанные со сбором, хранением, распространением и защитой информации, предоставляемой Пользователем, регулируются настоящей Политикой, иными официальными документами Академии и действующим законодательством Российской Федерации.

1.3.1. В целях настоящей Политики, ниже по тексту (в т.ч. в Приложениях), применяются понятия и термины (в частности (но не ограничиваясь) : «Договор», «Оферта», «Сайт», «Онлайн-регистрация» «Верификация», «Платформа»), в том значении, в котором они определены в Договоре.

1.4. Проходя верификацию на Сайте, акцептуя указанную в преамбуле настоящей Политики Оферту (размещая заявку на предоставление права доступа к ПО) и используя Сайт и Сервисы, выбирая соответствующие опции, Пользователь выражает свое полное согласие с условиями настоящей Политики, а также, Пользователь соглашается на получение рекламных и/или информационных рассылок средствами SMS-сообщений, е-mail сообщений или телефонных звонков.

Согласие Пользователя с настоящей Политикой означает также акцепт Пользователем Договора и его условий, в том числе согласие с процедурой верификации, определенной п. 8.2.1 Договора, а также согласие пользователя с иными условиями сотрудничества с Академией в рамках осуществления деятельности последней

1.5. В случае несогласия Пользователя с условиями настоящей Политики использование доступа к ПО, Сайту, (а в случае если данное несогласие затрагивает условия использования Платформы), Платформе, и/или каких-либо Сервисов доступных при использовании доступа к ПО или иным материалам предоставляемым Академией на возмездной основе, должно быть немедленно прекращено (либо прекращается Академией).

1.6. В случае несогласия Пользователя в получении информации от Академии, Пользователь может отписаться от рассылки:

— кликнув по ссылке такого типа как «Отписаться» внизу письма,

— путем направления уведомления на электронную почту academy@mixmag.io. При поступлении уведомлений на электронную почту academy@mixmag.io в специальном программном обеспечении для учета действий по соответствующему Пользователю создается обращение по итогам полученной от Пользователя информации. Обращение обрабатывается максимум в течение 24 часов. В результате информация о Пользователе не включается в сегмент рассылок по соответствующему региону.

1.7. Все Приложения к настоящей Политике являются его неотъемлемой частью.


2. Цели сбора, обработки и хранения информации, предоставляемой пользователями Сайта

2.1. Обработка персональных данных Пользователя осуществляется в соответствии с законодательством Российской Федерации. Академия обрабатывает персональные данные Пользователя в целях:

— идентификации стороны в рамках соглашений и договоров, заключаемых с Академией;

— предоставления права доступа к ПО, иным материалам, предоставляемым Академией на возмездной основе, Сайту и другим сервисам, использование которых предусмотрено Договором;

— связи с Пользователем, направлении Пользователю транзакционных писем в момент акцепта Оферты, акцепта иных предложений о сотрудничестве размещенных Академией на Сайте, получения заявки или получении оплаты от Пользователя, разово, если Пользователь совершает эти действия, направлении Пользователю уведомлений, запросов;

— направлении Пользователю сообщений рекламного и/или информационного характера (SMS-сообщения, э-mail сообщения, иные виды электронных сообщений), в том числе через партнеров Академии (в частности при использовании Платформы);

— проверки, исследования и анализа таких данных, позволяющих поддерживать и улучшать сервисы и разделы Сайта, а также разрабатывать новые сервисы и разделы Сайта;

— проведение статистических и иных исследований на основе обезличенных данных.


3. Условия обработки персональной информации,

предоставленной Пользователем и ее передачи третьим лицам

3.1. Академия принимает все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа, изменения, раскрытия или уничтожения.

3.2. Академия предоставляет доступ к персональным данным Пользователя только тем контрагентам (работникам, партнерам) Исполнителя, которым эта информация необходима для обеспечения функционирования Сайта, предоставления доступа к ПО, осуществления оплаты (расчетов) с Академией (и ее партнерами), и которые предоставили Академиии информацию о принятых (принимаемых) ими мерах, направленных на защиту данных Пользователей..

3.3. Академия вправе использовать предоставленную Пользователем информацию, в том числе, персональные данные, в целях обеспечения соблюдения требований действующего законодательства Российской Федерации (в том числе, в целях предупреждения и/или пресечения незаконных и/или противоправных действий Пользователей). Раскрытие предоставленной Пользователем информации может быть произведено лишь в соответствии с действующим законодательством Российской Федерации в т.ч. по требованию суда, правоохранительных органов, а равно в иных предусмотренных законодательством Российской Федерации случаях.

3.4. Академия не проверяет достоверность информации, предоставляемой Пользователем. Академия исходит из того, что Пользователь в рамках добросовестности предоставляет достоверную и достаточную информацию. Академия заботится о своевременности внесения изменений в ранее предоставленную информацию при появлении такой необходимости, включая, но, не ограничиваясь, изменение номера телефона, адреса электронной почты, фамилии, имени, и отчества Пользователя (в случае их изменения), с предоставлением Академии (в случае необходимости) сканов соответствущих документов.


