Закон защита персональных данных: Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция)

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке / КонсультантПлюс

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

(в ред. Федерального закона от 30.12.2020 N 515-ФЗ)

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации.

Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Федеральный закон о персональных данных — Российская газета

Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года

Глава 1. Общие положения

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

3) обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

4) распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

5) использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

6) блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

7) уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

8) обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

9) информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

10) конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

11) трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

12) общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Статья 4. Законодательство Российской Федерации в области персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных.

Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

Глава 2. Принципы и условия обработки персональных данных

Статья 5. Принципы обработки персональных данных

1. Обработка персональных данных должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Статья 7. Конфиденциальность персональных данных

1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обеспечение конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Статья 8. Общедоступные источники персональных данных

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные являются общедоступными;

3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима в связи с осуществлением правосудия;

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

Статья 11. Биометрические персональные данные

1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Статья 12. Трансграничная передача персональных данных

1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных;

2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;

4) исполнения договора, стороной которого является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Глава 3. Права субъекта персональных данных

Статья 14. Право субъекта персональных данных на доступ к своим персональным данным

1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

2) способы обработки персональных данных, применяемые оператором;

3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:

1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) предоставление персональных данных нарушает конституционные права и свободы других лиц.

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

Статья 17. Право на обжалование действий или бездействия оператора

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Глава 4. Обязанности оператора

Статья 18. Обязанности оператора при сборе персональных данных

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.

2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных

1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.

3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных.

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.

Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:

1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

5. Уполномоченный орган по защите прав субъектов персональных данных обязан:

1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;

2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

3) вести реестр операторов;

4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;

5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;

7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.

6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.

8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.

9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Глава 6. Заключительные положения

Статья 25. Заключительные положения

1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.

2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.

3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

Президент
Российской Федерации
В. Путин

Закон Калифорнии о защите персональных данных потребителей (CCPA): вопросы и ответы

Примечание

Эта тема предоставляется «как есть». Данные и мнения, содержащиеся в этой теме, включая URL-адреса, а также ссылки на другие веб-сайты, могут изменяться без предварительного уведомления. Ответственность за использование этих данных несет пользователь. Эта статья была создана для справочных целей, и ее не следует рассматривать как юридическую консультацию. Вам необходимо проконсультироваться со своим юристом. Эта статья не дает пользователям права интеллектуальной собственности на продукты Майкрософт. Разрешается копирование и использование данной статьи для внутренних, справочных целей.

Основные вопросы и ответы

Что такое CCPA?

Закон Калифорнии о защите персональных данных потребителей (CCPA) — это первый комплексный закон о конфиденциальности в США. Он был принят в конце июня 2018 г. и предоставляет различные права на конфиденциальность потребителям Калифорнии. Предприятия, регулируемые CCPA, будут иметь ряд обязательств перед этими потребителями, включая раскрытие информации, общие права на защиту данных (GDPR)-like для потребителей, «отказ» для определенных передачи данных и «отказ» для несовершеннолетних.

Кому необходимо знать о CCPA?

Закон CCPA применим только к компаниям, которые ведут коммерческую деятельность в Калифорнии, если для этих компаний ежегодно выполняется одно или несколько из следующих условий: (1) валовой доход компании составляет свыше 25 млн долларов США; (2) не менее 50 % годового дохода компании получено от продажи личных сведений потребителей; (3) компания покупает, продает или предоставляет доступ к личным сведениям более 50 000 потребителей.

Когда закон CCPA вступает в силу?

CCPA вступает в силу 1 января 2020 г. Тем не менее, Генеральный прокурор начнет осуществлять надзор за его выполнением не ранее 1 июля 2020 г.

Как CCPA повлияет на мою компанию?

Многие права CCPA, предоставленные калифорнийцам, аналогичны правам, которые предоставляет GDPR, включая запросы на раскрытие и запросы потребителей, аналогичные запросам на право субъекта данных (DSR), таким как доступ, удаление и переносимость. Таким образом, потребитель может использовать наши существующие решения GDPR, чтобы соответствовать требованиям CCPA.

Чтобы приступить к применению CCPA, нужно выполнить пять основных шагов:

• Поиск: определите, какие личные сведения у вас есть и где они хранятся.
• Сопоставление: определите, каким образом третьим лицам предоставляется общий доступ к личным сведениям и распространяется ли на них исключение из положения CCPA об отказе от передачи данных.
• Управление: управляйте использованием данных и доступом к ним.
• Защита: установите элементы управления безопасностью для предотвращения и обнаружения уязвимостей и нарушений безопасности данных, а также реагирования на них.
• Документирование: документируйте программу реагирования на нарушение безопасности данных и убедитесь в том, что к контрактам с соответствующими третьими лицами применимо исключение из положения об отказе от передачи данных.

Вам необходимо понять, какие конкретные обязательства вашей организации находятся в CCPA и как их выполнять, хотя Корпорация Майкрософт поможет вам в вашем путешествии.

Исчерпывающие вопросы и ответы

Реализацию каких прав компании обязаны обеспечить в соответствии с CCPA?

В соответствии с CCPA регулируемые предприятия, которые собирают, используют, передают и продают личные сведения, должны, помимо прочего:

• предоставлять потребителям информацию о категориях и целях сбора данных до его осуществления;
• включать в политику конфиденциальности подробную информацию об источниках, бизнес-целях и категориях личных сведений, которые собираются, в том числе о продаже или передаче этих категорий данных другим юридическим лицам;
• предоставлять потребителям право на доступ, удаление и переносимость отдельных частей личных сведений, собранных вами;
• Включить управление, которое позволит потребителям отказаться от «продажи» данных потребителя. Тем не менее, в некоторых случаях передача данных, например поставщику услуг, разрешена.
• Для несовершеннолетних в возрасте до 16 лет необходимо включить процедуру выбора, чтобы не было возможности продажи персональных данных несовершеннолетнего без активного участия в продаже.
• Убедитесь, что потребители могут осуществлять все свои права по CCPA.

Какую информацию необходимо предоставить в соответствии с CCPA?

В соответствии с CCPA необходимо предоставить следующую информацию:

• категории личных сведений потребителя, которые были собраны;
• категории источников, используемых при сборе;
• бизнес-цели или коммерческие цели сбора данных;
• Категории третьих лиц, с которыми «делятся» персональные данные.
• Категории персональных данных, которые были «проданы», и категории «третьих лиц», которым была продана каждая категория персональных данных.
• Категории персональных данных, которые были «раскрыты для бизнес-целей» (то есть переданы, но не «продажа») и категории «третьих лиц», которым была передана каждая категория персональных данных.
• отдельные части личных сведений, которые были собраны о потребителе.

Как продаются данные в рамках CCPA?

Определение «продать» в CCPA является невероятно широким, в том числе «сделать личную информацию доступной» третьей стороне для денежного или другого ценного рассмотрения. Если потребитель решил «отказаться», бизнес должен будет отключить поток персональных данных для любой третьей стороны.

CCPA предоставляет ряд карве-выходов для этого контроля отказа от продажи. Тремя основными карвеями являются передачи (i) поставщику услуг, (II) «освобожденной сущности» или «подрядчика» и (iii) по указанию потребителя. Даже если потребитель решил «отказаться», личные данные могут по-прежнему передаваться третьим лицам, которые вписались в эти карве-выходы.

Чтобы воспользоваться первыми двумя исключениями,компании должны гарантировать, что передача сведений регулируется письменными договорами, содержащими определенные условия, которые требуются законом CCPA.

Что означают «Бизнес» и «Поставщики услуг» в контексте CCPA?

В контексте CCPA предприятия — это физические или юридические лица, определяющие цели и средства обработки персональных данных потребителей, а поставщики услуг — физические или юридические лица, обрабатывающие информацию от имени бизнеса. Это приблизительные синонимы терминов контролер и обработчик, используемых в GDPR.

Какой штраф предусмотрен для компаний за несоблюдение требований?

Частное право на иск в CCPA ограничено нарушением безопасности данных. В соответствии с этим правом убытки могут составлять от 100 до 750 долларов США за каждый инцидент на потребителя. Кроме того, Генеральный прокурор Калифорнии может обеспечить выполнение CCPA в полной мере, наложив гражданско-правовые санкции в размере не более 2 500 долларов США за нарушение и 7 500 долларов США за преднамеренное нарушение закона.

Что предпринимает корпорация Майкрософт, чтобы добиться соответствия требованиям CCPA?

Поскольку корпорация Майкрософт в глобальном масштабе реализовала DSR, связанные с GDPR, сейчас у нас есть отличная база для соответствия требованиям CCPA. Мы также рассмотрели наши сторонние соглашения об обмене данными и приняли меры, чтобы убедиться, что необходимые условия контракта имеются, чтобы гарантировать, что мы не «продаем» персональные данные.

Какие средства можно использовать при подготовке организации к CCPA?

• Начните использовать оценку GDPR в диспетчере соответствия требованиям в рамках вашей программы конфиденциальности, обеспечивающей выполнение CCPA.
• Создайте процесс эффективного реагирования на запросы потребителей.
• Настройте метку и политики, чтобы находить, классифицировать, помечать и защищать конфиденциальные данные с помощью Microsoft Information Protection.
• Используйте возможности шифрования электронной почты для дополнительного контроля конфиденциальной информации.
• Дополнительные сведения см. в этой записи блога.

Чем различаются GDPR и CCPA?

Существует много различий. Проще сосредоточиться на сходствах, в том числе:

• обязательства по прозрачности и предоставлению информации;
• права потребителей на доступ, удаление и получение копии данных;
• Определение «поставщиков услуг», аналогичное определению GDPR «обработчиков» с аналогичным договорным обязательством.
• Определение «бизнеса», которое включает определение GDPR «контроллеров».

Самое большое различие в CCPA — это основное требование, которое позволяет отказаться от продажи данных третьим лицам (с «продажей», широко определенной для использования общего доступа к данным для ценного рассмотрения). Это более узкое и более конкретное обязательство, чем широкое право GDPR возражать против обработки, которое включает этот тип «продажи», но не ограничивается только этим типом общего доступа.

Что такое «Процессоры» и «Контроллеры»?

Контролер — это физическое или юридическое лицо, орган государственной власти, государственное ведомство или другое учреждение, которое самостоятельно или вместе с другими лицами определяет цели и способы обработки персональных данных. Обработчик — это физическое или юридическое лицо, орган государственной власти, государственное ведомство либо другое учреждение, которое обрабатывает персональные данные по поручению контролера.

Что именно считается личными сведениями?

Личные сведения — это любая информация, которая относится к идентифицированному или доступному для идентификации лицу. Нет различия между личными, общественными или рабочими ролями человека. Определенный термин «персональные данные» примерно выровнется с «персональными данными» в GDPR. Кроме того, CCPA также распространяется на данные о семье и домашнем хозяйстве.

Вот некоторые примеры персональных данных.

Идентификация

• Имя
• Домашний адрес
• Рабочий адрес
• Номер телефона
• Номер мобильного телефона
• Адрес электронной почты
• Номер паспорта
• Номер национального удостоверения личности
• Номер социального страхования (или его эквивалент)
• Водительское удостоверение
• Физическая, физиологическая или генетическая информация
• Медицинские сведения
• Культурная принадлежность

Финансы

• Банковские реквизиты и номера счетов
• Номер налогоплательщика
• Номера кредитных и дебетовых карт
• Публикации в социальных сетях

Артефакты в сети

• Публикации в социальных сетях
• IP-адрес (для региона ЕС)
• Местоположение и данные GPS
• Файлы cookie

Как CCPA применяется к детям?

• CCPA вводит обязательное родительское согласие для детей в возрасте до 13 лет в соответствии с Законом о защите конфиденциальности детей в Интернете (COPPA).
• Для детей в возрасте от 13 до 16 лет CCPA накладывает новое обязательство получать согласие на отказ от ребенка для любой «продажи» их персональных данных.

Как насчет персональных данных сотрудников?

В октябре 2019 г. в закон CCPA было внесено несколько поправок. В одной из них объяснялось, что обязательства по CCPA не относятся к личным сведениям о сотрудниках предприятия. Однако для этой поправки установлен срок действия, равный одному году. Ожидается, что в 2020 г. в Калифорнии будет принят новый закон о защите данных сотрудников.  

Нужно ли мне как пользователю Майкрософт реализовать элемент управления отказом в отношении передачи данных в корпорацию Майкрософт?

Нет. В качестве поставщика онлайн-служб мы примем меры для обеспечения того, чтобы мы могли претендовать на то, чтобы быть «поставщиком услуг» в соответствии с CCPA. Как было указано выше, передача личных сведений поставщикам услуг разрешена, даже если потребитель отказался от передачи данных.

Политика обработки персональных данных

1. Общие положения
В целях выполнения норм федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» в области обработки персональных данных субъектов персональных данных, ООО «ПРОФИ-ИНВЕСТ» (далее – Оператор) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.

1.2. Настоящая политика в отношении обработки и защиты персональных данных в ООО «ПРОФИ-ИНВЕСТ» (далее – Политика) характеризуется следующими признаками:

1.2.1. Раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.

1.2.2. Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных.

2. Информация об Операторе
Наименование: Общество с ограниченной ответственностью «ПРОФИ-ИНВЕСТ»
Местонахождение: 141207, Московская область, г. Пушкино, ул. Грибоедова, д. 7, помещение 601 ИНН 5038082114
Тел./факс: 8 (495) 665-46-20.

3. Правовые основания обработки персональных данных

3.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:
• Конституцией Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
• иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

3.2. В целях реализации положений Политики в ООО «ПРОФИ-ИНВЕСТ» разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:
• Положение об обработке персональных данных в ООО «ПРОФИ-ИНВЕСТ»;
• Перечень работников, допущенных к работе с персональными данными.
• иные локальные нормативные акты и документы, регламентирующие в ООО «ПРОФИ-ИНВЕСТ» вопросы обработки персональных данных.

4. Цели обработки персональных данных

4.1. Оператор обрабатывает персональные данные исключительно в следующих целях:

4.1.1. Заключения и выполнения обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами.

4.1.2. Информирования об актуальных акциях и предложениях компании, организации экскурсий на строящиеся объекты, а также справки об условиях приобретения квартир.

4.1.3. Осуществления пропускного режима.

4.2. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.3. Обработке подлежат только персональные данные, которые отвечают целям их обработки;

4.4. Содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

4.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных;

4.6. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5. Перечень субъектов, персональные данные которых обрабатываются в ООО «ПРОФИ-ИНВЕСТ», источники их получения.

5.1. Персональные данные сотрудников. Источники получения: субъекты персональных данных ООО «ПРОФИ-ИНВЕСТ».

5.2. Персональные данные получателей консультационных услуг. Источники получения: граждане, обратившиеся в ООО «ПРОФИ-ИНВЕСТ».

5.3. Другие субъекты персональных данных (для обеспечения реализации целей обработки, указанных в разделе 4 Политики).

5.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ООО «ПРОФИ-ИНВЕСТ» не осуществляется.

6. Функции ООО «ПРОФИ-ИНВЕСТ» при осуществлении обработки персональных данных

6.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона 152-ФЗ «О персональных данных».

