# [N & CS] Lab 1 ## Members - Dmitrii Chermnykh - Iskander Bakhtiyarov - Anatoliy Baskakov ## Personal data ### GDPR #### Main purpose of a document The GDPR's primary aim is to enhance individuals' control and rights over their personal data and to simplify the regulatory environment for international business. #### When it is mandatory to follow this regulation This Regulation applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system. #### Type of information this document is intended to (classification if applicable) Personal information is the type of data protected by the GDPR. Personal means any information relating to an identified or identifiable natural person; an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person. However, processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited. Examples of personal information include (but are not limited to): - Names - Email addresses - Geolocations - IP addresses - Payment information - Data collected via cookies #### Summary of main points and requirements Personal data may not be processed unless there is at least one legal basis to do so. Article 6 states the lawful purposes are: - If the data subject has given consent to the processing of his or her personal data; - To fulfill contractual obligations with a data subject, or for tasks at the request of a data subject who is in the process of entering into a contract; - To comply with a data controller's legal obligations;- To protect the vital interests of a data subject or another individual; - To perform a task in the public interest or in official authority; - For the legitimate interests of a data controller or a third party, unless these interests are overridden by interests of the data subject or her or his rights according to the Charter of Fundamental Rights (especially in the case of children) If informed consent is used as the lawful basis for processing, consent must have been explicit for data collected and each purpose data is used for. Consent must be a specific, freely-given, plainly-worded, and unambiguous affirmation given by the data subject; an online form which has consent options structured as an opt-out selected by default is a violation of the GDPR, as the consent is not unambiguously affirmed by the user. In addition, multiple types of processing may not be "bundled" together into a single affirmation prompt, as this is not specific to each use of data, and the individual permissions are not freely given. Data subjects must be allowed to withdraw this consent at any time, and the process of doing so must not be harder than it was to opt in. A data controller may not refuse service to users who decline consent to processing that is not strictly necessary in order to use the service. Consent for children, defined in the regulation as being less than 16 years old (although with the option for member states to individually make it as low as 13 years old, must be given by the child's parent or custodian, and verifiable). If consent to processing was already provided under the Data Protection Directive, a data controller does not have to re-obtain consent if the processing is documented and obtained in compliance with the GDPR's requirements. #### Your contemplation and judgement (conclusion) The GDPR provides solid and complex regulatory regimes for personal data, that have juridiction power over all European Union. ### [Federal Law 152-FZ](http://www.consultant.ru/document/cons_doc_LAW_61801/) #### Main purpose of a document > Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. <http://www.consultant.ru/document/cons_doc_LAW_61801/a604dd29e5e18c22deccfd293e0af8e2abe70d83/> The purpose of this Federal Law is to ensure the protection of the rights and freedoms of a person and citizen in the processing of his personal data, including the protection of the rights to privacy, personal and family secrets. #### When it is mandatory to follow this regulation > Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным. > <http://www.consultant.ru/document/cons_doc_LAW_61801/d44bdb356e6a691d0c72fef05ed16f68af0af9eb/> - When the government and/or organization processes personal information with *automatic tools* or when it implies usage of such tools (e.g. allowing algorithmic search through the data) #### Type of information this document is intended to (classification if applicable) > 1. персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); > > 1.1. персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом; > > <http://www.consultant.ru/document/cons_doc_LAW_61801/4f41fe599ce341751e4e34dc50a4b676674c1416/> It's any information that is somehow related to a person. > 1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 настоящей статьи. > > > <http://www.consultant.ru/document/cons_doc_LAW_61801/26edb2934b899bf9c74c3a8f7e574651c6565e6d/> The following information cannot be processed without notice from court or personal agreement: - Race or National identity - Political position - Religious or Phylosophical views - Health condition - Sex & Relationship data - Biometric data - > 1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. #### Summary of main points and requirements - Don't process any data related to a person without written agreement or permission from government. - Ensure confidentiality of the data that you're - Ability to ask the ones who are using the data to delete it #### Your contemplation and judgement (conclusion) The law is useful for protecting personal data from legal point of view but does not help you to prevent leaks.