4. Условия пользования Сайтом, Сервисами

4.1. Пользователь при пользовании Сайтом, подтверждает, что:

— обладает всеми необходимыми правами, позволяющими ему осуществлять регистрацию (создание учетной записи), использовать возможности Сайта;

— указывает достоверную информацию о себе в объемах, необходимых для пользования возможностями Сайта,

— осознает возможность того, что по причинам независящим от Академии, информация размещенная Пользователем о себе на Сайте, может становиться доступной для третьих лиц, не оговоренных в настоящей Политике и может быть скопирована и распространена ими;

- выражает свое согласие на предоставление персональных данных о себе в рамках процедуры верификации партнерам Академии, в частности : платежному интернет – сервису «Яндекс-касса» и Платформе;

— ознакомлен с настоящей Политикой, выражает свое согласие с ней и принимает на себя указанные в ней права и обязанности. Ознакомление с условиями настоящей Политики и выполнение действий, указанных в последнем абзаце п.8.2.1 Договора является равносильно письменному согласию Пользователя на сбор, хранение, обработку и передачу третьим лицам персональных данных, предоставляемых Пользователем.


5. В рамках настоящей Политики под «персональной информацией Пользователя» понимаются:

5.1. Данные, предоставленные Пользователем самостоятельно при выполнении процедуры получения доступа к ПО и соответствующим Сервисам, включая, но, не ограничиваясь: имя, фамилия, пол, номер мобильного телефона и/или адрес электронной почты, а также дополнительно предоставленные данные : семейное положение, дата рождения, родной город, родственные связи, домашний адрес, информация об образовании, о роде деятельности.

5.2. Данные, которые автоматически передаются Сервисам в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, в том числе, IP-адрес, информация из cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к Сервисам), время доступа, адрес запрашиваемой страницы.

5.3. Иная информация о Пользователе, сбор и/или предоставление которой определены в регулирующих документах Академии для отдельных Сервисов.


6. Изменение и удаление персональных данных

6.1. Пользователь может в любой момент изменить (обновить, дополнить) предоставленную им персональную информацию или её часть, а также параметры её конфиденциальности, воспользовавшись функцией редактирования персональных данных в разделе, либо в персональном разделе соответствующего Сервиса. Пользователь обязан заботиться о своевременности внесения изменений в ранее предоставленную информацию, ее актуализации, в противном случае Академия не несет ответственности за надлежащие выполнение своих обязательств по Договору, за неполучение Пользователем уведомлений и т.п.

6.2. Пользователь также может удалить предоставленную им в рамках определенной учетной записи персональную информацию. При этом такое удаление может повлечь невозможность использования Пользователем некоторых Сервисов.


7. Изменение Политики конфиденциальности. Применимое законодательство

7.1. Академия имеет право без уведомления и информирования Пользователя вносить изменения и дополнения в настоящую Политику конфиденциальности. При внесении изменений в актуальной редакции указывается дата ее (редакции) утверждения или вносимых в нее изменений, дата ее размещения на Сайте. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если новой редакцией политики не будет предусмотрено иное. Действующая редакция Политики постоянно размещена в рамках ресурса https://mixmag.academy/oferta.

При этом Пользователь обязуется самостоятельно и своевременно ознакомится со всеми условиями Политики до момента подтверждения своего согласия с Политикой путем проставления знака «V» в соответствующих разделах Сайта, а также с изменениями указанных условий, с актуальной редакцией Политики при посещении Сайта. Пользователь несет самостоятельную ответственность за наступление (риск наступления) для него неблагоприятных последствий в связи с невыполнением обязанностей, указанных во втором абзаце п. 7.1 настоящей Политики.

7.2. К настоящей Политике и отношениям между Пользователем и Академией, возникающим в связи с применением Политики конфиденциальности, подлежит применению законодательство и право Российской Федерации.

8. Обратная связь. Вопросы и предложения

8.1. Все предложения или вопросы по поводу настоящей Политики Пользователю следует направлять в службу поддержки Академии по электронной почте academy@mixmag.io

Приложения:

1. Согласие на обработку персональных данных.

2. Согласие на получение информационной и рекламной рассылки.

3. Выдержка из Регламента General Data Protection Regulation (GDPR) Европейского Союза «О защите физических лиц относительно обработки персональных данных и о свободном перемещении таких данных».

Исполнитель:

ООО «Академия Онлайн»
125252, г. Москва, проезд Берёзовой Рощи, дом 12, квартира 557
ИНН 7714434609 КПП 771401001 Р/с 40 702 810 0 200100 04287
в АО «ЮниКредит Банк» г. Москва
БИК 044525545 К/с 30 101 810 3 000000 00545 ОКПО 34112650

Приложение№ 1
к Политике защиты персональной информации пользователей Программы для ЭВМ «MIXMAG Академия» от «11» февраля 2019 год (далее «Политика в области обработки персональных данных»)
СОГЛАСИЕ
на обработку персональных данных


Я, настоящим даю письменное согласие Обществу с ограниченной ответственностью «Академия Онлайн» (далее — "Академия"), на обработку предоставленных мной персональных данных. В частности, я даю согласие на любые действие (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с предоставленными мной персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Настоящее согласие выдано в целях исполнения Академией принятых на себя передо мной обязательств, вытекающих из осуществления Академией своей деятельности, в отношении следующих моих персональных данных :
Фамилия, имя, адрес электронной почты,
телефон (мобильный, домашний, контактный).