6.2. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов ООО «ПРОФИ-ИНВЕСТ» в области персональных данных.

6.3. Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.4. Оператор назначает лицо, ответственное за организацию обработки персональных данных.

6.5. Оператор производит передачу персональных данных третьим лицам на основании соответствующего соглашения и только с согласия субъектов персональных данных.

6.6. Оператором созданы общедоступные источники персональных данных (справочники, адресные книги). Персональные данные, сообщаемые субъектом (фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и др.), включаются в такие источники только с согласия субъекта персональных данных.

6.7. Оператор публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике.

6.8. Оператор осуществляет ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов в области персональных данных, в том числе требованиями к защите персональных данных.

6.9. Оператор прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных. .

6.10. Оператор совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.

7. Перечень действий с персональными данными и способы их обработки.

7.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

7.2. Обработка персональных данных осуществляется следующими способами:
• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.

8. Права субъектов персональных данных

8.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.

8.2. Субъект персональных данных вправе требовать от Оператора, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.3. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

9. Заключительные положения

9.1. Настоящая Политика обязательна для соблюдения.

9.2. Внутренний контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов ООО «ПРОФИ-ИНВЕСТ» в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных.

ЕС ужесточил правила защиты данных: что изменится? | Европа и европейцы: новости и аналитика | DW

Вы делаете покупки в интернете? Пользуетесь мессенджерами, загружаете приложения на смартфон, активны в социальных сетях? Проявляя онлайн-активность, вы предоставляете массу своих персональных данных, практически утратив контроль над их использованием. С 25 мая для жителей Евросоюза ситуация изменилась. В этот день вступили в силу Нормы общей защиты данных ЕС (General Data Protection Regulation, GDPR). Отныне пользователи интернета получили право знать, какие данные о них сохранены онлайн, и как они используются.

Facebook знает о вас все

Защита потребителя и конкурентоспособность

Эксперт в области защиты данных в интернете Кристине Штеффен (Christine Steffen)  в интервью DW подчеркнула, что граждане ЕС имеют теперь не только возможность в простой и доступной форме получить от организаций информацию о своих данных, но и право на запрет их использования, исправление неправильной информации и полное их удаление из интернета. По запросу пользователей, подчеркнула эксперт, интернет-компании обязаны, в частности, предоставить информацию, с какой целью используются персональные данные, не переданы ли они в третьи страны и т. д.

Новое законодательство Евросоюза в области защиты персональных данных ставит своей целью не только защиту данных рядового потребителя, но и обеспечение равной конкурентоспособности внутри ЕС. До этого времени во всех странах Европейского Союза действовали свои национальные нормы, которые хотя и базировались на общих установках ЕС, разработанных еще в 1995 году, но существенно отличаются от страны к стране.

Пользователи могут послать запрос об использовании своих данных

Крупные концерны, в числе которых Microsoft или Facebook, использовали эту ситуацию и размещали свои европейские штаб-квартиры в странах, в ограниченном объеме обеспечивающих защиту прав пользователей, к примеру, в Ирландии. Теперь подобные уловки станут невозможными, так как национальные законодательства в этой сфере должны будут приведены в соответствие с общеевропейскими требованиями. Международные концерны также должны соблюдать нормы GDPR и предоставить пользователям гарантии о защите их данных, подчеркивает Кристине Штеффен.

Каждый гражданин теперь может теперь послать бесплатный запрос об использовании своих данных. На него он должен получить ответ в течение месяца, в исключительных случаях — в течение трех. Если же этого не произойдет, пользователь вправе обратиться в региональный или европейский орган, контролирующий соблюдение новых правил.

На организации и компании, нарушающие положения GDPR, могут налагаться штрафы в размере до 4 процентов от годового валового оборота или до 20 миллионов евро.

Интернет как средство контроля

Эксперты, политики и предприниматели по-разному оценивают введение новых норм. «Граждане получат определенный контроль над своими данными. Это главное положение норм защиты данных, которое должно быть очень позитивно оценено, — указал в интервью DW эксперт в области цифровых технологий Ларс Егер (Lars Jäger). — Вопрос в том, достаточны ли эти нормы? Будущее покажет, но я думаю, что здесь сделан шаг в правильном направлении». 

По мнению эксперта, многие люди достаточно беззаботно относятся к своим персональным данным, свободно предоставляя их в пользование различным организациям. Он считает крайне наивным утверждение «мне нечего скрывать, поэтому мне все равно, будут ли где-то сохранены данные обо мне». «Должно быть ясно, что те, кто собирает данные, получает невероятно много информации обо мне, о моем характере и предпочтениях. И он использует это для своей выгоды, что не всегда означает и мою выгоду»,  — считает эксперт.

Особенно это опасно в авторитарных государствах, использующих интернет как средство контроля над гражданами, подчеркивает Егер, приводя в качестве примера Китай. Однако и в демократических государствах Европы излишняя информация, выложенная в интернет, может иметь негативные последствия. В лучшем случае пользователь получает огромное количество ненужной рекламы, в худшем, вся информация о нем, включая сексуальные предпочтения, становится достоянием третьих лиц.

Знания о вас не всегда используются только для вашей пользы

Критика Норм общей защиты данных

Однако нововведения в сфере защиты данных позитивно оценивают далеко не все. В частности, они вызвали массивную критику со стороны бизнес-кругов. Федеральный канцлер Германии Ангела Меркель (Angela Merkel), реагируя на эту критику, заявила, что некоторые положения новых правил представляются чрезмерно жесткими. По ее словам, они не должны вести к тому, чтобы обращение с личными данными вообще перестало быть возможным. «Работа с большим объемом данных, так называемый Big Data Management, является важным экономическим фактором и играет центральную роль в развитии страны», — заявила канцлер.

Как и любое другое нововведение, новое положение о защите данных содержит еще много открытых вопросов. Особенно волнуются фотографы. Как, к примеру, они могут выставить в интернет фотографии болельщиков на спортивных трибунах? Ведь, по идее, теперь для этого надо получить разрешение каждого, кто запечатлен на фотографии. Хотя большинство экспертов утверждает, что никаких проблем здесь не будет, некоторые не исключают возможность юридических претензий к фотографам.

Смотрите также:

• 20 лет смартфону: история одного успеха

  Самый первый

  Именно так выглядел самый первый смартфон. Модель Nokia 900 Communicator была словно маленький компьютер: в смартфоне были установлены офисные программы, интернет-браузер и имелась возможность отправлять факсы. На прилавки магазинов Nokia 900 поступила 15 августа 1996 года, стоимость смартфона вместе с контрактом оператора начиналась от 800 долларов.

• 20 лет смартфону: история одного успеха

  Небывалая мощность

  Современные смартфоны сильно «похудели». Они стали тоньше и легче, однако их возможности многократно возросли: вычислительная мощность актуальных моделей смартфонов больше, чем была у компьютера, благодаря которому «Аполлон-11» совершил полет на Луну.

• 20 лет смартфону: история одного успеха

  В туалет на дозаправку

  Британские ученые изобрели топливный элемент, который «всего лишь после одного посещения туалета» (именно так застенчиво сформулирован принцип работы) способен выработать энергию для работы смартфона. Электроэнергию из мочи генерируют особые бактерии. Похоже, что 100 000 британцев на верном пути: именно столько смартфонов в Великобритании роняют в туалет ежегодно.

• 20 лет смартфону: история одного успеха

  Влетел в копеечку

  Американка Селин Ааронс несколько лет назад поставила незапланированный мировой рекорд: ее месячный счет за разговоры по мобильному телефону составил 201 000 долларов. А все потому, что во время отпуска в Канаде с ее телефона были отправлены тысячи СМС, к тому же активно использовался интернет. Роуминг может оказаться дорогим удовольствием!

• 20 лет смартфону: история одного успеха

  Смартфоны спасают тропические леса

  Бесчисленное количество приложений для смартфонов не дает скучать своим владельцам. Но некоторые из них могут послужить благому делу — к примеру, в Индонезии смартфоны помогают бороться с незаконной вырубкой леса. Специальное приложение распознает звук бензопилы и автоматически посылает сигнал тревоги.

• 20 лет смартфону: история одного успеха

  Телефон предсказывает погоду

  Разработчики из группы OpenSignal обнаружили, что сенсоры, которые на телефонах под управлением системы Android измеряют температуру батареи, освещение и давление воздуха, могут собирать весьма точную информацию о погоде. Очень удобно! Вполне возможно, что карманные компьютеры скоро смогут выдавать прогноз погоды.

• 20 лет смартфону: история одного успеха

  Их число растет с каждым днем

  Сегодня в мире насчитывается около двух миллиардов пользователей смартфонов — и цифра эта продолжает неуклонно расти. За первый квартал 2016 года было продано 349 миллионов новых смартфонов, по сравнению с прошлым годом рост составляет почти 4 процента. Самым продаваемым смартфоном на сегодня является Samsung Galaxy 7, за ним следуют iPhone 6s и 6s Plus от Apple.

  Автор: Харди Граупнер, Максим Филимонов

Политика обработки персональных данных

Оглавление

1. Общие положения
2. Правовые основания обработки персональных данных
3. Порядок и условия обработки персональных данных
4. Права субъектов персональных данных
5. Права и обязанности Оператора

1. Общие положения

Настоящий документ (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в ООО «Код Безопасности» (далее – Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

Политика действует бессрочно после утверждения и до ее замены новой версией.

В Политике используются термины и определения в соответствии с их значениями, как они определены в ФЗ-152 «О персональных данных».

Обработка персональных данных Оператора осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных.

2. Правовые основания обработки персональных данных

Обработка персональных данных осуществляется Оператором на законной и справедливой основе, на основании следующих документов:

• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных»;
• Федеральный закон от 06. 04.2011г. № 63-ФЗ «Об электронной подписи»;
• Федеральный закон от 04.05.2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности»;
• Федеральный закон от 07.07.2003г. № 126-ФЗ «О связи»;
• Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
• Федеральный закон от 29.12.2012 N 273-ФЗ «Об образовании в Российской Федерации»;
• Устав ООО «Код Безопасности».

3. Порядок и условия обработки персональных данных

Обработка персональных данных Оператором ведется смешанным способом, т.е. происходит как, с использованием средств автоматизации, так и без таковых.

Осуществляются следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

При обработке обеспечиваются точность, достаточность и актуальность персональных данных по отношению к целям их обработки. При обнаружении неточных или неполных персональных данных производится их актуализация.

Получение и обработка персональных данных в случаях, предусмотренных ФЗ-152, осуществляется Оператором с письменного согласия субъекта персональных данных. Равнозначным согласию в письменной форме на бумажном носителе, содержащему собственноручную подпись субъекта персональных данных, признается согласие в форме электронного документа, подписанного квалифицированной электронной подписью.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено ФЗ-152.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.

Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки.

Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений и поручений. Вышеуказанные документы могут определять, в частности:

• цели, условия, сроки обработки персональных данных;
• обязательства сторон, в том числе меры по обеспечению безопасности персональных данных;
• права, обязанности и ответственность сторон, касающиеся обработки персональных данных.

В случаях, явно не предусмотренных действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством.

Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных, их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

• назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
• проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
• издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
• обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
• ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
• определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
• применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
• учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
• резервное копирование информации для возможности восстановления;
• осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

4. Права субъектов персональных данных

Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5. Права и обязанности Оператора

Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.

Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных.

Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и контрагентом гражданско-правового договора или Соглашения о конфиденциальности информации.

Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.

Политика обработки персональных данных разрабатывается ответственным за организацию обработки персональных данных и вводится в действие после утверждения руководителем Оператора. Предложения и замечания для внесения изменений в Политику следует направлять по адресу [email protected]. Политика пересматривается ежегодно для поддержания в актуальном состоянии и актуализируется по мере необходимости.

История ФЗ №152 «О защите персональных данных»

История федерального закона номер 152 «О персональных данных» началась в далёком 1981 году, когда Совет Европы опубликовал конвенцию о защите персональных данных граждан при их обработке с помощью электронных средств.

Чтобы присоединиться к ней достаточно было подписать меморандум и отослать его в Совет Европы, где он и храниться. Конвенция предполагает защиту граждан от коммерческого использования электронных баз данных, причём заниматься этим должно государство. Уже в этом принципе есть определённое противоречие, поскольку именно государство склонно собирать наиболее полные и опасные базы персональных данных, в сравнение с которыми не идут ни какие коммерческие. Как же гражданам защититься от государства в Конвенции не сказано. Конвенция редактировалась в 1999 году для включения в неё новых реалий.

Именно в этой редакции Россия и подписала Конвенцию 7 ноября 2001 года. Сделано это было по требованию ВТО как необходимый шаг для вступления в эту организацию. Таким образом, на территории России конвенция вступила в силу с 1 марта 2002.

Конвенция предполагает, что страна, которая подписала документ, предъявляет собственные технические требования к защите персональных баз данных своих контролёров — компании, которые обрабатывают персональные данные. Для реализации этого страна должна принять закон о персональных данных, который эти требования закреплял. До выпуска этого закона можно было признать обработку персональных данных незаконной по конвенции, однако прецедентов таких не известно. Таким образом, конвенция была принята формально, но по факту не действовала из-за отсутствия российских нормативных актов.

Российский закон «О персональных данных» был принят 27 июля 2006 года и получил порядковый номер 152. Он закрепил, что ответственными ведомствами за соблюдение закона является Роскомнадзор в части организационных мер и ФСТЭК и ФСБ в части технических мер защиты. В нем также были перечислены организационные меры, такие как назначение ответственных, разработка набора корпоративных документов, регистрация в реестре операторов персональных данных, вести который доверено Роскомнадзору.

Наиболее одиозными особенностями первого ФЗ-152 были требования получения разрешения субъекта на обработку персональных данных, причём обязательно заверенной собственноручной подписью; уничтожению данных в базе оператора по заявлению субъекта в течении трёх дней; уничтожение данных при достижении цели их обработки с обоснованием именно этого набора персональных данных. Таким образом, закон изначально давал больше прав субъекту персональных данных, в то время как практически все граждане являются также и операторами.

Впрочем серьёзные проблемы возникли у операторов с выпуском подзаконных актов, которые подготовили ФСТЭК, Роскомнадзор и ФСБ. Наиболее сложными из этих требований оказались обязательная сертификация средств защиты для базы персональных данных и аттестация объектов. При этом сложно реализуемыми оказались требования по защите так называемых специальных типов персональных данных. Повышенная степень защиты для сведений о здоровье, политических и религиозных взглядах, а также сексуальной ориентации была прописана ещё в конвенции. Поэтому ФСБ предложила использовать для защиты таких данных методы, разработанные ей для сохранения государственной тайны. Даже сам документ, описывающий требования к защите, был с грифом ДСП, якобы потому, что он давал представление и методах защиты гостайны. В частности, в этих требованиях указывалось, что нужно предусмотреть защиту от утечек по нетехническим каналам, таким как звуковая и визуальная информация, а также с помощью побочного электромагнитного излучения. В результате, все медицинские учреждения и пенсионные фонды потребовалось защищать по этим завышенным требованиям с аттестацией помещения и проверкой на правильное расположение мониторов и телефонов, а также на наличие ПЭМИН.

