Могут ли меня привлечь к ответственности, если я отправил на свою почту персональные данные клиентов компании?

Что вам стоит знать о GDPR

Могут ли меня привлечь к ответственности, если я отправил на свою почту персональные данные клиентов компании?

Чем чаще упоминают Общий регламент по защите данных (англ. General Data Protection Regulation, GDPR), тем больше появляется трактовок и многочисленных версий законодательства, и тем сложнее становится разобраться и эффективно применить эту информацию на практике.

На самом деле именно на принятие необходимости, изучение и понимание этого вопроса уходит половина отведенного на эту активность времени.

Railsware, успешно преодолев этот этап, находится на финальной стадии внедрения принципов GDPR.

Хотим поделиться опытом еще и потому, что у нас была возможность пройти этот процесс от А до Я не только как консалтанси, но и как продуктовая компания — внедрив GDPR на Mailtrap, а также Smart Checklist плагине для Jira.

В этой статье я расскажу о своем понимании GDPR, а также попробую спрогнозировать дальнейшее развитие темы защиты персональных данных и ее влияние на IT-рынок в целом.

Стоит ли бояться GDPR

Кажется, что главный вопрос, который мучает представителей постсоветских стран — «бояться или не бояться» данного положения. На самом же деле «страшным» является только то, что многие обсуждают эту тему именно в таком ключе.

Вам нечего бояться, если вы:

  • Не покупаете списки email адресов и не делаете холодных рассылок.
  • Открыто говорите о типах персональной информации, которую собираете, то есть предупреждаете посетителей сайта с помощью всплывающих окон о политике конфиденциальности (Privacy Policy), положении, описывающем все cookie-файлы (Use of Cookies, Navigational Information Statement). В этих документах человек сможет прочесть, какие именно персональные данные вы собираете, с какой целью, на какой срок, а также узнать о своих правах.
  • Не запрашиваете у пользователей ненужные для работы продукта или предоставления услуг данные.
  • Обеспечиваете должный уровень сохранности данных, то есть:
    • стараетесь использовать шифрование чувствительных данных;
    • внимательно следите за тем, чтобы чувствительные данные не попадали в логи в чистом виде;
    • по возможности, ограничиваете доступ к продакшен-базе.
  • Предоставляете клиентам возможность «отписаться» от рассылок.

Еще одно заблуждение связано с тем, что главной целью GDPR является наложение административных штрафов на бизнес.

При этом мало кто обращает внимание на то, что озвучив такие меры, GDPR вызвал переполох и заставил мировых лидеров (Google Inc., Hubspot Inc., Apple Inc., Amazon.com Inc., Atlassian Inc.

) пересмотреть свои подходы к защите не только персональных данных, но и к обеспечению целостности и надежности хранения информации в целом.

Почему GDPR-ом интересуются не только в ЕС

Итак, давайте разберемся, кто же должен внедрять GDPR. Ознакомившись с текстом регламента, я пришла к выводу, что это должны быть компании, которые:

  • имеют постоянного представительства в ЕС;
  • не имеют постоянного представительства, но обрабатывают персональные данные людей (субъектов персональных данных), которые находятся в одной из стран ЕС и могут иметь гражданство другого государства;
  • сотрудничают с организациями, которые уже имплементировали GDPR и для сохранения своего статуса обязаны выбирать подрядчика по тому же принципу.

Очевидно, что такие условия помогут GDPR-у быстро и с легкостью распространиться далеко за пределы одного экономико-политического объединения. И, таким образом, вывести права человека на защиту персональных данных на новый уровень во всем мире.

С чего начать

Первое, что я советовала бы сделать, — все-таки прочитать положение и выделить главные моменты для своей организации. Во время изучения GDPR, мы обратили особое внимание на несколько пунктов:

  1. GDPR представил расширенную трактовку персональных данных, которая теперь включает в себя информацию, относящуюся не только к идентифицированному (identified) физическому лицу, но и к тому, которое можно идентифицировать по косвенным признакам (identifiable). Таким образом, концепция персональных данных дополнилась такой информацией, как Client ID и User ID (online identifier), месторасположением и другими факторами, которые имеют отношение к физическому, физиологическому, генетическому, экономическому, культурному и другим отождествлениям человека (личности). В общем этот пункт не вызвал особых проблем, а, скорее, внес ясность, которую мы постарались отразить в официальных документах компании (Privacy Policy, Navigational Information Statement).
  2. GDPR установил четкие требования к персональным данным. Они должны быть корректными, актуальными и собираться лишь в том количестве, которое необходимо для работы продукта, предоставления услуги, либо достижения любой другой цели, для которой они запрашивались. Также положение рекомендует сократить сроки хранения этой информации до минимума. Для этого стоит установить четкий временной промежуток, по истечении которого все данные будут пересматриваться (groomed) или удаляться. Этот вопрос вызвал немало споров внутри нашей компании, поскольку такой подход противоречил бытующему мнению, что любые данные — одинаково полезны. В результате мы пересмотрели объемы и сроки хранения персональной информации (а также сроки хранения логов, бекапов и информации в аналитических системах, Google Analytics) и отобразили эти изменения в политике хранения данных (Data Retention Policy).
  3. В регламенте есть интересная статья (№ 13, стр. 8), которая, если перевести дословно, говорит, что «регламент включает послабления относительно ведения учета для организаций с менее чем 250 сотрудниками». При этом каждое государство-член ЕС должно принимать необходимые меры по применению регламента на местах. В Польше, например, пытались использовать эту статью и освободить малый бизнес от необходимости соответствовать принципам GDPR, что прилежно обозначили в драфте польского Закона «О защите информации» (Data Protection Act, «DPA»). Но после многочисленных дебатов раздел убрали, а закон отправили на согласование.

Несмотря на существование этого пункта, я бы не советовала игнорировать тему GDPR только потому, что в вашей компании, скажем, 50 сотрудников. Напротив, лучше привлечь юристов, которые, изучив ваш конкретный случай, смогут дать дельный совет.

Как GDPR повлияет на разработку

Авторы положения говорят о том, что стремительное развитие технологий привело к небывалым масштабам роста сбора персональной информации во всем мире.

Почти каждый продукт или сервис в любой точке земного шара может беспрепятственно и на свое усмотрение собирать и использовать данные физических лиц.

Поэтому GDPR напоминает о необходимости использования на практике уже известных нам концепций «privacy by design» и «privacy by default».

Концепция «privacy by design» применима к каждой, связанной со сбором и обработкой персональных данных, активности внутри компании. Данный подход встречается и в дальнейшем повлияет на процессы планирования и разработки продукта, а также становления таких направлений, как маркетинг, продажи, рекрутинг и т. д.

«Privacy by design» призывает минимизировать сбор персональной информации, необходимой для работы любого продукта, сервиса или проекта внутри компании.

Для этого перед началом какого-либо процесса GDPR рекомендует оценить риски, которым будет подвержен человек (субъект персональных данных) в результате сбора и обработки вашим ресурсом (отделом, сотрудниками) его персональной информации (Data Privacy Impact Assessment).

В дальнейшем проведение таких аудитов можно интегрировать в процесс управления проектами и при необходимости повторять на каждом следующем этапе развития проекта.

Подтверждением тому, что вы в своей практике следуете этому принципу может быть внутренний документ или процедура, сертификат, инструкция или письменный приказ от имени владельца (руководителя) компании, либо лица, ответственного за организацию обработки персональных данных.

«Privacy by default», в свою очередь, призывает владельцев продуктов и услуг собирать и обрабатывать лишь необходимую для работы сервиса или приложения информацию. А также хранить ее до момента, пока человек продолжает пользоваться этим продуктом или услугой.

В данном случае GDPR, скорее всего, подталкивает нас к «осознанному стремлению» следовать данным принципам на практике, которое, в будущем, приведет к полному переходу и 100%-му выполнению требований регламента.

Что кардинально изменится в работе с персональными данными

Самое большое изменение, которое произойдет в вашей организации после имплементации GDPR, будет не появление новых правил и политик, а пересмотр отношения к персональным данным и их защите.

А именно:

  • Компании почувствуют возросшую ответственность за сбор, обработку и хранение данных.
  • Большое количество данных — уже не будет равняться «хорошему результату», а будет, скорее всего, подразумевать незнание и неумение эффективно использовать их в своей работе.
  • Разработка продукта или сервиса будет начинаться с продумывания и оценки влияния и рисков для данных уже до, а не после релиза.
  • Каждый сотрудник, который имеет доступ к персональной информации будет осведомлен о правилах и поэтому будет уже осознанно заботиться о сохранности персональных данных, тем самым соблюдая базовые правила по их защите.

Выводы

GDPR — обширная тема, которую нужно детально изучать. К тому же применение этого регламента, в отличие от любого другого закона, требует внимания не только со стороны менеджмента компании, но и технических специалистов.

Мы составили один план по имплементации GDPR для продуктов и консалтанси. Но уже в процессе адаптировали каждый его пункт под конкретный проект исходя из:

  • Количества клиентов/лидов и их географии.
  • Объемов данных, которые продукт или консалтанси собирает и обрабатывает.
  • Активностей, связанных со сбором данных. В консалтанси, например, у нас также хорошо развито направление рекрутинга и HR, которое активно собирает и обрабатывает персональные данные аппликантов.
  • Каналов, через которые эти данные поступают. Railsware консалтанси получает данные лидов через заполненную на сайте форму, тогда как соискатели могут отправлять нам свои резюме и через другие сайты и платформы. А Smart Checklist for Jira получает лишь минимальное количество данных, потому что основной объем информации собирает и обрабатывает сама Jira.