Предоставляя настоящее согласие, в целях исполнения Академией принятых на себя передо мной обязательств, возникающих из заключенных между мною и Академией договоров, соглашений, иных взаимоотношений, передавать мои указанные выше персональные данные своим партнерам с использованием сетей общего пользования и международного информационного обмена, с использованием трансграничной передачи данных на территории иностранных государств, в том числе, и в случае, если этими странами не обеспечивается адекватная защита прав субъектов персональных данных.
Я извещен, что в соответствии с пп. 2 п. 2. ст. 22 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» Академия вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, полученных Академией в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются Академией исключительно для исполнения указанного выше Договора и заключения иных договоров с субъектом персональных данных.
Мои персональные данные могут обрабатываться бессрочно.
Настоящее согласие автоматически считается отозванным в случае (и с момента) досрочного расторжения Договора (иного соглашения с Академией) по любой причине или в случае направления мною отказа от согласия на обработку моих персональных данных.

Я даю настоящее Согласие путем проставления установленного знака в соответствующем поле (при наличии такового) на Сайте Исполнителя. Данная форма Согласия на обработку персональных данных дается в форме, позволяющей подтвердить факт его получения.

Я подтверждаю, что выполнение мной действий, указанных в предыдущем абзаце, равнозначно подписанию мною настоящего Согласия в письменной форме.

Форма согласия утверждена «11» марта 2019 г.

Генеральный директор
ООО «Академия Онлайн»
Болгак А.В.

Приложение№ 2
к Политике защиты персональной информации пользователей Программы для ЭВМ «MIXMAG Академия» от «11» февраля 2019 год (далее «Политика в области обработки персональных данных»)
СОГЛАСИЕ
на получение информационной и рекламной рассылки


Я, настоящим даю свободно, своей волей и в своем интересе письменное согласие Обществу с ограниченной ответственностью «Академия Онлайн» (далее — "Академия" «Исполнитель»), на получение информационной и рекламной рассылки.
В частности, я даю согласие на любые действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с целью направления мне информационной и рекламной рассылки без ограничения объема (количества), времени суток и периода времени осуществления рассылки на мою электронную почту, предоставленную мной Исполнителю в рамках осуществления Академией ее деятельности (в том числе через партнеров Академии (при использовании Платформы)).
Настоящее согласие выдано в целях выполнения Исполнителем принятых на себя передо мной обязательств в рамках заключенных договоров и соглашений, а также в целях своевременного информирования меня обо всех необходимых аспектах, связанных с исполнением Академией обязательств, и в целях своевременного информирования меня обо всех новинках, рекламных акциях и т.п. событиях в сфере деятельности Исполнителя.
Настоящее согласие считается отозванным в случае досрочного расторжения заключенного Договора по любой причине или в случае направления мною отказа от согласия на получение информационной и рекламной рассылки, полученной Исполнителем на электронную почту: academy@mixmag.io.
Я даю согласие Исполнителю на соблюдение конфиденциальности всей информации, полученной мной в рамках исполнения Академией своих обязательств по заключенным со мной договорам, соглашениям, а также в рамках иных правоотношений, возникших между мною и Исполнителем.
Я даю настоящее Согласие путем проставления установленного знака в соответствующем поле (при наличии такового) на Сайте Исполнителя. Данная форма Согласия на получение информационной и рекламной рассылки дается в форме, позволяющей подтвердить факт его получения.

Я подтверждаю, что выполнение мной действий, указанных в предыдущем абзаце, равнозначно подписанию мною настоящего Согласия в письменной форме.

Форма согласия утверждена «11» марта 2019 г.
Генеральный директор
ООО «Академия Онлайн»
Болгак А.В.

Приложение№ 3
к Политике защиты персональной информации пользователей
ООО «Академия Онлайн»
Выдержка из Регламента General Data Protection Regulation (GDPR) Европейского Союза «О защите физических лиц относительно обработки персональных данных и о свободном перемещении таких данных»

ООО «Академия Онлайн» (далее — «Академия»), принимая во внимание вступивший в силу 25.05.2018 года Регламент General Data Protection Regulation (GDPR) Европейского Союза «О защите физических лиц относительно обработки персональных данных и о свободном перемещении таких данных (Общий Регламент по защите персональных данных)», далее «Регламент», настоящим констатирует, что признает действие указанного Регламента в части, не противоречащей действующему законодательству РФ, а именно, применительно к своей деятельности, руководствуется (ориентируется) следующими положениями Регламента:

«Преамбула»