Требования были завышены, но они могли предъявляться только для новых систем, поскольку закон обратной силы не имеет. Требование о приведении в соответствие всех остальных систем было связано с датой 1 января 2010 года, после которой уже все компании без исключения должны выполнить предписания регуляторов. Только после этого можно было проводить проверки на соответствие техническим требованиям. Поэтому соблюдение технических требований ни кто не проверял до 1 января 2010 года. Однако потом эту дату перенесли ещё на год, а потом на полгода — окончательно закон вступил в силу почти через пять лет после подписания 1 июля 2011 года.

Однако перед самым вступлением закона в силу президент России Дмитрий Медведев потребовал снять излишние обременения с операторов персональных данных, поэтому в конце весенней сессии Государственной Думы наблюдалась лихорадочная активность законодателей по изменению закона «О персональных данных». На тот момент уже некоторое время обсуждался законопроект Резника, который и предполагал внести изменения в ФЗ-152 для снижения бремени. Этот законопроект долго согласовывали, но в момент принятия поправок о нём даже и нем вспомнили. В новой редакции закона «О персональных данных» появились совсем другие нормы, которые фактически закрепляли на законодательном уровня часть технических требований из подзаконных актов. Возможно, именно поэтому данные поправки и связывают с ФСБ. Новый закон очень быстро прошёл все три чтения в госдуме, слушания в Совете Федерации и был передан на подпись Президенту. Там он и был подписан 27 июля 2011 года — ровно через пять лет после выпуска первого закона и получил номер 261. Дата, кстати, говорит о спешке, в которой оба закона принимали — это срок конца весенней сессии Госдумы плюс время на подписание Президентом.

Следует отметить, что новая редакция закона всё-таки снимает часть наиболее сложных в реализации требований старого закона, например по получению согласия и обоснование обработки персональных данных. Однако в самом законе появилось требование «оценки соответствия» защиты угрозам безопасности. Сейчас не понятно что это такое, но практически все сходятся во мнении, что это старая добрая сертификация и аттестация. При этом в законе введены «уровни защищённости», которых нет ни в одном подзаконном акте, поэтому опять требования невозможно выполнить, поскольку они не сформулированы государством — закон опять не работает, но действует.

Общий регламент по защите данных (GDPR) — Официальный юридический текст

Добро пожаловать на gdpr-info.eu. Здесь вы можете найти официальный PDF-файл Регламента (ЕС) 2016/679 (Общий регламент по защите данных) в текущей версии OJ L 119 от 04.05.2016; кор. OJ L 127, 23.05.2018 как аккуратно организованный веб-сайт. Все статьи GDPR связаны с подходящим описанием. Европейский регламент о защите данных применяется с 25 мая 2018 года во всех государствах-членах для гармонизации законов о конфиденциальности данных по всей Европе.Если вы найдете страницу полезной, не стесняйтесь поддержать нас, поделившись проектом.

Быстрый доступ

Ключевые вопросы

Содержание

Глава 1 Общие положения

Глава 2 Принципы

Глава 3 Права субъекта данных

Раздел 1 Прозрачность и условия

Раздел 2Информация и доступ к персональным данным

Раздел 3 Исправление и стирание

Раздел 4 Право на возражение и автоматизированное индивидуальное принятие решений

Раздел 5 Ограничения

Глава 4Контроллер и процессор

Раздел 1 Общие обязательства

Раздел 2 Безопасность персональных данных

Раздел 3 Оценка воздействия на защиту данных и предварительная консультация

Раздел 4 Сотрудник по защите данных

Раздел 5 Кодексы поведения и сертификации

Глава 5 Передача персональных данных третьим странам или международным организациям

Глава 6 Независимые надзорные органы

Раздел 1 Независимый статус

Раздел 2 Компетенция, задачи и полномочия

Глава 7Сотрудничество и согласованность

Раздел 1 Сотрудничество

Раздел 2Консистенция

Раздел 3Европейский совет по защите данных

Глава 8 Средства правовой защиты, ответственность и санкции

Глава 9 Положения, касающиеся конкретных ситуаций обработки

Глава 10 Делегированные акты и исполнительные акты

Глава 11 Заключительные положения

Персональные данные — Общий регламент по защите данных (GDPR)

Термин «персональные данные» является отправной точкой для применения Общего регламента по защите данных (GDPR). Только если обработка данных касается персональных данных, применяется Общий регламент по защите данных. Срок определен в ст. 4 (1). Персональными данными является любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.

Субъекты данных являются идентифицируемыми, если они могут быть прямо или косвенно идентифицированы, в частности, посредством ссылки на такой идентификатор, как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или одну из нескольких специальных характеристик, которая выражает физические, физиологические, генетическая, умственная, коммерческая, культурная или социальная идентичность этих физических лиц.На практике они также включают в себя все данные, которые каким-либо образом присвоены или могут быть присвоены лицу. Например, телефон, номер кредитной карты или табельный номер человека, данные учетной записи, номерной знак, внешний вид, номер клиента или адрес — все это персональные данные.

Поскольку определение включает «любую информацию», следует исходить из того, что термин «персональные данные» следует трактовать как можно шире. Это также предлагается в прецедентном праве Европейского суда, который также рассматривает менее явную информацию, такую ​​как записи рабочего времени, которые включают информацию о времени, когда работник начинает и заканчивает свой рабочий день, а также перерывы или время, когда не попадать в рабочее время, как личные данные.Также письменные ответы кандидата во время тестирования и любые замечания экзаменатора по поводу этих ответов являются «персональными данными», если кандидат теоретически может быть идентифицирован. То же самое относится и к IP-адресам. Если у контроллера есть законная возможность обязать провайдера передать дополнительную информацию, которая позволит ему идентифицировать пользователя по IP-адресу, это также персональные данные. Кроме того, следует отметить, что персональные данные не обязательно должны быть объективными. Субъективная информация, такая как мнения, суждения или оценки, может быть персональными данными.Таким образом, сюда входит оценка кредитоспособности лица или оценка работы работодателем.

И последнее, но не менее важное: закон гласит, что информация для справки о персонале должна относиться к физическому лицу. Другими словами, защита данных не распространяется на информацию о юридических лицах, таких как корпорации, фонды и учреждения. Напротив, для физических лиц защита начинается и прекращается с правоспособностью. По сути, человек получает эту способность при рождении и теряет ее после смерти.Поэтому данные должны быть присвоены идентифицированным или идентифицируемым живым лицам, чтобы считаться личными.

В дополнение к общим персональным данным необходимо учитывать, прежде всего, специальные категории персональных данных (также известные как конфиденциальные персональные данные), которые имеют большое значение, поскольку они подлежат более высокому уровню защиты. Эти данные включают генетические, биометрические данные и данные о состоянии здоровья, а также личные данные, раскрывающие расовое и этническое происхождение, политические взгляды, религиозные или идеологические убеждения или членство в профсоюзах.

Внешние ссылки

Власти

• Европейский инспектор по защите данных ► Меры безопасности при обработке персональных данных (ссылка)
• Управление по защите данных острова Мэн ► Знайте свои данные — Сопоставление 5 W (ссылка)
• Управление по защите данных Великобритании ► Ключевые определения (ссылка)
• Европейская комиссия ► Что такое персональные данные? (ссылка)
• Европейская комиссия ► Какие личные данные считаются конфиденциальными? (ссылка)
• Публикации ЕС ► Справочник по европейскому законодательству о защите данных – Персональные данные, стр. 83 (ссылка)

Вклад экспертов

• A&L Goodbody ► GDPR: руководство для бизнеса – определение личных и конфиденциальных данных, стр. 8 (ссылка)
• Bird & Bird ► Конфиденциальные данные и законная обработка (ссылка)

Полное руководство по законам о конфиденциальности в США

Вопреки общепринятому мнению, в США действительно существуют законы о конфиденциальности данных. Правда, нет центрального закона о конфиденциальности на федеральном уровне, такого как GDPR ЕС. Вместо этого существует несколько вертикально ориентированных федеральных законов о конфиденциальности, а также новое поколение законов о конфиденциальности, ориентированных на потребителя, исходящих от штатов.

Давайте ознакомимся с законами США о конфиденциальности и почувствуем ситуацию. Если вы хотите узнать больше о правовом ландшафте США, загрузите наше замечательное «Основное руководство по соблюдению требований и правил защиты данных США».

Получите бесплатное базовое руководство по соблюдению и законодательству США по защите данных

Вертикально ориентированные законы США о конфиденциальности данных

Закон США о конфиденциальности от 1974 г.

Еще в прошлом веке, когда базы данных были вершиной компьютерных технологий, Конгресс и другие организации были (справедливо) обеспокоены потенциальным неправомерным использованием личных данных, находящихся в распоряжении правительства. Конгресс принял знаменательный Закон США о конфиденциальности 1974 года, который содержал важные права и ограничения в отношении данных, хранящихся в правительственных учреждениях США, и должен показаться очень знакомым специалистам по данным в 2019 году. Я перечислю их здесь, потому что они являются первыми ссылками. что я знаю ко всему, что последовало:

• Право граждан США на доступ к любым данным, хранящимся в государственных органах. И право копировать эти данные.
• Право граждан на исправление любых информационных ошибок
• Агентства должны следовать принципам минимизации данных при сборе данных – минимум информации, «соответствующей и необходимой» для достижения своих целей.
• Доступ к данным ограничен по мере необходимости — например, для сотрудников, которым нужны записи для выполнения их должностных обязанностей.
• Обмен информацией между другими федеральными (и нефедеральными) агентствами ограничен и разрешен только при определенных условиях

Дополнительные баллы, если вы обратили внимание на принципы конфиденциальности, заложенные в этот инновационный закон о конфиденциальности эпохи 70-х!

HIPAA

Принятый в 1996 г. Закон о переносимости и подотчетности медицинского страхования (HIPAA) стал важным законодательным актом, регулирующим медицинское страхование.Это очень сложный закон с множеством движущихся частей, но он включает разделы как о конфиденциальности данных, так и о безопасности. Часть защиты данных HIPAA находится в правиле безопасности. HIPAA также установила требования к конфиденциальности данных, которые можно найти в «Правилах конфиденциальности».

Если вы когда-либо заполняли форму в кабинете своего врача, позволяющую супругам и другим членам семьи просматривать или просматривать информацию о вашем здоровье — то, что HIPAA называет защищенной медицинской информацией (PHI), — вы видели Правило конфиденциальности в действии. .

Правило конфиденциальности содержит запутанный список правил о том, кто может просматривать PHI. Но вкратце, поставщик медицинских услуг или «застрахованная организация» более или менее имеет разрешение на использование данных пациентов, если это связано с «лечением, оплатой и медицинским обслуживанием». Однако использование данных в маркетинговых целях или продажа PHI требует явного разрешения.

Минимальное необходимое требование закона

HIPAA является хорошим примером принципов PbD, применяемых к совместному использованию PHI. В нем говорится, что подпадающие под действие организации, которые обмениваются данными в маркетинговых целях, отличных от упомянутых выше, должны ограничивать круг лиц, которые могут их просматривать.Предполагается, что организации здравоохранения должны оценивать свои данные и практику и принимать меры для ограничения «ненужного или неуместного» доступа к PHI. По сути, доступ к PHI на основе ролей.

КОППА

Еще в первые дни раннего Интернета, примерно в 2000 году, Закон о защите конфиденциальности детей в Интернете (COPPA) сделал первый шаг к регулированию личной информации, собираемой у несовершеннолетних. Закон прямо запрещает онлайн-компаниям запрашивать PII у детей в возрасте 12 лет и младше, если нет поддающегося проверке согласия родителей.

Обновления нормативных правил COPPA, внесенные несколько лет назад, эффективно расширили сферу действия закона и расширили тип защищаемой личной информации, включая псевдонимы, адреса электронной почты, имена в видеочатах, а также фотографии, аудиофайлы и уличные данные. уровневые геокоординаты.

Эти обновления также распространяют действие конфиденциальности и безопасности на третьих лиц, использующих данные детей. Исходный оператор веб-сайта должен предпринять «разумные шаги для раскрытия личной информации детей только тем компаниям, которые способны обеспечить ее безопасность и конфиденциальность.

ГЛБА

Еще один закон конца 90-х годов, Закон Грэмма-Лича-Блайли (GLBA), представляет собой огромную глыбу банковского и финансового права, в которой похоронены важные требования конфиденциальности и безопасности данных. Его защита личной информации является значительным улучшением по сравнению с предыдущими законами о финансовых данных потребителей — см. Закон о достоверной кредитной отчетности (FCRA).

В целом Закон Грэмма-Лича-Блайли защищает непубличную личную информацию (NPI), которая определяется как любая «информация, собранная о физическом лице в связи с предоставлением финансового продукта или услуги, если только эта информация не является общедоступной иным образом» — в основном PII с исключение для любой общедоступной финансовой информации — например, записей о собственности или определенной информации об ипотеке.

Возможно, вы заметили, что банки периодически рассылают уведомления о конфиденциальности данных, объясняя категории NPI, которые собираются и передаются, а также специальные инструкции по отказу от рассылки. Это связано с несколько ограниченной защитой конфиденциальности GLBA. Потребители могут отказаться, если они не хотят, чтобы эта информация была отправлена ​​​​«неаффилированной» третьей стороне.

Тем не менее, для сторонних компаний, связанных с банком или страховой компанией — частью, простите, «корпоративной семьи» — потребители не имеют законных средств контроля конфиденциальности в соответствии с GLBA, чтобы ограничить обмен NPI. Это довольно большая лазейка, и GLBA ни в коем случае не является образцом закона о конфиденциальности эпохи Интернета.

Как обеспечивается конфиденциальность в Интернете?

Короткий ответ: нет! За пределами описанных выше федеральных законов США, ориентированных на промышленность, Интернет является нерегулируемой территорией, где, в частности, технологические компании и компании, работающие в социальных сетях, практикуют философию «все, что угодно». Тем не менее, штаты США, наконец, вступают в дело (см. ниже) со своими собственными законами о конфиденциальности данных, и Калифорния берет на себя инициативу.

Вам может быть интересно, в соответствии с какими законами, если не существует общих законов о конфиденциальности (и безопасности) потребителей, правительство США могло налагать огромные штрафы на Facebook, Uber и PayPal?

Отличный вопрос!

И ответ приводит нас, барабанная дробь, в Федеральную торговую комиссию или Федеральную торговую комиссию. Короче говоря, в соответствии с Законом о Федеральной торговой комиссии от 1914 года, в результате которого появилось это государственное учреждение, компаниям запрещается участвовать в «недобросовестных или вводящих в заблуждение действиях или действиях» в соответствии с его полномочиями по Разделу 5.Давным-давно, в середине века в Америке, Федеральная торговая комиссия (FTC) начала заниматься — и это может шокировать некоторых — откровенно ложной или вводящей в заблуждение рекламой некоторых ведущих американских потребительских брендов.

Оттуда совсем недалеко до того, как Федеральная торговая комиссия рассмотрит вводящие в заблуждение «заявления» ведущих технологических и социальных сетей о конфиденциальности собираемых ею потребительских данных. Как, например, Facebook и очень смелое сообщение пользователям в своих приложениях и уведомлениях о конфиденциальности, что они не будут продавать их данные или что пользователи могут ограничить доступ к данным, если они нажмут на определенные поля.