А процесс планирования был лишь вершиной айсберга… Как говорится в одном известном высказывании «Незнание закона не освобождает от ответственности. А вот знание нередко освобождает».

Удачи!

Источник: //dou.ua/lenta/articles/what-gdpr-is/

Персональные данные: информация для владельцев интернет-магазинов

Могут ли меня привлечь к ответственности, если я отправил на свою почту персональные данные клиентов компании?

Нам поступает большое количество вопросов и обращений в связи с тем, что с 1 июля 2017 года повышается административная ответственность за нарушение порядка работы с персональными данными. Поэтому мы решили подробно рассказать вам о том:

  • какие данные считаются персональными;
  • относитесь ли вы к операторам персональных данных;
  • что меняется в законодательстве;
  • что делать интернет-магазину – оператору персональных данных, чтобы избежать проблем.

Государство не перестает подкидывать бизнесу задачи для нескучной жизни, что, конечно, не является новостью, а скорее правилами игры.

Тенденция на урегулирование и контроль со стороны государственных органов всего, что относится к информации о физических лицах, сохраняется.

В этом наша страна двигается параллельно европейскому законодательству, где давно работает защита персональных данных, что, в принципе, само по себе неплохо.

Самое главное, что нужно понять: даже если вы относитесь к операторам персональных данных, то с этим можно спокойно жить и продолжать работать в этом статусе при соблюдении нескольких условий:

  1. соблюдать принципы обработки данных (не запрашивать излишнюю информацию и не в целях сбора данных);
  2. получить согласие лица на обработку его персональных данных (технически реализовать несложно);
  3. опубликовать политику владельца сайта в отношении обработки персональных данных (технически реализовать несложно);
  4. предоставить доступ к персональным данным их владельцам  (если поступит запрос от клиента);
  5. уточнить, блокировать или уничтожить персональные данные по требованию владельца  (если попросит об этом);
  6. обеспечить безопасность персональных данных при их обработке (защита от неправомерного доступа третьих лиц, копирования и т.п.).
  7. серверы должны находиться на территории РФ.

Ниже мы расскажем подробности и что нужно делать сайтам и интернет-магазинам, чтобы работать дальше в нормальном режиме, когда можно не уведомлять Роскомнадзор об обработке персональных данных и дадим конкретные варианты шагов и готовые шаблоны документов.

Советуем не нарушать законодательство, не увеличивать риски для вашего бизнеса и все-таки соблюсти все нужные процедуры для операторов персональных данных, если вы понимаете, что есть совпадение хотя бы по нескольким пунктам, относящим сведения о ваших клиентах к персональным данным.

Современный маркетинг и успешная работа в интернет-бизнесе невозможны без сбора сведений о клиенте, его поведении и предпочтениях. Без этого не стоит рассчитывать на долгосрочный прибыльный интернет-проект. Поэтому, чтобы сайтам и интернет-магазинам спокойно работать после 1 июля, необходимо сделать несколько шагов, о которых пойдет речь ниже.

Какие данные считаются персональными?

Итак, какие сведения относятся к персональным данным в терминах Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных»? 

Это – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). То есть персональные данные – это любые сведения о человеке, по которым можно его идентифицировать.

Закон не содержит полного и исключительного перечня таких сведений, отнесение данных к персональным и определение своего статуса (оператор или не оператор персональных данных) отдано на откуп владельцам сайтов.

Никакой проверки того, что данные относятся к конкретному физическому лицу закон не предусматривает. Поэтому получается, что владелец сайта фактически не знает вымышленные или нет данные ввел клиент, но от обязанностей по обработке персональных данных это его не освобождает.

И еще, нельзя забывать, что за нарушение норм Закона о персональных данных Роскомнадзор может привлечь к ответственности.

Судебная практика по этому вопросу разная, но тенденция прослеживается и она совпадает с разъяснениями Роскомнадзора относительного того, что относится к персональным данным:

  • фамилия
  • имя
  • отчество
  • паспортные данные
  • год, месяц, дата рождения
  • место рождения
  • адрес
  • семейное положение
  • социальное положение
  • имущественное положение
  • образование
  • профессия
  • доходы

На практике возникает множество вопросов: сайты при регистрации просят указать имя, электронную почту, иногда телефон (некоторые из этих полей могут быть необязательными*). Происходит ли сбор персональных данных при получении такой информации от пользователей? Однозначного ответа на вопрос нет – мнения специалистов в этой области расходятся.