1. В целях обеспечения соответствующего уровня защиты физических лиц на территории Евросоюза и предотвращения расхождений, затрудняющих свободное перемещение персональных данных в пределах внутреннего рынка, Регламент необходим для обеспечения правовой определённости и прозрачности для хозяйствующих субъектов, в том числе микро, малых и средних предприятий, для предоставления физическим лицам во всех государствах-членах одинакового уровня юридически закреплённых прав и обязанностей, а также функциональных обязанностей контролёров и обработчиков; обеспечения соответствующего мониторинга обработки персональных данных и равнозначных санкций во всех государствах-членах, равно как и для обеспечения эффективного сотрудничества между надзорными органами различных государств-членов. Надлежащее функционирование внутреннего рынка требует, чтобы свободное перемещение персональных данных в пределах Евросоюза не ограничивалось или запрещалось по причинам, связанным с защитой физических лиц при обработке персональных данных. Для учёта конкретной ситуации на микро, малых и средних предприятиях, настоящий Регламент предусматривает изъятия в отношении ведения учёта для организаций с менее чем 250 сотрудников. Кроме того, учреждениям и органам Евросоюза, а также государствам-членам и их надзорным органам, рекомендуется учитывать конкретные потребности микро, малых и средних предприятий по применению настоящего Регламента. Понятие микро, малых и средних предприятий должно пониматься исходя из статьи 2 Приложения Рекомендации Комиссии 2003/361/ЕС (п. 13 Преамбулы. Здесь и далее по тексту понимается «Преамбула Регламента»).

2. Регламент (ЕС) № 45/2001 Европейского Парламента и Совета (6)30 применяется к обработке персональных данных учреждениями, органами, организациями и агентствами Евросоюза. Регламент (ЕС) № 45/2001, а иные нормативно-правовые акты Евросоюза, применимые к такой обработке персональных данных, должны быть адаптированы к принципам и нормам, предусмотренным настоящим Регламентом и применяться в соответствии с настоящим Регламентом. Для обеспечения чёткой и согласованной защиты данных в рамках Евросоюза, после принятия настоящего Регламента, необходимо внести изменения в Регламент (EC) № 45/2001, для того чтобы обеспечить возможность.

3. Исходя из того, что сама по себе доступность веб-сайта контролёра, обработчика или посредника в Евросоюзе, адреса электронной почты или иных контактных данных, либо использование языка, обычно используемого в третьей стране, в которой учреждён контролёр, являются недостаточными для установления подобных намерений, признаки, среди которых использование языка или валюты, обычно используемой в одном или нескольких государствах-членах, с возможностью заказывать товары и услуги на этом языке, либо упоминание потребителей или пользователей, которые находятся в Евросоюзе, могут делать очевидным то, что контролёр намерен предлагать товары или услуги субъектам данных в Евросоюзе.

4. Обработка персональных данных субъектов данных, находящихся в Евросоюзе, контролёром или обработчиком, которые не учреждены в Евросоюзе, также является предметом регулирования настоящего Регламента, когда это связано с мониторингом действий таких субъектов данных, постольку, поскольку их действия совершаются на территории Евросоюза.

5. Принципы защиты данных должны применяться к любой информации, касающейся идентифицированного или идентифицируемого физического лица. Личные данные, подвергнутые псевдонимации, которые могут быть соотнесены с физическим лицом посредством использования дополнительной информации, следует рассматривать как информацию об идентифицируемом физическом лице. Для того, чтобы определить, идентифицируемо ли физическое лицо, следует учитывать все средства, которые могут быть достоверно с большей вероятностью быть использованы, к примеру – выявление, либо контролёром, либо иным лицом, для того, чтобы идентифицировать физическое лицо прямо или косвенно. Чтобы установить используются ли средства с достаточной степенью вероятности для идентификации физического лица, учитывать следует все объективные факторы, в том числе расходы и количество времени, необходимое для идентификации, принимая во внимание имеющиеся технологические возможности на момент обработки, а также развитие технологий. В силу этого принципы защиты данных не применяются к анонимной информации, т.е. к информации, не относящейся к идентификации физического лица или с помощью которой идентифицируется физическое лицо, или не относится к персональным данным, предоставленных анонимно (обезличено) таким способом, что субъект данных не идентифицируется или не поддаётся идентификации. Настоящий Регламент не распространяется по этой причине на обработку такой анонимной информации, в том числе для статистических или исследовательских целей.

6. Согласие должно даваться посредством ясного утвердительного действия, устанавливающего свободно предоставленное, конкретное, обоснованное и однозначное указание на согласие субъекта данных относительно обработки персональных данных, касающихся его/ее, среди которых письменное заявление, поданное, в том числе, в электронной форме, либо устное заявление. Такое согласие может охватывать и проставление галочки при посещении сайта в интернете, выбор технических настроек услуг информационного общества, либо иное документальное подтверждение или способы действий, которые ясно указывают, в данном контексте, принятие субъектом данных предлагаемой обработки ее/его персональных данных. Молчание, ранее проставленная галочка при посещении сайта или бездействие не должны, в свою очередь, рассматриваться как согласие. Согласие должно охватывать всю обработку данных, осуществляемую для той же самой цели, либо в таких целях. В том случае, когда обработка данных имеет несколько целей, согласие необходимо для каждой из них. Если согласие субъекта данных даётся в соответствии с запросом, с помощью электронных средств, этот запрос должен быть ясным, чётким и не должен неоправданно нарушать использование услуги, для которой он предназначен.