На самом деле все было наоборот, и в 2012 году Федеральная торговая комиссия подала жалобу против Facebook по восьми пунктам, которую согласилась урегулировать. За этой жалобой последовала более свежая и более разрекламированная жалоба FTC — за некоторые из тех же нарушений — в которой Facebook согласился на урегулирование в размере 5 миллиардов долларов. Вы не можете придумать этот материал.

Facebook не нарушал конкретный закон о конфиденциальности в Интернете, поскольку… его нет! Вместо этого он нарушил закон начала 20-го века, призванный помешать компаниям продавать продукты из змеиного масла.Разве история не чиста?

Внимательный читатель, возможно, понял, что если компания ничего не упоминает о конфиденциальности данных на своем веб-сайте, в своих продуктах или в своей рекламе, то Федеральная торговая комиссия ничего не может сделать, по крайней мере, в рамках «мошеннической практики или акты» полномочия. И это было бы правильно!

Это еще один способ сказать, что общий федеральный закон о конфиденциальности, подобный тому, что рассматривается здесь, заставит компании иметь политику конфиденциальности и соблюдать ее, а не использовать косвенный (и несовершенный) механизм обеспечения конфиденциальности Федеральной торговой комиссии.

Законы ЕС и США о конфиденциальности

Напоминаем, что в США (пока) нет общего закона о конфиденциальности данных потребителей на федеральном уровне, не говоря уже о законе о безопасности данных. В ЕС с его Общим регламентом защиты данных (GDPR) есть и то, и другое! Так что мы не можем их сравнивать.

Тем не менее, Калифорнийский закон о конфиденциальности потребителей (CCPA) действительно близок к решению проблемы конфиденциальности данных потребителей, по крайней мере, для жителей Калифорнии, и это отличное упражнение для сравнения и сопоставления с GDPR, как то, что мы делаем ниже.

Вкратце, и CCPA, и GDPR предоставляют потребителям право доступа, право на удаление и право отказаться от обработки в любое время. Они отличаются тем, что GDPR предоставляет потребителям право исправлять или исправлять неверные личные данные, а CCPA — нет. GDPR также требует явного согласия — см. «Условие согласия», статья 7 GDPR — в момент, когда потребители передают свои данные. В отличие от этого, CCPA только требует, чтобы на веб-сайте было размещено уведомление о конфиденциальности, информирующее потребителей о том, что они имеют право отказаться от сбора определенных данных.

Если вышеизложенное щекочет вашего внутреннего юридического орла, то обязательно обратитесь к этой всеобъемлющей сравнительной таблице GDPR и CCPA, составленной юридической фирмой BakerHostetler. Или взгляните на нашу собственную прогулку по различиям, которую увидела потрясающая Сара Хоспелхорн в исполнении Варониса!

Новые законы штата США о конфиденциальности данных

При отсутствии указаний в Вашингтоне неудивительно, что другие штаты взяли пример с Калифорнии и разработали свои собственные законы о конфиденциальности. Прежде чем мы рассмотрим отдельные законы о подражании CCPA из Нью-Йорка, Массачусетса и других штатов, давайте сначала рассмотрим закон о конфиденциальности Калифорнии, который вызывает зависть у всей нации.

Закон штата Калифорния о конфиденциальности потребителей

В 2018 году был подписан Закон штата Калифорния о конфиденциальности потребителей (CCPA). Его цель — распространить защиту конфиденциальности потребителей на Интернет. Не будет преувеличением сказать, что CCPA является наиболее всеобъемлющим законодательством США о конфиденциальности данных в Интернете и не имеет аналогов на федеральном уровне.

В соответствии с CCPA потребители имеют право на доступ через запрос на доступ субъекта данных (DSAR) к категориям и конкретным частям личной информации, хранящейся у компаний, на которые распространяется действие.Предприятия не могут продавать личную информацию потребителей без предоставления веб-уведомления («четкая и заметная ссылка») и предоставления им возможности отказаться.

Как и GDPR, существует также «право на удаление» — с некоторыми исключениями — личной информации потребителя по запросу. CCPA также дает потребителям ограниченное право подать в суд, если они стали жертвой утечки данных. Генеральный прокурор штата имеет более общую возможность подавать иски от имени жителей. Законодательство находится в разработке, чтобы расширить частное право потребителей подавать иски на других основаниях.

Еще одним поразительным нововведением в CCPA является очень широкое определение личной информации: «информация, которая идентифицирует, относится, описывает, может быть связана или может быть связана, прямо или косвенно, с конкретным потребителем или домохозяйством. ” Это охватывает много вопросов и похоже на расширенный взгляд GDPR на персональные данные.

Чтобы вернуться к «закону черной буквы», CCPA также содержит длинный список идентификаторов, которые он считает личной информацией, включая биометрические данные, геолокацию, электронную почту, историю просмотров, данные сотрудников и многое другое.

CCPA также вводит «вероятностные идентификаторы». Адвокаты будут обсуждать, что это означает, но похоже, что данные, которые дают более 50% шансов идентифицировать кого-то, будут рассматриваться так же, как детерминированный идентификатор. Возможно, сочетания, скажем, истории просмотров Netflix и данных геолокации может быть достаточно, чтобы склонить чашу весов. Кстати, другие государства подхватили вероятностный термин в своих законах (ниже).

Калифорния выходит на «мета» со своими вероятностными идентификаторами.

В то время как основное внимание — и это правильно — было уделено расширенным новым правам на неприкосновенность частной жизни для потребителей, в CCPA также есть компонент безопасности данных. Закон призывает компании «внедрять и поддерживать разумные процедуры безопасности». Что это обозначает? Никто не уверен, хотя есть веские намеки на то, что правительство Калифорнии рассматривает 20 основных элементов управления Центра интернет-безопасности и структуру NIST Critical Infrastructure Security (CIS) в качестве основы.

Поскольку на горизонте нет федерального ответа на GDPR, несколько других штатов берут страницу из книги Калифорнии, разрабатывая свои собственные правила, чтобы дать гражданам больший контроль над своими личными данными.Хотя в большинстве этих законопроектов в качестве основы используется CCPA, между ними есть различия. В конце мы даже составили шпаргалку, чтобы сравнить различные предлагаемые законы штата. Давайте сначала посмотрим на два жестких предложения о конфиденциальности, поступающих из Нью-Йорка и Массачусетса

.

Закон штата Массачусетс о конфиденциальности данных

Предлагаемый закон о конфиденциальности данных (S-120) во многом повторяет формулировки CCPA. Потребительский доступ к личной информации? Проверять. Право на удаление? Проверять. Явное уведомление о правах на конфиденциальность и возможность отказаться от продажи данных третьим лицам? Проверять.Широкое определение личной информации, включая вероятностные идентификаторы? Проверять.

Есть несколько важных расхождений с CCPA, которые включают право потребителей предъявлять иски за любое нарушение предлагаемого закона штата Массачусетс. Потребители «не должны страдать от потери денег или имущества в результате нарушения», чтобы подать иск.

Адвокаты указывают, что компании из Массачусетса потенциально подвержены коллективным искам: истцы могут взыскать до 750 долларов США с каждого потребителя. Например, в 2017 году почти 400 000 жителей Массачусетса пострадали от утечек данных, что привело к возможному раскрытию, если бы закон действовал, почти 300 миллионов долларов за этот год.

Закон штата Нью-Йорк о конфиденциальности

Предложенный Нью-Йорком номер

 S5642 (в настоящее время приостановлен) содержит некоторые отличительные черты CCPA. Существует право на удаление и запрос личной информации. Определение личной информации — «любая информация, относящаяся к идентифицированному или идентифицируемому лицу» — включает очень обширный список идентификаторов: биометрические, адреса электронной почты, сетевую информацию и многое другое.

В отличие от Калифорнии и штата Массачусетс, закон Нью-Йорка имеет частное право подать иск за любое нарушение закона! И закон распространяется на все предприятия без какого-либо порога дохода, который отличается от Калифорнии и других штатов. Это делает предлагаемый закон Нью-Йорка довольно строгим.

Законопроект штата Нью-Йорк, тем не менее, требует от компаний раскрывать потребителям только широкие категории информации, передаваемой третьим сторонам. При некоторых обстоятельствах потребители будут иметь право запрашивать копии конкретной передаваемой информации.

Еще одно ключевое отличие заключается в том, что предлагаемый закон штата Нью-Йорк налагает роль «доверительного управляющего данными», обязывая все предприятия штата Нью-Йорк нести юридическую ответственность за данные потребителей, которыми они владеют. Закон штата Нью-Йорк имеет очень широкую точку зрения: «выполнять обязанность проявлять осторожность, лояльность и конфиденциальность, ожидаемые от доверенного лица, в отношении защиты личных данных потребителя от риска конфиденциальности; и должен действовать в наилучших интересах потребителя, независимо от интересов организации, контролера или брокера данных».Короче говоря: потребители владеют данными.

Закон штата Нью-Йорк также дает потребителям возможность исправлять неверную информацию, приближая ее по духу к GPDR ЕС. Ни один из других клонов, включая Калифорнию, не зашел так далеко!

Закон Гавайев о защите конфиденциальности потребителей

Законодательство

Гавайев SB 418 похоже на CCPA и предлагает все те же основные права и меры защиты (возможно, больше, исходя из текущей формулировки законопроекта). В то время как CCPA прямо применяется к веб-сайтам, которые ведут бизнес в штате Калифорния, в законопроекте SB 418 на Гавайях нет аналогичного пункта.Теоретически веб-сайты, расположенные в любой точке мира, могут нарушать закон, если они не обеспечивают адекватную защиту, как указано в законопроекте. Тем не менее, законопроект, вероятно, будет изменен в более позднем проекте, чтобы сосредоточиться исключительно на гавайских веб-сайтах.

 Закон Мэриленда о защите прав потребителей в Интернете

SB 613 штата Мэриленд – это еще один законопроект, который потенциально может расширить сферу действия CCPA в некоторых областях. Компании будут иметь аналогичные обязательства по раскрытию информации об использовании информации, хотя и в меньшей степени, чем в соответствии с CCPA.И, как в Калифорнии и Массачусетсе, также используется «вероятностный идентификатор» для обозначения определенного типа личной информации. Вперёд, Мэриленд!

Однако этот законопроект выходит за рамки CCPA, когда речь идет о раскрытии информации о причастности третьих лиц. В соответствии с CCPA компании должны раскрывать информацию только в том случае, если информация о потребителях продается третьей стороне, но в соответствии с SB 613 штата Мэриленд компании должны раскрывать любую информацию, которая передается третьим лицам, даже если эти данные передаются бесплатно. .Этот законопроект также запрещает веб-сайтам сознательно раскрывать любую личную информацию, собранную о детях.

Северная Дакота

Законопроект

HB 1485 Северной Дакоты, который в настоящее время находится в Палате представителей штата, является самым легким законопроектом в этом списке. Единственный существенный пункт HB 1485 полностью запрещает веб-сайтам передавать какую-либо информацию третьим лицам без согласия пользователей. Нет права на удаление или удаление информации после предоставления согласия.

Сравнение законов штата США о конфиденциальности

Государственный	Право на удаление?	Право доступа?	Право на исправление?	Частное право на частное действие?	Широкое определение PII?	Охваченные предприятия	Статус
Калифорния	Да	Да	№	750 долл. США/потребитель (нарушения)	Да (вероятностный)	Доходы свыше 25 миллионов долларов	В силе: 01.01.2020
Нью-Йорк	Да	Да	Да	$750/потребитель	Да	Все	В ожидании
Мэриленд	Да	Да	№	№(Только через АГ.)	Да (вероятностный)	Более 25 миллионов долларов	В ожидании
Массачусетс	Да	Да	№	$750/потребитель	Да (вероятностный)	Более 10 миллионов долларов	В ожидании
Гавайи	Да	Да	№	№	Да	Все	В ожидании
Северная Дакота	№	Да	№	Ограниченный	№	Более 25 миллионов долларов	В ожидании

 

Часто задаваемые вопросы о конфиденциальности микроданных и памятка

Самый достойный коктейля треп о конфиденциальности из этого поста, сжатый в четыре вопроса!

В: Существует ли в США единый закон о конфиденциальности потребителей в стиле GDPR?

А: Нет. Вместо этого в США действуют вертикально ориентированные федеральные законы о конфиденциальности данных для финансов (GLBA), здравоохранения (GLBA), данных о детях (COPPA), а также новая волна государственных законов о конфиденциальности, наиболее важным из которых является Калифорнийский закон о конфиденциальности потребителей (CCPA).

Причины этого лоскутного одеяла коренятся в политических решениях США, направленных на поощрение инноваций — «сломайте это и посмотрите, что произойдет» — в технологиях, а не в других соображениях. Но в «наших лабораториях демократии» законы штатов наконец-то догоняют реальность и в конце концов будут вилять федеральной собакой.

В: В каких штатах действуют законы о конфиденциальности?

A: Очень мало — всего трое! Конечно, во всех 50 штатах теперь есть правило уведомления об утечке данных, обычно также призывающее к разумной безопасности данных. Но на момент написания этой статьи только в Калифорнии, Неваде и Мэне действуют законы о конфиденциальности. В нескольких штатах (см. выше) законы о конфиденциальности проходят через законодательные органы. Для текущего состояния этих предлагаемых законов штата Международная ассоциация профессионалов в области конфиденциальности (IAPP) поддерживает актуальную оценочную карту.

В: Что защищает Закон о конфиденциальности 1974 года?

A: Многие люди предполагают, что, когда Закон о конфиденциальности был принят еще в 1970-х годах, он защищал данные потребителей в США. Ничто не может быть дальше от истины! Хотя Закон США о конфиденциальности был новаторским законодательством, включающим такие идеи, как минимизация данных, право на доступ и право на исправление, он ограничивается данными, собираемыми правительством США от своих граждан. Это не влияет на частную промышленность или, в частности, на данные, собираемые компаниями в Интернете.

В: Влияют ли федеральные законы США и законы штатов на иностранные компании на иностранные компании?

A: В той мере, в какой иностранные компании регистрируют дочерние компании в США, они подпадают под действие всех законов США, включая, конечно же, наши законы о безопасности данных и конфиденциальности. Реальный вопрос заключается в том, есть ли у США экстерриториальный аспект в их законах о безопасности и конфиденциальности, такой как GDPR ЕС, который будет распространяться на организации за пределами их границ. И ответ на это — нет.

Закрытие мыслей о конфиденциальности и будущее законов о конфиденциальности данных

Поскольку штаты берут на себя ответственность за инновации в этой области, принятие федерального закона, создающего равные условия, возможно, является лишь вопросом времени.

А пока из государственных экспериментов можно извлечь три урока:

• PII будет определяться так, чтобы выходить за рамки обычных идентификаторов и охватывать вероятностные идентификаторы (или квази-PII), которые можно использовать для косвенной идентификации потребителей.
• Право на удаление станет неотъемлемой частью законов о конфиденциальности. Будет ли это распространяться на более широкое «право на забвение», менее вероятно
• В настоящее время среди регулирующих органов существует понимание того, что потребители хотят знать всю информацию о них, которой располагают компании, подкрепленную правом просмотра и, возможно, исправления этих данных.