Часть высказывается за то, что адрес электронной почты и номер телефона относятся к персональным данным, потому что с их помощью можно определить лицо. Другие говорят, что эти данные являются персональными только когда позволяют безошибочно идентифицировать человека, а отдельно взятый номер телефона или адрес электронной почты не являются персональными данными.

Судебная и административная практика склоняются к отнесению номера телефона к персональным данным, так как именно обладатель номера имеет право на распоряжение информацией о нем (например, разрешать использовать номер для рассылки по нему какой-либо информации).

Пока без ясного ответа остается вопрос – относится ли к персональным данным адрес электронной почты, из которого видны имя, фамилия и место работы человека. Скорее да, чем нет. 

Относитесь ли вы к операторам персональных данных или нет?

Вы являетесь оператором персональных данных, если:

  • вы собираете на сайте вышеуказанную информацию о клиентах-физических лицах;
  • у вас есть форма обратной связи, подписки, регистрации;
  • у вас есть личный кабинет;
  • клиент может заполнить анкету на сайте; 
  • на сайте возможно размещение объявления;
  • на сайте размещена кнопка обратного звонка.

Определить ваш статус (являетесь ли оператором персональных данных или нет) вам нужно самостоятельно исходя из вашей конкретной ситуации, настроек сайта, интернет-магазина, программных и технических средств, которые у вас установлены.

Вы не являетесь оператором персональных данных, если никаким образом не получаете, не храните и не обрабатываете вышеуказанную информацию в любом ее сочетании. 

Что делать интернет-магазину – оператору персональных данных чтобы избежать проблем?

Есть и хорошие новости: 1.

В соответствии с пунктом 5 части 1 статьи 6 Закона «О персональных данных» допускается обработка персональных данных без согласия субъекта персональных данных, если она необходима для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

2. Также оператор вправе без уведомления Роскомнадзора осуществлять обработку ПДн, полученных в связи с заключением договора, стороной которого является субъект ПДн (пп.2 п.2 ст.22 №152-ФЗ от 27.07.2006г. «О персональных данных»).

Для того, чтобы это применить на практике, нужно, чтобы обработке ПДн предшествовало заключение договора с покупателем или начало его оформления.

В реальности при регистрации или оформлении заказа покупатель оставляет на сайте персональные данные (то, что Роскомнадзор относит адрес, ФИО, телефон и е-mail к персональным данным, ведомство давно обозначило).

Получается, что такие ПДн обрабатываются на стороне интернет-магазина до заключения договора.

Поэтому владельцу магазина для того, чтобы сослаться на положения закона, которые его освобождают от:

  • получения согласия субъекта персональных данных на их обработку;
  • уведомления Роскомнадзора об обработке ПДн для включения в специальных реестр операторов ПДн

желательно сделать следующее – разделить публичную оферту на 3 документа:

  1. Пользовательское соглашение, где прописаны: общие условия использования сайта, ответственность владельца сервиса,  как защищаются права на сайт и его контент, разрешение рассылок пользователям различных уведомлений, порядок разрешения споров. Пользовательское соглашение – это договор присоединения, который принимается пользователем без оговорок в полном объеме. Пользовательское соглашение позволяет заранее урегулировать возможные конфликтные ситуации, связанные с тем, какой объем услуг и в каком порядке будет получать пользователь. Кроме того, этот вариант подойдет, если физические лица размещают на сайте организации или предпринимателя какую-либо информацию от своего имени. Пользовательское соглашение позволит владельцу сайта модерировать такую информацию.
  2. Публичная оферта на дистанционную продажу товаров, в которой изложены условия и порядок заключения договора купли-продажи товара через интернет-магазин – мы уверены, что этот документ у вас давно есть на сайте и с ним нет никаких проблем;
  3. Политика конфиденциальности, которая описывает порядок обработки ПДн в связи с заключением а) договора на использование сайта по пользовательскому соглашению и б) договора купли-продажи по оферте. Утверждается приказом владельца сайта и размещается в офисе на видном месте, на сайте и в мобильном приложении в общем доступе. Проще всего это реализовать, вставив ссылку на документ в футер. 

Политика конфиденциальности должна включать следующие положения:

  • перечень информации, которую собирает и обрабатывает сайт: персональные данные, иные сведения (например, информация, собираемая в автоматическом режиме: IP, cookie и др.);
  • цель сбора персональных данных и для чего они будут использоваться (например, для маркетингового исследования и др.);
  • требования к защите ПДн, включая случаи, когда персональные данные могут быть переданы третьим лицам;
  • изменения персональных данных (пользователь должен иметь возможность редактировать свои данные);
  • изменение Политики (как правило, владелец вносит изменения без предварительного уведомления и одновременно для всех пользователей, поэтому последним следует периодически просматривать Политику).