7. Дети нуждаются в особой защите в отношении их персональных данных, поскольку они в меньшей степени осведомлены о рисках, последствиях и соответствующих средствах защиты, а также их правах в отношении обработки персональных данных. Такие особые меры защиты должны, в частности, применяться к использованию персональных данных детей в целях маркетинга или создания персонального или пользовательского профилей и сбора персональных данных, связанных с детьми при использовании услуг, предлагаемых непосредственно ребёнку. Согласие лиц, обладающих родительской ответственностью, не является необходимым в контексте превентивных мероприятий или консультационных услуг, предоставляемых непосредственно ребёнку.

8. Любая обработка персональных данных должна быть правомерной и справедливой. Для физических лиц должно быть очевидно, что персональные данные, связанные с ними, собираются, используются, учитываются или иным образом обрабатываются, а также должно быть очевидно в каком объёме персональные данные обрабатываются или будут обрабатываться. Принцип прозрачности (траспарентости) требует, чтобы любые сведения и сообщения, относящиеся к обработке таких персональных данных, были легко доступны и ясны для понимания, а также, чтобы использовался чёткий и простой язык. Этот принцип касается, в частности, извещения субъектов данных о личности контролёра и о целях обработки данных, а также дополнительной информации для обеспечения справедливой и прозрачной (транспарентной) обработки отношении соответствующих физических лиц и их права на получение подтверждения и сообщения относительно того, какие относящиеся к ним персональные данные обрабатываются. Физические лица должны быть осведомлены о рисках, правилах, средствах защиты и правах в отношении обработки персональных данных и о том, как реализовать свои права в связи с такой обработкой. В частности, конкретные цели, для которых обрабатываются персональные данные, должны быть ясными и законными и определяться на момент сбора персональных данных. Персональные данные должны быть достоверными, адекватными и ограничиваться тем, что необходимо для целей, для которых они обрабатываются. Это требует, в частности, обеспечения того, чтобы период, в течение которого персональные данные хранятся, ограничивался строгим минимумом. Персональные данные должны обрабатываться только в том случае, если цель обработки не может быть разумно достигнута иными средствами. Чтобы гарантировать, что персональные данные не будут храниться дольше, чем это необходимо, ограничение сроков хранения должны быть установлены контролёром для удаления или для периодического пересмотра. Все обоснованные меры должны быть приняты для того, чтобы обеспечить исправление или удаление персональных данных, которые являются неточными. Персональные данные должны обрабатываться таким образом, чтобы обеспечить надлежащую безопасность и конфиденциальность этих персональных данных, в том числе для предотвращения несанкционированного доступа к персональным данным или использования персональных данных, а также оборудования, используемого для обработки.

9. В случаях, когда обработка основана на согласии субъекта данных, контролёр должен быть способен подтвердить, что субъект данных дал согласие на процедуру обработки данных. В частности, в этом контексте письменное заявление по другому вопросу, средства защиты должны гарантировать, что субъект данных осведомлён о том, что он дал своё согласие, а также о том, в каком объёме такое согласие дано. В соответствии с Директивой Совета 93/13/ЕЭС , согласие предварительно сформулированное контролёром, предоставляется в понятной и доступной форме, с использованием ясного и понятного языка, и оно не должно содержать несправедливые условия. Для того чтобы сообщить о согласии, субъект данных должен знать, как минимум, идентификационные данные контролёра, а также цели обработки персональных данных для которых персональные данные предназначены. Согласие не рассматриваться как данное добровольно, если у субъекта персональных данных нет действительного или свободного выбора или не в состоянии без ущерба отказаться или отозвать своё согласие.

10. Обработка персональных данных в целях, отличных от тех, для которых персональные данные первоначально собирались, должна быть разрешена только, если она соответствует целям, для которых персональные данные были изначально получены. В этом случае не требуется иное правовое основание, отдельное от того, посредством которого был разрешено осуществлять сбор персональных данных. Для того чтобы убедиться в том, соответствует ли цель дальнейшей обработки цели, для которой персональные данные были первоначально получены, Контролёр, после выполнения всех требований относительно законности первоначальной обработки, должен принять во внимание, в числе прочего, следующее: любую связь между указанными целями и целями запланированной дальнейшей обработки; контекст, в котором были получены персональные данные, в частности, разумные ожидания субъектов данных, основанные на отношении с контролёром, касающиеся их дальнейшего использования; характер персональных данных; последствия предполагаемой дальнейшей обработки для субъектов данных, и наличие соответствующих гарантий первоначальной и предполагаемой обработки.

11. Такие персональные данные не должны обрабатываться за исключением случаев, когда обработка разрешена в конкретных случаях, предусмотренных настоящим Регламентом, принимая во внимание, что право государств-членов может установить конкретные положения о защите данных, чтобы адаптировать применение норм Регламента в отношении соблюдения правовых обязательств или выполнения задачи, осуществляемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролёра.