Предлагаемое законодательство о конфиденциальности от конгрессмена Эшу.

Куда все это направляется? Если бы мне нужно было предсказать, я бы сказал, что что-то близкое к недавно предложенным законам о конфиденциальности от конгрессмена Эшу или сенатора Кантуэлла станет законом страны.

И это означает, что будущий закон США о конфиденциальности будет отражать некоторые ключевые идеи CCPA. Но, как мы видели в Калифорнии, скорее всего, будут исключения и смягчения требований, касающихся прав на неприкосновенность частной жизни сотрудников, запросов на доступ и удаление и, наконец, санкций и штрафов.

Заинтригованы, обеспокоены или просто в панике из-за того, что происходит на дороге конфиденциальности? Запросите демонстрацию наших решений для обеспечения конфиденциальности и безопасности данных, чтобы узнать, как мы можем помочь!

Законы о конфиденциальности данных: что нужно знать в 2022 году

 

Практически каждая страна приняла какие-то законы о конфиденциальности данных, регулирующие сбор информации, способы информирования субъектов данных и контроль субъекта данных над своей информацией после ее передачи. Несоблюдение применимой конфиденциальности данных может привести к штрафам, судебным искам и даже к запрету использования сайта в определенных юрисдикциях. Навигация по этим законам и правилам может быть сложной, но все операторы веб-сайтов должны быть знакомы с законами о конфиденциальности данных, которые касаются их пользователей.

Вот законы и постановления, о которых вы должны знать в 2022 году. Мы будем обновлять этот список по мере принятия новых законов.

Законы США о конфиденциальности данных Несмотря на многочисленные предложения на протяжении многих лет, в США нет единого всеобъемлющего федерального закона, регулирующего конфиденциальность данных.S. Существует сложное лоскутное одеяло из отраслевых и специфических для среды законов, включая законы и постановления, касающиеся телекоммуникаций, медицинской информации, кредитной информации, финансовых учреждений и маркетинга.

Важным правоохранительным органом в США является Федеральная торговая комиссия (FTC). Его полномочия по регулированию в интересах защиты прав потребителей исходят из Закона о Федеральной торговой комиссии (Закон о Федеральной торговой комиссии), который имеет широкую юрисдикцию в отношении коммерческих организаций, находящихся в его ведении, для предотвращения недобросовестной или «мошеннической торговой практики».«В 2021 году предложение о предоставлении FTC дополнительных 500 миллионов долларов было отложено, но ходят разговоры о том, что FTC может наконец получить бюджет, ресурсы и персонал, необходимые ей для выполнения функций де-факто регулятора конфиденциальности страны. 

Тем не менее, несмотря на то, что FTC прямо не регулирует, какая информация должна быть включена в политику конфиденциальности веб-сайта, она использует свои полномочия для издания правил, обеспечения соблюдения законов о конфиденциальности и принятия мер по обеспечению соблюдения для защиты потребителей. Например, FTC может принять меры против организаций, которые:

• Неспособность внедрить и поддерживать разумные меры безопасности данных.
• Несоблюдение каких-либо применимых принципов саморегулирования отрасли организации.
• Несоблюдение опубликованной политики конфиденциальности.
• Передавать личную информацию способами, не указанными в политике конфиденциальности.
• Делать неточные заявления о конфиденциальности и безопасности (лгать) потребителям и в политиках конфиденциальности.
• Невозможно обеспечить достаточную безопасность личных данных.
• Нарушение прав потребителей на конфиденциальность данных путем сбора, обработки или обмена информацией о потребителях.
• Заниматься вводящей в заблуждение рекламой.

Другие федеральные законы, регулирующие сбор информации в Интернете, включают:

Законы штата о конфиденциальности данных В США действуют сотни отраслевых законов о конфиденциальности и безопасности данных среди штатов. НАС.Генеральные прокуроры штата контролируют законы о конфиденциальности данных, регулирующие сбор, хранение, защиту, удаление и использование личных данных, полученных от их жителей, особенно в отношении уведомлений об утечке данных и безопасности номеров социального страхования. Некоторые применяются только к государственным организациям, некоторые применяются только к частным организациям, а некоторые применяются к обоим.

В дополнение к отраслевым законам о конфиденциальности в США наблюдается массовый толчок к продвижению законодательства о конфиденциальности на уровне штатов.Это потому, что федеральное правительство не смогло найти консенсус в отношении того, как принимать законы в целом. Вместо того, чтобы ждать, законодатели штатов почувствовали нажим со стороны потребителей, защитников прав потребителей и даже компаний, чтобы установить свои собственные правила. Конечно, компании скорее предпочтут соблюдать один единственный федеральный стандарт, чем нанимать адвоката для изучения каждого закона штата, которому они должны соответствовать. Но государственные толчки — временная мера. И если это то, что должны делать государства, то это то, что они должны делать.

В Калифорнии начался эффект домино. Хотя на сегодняшний день только один штат смог принять всеобъемлющий закон, многие штаты пытаются это сделать. Даже если их первые законопроекты потерпели неудачу на предыдущих законодательных сессиях, они служат ориентиром для того, в чем согласны республиканцы и демократы и что необходимо изменить, прежде чем любая сделка достигнет своего конечного пункта назначения: стола губернатора.

Вот как обстоят дела.

Закон штата Калифорния о конфиденциальности потребителей (CCPA)

На сегодняшний день наиболее полным законодательством штата о конфиденциальности данных является Закон штата Калифорния о конфиденциальности потребителей (CCPA).Подписанный 28 июня 2018 г. закон вступил в силу 1 января 2020 г. CCPA — это межотраслевой закон, который вводит важные определения и широкие права отдельных потребителей и налагает существенные обязанности на организации или лица, которые собирают личную информацию о житель Калифорнии. Эти обязанности включают в себя информирование субъектов данных о том, когда и как данные собираются, и предоставление им возможности доступа, исправления и удаления такой информации. Это уведомление должно быть раскрыто в политике конфиденциальности, отображаемой на веб-сайте организации, собирающей данные.

Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA)

Вот некоторые не совсем личные бейсбольные мячи: компании не были в восторге, когда агент по недвижимости в Калифорнии получил вопрос в бюллетене для голосования в форме Калифорнийского закона о защите прав потребителей. Но, тем не менее, Аластер Мактаггарт собрал достаточно подписей, чтобы выдвинуть гражданскую инициативу, то есть ей не нужно было проходить через обычный законодательный процесс, требующий голосов Ассамблеи и Сената Калифорнии.И как только он прошел, стало ясно, что люди говорили. Затем компании были вынуждены проглотить тяжелую пилюлю: пришло время изменить процессы, чтобы соответствовать первому в стране всеобъемлющему закону о конфиденциальности.

Затем, всего два очень коротких года спустя, Мактаггарт вернулся с тем, что получило прозвище CCPA 2.0. Калифорнийский закон о правах на неприкосновенность частной жизни был принят в ноябре 2020 года и основывается на CCPA, внося поправки в положения, которые Мактаггарт и его команда хотели включить в CCPA, но в то время не могли пересечь финишную черту.

CPRA добавило в CCPA следующее: 

• Право на исправление: обновляет и дополняет право потребителя на исправление неточной личной информации.
• Право на ограничение: Это дает потребителям право ограничивать использование и раскрытие их конфиденциальной личной информации.
• Конфиденциальная личная информация: это обновляет определение личной информации.Определенные типы информации, такие как номер социального страхования потребителей, должны обрабатываться со специальной защитой.

CPRA также:

• Увеличивает штрафы за утечку данных детей в три раза.
• Расширяет ответственность за нарушение за нарушение незашифрованных данных до раскрытия учетных данных (например, адреса электронной почты или пароля), которые могут привести к доступу к учетной записи потребителя.
• Ограничивает продолжительность времени, в течение которого компания может хранить информацию о потребителях, только тем, что необходимо и «пропорционально» причине, по которой она была собрана в первую очередь.
• Требует от компаний, использующих сторонних поставщиков, обязать эти третьи стороны обеспечивать такой же уровень защиты конфиденциальности данных, которыми они делятся с первой стороной.

Одним из наиболее прогрессивных изменений в CPRA является то, как он будет применяться. В то время как генеральные прокуроры штатов обычно занимаются делами о конфиденциальности — если только не участвует Федеральная торговая комиссия, и даже в этом случае это часто партнерство — CPRA учреждает нового регулятора конфиденциальности.

Калифорнийское агентство по защите конфиденциальности будет уполномочено штрафовать нарушителей, проводить слушания о нарушениях конфиденциальности и разъяснять правила конфиденциальности. Это совет состоит из пяти человек, и он начинает действовать через шесть месяцев после вступления в силу CPRA 1 июля 2023 года.

Закон штата Вирджиния о защите данных потребителей (CDPA) Закон Вирджинии о защите данных потребителей (CDPA) был принят 2 марта 2021 года.Он предоставляет потребителям из Вирджинии права на свои данные и требует от компаний, подпадающих под действие закона, соблюдения правил в отношении собираемых ими данных, способов их обработки и защиты, а также того, кому они передаются.

Закон содержит некоторое сходство с положениями Общего регламента ЕС по защите данных и Калифорнийского закона о конфиденциальности потребителей. Это относится к организациям, которые ведут бизнес в Вирджинии или продают товары и услуги, ориентированные на жителей Вирджинии, а также выполняют одно из следующих действий:

• Контролировать или обрабатывать персональные данные 100 000 или более человек.
• Контролируйте или обрабатывайте личные данные не менее 25 000 потребителей и , получающих 50% своего дохода от продажи личной информации.

CDPA требует, чтобы компании, подпадающие под действие закона, помогали потребителям в осуществлении их прав на данные, получая согласие перед обработкой их конфиденциальных данных, раскрывая, когда их данные будут проданы, и позволяя им отказаться от этого. Он также требует, чтобы компании предоставляли пользователям четкое уведомление о конфиденциальности, которое включает в себя способ отказаться от целевой рекламы.

CDPA вступает в силу в тот же день, что и последний закон Калифорнии о конфиденциальности, CPRA, который заменяет его предыдущую итерацию, CCPA, 1 января 2023 года. Вполне вероятно, что законодатели внесут поправки в закон до этого, поэтому рекомендуется сохранить следить за этим законом по мере его развития.

Закон штата Колорадо о конфиденциальности (CPA)

В июне 2020 года Колорадо стал третьим штатом США.S. государство принять закон о конфиденциальности. Закон штата Колорадо о конфиденциальности предоставляет жителям Колорадо права на свои данные и налагает обязательства на контролеров и обработчиков данных. Он имеет некоторое сходство с двумя законами о конфиденциальности Калифорнии, Калифорнийским законом о конфиденциальности потребителей (CCPA) и Калифорнийским законом о правах на конфиденциальность (CPRA), а также с недавно принятым Законом о защите данных потребителей (CDPA) Вирджинии. Он даже заимствует некоторые термины и идеи из Общего регламента ЕС по защите данных.

Несмотря на некоторые сходства, такие как некоторая форма права на отказ, особая защита конфиденциальных данных и принятие некоторых принципов конфиденциальности, существенные различия заключаются в деталях.

CPA применяется к предприятиям, которые собирают личные данные от 100 000 жителей Колорадо или собирают данные от 25 000 жителей Колорадо и и получают часть дохода от продажи этих данных.

Закон перечисляет пять прав, предоставляемых жителям Колорадо после вступления закона в силу. Это:

• Право отказаться от целевой рекламы, продажи своих личных данных или профилирования.
• Право на доступ к данным, собранным о них компанией.
• Право на исправление собранных о них данных.
• Право запрашивать собранные о них данные удалено.
• Право на переносимость данных (то есть право взять ваши данные и передать их другой компании).

 

Закон предусматривает 17 общих исключений. К ним относятся:

• Если данные были собраны для целей закона о медицинском страховании штата Колорадо.
• Если организация, собирающая данные или собранные данные, уже подпадает под действие определенных отраслевых законов, включая Закон о защите конфиденциальности детей в Интернете или Закон о правах семьи на образование и конфиденциальность.
• Если данные были деидентифицированы или псевдонимизированы.
• Если данные хранятся и используются агентством по информированию потребителей.
• Если данные используются для учета занятости.
  

Закон штата Нью-Йорк SHIELD

В июле 2019 года в Нью-Йорке был принят Закон Остановить взломы и повысить безопасность электронных данных (SHIELD).Этот закон вносит поправки в действующий в Нью-Йорке закон об уведомлении об утечке данных и предъявляет дополнительные требования к безопасности данных для компаний, которые собирают информацию о жителях Нью-Йорка. По состоянию на март 2020 года закон полностью подлежит исполнению. Этот закон расширяет сферу конфиденциальности потребителей и обеспечивает лучшую защиту жителей Нью-Йорка от утечки данных их личной информации.

Другие законы штата о конфиденциальности данных

Калифорния, Нью-Йорк, Вирджиния и Колорадо являются первыми штатами, принявшими широкое законодательство, оказывающее влияние на всю страну, но многие другие штаты США.Южные штаты также рассматривают законы о конфиденциальности данных.

Европа

Общий регламент ЕС по защите данных остается законом страны. Но есть ряд предложений, о которых нужно знать в 2022 году. Вот обновленная информация о GDPR и список других предложений, которые вы должны отслеживать, если ваша организация заботится о конфиденциальности данных.

Общий регламент по защите данных (GDPR) Наиболее важным законодательством о защите данных, принятым на сегодняшний день, является Общий регламент по защите данных (GDPR).Он регулирует сбор, использование, передачу и безопасность данных, полученных от жителей любой из 28 стран-членов Европейского Союза. Закон распространяется на всех жителей ЕС, независимо от местонахождения организации, собирающей персональные данные. На организации, которые не соблюдают GDPR, могут быть наложены штрафы в размере до 20 миллионов евро или 4% от общего мирового оборота. Некоторые важные требования GDPR включают:

Согласие

Субъектам данных должно быть разрешено давать явное и недвусмысленное согласие до сбора персональных данных.Персональные данные включают информацию, собранную с помощью файлов cookie. Некоторая информация, обычно не считающаяся «личной информацией» в Соединенных Штатах, например IP-адрес компьютера пользователя, считается «личными данными» в соответствии с GDPR.

Уведомление об утечке данных

В большинстве случаев организации обязаны уведомлять надзорные органы и субъектов данных в течение 72 часов в случае утечки данных, затрагивающей личную информацию пользователей.

Права субъектов данных

Субъекты данных (люди, чьи данные собираются и обрабатываются) имеют определенные права в отношении своей личной информации. Эти права должны быть доведены до сведения субъектов данных в четкой и легкодоступной политике конфиденциальности на веб-сайте организации.