То есть все просто и логично: под каждое действие физлица свой договор и условия обработки его ПДн. 

Если все-таки сбор ПДн происходит до заключения договора или у вас есть сомнения в какой момент происходи сбор ПДн (а эти нюансы важны в спорах с Роскомнадзором), то владельцу интернет-магазина и сайта нужно сделать следующее, чтобы не получить штраф:

Под каждой формой ввода данных на сайтах и в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.

) разместить текст «Нажимая на кнопку «УКАЗАТЬ НАЗВАНИЕ КНОПКИ», я даю свое согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на сам документ. Смысл в том, чтобы пользователь не мог отправить свои персональные данные без согласия на их обработку.

В согласие нужно включить условия, которые установила часть 4 статьи 9 Закона о персональных данных. Например, наименование и адрес оператора, который получает согласие; цель обработки персональных данных; их перечень.

Что еще рекомендуется сделать, чтобы быть спокойными, что требования Закона о персональных данных выполнены?

1. Сайт и хостинг должны находиться на территории РФ. На этот счет беспокоиться не нужно, серверы InSales находятся в нашей стране, это уже давно реализовано.

2. На сайте указать e-mail, по которому физическое лицо может написать – обратиться с требованием об изменении, удалении его ПДн и задать любые вопросы по его ПДн.

Желательно, чтобы это был не общий почтовый ящик типа info, pochta, pishitepisma и т.п.

, а выделенный специально для этого адрес, куда будут приходить письма только по тематике ПДн (так меньше вероятность того, что они потеряются в общей куче, не попадут в СПАМ и вы не отследите ответы по ним). 

Чем мы можем помочь нашим клиентам, чтобы вы могли привести свои сайты в соответствие с новыми правилами? 

По ссылкам ниже вы можете скачать образцы документов для сайта:

– пользовательское соглашение

– политика конфиденциальности

– договор-оферта

Источник: //www.insales.ru/collection/doc-other/product/personalnye-dannye-informatsiya-dlya-vladeltsev-internet-magazinov

Стс – официальный сайт телеканала

Могут ли меня привлечь к ответственности, если я отправил на свою почту персональные данные клиентов компании?

1  ОБЩИЕ СВЕДЕНИЯ

1.1  Политика обработки персональных данных разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», другими законодательными и нормативными правовыми актами, определяющими порядок работы с персональными данными и требования к обеспечению их безопасности.

1.2  Политика разработана во исполнение вышестоящей Политики обработки персональных данных Группы СТС Медиа.

1.3  Подразделением-владельцем настоящей Политики является Ответственный за организацию обработки персональных данных в Компании.

1.4  Контроль исполнения требований настоящей Политики осуществляется Ответственным за организацию обработки персональных данных в Компании.

2  ЦЕЛИ/НАЗНАЧЕНИЕ

2.1  Политика обработки персональных данных (далее – Политика) определяет общие принципы и порядок обработки персональных данных и меры по обеспечению их безопасности в АО «СТС» (далее – Компания).

2.2  Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, четкое и неукоснительное соблюдение требований российского законодательства в области персональных данных.

3  ОБЛАСТЬ ПРИМЕНЕНИЯ

3.1  Требования настоящей Политики распространяются на всю Компанию. Требования настоящей Политики распространяются на все разрабатываемые в Компании внутренние нормативные документы.

3.2  Настоящая Политика – это внутренний документ Компании, который является общедоступным и подлежит размещению на официальном сайте Компании, также Компания предоставляет неограниченный доступ к ней любому лицу, лично обратившемуся к Компании.

4  ОПРЕДЕЛЕНИЯ ТЕРМИНОВ И СОКРАЩЕНИЯ

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

доступ к персональным данным – ознакомление определенных лиц (в том числе работников) с персональными данными субъектов, обрабатываемыми Компанией, при условии сохранения конфиденциальности этих сведений;

информационная система персональных данных – совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;

клиент и контрагент Компании – любое российское или иностранное юридическое или физическое лицо, индивидуальный предприниматель, а также иные лица, с которыми Компания вступает в договорные отношения;

конфиденциальность персональных данных – обязанность лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;

обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

оператор – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);

предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;

специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

субъект персональных данных – физическое лицо, к которому относятся персональные данные;

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;

уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных;

уполномоченное оператором лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.