12. Принцип прозрачности требует, чтобы любая информация, адресованная общественности или субъекту данных, была краткой, легко доступной и понятной, а также чтобы использовался ясный и простой язык и дополнительно, в случаях необходимости, использовались визуальные элементы. Эта информация может предоставляться в электронной форме, например, если она адресована общественности, на интернет-сайте. Это имеет существенное значение в ситуациях, когда вследствие большого количества участников и сложности необходимой техники субъекты данных не могут узнать и понять, кем и для каких целей относящиеся к ним персональные данные собираются, например, в случае рекламы в интернете. Учитывая, что дети требуют особой защиты, любая информация и сообщения, если обработка адресована ребёнку, должны быть составлены на ясном, простом и понятном ребёнку языке (п. 58 Преамбулы).

13. Должны быть предусмотрены условия для содействия осуществления прав субъекта данных на основании настоящего Регламента, включая механизмы для запроса и, когда это применимо, бесплатно получать, в частности, доступ и исправление или удаление персональных данных и осуществление права на возражение (п. 59 Преамбулы).

14. Принципы справедливой и прозрачной обработки требуют, чтобы субъект данных был проинформирован о наличии процесса обработки и его целях. Контролёр должен предоставить субъекту данных всю дополнительную информацию, необходимую для обеспечения справедливой и прозрачной обработки, принимая во внимание конкретные обстоятельства и условия при которых обрабатываются данные. Кроме того, субъект данных должен быть проинформирован о составлении профиля и последствиях такого составления профиля. Если персональные данные получены от субъекта данных, он также должен быть проинформирован о том, обязан ли он предоставлять персональные данные, а также о последствиях их непредставления. Указанная информация может предоставляться совместно со стандартизированными графическими обозначениями, для того чтобы в ясно видимой, понятной и чёткой форме дать общее представление о предполагаемой обработке. Если графические обозначения представлены в электронной форме, они должны быть машиночитаемы

15. Субъект данных должен иметь право доступа к относящимся к нему/к ней собранным персональным данным, это право должно осуществляться беспрепятственно и с определённой периодичностью в целях получения информации об обработке и проверки правомерности обработки. Это охватывает право субъектов данных на доступ к данным, касающихся их здоровья, например, данным в их медицинских документах, содержащих следующую информацию: диагнозы, результаты обследований, наблюдения лечащих врачей и сведения о любом лечении или вмешательствах. Каждый субъект данных должен, поэтому иметь право знать и получать сведения в отношении целей, для которых обрабатываются персональные данные, по возможности, в отношении срока, в течение которого обрабатываются данные, получателей персональных данных, алгоритма схемы любой автоматизированной обработки персональных данных и последствий такой обработки, если она как минимум основана на составлении профиля. При наличии соответствующей возможности контролёр должен обеспечить удалённый доступ к защищённой системе, которая даст субъекту данных прямой доступ к его/ее персональным данным. Указанное право не должно отрицательно влиять на права или свободы иных лиц, включая коммерческую тайну или результаты интеллектуальной деятельности и, в частности, авторское право на программное обеспечение. При этом такие ограничения не должны вести к отказу на предоставление всей информации субъекту данных. В том случае, когда контролёр обрабатывает большое количество информации, касающейся субъекта данных, он должен иметь возможность до передачи информации запросить субъекта данных уточнить информацию или вид обработки, к которому относится запрос

16. Контролёр должен использовать все приемлемые способы для того, чтобы проверить и подтвердить личность субъекта данных, который запрашивает доступ, в частности, в рамках онлайновых служб и в случае онлайновых идентификаторов. Контролёр не должен сохранять персональные данные только для реагирования на потенциальный запрос.

17. Субъект данных должен иметь право на исправление относящихся к нему/ к ней персональных данных, а также «право на забвение», если сохранение указанных данных нарушает положения настоящего Регламента или право Евросоюза или право государства-члена, применимого к контролёру. В частности, субъект данных должен иметь право на удаление его/ее персональных данных и на то, чтобы его данные больше не обрабатывались, если в персональных данных относительно целей, для которых они собирались или иным образом обрабатывались, больше нет необходимости, если субъект данных отозвал его/ее согласие или возражает против обработки относящихся к нему/к ней персональных данных или если обработка персональных данных не соответствует настоящему Регламенту. Это право имеет существенное значение в случае, когда субъект данных давал его/ее согласие, будучи ребёнком, и полностью не мог осознавать риски, связанные с обработкой, а позже он хочет удалить персональные данные, особенно, в сети интернет. Субъект данных должен иметь возможность осуществлять такое право, невзирая на тот факт, что он больше не является ребёнком. Однако дальнейшее хранение персональных данных правомерно, если оно является необходимым для осуществления права на свободу выражения мнения и распространения информации, для соблюдения юридических обязательств, для выполнения задачи в общественных интересах или при осуществлении должностных полномочий предоставленных контролёру, по причинам общественного интереса в области социального здравоохранения, в архивных целях в общественных интересах, в целях научного или исторического исследования или в статистических целях, или для обоснования, исполнения или оспаривания исковых требований.

18. Для того чтобы укрепить право на забвение в онлайн-среде, право на удаление данных также должно быть расширено таким образом, чтобы контролёр, который опубликовал персональные данные, был обязан проинформировать контролёров, которые обрабатывают указанные персональные данные, и удалить все ссылки, копии или дубликаты таких персональных данных. При этом этот контролёр должен принять соответствующие меры принимая во внимание имеющиеся технологические возможности и доступных средств, включая технические средства, чтобы проинформировать о запросе субъекта данных контролёров, которые обрабатывают персональные данные.