1. Право на получение информации.  Субъекты данных должны быть проинформированы о сборе и использовании их персональных данных при получении данных.
2. Право на доступ к своим данным. Субъект данных может запросить копию своих личных данных через запрос субъекта данных. Контроллеры данных должны объяснить средства сбора, что обрабатывается и кому они передаются.
3. Право на исправление. Если данные субъекта данных являются неточными или неполными, они имеют право попросить вас исправить их.
4. Право на стирание. Субъекты данных имеют право потребовать удаления связанных с ними персональных данных на определенных основаниях в течение 30 дней.
5. Право на ограничение обработки.  Субъекты данных имеют право запросить ограничение или удаление своих личных данных (хотя вы все равно можете их хранить).
6. Право на переносимость данных. Субъекты данных могут безопасно и надежно передавать свои данные из одной электронной системы в другую в любое время, не нарушая ее возможности использования.
7. Право на возражение. Субъекты данных могут возражать против использования их информации в целях маркетинга, продаж или в целях, не связанных с оказанием услуг.Право на возражение не применяется, когда используются юридические или официальные полномочия, задача выполняется в общественных интересах или когда организации необходимо обработать данные, чтобы предоставить вам услугу, на которую вы подписались.

предложения ЕС для просмотра в 2022 году

Закон о цифровых услугах (DSA)

Европейская комиссия стремится обновить свои правила в отношении цифровых услуг в ЕС. Использование двух предложенных законов для формирования единого свода правил в ЕС делает это.Они называются Законом о цифровых услугах и Законом о цифровых рынках. Вместе они стремятся защитить пользователей и создать «равное игровое поле для стимулирования инноваций, роста и конкурентоспособности».

Думайте обо всем, что доставляется через Интернет, когда вы думаете о цифровых услугах. Это может быть служба потоковой передачи музыки, электронная книга или веб-сайт.

Закон о цифровых услугах будет охватывать: 

• Посреднические услуги (провайдеры доступа в Интернет и т. д.))
• Услуги хостинга.
• Онлайн-платформы.

Его обязательства варьируются в зависимости от размера организации, но они могут включать мониторинг сторонних поставщиков, внешний аудит рисков и кодексы поведения.

Несмотря на то, что комитет по внутреннему рынку в Европейском парламенте дал свое одобрение, законопроект будет представлен парламенту в полном объеме в январе 2022 года. 

Закон о цифровых рынках

В соответствии с предложением Закон о цифровых рынках будет охватывать крупнейшие цифровые платформы, известные как «привратники».Подумайте о таких компаниях, как Facebook, Apple, Microsoft и Google. Он направлен на создание равных условий для цифровых компаний всех размеров. Это создаст правила для основных интернет-платформ, которые не позволят им навязывать «несправедливые условия компаниям и потребителям». Например, такой компании, как Amazon, не разрешается ранжировать продукты на своем сайте таким образом, чтобы это давало преимущества собственным продуктам и услугам Amazon.

Это также дало бы Европейскому комиссару право проводить расследования и наказывать за плохое поведение, а также обновлять обязательства закона по мере необходимости.

Европейский парламент принял Закон о цифровых рынках, и теперь он направляется на переговоры в Европейскую комиссию.

Регламент электронной конфиденциальности

Регламент электронной конфиденциальности разрабатывался давно. Он должен был вступить в силу вместе с Общим регламентом ЕС по защите данных в 2018 году, но застопорился на несколько лет. Положение об электронной конфиденциальности создаст правила конфиденциальности для традиционных электронных коммуникационных услуг и организаций, которые не подпадали под действие прежнего закона, Директивы об электронной конфиденциальности, таких как WhatsApp, Facebook Messenger и Skype.

Это создаст более строгие правила в отношении конфиденциальности электронных сообщений и будет применяться не только к содержанию сообщений, но и к «метаданным», то есть данным, описывающим другие данные. В рамках ePrivacy поставщики услуг и сети электронной связи должны получить предварительное согласие пользователя перед обработкой своих метаданных электронной связи.

Кроме того, важно создать более простые правила для файлов cookie.Это позволит пользователям давать согласие или отклонять отслеживающие файлы cookie на уровне браузера, а также разъяснит, что веб-сайтам не нужно получать согласие на так называемые «ненавязчивые файлы cookie». Эти файлы cookie позволяют функциям веб-сайта, таким как «корзина», отслеживать, что пользователь заказал. Также потребуется, чтобы организации разрешали конечным пользователям отзывать свое ранее предоставленное согласие не реже одного раза в год.

Закон об искусственном интеллекте

Закон ЕС об искусственном интеллекте будет применяться к любой компании, ведущей бизнес в ЕС, которая разрабатывает или внедряет программное обеспечение на основе машинного обучения.Он будет применяться экстерриториально, то есть закон будет распространяться на компании, базирующиеся в других странах, если у них есть клиенты или пользователи в ЕС.

Закон об искусственном интеллекте запрещает следующее: 

• Методы, используемые для манипулирования поведением человека таким образом, что это может причинить психический или физический вред.
• Системы искусственного интеллекта, которые могут использовать уязвимые группы в зависимости от возраста, физической или умственной неполноценности.
• Системы искусственного интеллекта, которые предоставляют правоохранительным органам удаленные биометрические данные в режиме реального времени в общедоступных местах.

Общий закон Бразилии о защите персональных данных (LGPD)

Закон Бразилии о защите данных (Lei Geral de Proteção de Dados Pessoais на португальском языке или LGPD) вступил в силу в 2020 году. Он содержит положения, аналогичные GDPR, и направлен на регулирование обращения с персональными данными всех физических или физических лиц в Бразилии. Это означает, что, как и в случае с GDPR, даже если ваша компания не находится в Бразилии, если вы обрабатываете данные жителей Бразилии, это относится к вам.

Компании и группы, которые не соблюдают положения и директивы закона, могут быть оштрафованы, например, на 2% от их выручки от продаж или даже на сумму до 50 миллионов бразильских реалов (примерно 12 миллионов долларов США).

Согласие

В соответствии с LGPD персональные данные могут обрабатываться либо с согласия субъекта данных, либо когда:

• Он должен быть обработан в соответствии с юридическими обязательствами.
• Государственной администрации необходимо выполнять публичные политики.
• Для исследовательских целей.
• Для защиты жизни или физической безопасности субъекта данных.

Уведомление об утечке данных

В случае утечки данных контролеры данных должны уведомить Национальный орган по защите данных в «разумный срок» с момента нарушения, если существует потенциальный риск или ущерб для вовлеченных субъектов данных.

Права субъектов данных

Права, предоставленные бразильским подданным, позволяют им:

• Подтвердить наличие лечения.
• Доступ к их данным.
• Исправьте неполные, неточные или устаревшие данные.
• Передать свои данные другому поставщику услуг или продукту (переносимость данных).
• Удалить их данные.
• Иметь информацию о любых государственных и частных объектах, которым контроллер поделился своими данными.
• Получить информацию о том, что произойдет, если они не дадут согласие на обработку своих данных.
• Отозвать согласие на обработку своих данных.

Эти права аналогичны правам, предоставленным GDPR.

Важность политик конфиденциальности На любом веб-сайте должна быть политика конфиденциальности, объясняющая пользователям, какая информация собирается, как она используется, как ею можно делиться и как она защищена.Чтобы полностью соответствовать законам США и ЕС о защите данных, все субъекты данных должны иметь возможность дать согласие на сбор личной информации. Хотя большая часть информации о пользователях предоставляется добровольно, когда они подписываются на информационные бюллетени, заполняют формы или отправляют запросы по электронной почте, информация, полученная от третьих лиц и с помощью файлов cookie, также должна раскрываться, и пользователям должна быть предоставлена ​​возможность дать согласие на это. заблокировать или отключить файлы cookie.

 

DLA Piper Global Data Protection Laws of World

Пожалуйста выберите

CountryAngolaArgentinaAustraliaAustriaBahrainBangladeshBelarusBelgiumBermudaBoliviaBosnia и HerzegovinaBotswanaBrazilBritish Virgin IslandsBruneiBulgariaBurundiCambodiaCanadaCape VerdeCayman IslandsChileChinaColombiaCosta RicaCroatiaCyprusCzech RepublicDenmarkDominican RepublicEgyptEstoniaEthiopiaFinlandFranceGermanyGhanaGibraltarGreeceGuernseyHondurasHong Kong, SARHungaryIcelandIndiaIndonesiaIranIrelandIsraelItalyJapanJerseyKazakhstanKenyaKuwaitKyrgyzstanLaosLatviaLesothoLithuaniaLuxembourgMacauMadagascarMalaysiaMaltaMauritiusMexicoMoldovaMonacoMontenegroMoroccoMozambiqueMyanmarNamibiaNetherlandsNew ZealandNigeriaNorth MacedoniaNorwayPakistanPanamaParaguayPeruPhilippinesPolandPortugalQatarQatar — Финансовый CentreRomaniaRussiaSaudi ArabiaSerbiaSeychellesSingaporeSlovak RepublicSloveniaSouth AfricaSouth KoreaSpainSri LankaSwedenSwitzerlandTaiwanTajikistanThailandTrinidad и TobagoTunisiaTurkeyTurkmenistanUAE — Абу-Даби Global Market Free ZoneUAE — Дубай (DIFC) ОАЭ — Дубай Health Care Город Свободная ЗонаОАЭ — ОбщийУгандаУкраинаВеликобританияСоединенные ШтатыУругвайУзбекистанВьетнамЗамбияЗимбабве

По сравнению с

Сравнение countryAngolaArgentinaAustraliaAustriaBahrainBangladeshBelarusBelgiumBermudaBoliviaBosnia и HerzegovinaBotswanaBrazilBritish Virgin IslandsBruneiBulgariaBurundiCambodiaCanadaCape VerdeCayman IslandsChileChinaColombiaCosta RicaCroatiaCyprusCzech RepublicDenmarkDominican RepublicEgyptEstoniaEthiopiaFinlandFranceGermanyGhanaGibraltarGreeceGuernseyHondurasHong Kong, SARHungaryIcelandIndiaIndonesiaIranIrelandIsraelItalyJapanJerseyKazakhstanKenyaKuwaitKyrgyzstanLaosLatviaLesothoLithuaniaLuxembourgMacauMadagascarMalaysiaMaltaMauritiusMexicoMoldovaMonacoMontenegroMoroccoMozambiqueMyanmarNamibiaNetherlandsNew ZealandNigeriaNorth MacedoniaNorwayPakistanPanamaParaguayPeruPhilippinesPolandPortugalQatarQatar — Финансовый CentreRomaniaRussiaSaudi ArabiaSerbiaSeychellesSingaporeSlovak RepublicSloveniaSouth AfricaSouth KoreaSpainSri LankaSwedenSwitzerlandTaiwanTajikistanThailandTrinidad и TobagoTunisiaTurkeyTurkmenistanUAE — Абу-Даби Global Market Free ZoneUAE — Дубай (DIFC) ОАЭ — Дубай Здравоохранение City Free ZoneОАЭ — Общая информацияУгандаУкраинаВеликобританияСоединенные ШтатыУругвайУзбекистанВьетнамЗамбияЗимбабве

Состояние законов о конфиденциальности потребительских данных в США (и почему это важно)

Поскольку все больше вещей люди покупают с подключением к Интернету, все больше наших обзоров и рекомендаций в Wirecutter включают длинные разделы с подробным описанием функций конфиденциальности и безопасности такие продукты, все, от умных термостатов до фитнес-трекеров.Поскольку данные, которые собирают эти устройства, продаются и передаются, а также взламываются, принятие решения о том, какие риски вас устраивают, является необходимой частью осознанного выбора. И эти риски сильно различаются, отчасти потому, что не существует единого всеобъемлющего федерального закона, регулирующего сбор, хранение или обмен данными о клиентах в большинстве компаний.

Большая часть экономики данных, лежащей в основе обычных продуктов и услуг, невидима для покупателей. По мере того, как ваши данные передаются между бесчисленным количеством третьих лиц, появляется не только больше компаний, получающих прибыль от ваших данных, но и больше возможностей для утечки или взлома ваших данных таким образом, что причиняет реальный вред.Только за последний год мы видели, как новостное издание использовало псевдонимные данные приложения, предположительно просочившиеся от рекламодателя, связанного с приложением для знакомств Grindr, чтобы разоблачить священника. Мы читали о том, что правительство США покупает данные о местоположении у молитвенного приложения. Исследователи обнаружили, что приложения для лечения опиоидной зависимости обмениваются конфиденциальными данными. А в T-Mobile недавно произошла утечка данных, которая затронула как минимум 40 миллионов человек, у некоторых из которых даже никогда не было учетной записи T-Mobile.

«У нас есть эти компании, которые накапливают просто гигантские объемы данных о каждом из нас, весь день, каждый день», — сказала Кейт Руан, старший советник по законодательным вопросам Первой поправки и конфиденциальности потребителей в Американском союзе гражданских свобод. .Руан также указал, что данные в конечном итоге используются неожиданным образом — намеренно или нет, — например, для таргетинга рекламы или корректировки процентных ставок в зависимости от расы. «Ваши данные берутся и используются во вред».

Законы о конфиденциальности данных потребителей могут дать людям право контролировать свои данные, но при плохом исполнении такие законы также могут сохранить статус-кво. — Мы можем это остановить, — продолжил Руан. «Мы можем создать лучший Интернет, лучший мир, в котором будет больше защиты конфиденциальности.

Что (не) делают действующие национальные законы о конфиденциальности

В настоящее время законы о конфиденциальности представляют собой беспорядочную смесь различных отраслевых правил. «Исторически сложилось так, что в США существует множество разрозненных федеральных [и государственных] законов», — сказала Эми Степанович, исполнительный директор Silicon Flatirons Center в Colorado Law. «[Они] либо смотрят на определенные типы данных, такие как кредитные данные или информацию о здоровье, — сказал Степанович, — либо смотрят на определенные группы населения, такие как дети, и регулируют в этих сферах.”

В Соединенных Штатах нет единого закона, регулирующего конфиденциальность всех типов данных. Вместо этого в нем есть набор законов, которые обозначаются такими аббревиатурами, как HIPAA, FCRA, FERPA, GLBA, ECPA, COPPA и VPPA.

Данные, собираемые подавляющим большинством продуктов, которые люди используют каждый день, не регулируются. Поскольку федеральных законов о конфиденциальности, регулирующих многие компании, нет, они практически вольны делать с данными все, что хотят, если только в штате нет собственного закона о конфиденциальности данных (подробнее об этом ниже).

• В большинстве штатов компании могут использовать, делиться или продавать любые данные, которые они собирают о вас, не уведомляя вас об этом.
• Ни одно национальное законодательство не устанавливает, когда (или если) компания должна уведомлять вас, если ваши данные взломаны или раскрыты неуполномоченным сторонам.
• Если компания передает ваши данные, включая конфиденциальную информацию, такую ​​как ваше здоровье или местонахождение, третьим сторонам (например, брокерам данных), эти третьи лица могут в дальнейшем продавать или передавать их без уведомления вас.

«Большинство людей считают, что они защищены, до тех пор, пока они не перестанут», — сказал Ашкан Солтани, независимый исследователь и бывший главный технолог Федеральной торговой комиссии. «К сожалению, поскольку эта экосистема в основном скрыта от глаз и непрозрачна, потребители не могут видеть и понимать поток информации».