5  ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1  Персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

5.2  Компания является оператором персональных данных в отношении следующих категорий субъектов персональных данных:

– соискателей вакантных должностей Компании, представивших лично или через специализированные организации по подбору персонала (кадровые агентства) свои резюме или анкеты (далее – Соискатели);

– работников Компании, с которыми заключены трудовые договоры, а также лиц, выполняющих работы в интересах Компании в соответствии с заключенными с ними гражданско-правовыми договорами и хозяйственными договорами (далее – Работники);

– близких родственников работников Компании, обработка персональных данных которых предусмотрена федеральными законами, а также выполняется Компанией как работодателем в соответствии с требованиями органов государственного статистического учета (далее – Родственники работников);

– аффилированных лиц, участников (акционеров) Компании, обработка персональных данных которых предусмотрена федеральными законами (далее – Аффилированные лица);

– клиентов и контрагентов Компании, являющихся физическими лицами (в том числе индивидуальных предпринимателей) (далее – Контрагенты-физические лица);

– представителей клиентов и контрагентов Компании, с которыми у Компании существуют договорные отношения или с которыми Компания намерена вступить в договорные отношения (далее – Представители контрагентов);

– участников проектов и конкурсов, проводимых в интересах Компании и компаний Группы СТС Медиа, чьи данные хранятся и обрабатываются в информационных системах Компании (далее – Участники проектов и конкурсов).

5.3  Компания является лицом, организующим обработку персональных данных по поручению других операторов, к которым относятся (не исчерпывая):

– компании Группы СТС Медиа, разместившие в информационных системах Компании персональные данные субъектов и самостоятельно осуществляющие их обработку как операторы персональных данных на основании договора между Компанией и компаниями Группы СТС Медиа;

– органы власти и государственные внебюджетные фонды, в которые перечисляются данные о Работниках и/или средствах зачисленных на счет Работников (налоговые инспекции Федеральной налоговой службы, территориальные отделения Пенсионного фонда России, Федерального фонда обязательного медицинского страхования, Фонда социального страхования и др.);

– государственные органы исполнительной власти и регистраторы (при необходимости), в которые ведется передача данных по Аффилированным лицам в случаях, предусмотренных действующим законодательством Российской Федерации, и в объеме, определенном этим законодательством;

– военные комиссариаты, которым персональные данные предоставляются (передаются) в случаях, предусмотренных действующим законодательством Российской Федерации, и в объеме, определенном этим законодательством.

6  ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных в Компании производится строго в соответствии со следующими принципами:

6.1  Обработка персональных данных осуществляется на законной и справедливой основе.

6.2  Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Цели обработки персональных данных, формируется в соответствии с Федеральным законом «О персональных данных» и Уставом Компании. Целями обработки персональных данных Компанией являются:

– в отношении Соискателей – поиск и подбор персонала, а также формирование кадрового резерва;

–  в отношении Работников – содействие в обучении и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, расчет и выплата заработной платы, иных вознаграждений, расчет и перечисление налогов и страховых взносов;

–  в отношении Родственников работников – предоставление Работникам льгот и гарантий, предусмотренных федеральным законодательствам для лиц, имеющих (усыновивших) детей, лиц с семейными обязанностями, выполнение требований нормативных правовых актов органов государственного статистического учета;

– в отношении Контрагентов-физических лиц – выполнение Компаний своих договорных обязательств, ведение бухгалтерского учета, подготовка налоговой отчетности;

– в отношении Представителей контрагентов – выполнение норм Гражданского кодекса, регулирующих договорную работу, и исполнение договоров с контрагентами;

– в отношении Участников проектов и акций – исполнение Компанией заключенных с Клиентами договоров и достижение целей обработки, в них поставленных.

6.3  и объем обрабатываемых персональных данных соответствуют заявленным целям обработки, Компания не обрабатывает избыточные персональные данные.

6.4  При обработке обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

6.5  Обрабатываемые персональные данные уничтожаются, либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.

Примечание

Источник: //ctc.ru/confidentiality/

Мошенники взяли в Moneyveo кредит по документам основателя DroneUA. Как это возможно и при чем тут Prozorro

Могут ли меня привлечь к ответственности, если я отправил на свою почту персональные данные клиентов компании?

Есть два крокодила. Один не ест мясо, другой не умеет плавать. Оба становятся изгоями среди крокодилов, но находят новых друзей среди других зверей.

Насколько отличаются эти две истории? Первая выиграла грант, но деньги пошли на вторую. Спойлер: все очень странно, запасайтесь попкорном.

Все началось с того, что украинская продюсер Десняна Рожкова предложила британскому режиссеру Дерику Тану грант на создание мультсериала по его книге. Она получила 602 000 грн от Украинского культурного фонда на препродакшн, а затем поменяла название и сценариста проекта.

Теперь британец обвиняет украинку в краже проекта, а она всё отрицает. Мы поговорили со всеми сторонами конфликта, изучили личные переписки и документы, а теперь разбираемся, кто прав.