19. В автоматизированных системах учёта ограничение обработки в принципе должно обеспечиваться техническими средствами таким образом, чтобы персональные данные не подвергались дальнейшей обработке и не могли быть изменены. Тот факт, что обработка персональных данных ограничена, должен быть ясно указан в системе (учёта).

20. Для усиления контроля над его/ее в случае, когда обработка персональных данных осуществляется при помощи автоматизированных средств, субъект данных может также получить персональные данные, относящиеся к нему/к ней, которые он/она предоставил контролёру, в структурированном, широко используемом, машиночитаемом и функционально совместимом формате, и передать их другому контролёру.

21. В случае, когда персональные данные могут обрабатываться на законном основании, поскольку обработка является необходимой для выполнения задачи в общественных интересах или при осуществлении должностных полномочий, возложенных на контролёра, или на основании законных интересов контролёра или третьей стороны, тем не менее, субъект данных должен иметь право на возражение против обработки любых персональных данных, относящихся к нему/к ней в конкретной ситуации. Контролёр должен доказать, что его законный интерес имеет преимущественную силу над интересами или основными правами и свободами субъекта данных.

22. Когда персональные данные обрабатываются в целях прямого маркетинга, субъект данных должен иметь право на возражение против такой обработки, включая составление профиля, в той мере, в какой это связано с этим прямым маркетингом, будь то в отношении первоначальной или дальнейшей обработки, в любое время и на безвозмездной основе. Это право должно быть прямо доведено до сведения субъекта данных и представлено в чёткой форме и отдельно от любой иной информации.

23. Субъект данных должен иметь право не подчиняться действию решения, которое может включать в себя меры по оценке личных аспектов, относящихся к нему/к ней, которая основана исключительно на автоматизированной обработке и которая порождает правовые последствия для него/неё или аналогичным образом существенно влияет на него/неё, например, автоматический отказ от онлайн-заявки на получение кредита или практики электронного найма персонала без какого-либо вмешательства человека. В любом случае такая обработка должна осуществляться в соответствии с надлежащими гарантиями, включающими конкретное информирование субъекта данных и право на вмешательства человека, чтобы выразить свою точку зрения, получить объяснение решения, принятого после такой оценки, а также оспорить это решение.

24. Должна быть установлена ответственность и обязательства контролёра за любую обработку персональных данных, осуществляемую контролёром или от имени контролёра. В частности, контролёр должен быть обязан выполнять соответствующие и действенные меры и быть в состоянии продемонстрировать соответствие обработки данных настоящему Регламенту, включая эффективность этих мер. Такие меры должны учитывать характер, сферу применения, контекст и цели обработки и риск для прав и свобод физических лиц.

25. Защита прав и свобод физических лиц в отношении обработки персональных данных требует принятия надлежащих технических и организационных мер для того, чтобы требования настоящего Регламента были выполнены. В целях доказательства соблюдения настоящего Регламента, контролёр должен принять локальные нормативные акты и внутренние правила и осуществить меры, которые, в том числе, соответствуют принципам защиты данных для определённых целей/случаев (by design) и защиты данных по умолчанию (by default). Такие меры могут включать, среди прочего, своевременно минимизацию обработки персональных данных, псевдонимизацию персональных данных при появлении возможности, прозрачность применительно к методам и обработке персональных данных, позволяющим субъекту данных осуществлять мониторинг обработки данных, позволяющих контролёру создавать и совершенствовать средства защиты. При разработке, проектировании, подборе и использовании приложений, услуг и товаров, которые основаны на обработке персональных данных, либо которые обрабатывают персональные данные для того, чтобы выполнить свои задачи, производители товаров, услуг и приложений должны учитывать право на защиту данных при разработке и проектировании таких товаров, услуг и приложений, а также, с учётом современного технологического развития, сделать все необходимое для того, чтобы контролёры и обработчики были в состоянии исполнять свои обязанности по защите данных. Принципы защиты данных для определённых целей/случаев и защиты данных по умолчанию, также должны учитываться применительно к публичным торгам.

26. Если контролёр или обработчик, не учреждённые в Евросоюзе, обрабатывают персональные данные находящихся в Евросоюзе субъектов данных и если их деятельность по обработке связана с предложением товаров и услуг этим субъектам данных в Евросоюзе, вне зависимости от того, требуется ли оплата от субъекта данных, либо связана с мониторингом их деятельности постольку, поскольку она осуществляется в Евросоюзе, контролёр или обработчик должны назначить представителя, за исключением случаев, когда обработка носит случайный характер, не включает в себя масштабную обработку конкретных категорий персональных данных, либо обработка персональных данных, связанных с уголовными приговорами и правонарушениями, едва ли обернётся рисками для прав и свобод физических лиц, с учётом характера, обстоятельств, сферы применения и целей обработки, или если контролёр является органом или учреждением государственной власти.