Всеобъемлющий европейский закон о конфиденциальности, Общий регламент по защите данных (GDPR), требует от компаний запрашивать некоторые разрешения на обмен данными и дает отдельным лицам права доступа, удаления или контроля над использованием этих данных.В Соединенных Штатах, напротив, нет единого закона, регулирующего конфиденциальность всех типов данных. Вместо этого в нем есть набор законов, обозначаемых такими аббревиатурами, как HIPAA, FCRA, FERPA, GLBA, ECPA, COPPA и VPPA, предназначенных для обработки только определенных типов данных в особых (часто устаревших) обстоятельствах.

• Закон о переносимости и подотчетности медицинского страхования (HIPAA) имеет мало общего с конфиденциальностью и распространяется только на общение между вами и «застрахованными организациями», к которым относятся врачи, больницы, аптеки, страховые компании и другие подобные предприятия.Люди склонны думать, что HIPAA охватывает все данные о здоровье, но это не так. Например, ваши данные Fitbit не защищены, и закон не ограничивает, кто может запрашивать ваш статус прививки от COVID-19.
• Закон о честной кредитной отчетности (FCRA) распространяется на информацию, содержащуюся в вашем кредитном отчете. Он ограничивает круг лиц, которым разрешено просматривать кредитный отчет, информацию, которую могут собирать бюро кредитных историй, и способы получения информации.
• Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA) подробно описывает, кто может запрашивать документы об образовании учащихся.Это включает в себя предоставление родителям, правомочным учащимся и другим школам права проверять документы об образовании, которые ведет школа.
• Закон Грэмма-Лича-Блайли (GLBA) требует, чтобы потребительские финансовые продукты, такие как кредитные услуги или услуги инвестиционного консультирования, объясняли, как они обмениваются данными, а также право клиента на отказ. Закон не ограничивает использование компаниями собираемых ими данных, если они заранее сообщают о таком использовании. По крайней мере, он пытается защитить некоторые личные данные.
• Закон о конфиденциальности электронных коммуникаций (ECPA) ограничивает прослушивание правительством телефонных разговоров и других электронных сигналов (хотя Патриотический акт США многое из этого пересмотрел). Он также устанавливает общие правила, касающиеся того, как работодатели могут отслеживать общение сотрудников. Критики часто отмечают, что ECPA, принятый в 1986 году, устарел. Поскольку ECPA был написан задолго до появления современного Интернета, он не защищает от современных тактик наблюдения, таких как доступ правоохранительных органов к старым данным, хранящимся на серверах, в документах облачного хранилища и в поисковых запросах.
• Правило о защите конфиденциальности детей в Интернете (COPPA) налагает определенные ограничения на сбор компанией данных о детях младше 13 лет.
• Закон о защите конфиденциальности видео (VPPA) запрещает раскрытие записей об аренде видеокассет. Сейчас этот закон может показаться глупым, но он был принят после того, как журналист вытащил видеопрокат кандидата в Верховный суд Роберта Борка. Однако VPPA не устояла против стриминговых компаний.
• Закон о Федеральной торговой комиссии (Закон о Федеральной торговой комиссии) уполномочивает Федеральную торговую комиссию преследовать приложение или веб-сайт, которые нарушают ее собственную политику конфиденциальности.FTC также может расследовать нарушения маркетинговых формулировок, связанных с конфиденциальностью, как это было, когда она подала жалобу на Zoom за обман пользователей, заявив, что видеочаты были зашифрованы сквозным шифрованием. Некоторые группы также недавно призвали Федеральную торговую комиссию распространить эту власть на неправомерные действия с данными.

Среди множества различных законов легко увидеть, как люди путаются в том, какие права у них есть, а какие нет. Чтобы добавить к этому, наряду с этими федеральными законами также есть несколько законов штатов.

Всего в трех штатах действуют всеобъемлющие законы о конфиденциальности данных

Изображение: IAPP

В настоящее время в трех штатах США действуют три различных всеобъемлющих закона о конфиденциальности потребителей: Калифорния (CCPA и его поправка, CPRA), Вирджиния (VCDPA) и Колорадо (ColoPA). . Независимо от того, в каком штате находится компания, права, предусмотренные законодательством, распространяются только на людей, проживающих в этих штатах.

«Многие положения подтверждают бизнес-модель. [VCDPA], по сути, позволяет компаниям, занимающимся сбором больших данных, продолжать делать то, что они делали.” — Кейт Руан, старший советник по законодательным вопросам, Американский союз защиты гражданских свобод

Эти законы имеют схожие положения, которые, как правило, дают вам определенное уведомление и выбор в управлении вашими данными. По сути, компания, работающая в соответствии с этими правилами, должна сообщить вам, продает ли она ваши данные; у вас также есть выбор, согласны вы с этим или нет, и у вас есть право доступа, удаления, исправления или перемещения ваших данных. Эти законы немного отличаются в других аспектах, например, в разрешенных периодах исправления (количество времени, которое компания должна исправить ошибку), размере или уровне доходов предприятий, к которым применяется закон, а также в том, можете ли вы использовать инструменты или «уполномоченные агенты» для запросов на отказ (например, настройка в вашем веб-браузере, которая автоматически отключает вас от продажи данных на веб-странице, или служба, в которой другой человек делает запросы на отказ от вас).

Эксперты, с которыми мы разговаривали, назвали систему защиты конфиденциальности в Калифорнии самой надежной в США, поскольку правила включают ограниченное «частное право на иск» — возможность подать в суд на компанию — в отношении определенных типов утечек данных. Калифорния также требует «глобального отказа», чтобы отказаться от обмена данными с помощью устройства или браузера, вместо того, чтобы быть вынужденным отказаться на каждом сайте в отдельности. Напротив, некоторые из экспертов, с которыми мы беседовали, скептически отнеслись к Закону о защите данных потребителей штата Вирджиния.«Я бы посчитал [VCDPA] довольно слабым законопроектом», — сказал Руан из ACLU. «Это основано на согласии на отказ. Нет защиты гражданских прав. Частного права на иск нет. Многие положения подтверждают бизнес-модель. По сути, это позволяет компаниям, занимающимся сбором больших данных, продолжать делать то, что они делали раньше». Ничто из этого не должно вызывать удивления, учитывая, что закон Вирджинии был написан при активном участии Amazon.

По крайней мере, четыре других штата, Массачусетс, Нью-Йорк, Северная Каролина и Пенсильвания, прямо сейчас имеют серьезные комплексные предложения по конфиденциальности потребительских данных в комитете.В других штатах действуют различные законы на ранних стадиях. Может быть сложно отследить статус всех этих предложений, но у Международной ассоциации профессионалов в области конфиденциальности есть трекер, который показывает, в каких штатах действует законодательство о конфиденциальности и где эти законопроекты находятся в процессе. Согласно исследованию The Markup, по крайней мере 14 предложений аналогичны более слабому закону Вирджинии.

Как и в случае с национальными законами, существуют законы на уровне штатов, которые охватывают отдельные аспекты конфиденциальности данных.В штате Миссури действуют правила конфиденциальности электронных книг. Закон Иллинойса о конфиденциальности биометрической информации (BIPA) дает людям право на конфиденциальность их биометрических данных, таких как отпечатки пальцев или сканирование лица. Когда дело доходит до уведомлений об утечке данных, особенно сложно знать свои права, поскольку существует как минимум 54 различных закона, которые различаются в зависимости от региона.

Эми Степанович из Silicon Flatirons Center отметила, что такие государственные законы по-прежнему полезны, даже если они могут ввести в заблуждение. «Вы можете думать о них как о повышении уровня воды», — сказала она, добавив, что компании часто предпочитают «применять более сильные, более защитные стандарты по всем направлениям для всех», когда юридические стандарты повышаются.

Существует также риск того, что слишком много законов штатов создадут путаницу, как для компаний, так и для потребителей. Уитни Меррилл, поверенный в области конфиденциальности и сотрудник по защите данных, сказала, что федеральный закон упростит задачу для всех. «Нам нужен федеральный закон, который рассматривает вещи с гораздо более последовательным подходом, — сказал Меррилл, — чтобы убедиться, что потребители понимают и имеют правильные ожидания в отношении прав, которые они имеют в отношении своих данных».

Четыре области, которые заслуживают базовой защиты, по мнению экспертов в области конфиденциальности

Все, с кем мы говорили, описывали потенциальные законы о конфиденциальности данных потребителей как «этаж», на котором можно было бы опираться на них в будущем по мере появления новых технологий.Этот уровень обычно включает в себя несколько основных средств защиты:

• Права на сбор и обмен данными : Законы должны давать людям право видеть, какие данные о них собрали различные компании, требовать, чтобы компании удаляли любые данные, которые они собрали, и для удобного переноса данных из одного сервиса в другой. Это также включает в себя право запретить компаниям продавать (или передавать) ваши данные третьим лицам. Чтобы получить представление о том, как такое регулирование работает на практике, мы рассмотрели, каково это запрашивать информацию в Калифорнии в соответствии с CCPA, которое, как правило, требует, чтобы вы щелкнули по крайней мере одну форму на каждом веб-сайте, с которым вы взаимодействуете (и для некоторых третьих лиц, о существовании которых вы можете даже не знать).
• Согласие на согласие: Компания должна спросить вас, может ли она передавать или продавать ваши данные третьим лицам. Вам не придется часами отказываться от сбора ваших личных данных через каждый сервис, которым вы пользуетесь.
• Минимизация данных: Компания должна собирать только то, что ей необходимо для предоставления услуги, которой вы пользуетесь.
• Недискриминация и отсутствие дискриминации в отношении использования данных: Компания не должна дискриминировать людей, осуществляющих свои права на неприкосновенность частной жизни; например, компания не может взимать с кого-то дополнительную плату за защиту их конфиденциальности, а компания не может предлагать клиентам скидки в обмен на то, что они откажутся от большего количества данных.Этот регламент также должен включать разъяснения о защите гражданских прав, например о предотвращении дискриминации рекламодателями определенных характеристик.

Компания Merrill также хотела бы видеть более всеобъемлющий закон об уведомлении об утечке данных, возможно, в виде отдельного законопроекта. «Я думаю, что это будет довольно легко пройти», — сказала она. «Кто получает уведомление? Каковы общие стандарты? Давайте упростим задачу, чтобы все были на одной волне».

«Особенно в тех штатах, где они не разрешают частное право [подавать в суд], чтобы затем также недофинансировать государственное правоприменение — это просто оскорбление для раны.— Хейли Цукаяма, законодательный активист, Electronic Frontier Foundation

Никакое регулирование не имеет большого значения без правоприменительного механизма. И лоббисты оспаривали «частное право на иск» — разрешение частному лицу подавать в суд на компанию за нарушение конфиденциальности — как один из таких механизмов. Законодательство Калифорнии имеет ограниченное частное право на иск, связанный с небрежностью в отношении утечки данных. В законах Колорадо и Вирджинии даже этого нет. Несколько законопроектов, в том числе в Коннектикуте, Флориде, Оклахоме и Вашингтоне, не стали законами, потому что они включали частное право на иск.В начале 2021 года законодатели Северной Дакоты представили законопроект, который включал частное право на действия и согласие на согласие, а в ответ группа рекламных компаний (PDF) заявила: «Такой подход приведет к созданию самого ограничительного закона о конфиденциальности в Соединенные Штаты.» Законопроект провалился в государственной палате.

Хейли Цукаяма, законодательный активист Electronic Frontier Foundation, резко описала ситуацию. «Мы хотели бы видеть в законодательстве о конфиденциальности полные права частных лиц», — сказала она.«Мы просто считаем, что если компания нарушает вашу конфиденциальность, вы должны иметь возможность подать на нее в суд».

«Исторически сложилось так, что маргинализированные сообщества не могли полагаться на государственные институты для защиты своих прав», — сказал Степанович. «Поэтому наличие чего-то вроде частного права на иск для чернокожих и других сообществ, не являющихся белыми, гарантирует, что они могут отстаивать свои права или обращаться в суд, если что-то пошло не так».

Солтани, напротив, видел путь вперед без частного права на иск: «Я думаю, что правоприменение является действительно важным аспектом.Если есть адекватное правоприменение — юридическая защита и регулирующие ресурсы — я не думаю, что отказ от частного права на иск является нарушением условий сделки».

Эти ресурсы важны. «Особенно в тех штатах, где они не разрешают частное право [действовать], чтобы затем также недофинансировать государственное правоприменение — это просто оскорбление для раны», — сказал Цукаяма. Калифорния создала группу правоприменения только для этой цели под названием Калифорнийское агентство по защите конфиденциальности, которое будет получать 10 миллионов долларов ежегодного финансирования.Генеральная прокуратура штата Вирджиния занимается правоприменением там с финансированием в размере 400 000 долларов, дополненным штрафами и пенями.

Выбрасывание денег на правоприменение или требование от компаний адаптироваться к новым правилам также требует, чтобы люди выполняли работу, а эти люди не всегда легко доступны. «Одна из моих проблем с законами штатов заключается в том, что нужно изучать все больше и больше вещей, — отметил Меррилл, — и я боюсь выгорания в сообществе конфиденциальности, потому что невозможно идти в ногу, а ставки очень высоки.

Интернет-ассоциация, отраслевая группа, представляющая несколько крупных технологических компаний, включая Amazon, Facebook и Google, указала нам на письмо и свидетельство, направленное в законодательный орган штата Нью-Джерси, в котором основное внимание уделяется двум пунктам: согласию и частному праву на иск. . Ассоциация настаивает на том, чтобы текущая модель отказа от согласия сохраняла статус-кво, при котором потребители должны приложить все усилия, чтобы получить защиту конфиденциальности, изложенную в законе. Ассоциация также включила документ Института правовой реформы, филиала Торговой палаты США, который выступает за благоприятные для бизнеса правовые реформы, в котором утверждается, что частные иски будут препятствовать инновациям, будут стоить слишком много денег и приведут к противоречивым решениям.

Как более строгие законы о конфиденциальности изменят вашу повседневную жизнь

Если вы когда-либо нажимали на одно из этих раздражающих уведомлений о файлах cookie или были вынуждены прокручивать до конца политику конфиденциальности, прежде чем вы сможете использовать программное обеспечение, вы увидели, как такие законы могут иметь пагубное влияние на вашу повседневную жизнь.

Так быть не должно. Степанович сказал, что если закон о конфиденциальности написан хорошо, жизнь большинства людей не должна измениться. «Конфиденциальность заключается не в том, чтобы не использовать технологии, а в том, чтобы иметь возможность участвовать в жизни общества и знать, что вашими данными не будут злоупотреблять или что вы не причините вреда в будущем из-за этого», — сказала она. .Если все сделано правильно, последствия скандалов, подобных тем, что были вокруг Cambridge Analytica или Grindr, можно свести к минимуму. И вы увидите меньше персонализированной рекламы и больше контекстной, которая, возможно, менее пугающая (для чтения статьи требуется подписка).

Хорошо написанный закон о конфиденциальности данных облегчит вам покупку многих интересующих вас продуктов, не беспокоясь о конфиденциальности. Возможно, обзоры и руководства Wirecutter не потребуют подробных сравнений с оценкой политик конфиденциальности для работающих часов, умных весов или роботов-пылесосов, потому что все они будут иметь базовый уровень конфиденциальности, а также четкие, простые для понимания опции. -in правила обмена данными.И если компания ошибается и злоупотребляет этими правами на неприкосновенность частной жизни, эта компания будет нести ответственность за изменение.