Кто такой Дерик Тан

Дерик Тан — британский режиссер и оператор-постановщик из Лондона. Он снимал клипы для Beyonce, Pink, Foo Fighters и Red Hot Chilly Peppers, рекламу для Nike, Adidas, O2, Volvo, а также фильмы и короткометражки. В 2017 году Тан издал на Западе книгу для детей Reggie The Vegetarian Crocodile. Уже три года он живет в Киеве и работает над созданием мультсериала по своей книге.

Кто такая Десняна Рожкова

Десняна Рожкова — украинская продюсер, работала над фильмами «Трубач», «Носоріг», «Паршиві вівці» и мультфильмом «Микита Кожум’яка». Ранее работала в компаниях Film.ua и UKRKINO.

С чего все началось

В 2017 году Дерик Тан переехал в Украину, чтобы писать сценарий для мультсериала по своей книге про крокодила-вегетарианца Reggie The Vegetarian Crocodile. Он искал аниматоров и продюсеров для сотрудничества.

В 2018 году украинский художник Дмитрий Лисенбарт, который рисовал иллюстрации для книги Дерика, познакомил его с продюсером Ольгой Журженко из одесской компании UKRKINO. Она заинтересовалась мультсериалом и получила драфты серий, но из-за загруженности другими проектами посоветовала обратиться к своему партнеру — продюсеру Десняне Рожковой.

Летом 2019 года Десняна получила грант от Украинского культурного фонда (далее — УКФ) на сумму 602 000 грн.

А дальше, по заявлению УКФ, в команде грантополучателя случился «творческий конфликт», за который фондовая организация не несет никакой ответственности.

Грантовому проекту поменяли название и сценариста, создали страницу на , а украинская команда во всю работает над первой серией мультсериала.

Что за проект

В 2017 году британский режиссер начал работать над сценариями для мультсериала Meji the Veggie по своей книге Reggie The Vegetarian Crocodile. По сюжету книги и мультсериала крокодил-вегетарианец отказывается есть мясо и становится изгоем среди других крокодилов. Зато он находит новых друзей среди разных зверей: обезьяна, жираф, полевая мышь, бегемот, газель.

Сотрудничество с продюсерами

Первым делом Дерик Тан подписал соглашение с продюсерской компанией UKRKINO, руководителем которой является Ольга Журженко. Он разрешил организации искать финансирование для проекта Meji The Veggie. Документ подписали 17 января 2019 года сроком действия до 1 апреля 2019. Исходя из соглашения, право на оригинальный сценарий никому не передавалось.

В феврале 2019 британец встретился с партнерами Ольги Журженко, продюсером Десняной Рожковой и ее мужем, аниматором Сергеем. Обсудили концепцию проекта, за поиск финансирования взялась Десняна. В марте она подала проект на грант от УКФ и запросила у Тана резюме и мотивационное письмо, но не объяснила условия гранта. Дерик отправил необходимые документы, включая синопсис проекта.

В апреле договор между британцем и UKRKINO истек. Дерик пытался связаться с Рожковой, но на сообщения ответа не получил.

С британцем связались только в мае. К тому времени он обратился к одному из крупнейших лондонских продакшенов KingBee, чтобы продолжить работу над мультсериалом без украинских коллег.

Конкурс проектов

Meji The Veggie прошел первый этап технического отбора и попал на рассмотрение экспертам. Рожкова уверяла, что, по ее инсайдам от УКФ, у проекта хорошие шансы. Прояснились и условия гранта: деньги покроют пилотную серию с озвучкой на украинском языке, но в финальной версии проекта будет английский.

Тан объяснял продюсеру, что из-за длительной паузы в коммуникации он привлек людей из Лондона и работать придется с новыми аниматорами. Рожкова заверяла, что коллаборация поможет проекту.

Также в ходе переписки продюсер рассказала, что предполагаемая сумма гранта на проект — 998 000 грн. Деньги пойдут на разработку персонажей, раскадровок, анимации, озвучки и промо для кино-маркетплейсов.

12 июня Десняна Рожкова сообщила, что проект британца занял 11 место из 295, оставался последний этап — переговоры с руководством УКФ и подписание договора на получение гранта.

Грант от УКФ

Соглашение с УКФ состояло из 2 документов: заявки на грант и подписи на реализацию проекта. Первый документ подписывала только Рожкова, подпись Тана нужна была на втором. 23 июля продюсер Десняна Рожкова подписала договор с УКФ на получение гранта на сумму меньше озвученной ранее — 602 000 грн.

В проекте Дерик Тан фигурировал как автор сценария. По словам британца, он не знал об этом договоре. Он увидит его только в конце сентября.