27. Для обеспечения соблюдения требований настоящего Регламента в отношении обработки, осуществляемой обработчиком от имени контролёра, в случаях, когда на обработчика возложена деятельность по обработке, контролёр должен использовать обработчика, предоставляющего соответствующие гарантии, в частности, в отношении экспертной осведомлённости, добросовестности и источников информации, для того чтобы применять технические и организационные меры, которые будут отвечать требованиям настоящего Регламента, в том числе в отношении безопасности обработки. Следование обработчика утверждённым кодексам поведения или утверждённым механизмам сертификации, может быть использовано в качестве показателя для подтверждения соблюдения обязанностей контролёра.

28. Для того чтобы подтвердить соблюдение настоящего Регламента, контролёр или обработчик должны вести учёт деятельности по обработке, осуществляемой под их ответственностью. Каждый Контролёр и обработчик обязаны сотрудничать с надзорным органом и по запросу предоставлять в его распоряжение такие учётные сведения в целях мониторинга процесса обработки.

29. Для того чтобы обеспечить безопасность и предотвратить обработку в нарушение настоящего Регламента, контролёр или обработчик должны оценить риски, связанные с обработкой, и использовать меры по снижению этих рисков, такие как криптографическая защита. Такие меры должны обеспечить соответствующий уровень защиты, в том числе конфиденциальности, принимая во внимание уровень развития техники и расходов на применение в отношении рисков, а также характер подлежащих защите персональных данных. При оценке риска для защиты данных необходимо уделить внимание рискам, имеющим место при обработке персональных данных, например, случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или несанкционированному доступу к переданным, сохранённым или иным образом обрабатываемым данным, которые могут привести к физическому, материальным или нематериальным потерям.

30. В целях улучшения соблюдения положений настоящего Регламента, в случаях, когда возможными последствиями обработки данных являются риски высокой степени для прав и свобод физических лиц, контролёр должен нести ответственность за проведение оценки воздействия на защиту данных для того, чтобы определить, в частности, происхождение, характер, специфику и степень опасности такого риска. Результаты оценки должны приниматься во внимание при определении соответствующих мер, которые необходимо принять для подтверждения того, что обработка персональных данных соответствует настоящему Регламенту. В тех случаях, когда оценка воздействия на защиты данных указывает на то, что обработка данных связана с высоким риском, который контролёр не может смягчить с помощью соответствующих мер с точки зрения имеющихся технологий и затрат на реализацию, перед обработкой следует проконсультироваться с надзорным органом.

31. Поэтому, как только контролёру станет известно об утечке персональных данных, контролёр должен незамедлительно уведомить об утечке персональных данных надзорный орган, без неоправданной задержки и, когда это возможно, не позднее чем через 72 часа после того, как ему стало известно об этом, за исключением случаев, когда контролёр может доказать в соответствии с принципом подотчётности, что утечка персональных данных едва ли обернётся рисками для прав и свобод физических лиц. Если такое уведомление не может быть сделано в течение 72 часов, причины задержки должны быть указаны в уведомлении, а информация может предоставляться поэтапно без неоправданной дальнейшей задержки.

32. Контролёр должен сообщить субъекту данных об утечке персональных данных без неоправданной задержки, когда возможными последствиями такой утечки персональных данных является риск высокой степени для прав и свобод физических лиц, с тем чтобы позволить ему/ей принять необходимые меры предосторожности. Это сообщение должно представить характер утечки персональных данных, а также рекомендации физическому лицу по снижению возможного негативного воздействия. Такой обмен сообщениями с субъектами данных должен быть осуществлён как можно разумнее оправданно и в тесном сотрудничестве с надзорным органом, с соблюдением директивных указаний, данных им, либо иными заинтересованными органами, среди которых правоохранительные органы. В частности, необходимость смягчить непосредственный риск ущерба потребует безотлагательной связи с субъектами данных, тогда как необходимость принятия соответствующих мер против продолжающейся или такой же утечки персональных данных может потребовать большего времени для взаимодействия.

33. Следует выяснить, была ли использована вся соответствующая технологическая защита и организационные меры, чтобы незамедлительно установить утечку персональных данных, а также оперативно проинформировать надзорный орган и субъекта данных. Тот факт, что уведомление сделано без неоправданной задержки, должен быть установлен с учётом, в частности, характера и серьёзности утечки персональных данных, ее последствий, а также неблагоприятного воздействия на субъекта данных. Такое уведомление может привести к вмешательству надзорного органа в соответствии с его задачами и полномочиями, предусмотренными настоящим Регламентом.

34. В таких случаях оценка воздействия на защиту данных должна осуществляться контролёром до обработки данных с тем, чтобы оценить конкретную вероятность и серьёзность риска высокой степени, с учётом характера, сферы применения, контекста и целей обработки, а также источников риска. Эта оценка воздействия должна включать, в том числе, меры, гарантии и механизмы, предусмотренные для смягчения этого риска, обеспечивая защиту персональных данных и подтверждая соблюдение настоящего Регламента.

35. Следует предусмотреть возможность передачи данных в конкретных обстоятельствах, когда субъект данных дал его/ее явное согласие, если передача является случайной и необходимой в отношении договора или судебного иска.
© 2019 Все права защищены. ООО "Академия онлайн", ИНН 7714434609, ОГРН 1187746919513. Тел: +7 (977) 950-59-58