Даже самые последние законы не учитывают всевозможные другие проблемы с данными, такие как прозрачность алгоритма или использование правительством системы распознавания лиц.

Одним из камней преткновения нынешней системы отказа является усталость от уведомлений. Когда каждое приложение и веб-сайт запрашивает у вас десятки разрешений, становится проще принять статус-кво, чем вручную отказаться от каждой технологии отслеживания.Обзорная статья в журнале Science (PDF) в 2015 году показала, насколько плохо большинство людей справились с рисками, связанными с конфиденциальностью, а в статье 2019 года описывается своего рода согласие «уведомление и выбор», к которому все привыкли, как «метод регулирования конфиденциальности, который обещает прозрачность и агентность, но не обеспечивает ни того, ни другого».

Все эксперты, с которыми мы говорили, предпочли модель добровольного согласия и концепцию «конфиденциальность по умолчанию». Такая договоренность изначально сделает учетные записи закрытыми, а приложения не будут иметь никаких разрешений.Вы можете выбрать эти настройки. Наряду с правом подавать в суд на компании согласие на подписку оказывается одной из самых сложных вещей для включения в законы о конфиденциальности. Вместо этого эксперты настаивают на возможности использования расширений браузера или других инструментов, которые отключаются автоматически.

Ашкан Солтани, бывший главный технолог FTC, предложил техническое решение с глобальным контролем конфиденциальности (GPC), которое позволяет отказаться от продажи данных на уровне браузера или устройства — улучшение по сравнению с потребностью отказаться на каждом сайте или в каждом сервисе.В настоящее время GPC включен в несколько браузеров и пользуется уважением нескольких изданий, в том числе The New York Times. Калифорния будет более явно требовать от компаний соблюдать GPC после того, как в 2023 году вступят в силу ее правила «глобального отказа». – отметил Эми Степанович. «Вы хотите, чтобы эта безнадежность ушла, и чтобы люди знали: вы находитесь под защитой, пока занимаетесь этим делом.

Основные законы о конфиденциальности, за которые выступают, которые предлагаются, а иногда и принимаются, не могут и не будут все исправлять. Учитывая сложность экономики данных, которая сейчас существует, можно и, возможно, нужно сделать гораздо больше. Даже самые последние законы не учитывают всевозможные другие проблемы с данными, такие как прозрачность алгоритмов или использование правительством системы распознавания лиц. Существует несколько национальных законов о конфиденциальности, находящихся на разных стадиях принятия, но ни один из них не имеет серьезных шансов быть принятым в ближайшее время.

Но новые законы могли бы, по крайней мере, поощрять продукты и услуги, менее враждебные конфиденциальности, и они могли бы обеспечить базовую защиту (и правоприменение) от наиболее вредоносных типов интеллектуального анализа данных, а также сформировать основу для большей защиты конфиденциальности в будущем. В лучшем случае закон о конфиденциальности данных может сделать так, чтобы вы могли покупать новейшие штуковины с забавными новыми функциями, не беспокоясь о том, что компания собирает больше данных, чем вы думаете, и продает их компаниям, о которых вы никогда не слышали. из которых будут использоваться рекламодателями для продажи вам.

Источники

1. Уитни Меррилл, адвокат по вопросам конфиденциальности и специалист по защите данных, телефонное интервью, 26 июля 2021 г.

2. Ашкан Солтани, независимый исследователь и бывший главный технолог Федеральной торговой комиссии, телефонное интервью, 21 июля 2021 г.

3. Кейт Руан, старший советник по вопросам Первой поправки и конфиденциальности прав потребителей в Американском союзе гражданских свобод, интервью по телефону, 21 июля 2021 г.

4. Эми Степанович, исполнительный директор Silicon Flatirons Center в Colorado Law, тел. интервью, 15 июля 2021 г.

5.Хейли Цукаяма, законодательный активист Electronic Frontier Foundation, интервью по телефону, 14 июля 2021 г.

Взгляд на предлагаемые изменения в Закон Индии о защите (персональных) данных

16 декабря 2021 года Объединенный парламентский комитет представил парламенту Индии свой долгожданный отчет после двухлетнего обсуждения законопроекта о защите персональных данных 2019 года. JPC и проложит путь к сильному закону о защите данных в крупнейшей в мире демократии.

Пройденный путь: в 2017 году Верховный суд Индии (высший судебный орган Индии) объявил право на неприкосновенность частной жизни одним из основных прав, защищаемых Конституцией Индии. Он также рекомендовал центральному правительству Индии ввести в действие режим защиты данных, учитывающий интересы отдельных лиц, а также законные интересы государства и способствующий созданию условий для предпринимательства и инноваций. В том же году правительство назначило экспертную комиссию во главе с бывшим судьей Верховного суда судьей Б.Н. Шрикришна разработать законопроект о защите персональных данных, который «обеспечит рост цифровой экономики при сохранении безопасности и защиты персональных данных граждан». Экспертный комитет представил свой отчет вместе с законопроектом о защите данных в июле 2018 г. Затем правительство создало СПК для рассмотрения PDPB.

Комитет провел консультации с различными заинтересованными сторонами, такими как отраслевые и регулирующие органы и поставщики услуг. Сюда входят Министерство электроники и информационных технологий, Резервный банк Индии, Совет по ценным бумагам и биржам Индии, Национальная платежная корпорация Индии, Департамент подоходного налога, Управление уникальной идентификации Индии, Национальная ассоциация компаний-разработчиков программного обеспечения и услуг, крупные игроки социальных сетей. , юридические фирмы и другие.Цель состояла в том, чтобы понять, как личные и конфиденциальные данные обрабатываются в режиме реального времени с применением реальных мер защиты данных, предотвращающих утечку данных. Комитет также посетил центры обработки данных и центры обработки данных в Индии.

Основные рекомендации комитета

В отчете, представленном комитетом, наблюдаются следующие изменения:

• Сроки реализации (пункт 1): В законопроекте 2019 г. не указаны сроки реализации его положений.В пересмотренном законопроекте предусматривается, что «примерный период в 24 месяца может быть предоставлен для реализации любых и всех положений Закона, чтобы у доверенных лиц и обработчиков данных было достаточно времени для внесения необходимых изменений в свои политики, инфраструктуру, процессы, и т.д.» Рекомендуется, чтобы орган по защите данных начал свою работу в течение шести месяцев, регистрация доверенных лиц данных была произведена в течение девяти месяцев, а апелляционный суд начал свою работу в течение 12 месяцев с даты уведомления.
• Сфера применения (пункт 2): Сфера применения Закона о защите персональных данных была расширена и теперь будет охватывать как личные, так и неличные данные. Законопроект был переименован с «Закон о защите персональных данных» на «Закон о защите данных (Законопроект)». Ожидается, что один и тот же регулятор будет регулировать неперсональные данные и персональные данные, потому что «невозможно провести различие между персональными данными и неличными данными при сборе или передаче массовых данных».

Включение неличных данных, в том числе анонимных данных, в область применения станет дискуссионным и спорным вопросом, главным образом потому, что некоторые из неличных данных будут считаться собственностью предприятий, которые вложили бы значительные средства в сбор этих неличных данных. личные данные.

• Определения (пункт 3): Определены, объединены или пересмотрены несколько ключевых терминов, в том числе «менеджер по согласию», «аудитор данных», «нарушение данных», «фидуциарное лицо», «обработчик данных», «защита данных». офицер», «вред» и «неперсональные данные».
• Обработка персональных данных без согласия (пункты 13 и 14): Обработка неконфиденциальных персональных данных в целях трудоустройства теперь включает сценарии, когда «такая обработка необходима или может разумно ожидаться принципалом данных.« Законный интерес теперь прямо указывается в качестве основы для обработки персональных данных, если «обработка необходима для разумных целей, которые могут быть указаны в правилах», уравновешивая интересы как принципала данных, так и доверенного лица данных.
• Обработка персональных данных детей (пункт 16):  Доверенные лица, занимающиеся исключительно детскими данными, должны зарегистрироваться в DPA. Доверенное лицо данных должно проинформировать ребенка за три месяца до того, как ребенок достигнет совершеннолетия, чтобы он мог снова дать согласие, и доверенное лицо данных должно продолжать предоставлять услуги ребенку, если ребенок не отзовет свое согласие.

Тот факт, что личные данные детей теперь будут обрабатываться для защиты прав ребенка (вместо ранее «наилучших интересов ребенка»), является долгожданным изменением.

• Права пользователя (пункты 17, 19 и 23): Владелец данных теперь сможет воспользоваться своим правом решать, как будут обрабатываться его данные в случае несчастного случая или смерти, назначив законного наследника или представителя. Что касается переносимости данных, коммерческая тайна больше не может быть основанием для отказа в переносимости данных, а перенос данных может быть запрещен только на основании технической возможности, которая должна строго определяться нормативными актами.Доверенное лицо также обязано обеспечивать прозрачность и справедливость алгоритмов и методов обработки персональных данных.
• Отчет о нарушениях (пункт 25): Утечка данных теперь включает утечку как личных, так и неличных данных. Требования к сообщениям о нарушениях более строгие и конкретные. Форма уведомления теперь будет определяться правилами, а не ограничивать объем формы в самом законопроекте. Самое главное, что сроки для сообщения были четко определены: в течение 72 часов после того, как стало известно о нарушении.Было добавлено положение, согласно которому DPA может дать указание доверенному лицу принять любые срочные меры для устранения такого нарушения или смягчения любого вреда, причиненного субъекту данных.
• Платформы социальных сетей (пункт 26):  Все платформы социальных сетей, не выступающие в качестве посредников, должны рассматриваться как издатели и нести ответственность за размещаемый ими контент. Смысл в том, что такие платформы могут выбирать получателя контента и контролировать доступ к любому контенту, размещенному на их платформе.Эти платформы будут нести ответственность за контент из непроверенных учетных записей на своих платформах и должны будут открыть офис в Индии, если у них его еще нет. Предлагается создать орган по регулированию СМИ для регулирования контента на этих платформах.

Это отходит от Закона об информационных технологиях 2000 г. с поправками к нему 2008 г. и последующими положениями о посредниках, которые защищали посредников от контента, размещаемого третьими лицами.

• Сотрудник по защите данных (пункт 30): Добавлена ​​дополнительная ясность в отношении того, кто может быть DPO.В правительстве DPO должен быть государственным должностным лицом высшего уровня, а в частной компании — ключевым управленческим персоналом, таким как главный исполнительный директор, управляющий директор, финансовый директор, секретарь компании или штатный директор.
• Передача данных (пункт 34): Требования к передаче конфиденциальных и важных персональных данных были дополнительно уточнены. DPA при утверждении контракта или внутригрупповой схемы, позволяющей трансграничную передачу данных, теперь также должно консультироваться с правительством.Контракт или внутригрупповая схема, разрешающая трансграничную передачу данных, не должны утверждаться, если контракт или схема противоречат общественной или государственной политике. Кроме того, такие данные не должны передаваться какому-либо иностранному правительству или агентству, если это не одобрено правительством.
• Исключения из правил (Статья 35):  Это позволяет любому государственному учреждению быть освобожденным от любых или всех положений закона. Это привело к максимальному количеству несогласных со стороны членов комитета.Чтобы устранить эти опасения, пересмотренный проект предусматривает, что процедура, разрешающая такое исключение, должна быть «справедливой, справедливой, разумной и пропорциональной процедурой».

Однако включение необязательной оговорки имеет преимущественную силу по сравнению с любым другим законом. Как это всеобъемлющее положение уравновешивается правом на неприкосновенность частной жизни, еще предстоит выяснить.

• Песочница (пункт 40): Для поощрения запуска и инновационной культуры с включением конфиденциальности в дизайн правительство может создать среду песочницы для живого тестирования новых продуктов, технологий и услуг (ранее это было обязательным обязательством). ).Это поможет малым предприятиям и стартапам соблюдать нормы защиты данных.
• Состав DPA (Статья 42):  Состав DPA должен быть инклюзивным, надежным и независимым, состоящим из представителей юридических, технических и академических областей в дополнение к должностным лицам уровня секретаря, при этом общее число членов должно быть не более шести. Правительство определит независимого эксперта по защите данных, информационным технологиям, управлению данными, науке о данных и службам безопасности данных.Генеральный прокурор Индии должен быть членом DPA. Кроме того, в DPA должны быть номинированы один директор из Индийского института менеджмента и один из Индийского технологического института.
• Тестирование и сертификация аппаратных устройств (Статья 49): Поскольку аппаратные устройства, участвующие в сборе и обработке персональных данных, не охватываются PDPB, комитет рекомендовал правительству создать специальные испытательные лаборатории или учреждения и создать механизмы для обеспечения официальная сертификация целостности, надежности и безопасности аппаратного и программного обеспечения для всех цифровых устройств и устройств IoT.У человека должна быть возможность сертифицировать свое устройство, и, если устройство не соответствует указанным стандартам безопасности данных, обратиться в DPA, чтобы принять меры против производителя.
• Локализация данных: Обязательно доставлено в Индию в установленные сроки, правительству рекомендуется, по согласованию с заинтересованными отраслевыми регулирующими органами, подготовить и объявить обширную политику по локализации данных.
• Альтернативная финансовая платежная система, ориентированная на конфиденциальность: Местная финансовая система, альтернативная системе Общества всемирных межбанковских финансовых телекоммуникаций, должна стимулировать цифровую экономику и использование во внутреннем пространстве и обеспечивать конфиденциальность финансовых транзакций.Цель состоит в том, чтобы уменьшить страх потребителей перед финансовым мошенничеством, поощряя и ускоряя внедрение цифровых платежей потребителями.

Вид на реализацию

Как указано в отчете, некоторые ключевые действия, которые необходимо выполнять поэтапно, включают настройку DPA и другой связанной инфраструктуры. Компании должны принять и построить эффективную стратегию соответствия, сосредоточив внимание на инвестициях и согласовании с людьми, процессами и технологиями в оговоренные сроки.Как правительству, так и частным компаниям необходимо создать специальные программы обучения и повышения осведомленности для обучения рабочей силы и обеспечения своевременного соблюдения требований.

Заключение

Законопроект о защите данных — долгожданный и крайне необходимый закон, который заменит нынешний архаичный, устаревший и неэффективный режим защиты данных в Индии. По сравнению с текущими стандартами он поможет защитить права на неприкосновенность частной жизни и будет способствовать справедливому и прозрачному использованию данных для инноваций и роста, открывая доступ к цифровой экономике.Он может создать рабочие места, повысить осведомленность пользователей об их конфиденциальности и обеспечить подотчетность перед доверенными лицами и обработчиками данных.

Несмотря на то, что Индия частично вдохновлена ​​Общим регламентом ЕС по защите данных, в конечном итоге она проложила свой собственный путь к защите данных с несколькими уникальными положениями: объединение личных и неличных данных под одной крышей, локализация данных, покрытие аппаратных устройств, управление социальными сетями. медиаплатформы и многое другое. Хотя в нем все еще есть несколько пробелов, его реализация поставит Индию в один ряд с сильными законами о защите данных других стран.