29 июля британец получил на подпись договор на реализацию проекта с передачей эксклюзивных прав на проект Рожковой. Британец отправил его на проверку западным юристам, которые советовали ни в коем случае не подписывать документ.

Мы изучили документ и нашли абзац, с которым не мирился Дерик Тан. В нем говорится об исключительной передаче авторских прав, необходимых для производства и дистрибуции продукта — продюсеру передавались авторские права, права исполнителя, имиджевые права, имя автора.

Исходя из документа все контролировал только продюсер. Британец отказался подписывать документ и потребовал внести правки.

В начале августа Десняна написала, что в ходе сложных переговоров с УКФ им урезали бюджет, но не указала, на сколько. Она снова попросила Тана подписать договор на передачу прав, но получила отказ.

Идея коллаборации не сработала — в переговорах с британцами украинцы говорили, что у них свое видение проекта, и другие варианты им не подходят.

16 августа команда в последний раз созвонилась через Skype — Дерик сказал, что не доверяет украинской команде. 23 августа он поблагодарил их за сотрудничество и сказал, что ему с ними больше не по пути.

Ни один документ, кроме изначального разрешения на поиск финансирования, британский режиссер так и не подписал.

Крокодильчик Плюх

23 сентября в появилась страничка мультсериала Splash the Crocodile или «Крокодильчик Плюх», созданного при поддержке УКФ. Главный герой — крокодил, который не умеет плавать. На него не обращают внимания крокодилы, но он находит друзей среди других зверей: бегемот, жираф, черепаха, тушканчик.

Продюсер проекта — Десняна Рожкова, а сценарист — сельский бухгалтер и драматург из Львовской области Ярослав Яриш. В интервью о проекте для Cases он рассказал о герое мультика: «Семья отказывается помогать ему с решением проблемы. А друзья просто чураются его, потому что он не такой, как они. Он неправильный».

Что говорит Дерик Тан

Британец считает, что украинцы украли его концепцию, переименовали проект и теперь без него разрабатывают мультсериал с похожей концепцией и идеей. По его словам, все слоганы мультсериала «Крокодильчик Плюх» — адаптированный перевод идей из его сценариев. Тан планирует подать в суд.

«Они выиграли грант с моей концепцией, над которой я работал последние годы. А потом поменяли название и взяли какого-то сценариста, который якобы что-то придумал сам. Это плагиат», — говорит Дерик.

Знакомый журналист Дерика связывался по телефону с Рожковой. Продюсер пригрозила, что обратится в Украинский визовый центр по поводу правового статуса пребывания в стране Дерика Тана, если тот будет поднимать вопросы, связанные с проектом.

Что говорит Десняна Рожкова

Украинский продюсер отрицает все обвинения и говорит, что проект «Крокодильчик Плюх» лишь немного похож на Meji The Veggie, но не имеет ничего общего с идеей британца. Она подтвердила, что команда получала синопсис проекта от Тана: концепцию, сюжет и описание персонажей.

По словам Десняны, из-за того, что Дерик отказался подписывать договор на временную передачу авторских прав, украинская творческая группа за восемь дней придумала новую историю с нуля.

Договор с УКФ от 23 июля 2019 в силе, но в него внесли изменения. Новая версия договора конфиденциальна, нам ее не показали. Продюсер говорит, что в основе новой концепции — крокодил-андердог по типу «Гадкого утенка», образ которого не раз использовался в мультфильмах и литературе. Она считает, что ни британец, ни ее команда не могут быть авторами такой концепции.

«Единственное, чем наша идея похожа на идею Дерика — это герой-крокодил, но это не защищено авторским правом. Контрастный образ доброго крокодила — популярный прием. Мы не меняли героя, потому что это удачный образ», — утверждает Рожкова.

В концепции Тана крокодил становится изгоем потому, что не ест мясо. В концепции украинцев — потому что не умеет плавать. И у британца, и у украинцев крокодил находит новых друзей среди других зверей.

Что говорят в УКФ

В Украинском культурном фонде говорят, что Десняна Рожкова действительно обращалась к ним с просьбой о замене автора сценария. Она заявляла о творческом конфликте и непрофессионализме Дерика Тана. Фонд принял требование грантополучателя, но не связывался с британцем и не выяснял обстоятельства конфликта.

Также в УКФ говорят, что у них нет полномочий решать конфликты вокруг интеллектуальной собственности и ссылаются на то, что участники конфликта могут сделать это в судебном порядке. Наши вопросы о том, что такое «творческий конфликт» в понимании УКФ и как в организации рассматривают подобные случаи остались без ответа.

Что говорит юрист

Источник: //vctr.media/banking-scammers-in-ukraine-8537/

Окно права
Добавить комментарий