Датой принятия и номером фз о персональных данных является: Что является персональными данными по закону – Картина дня – Коммерсантъ

Изменено законодательство о персональных данных

С 1 сентября 2022 года вступает в силу Федеральный закон № 266 (за исключением отдельных положений), которым вносятся изменения в нормативно-правовые акты, регулирующие обработку персональных данных.

Основные изменения:

1. Принцип экстерриториальности действия закона о персональных данных

Федеральный закон № 152-ФЗ «О персональных данных» подлежит применению к обработке персональных данных граждан РФ, осуществляемой иностранными юридическими или физическими лицами:

• на основании договора, стороной которого являются граждане РФ, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами РФ; либо

• на основании согласия гражданина РФ на обработку персональных данных.
  

Таким образом, иностранные лица обязаны соблюдать положение Закона № 152-ФЗ при обработке персональных данных.

Ранее применение Закона №152-ФЗ к иностранным лицам, не имеющим на территории РФ физического присутствия, носило ограниченный характер и основывалось на критериях направленности.

 

2. Новые правила трансграничной передачи персональных данных

До 1 марта 2023 года сохранится порядок передачи ПД. В государства, не обеспечивающие адекватную защиту прав субъектов ПД, передача ПД возможна в пяти случаях, указанных в Законе №152-ФЗ. Однако в страны, которые обеспечивают адекватную защиту ПД, наличие специальных оснований для передачи не требуется.

С 1 марта 2023 года операторы будут обязаны направлять уведомление в Роскомнадзор о намерении осуществлять трансграничную передачу ПД. При этом в зависимости от того, обеспечивает иностранное государство адекватную защиту прав субъектов ПД или нет, будет зависеть характер данного уведомления. Так, условно можно выделить два режима уведомлений:

• Уведомительный режим. Он действует при передаче персональных данных в государства, обеспечивающие адекватную защиту прав субъектов ПД. В уведомлении указываются сведения о мерах защиты, принимаемых получателем, условия прекращения обработки персональных данных, а также сведения о лице, которому планируется передача персональных данных. После направления уведомления в РКН оператор вправе осуществлять трансграничную передачу персональных данных на территории указанных в уведомлении государств до принятия решения РКН о запрещении или об ограничении трансграничной передачи персональных данных. В случае принятия решения оператор обязан уничтожить персональные данные или обеспечить их уничтожение.

• Разрешительный режим. Он действует при передаче персональных данных в государства, не обеспечивающие адекватную защиту прав субъектов ПД.В уведомлении указываются сведения о мерах защиты, принимаемых получателем, и условиях прекращения обработки персональных данных, сведения о лице, которому планируется передача, информация о правовом регулировании персональных данных в стране. После направления уведомления в РКН оператор не вправе осуществлять трансграничную передачу персональных данных на территории указанных в уведомлении государств до получения решения РКН. Исключение на этот счет установлено для случаев, если передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта ПД или других лиц. Персональные данные в случае получения решения РКН используются на территории указанных в уведомлении государств до принятия решения РКН о запрещении или об ограничении трансграничной передачи персональных данных. В случае принятия решения оператор обязан уничтожить персональные данные или обеспечить их уничтожение.
  

Уведомление можно подать как в бумажном, так и в электронном виде. В уведомление указываются:

• Сведения об операторе, а также дата и номер уведомления, предусмотренного ст. 22 Закона 152-ФЗ;

• Сведения о лице, ответственном за организацию обработки персональных данных;

• Основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных ПД;

• Категории и перечень передаваемых персональных данных;

• Перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;

• Дата проведения оператором оценки соблюдения получателями персональных данных конфиденциальности и обеспечения безопасности при их обработке.
  

 

3. Введены дополнительные обязанности у лиц, осуществляющих обработку персональных данных по поручению оператора, а также у операторов

Лица, осуществляющие обработку персональных данных по поручению оператора теперь обязаны будут предпринимать меры, направленные на обеспечение выполнения обязанностей, установленных в Законе 152-ФЗ.

Операторы персональных данных обязаны уведомлять РКН о компьютерных инцидентах, повлекших нарушение прав субъектов персональных данных. Данная обязанность возникает с момента выявления компьютерного инцидента и предполагает направление двух уведомлений в РКН:

• в течение 24 часов направляется уведомление с информацией об инциденте. В уведомлении указываются сведения: об инциденте, о предполагаемых причинах, о предполагаемом вреде, о мерах, принятых для устранения последствий.

• в течение 72 часов – о результатах внутреннего расследования инцидента, о лицах, действия которых стали причиной инцидента.
  

Оператор персональных данных должен будет провести внутреннее расследование компьютерного инцидента в течение трех суток с момента его выявления.

 

4. Операторы будут обязаны обеспечивать взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Р (ГосСОПКА), включая информирование о компьютерных инцидентах, которые повлекли неправомерную передачу персональных данных

В рамках взаимодействия с ГосСОПКА оператор персональных данных обязан уведомлять ФСБ о компьютерных инцидентах, которые произошли в результате неправомерных действий.

 

5. Сокращены сроки на исполнение запросов РКН

Срок на исполнение запросов РКН будет сокращен с 30 до 10 рабочих дней с даты их получения. Срок может быть продлен на основании мотивированного уведомления оператора не более чем на 5 рабочих дней.

 

6. Документы, определяющие политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, теперь должны определять для каждой цели обработки:

Если сбор персональных данных осуществляется с использованием сети Интернет, то политика должна быть опубликована на соответствующих страницах сайта, на которых происходит сбор персональных данных.

 

7. Конкретизированы критерии, предъявляемые к согласию субъекта на обработку персональных данных

В настоящий момент закон определяет действительность согласия субъекта ПД наличием следующих критериев, предъявляемых к согласию – оно должно быть информированным, конкретным, сознательным.

Новый закон устанавливает, что согласие должно быть также предметным и однозначным. Данные критерии являются оценочными, их содержание в законе не раскрывается.

 

8. Иностранные физические или юридические лица, осуществляющие обработку персональных граждан РФ по поручению оператора, будут нести ответственность перед субъектами наряду с оператором.

Политика конфиденциальности

ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ ООО «ТВЕРСКОЙ ЭКСПРЕСС» ПО ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1.ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика конфиденциальности ООО «Тверской экспресс» по обработке и защите персональных данных (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также обеспечивает меры защиты персональных данных в ООО «Тверской экспресс» (далее – Общество). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых граждан.
1.2. Политика определяется в соответствии с федеральными законами и принятыми на их основе нормативными правовыми актами РФ, регулирующими отношения, связанные с деятельностью Общества:
1) Конституцией Российской Федерации;
2) Трудовым кодексом Российской Федерации;

3) Гражданским кодексом Российской Федерации;
4) Федеральным законом от 19. 12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
5) Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
6) Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
7) Федеральным законом от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
8) Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
9) Федеральным законом от 24.07.2009 № 212-ФЗ «О страховых взносах в Пенсионный фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
10) Локальными нормативными правовыми актами Общества;
11) Договорами, заключаемыми между Обществом и субъектом персональных данных.
1.3.Политика действует бессрочно после утверждения и до ее замены новой редакцией.

2.ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

2.1. В Политике используются следующие основные термины и определения:
Оператор – государственный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции) совершаемые с персональными данными;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение персональных данных;
Субъект персональных данных – контрагент, клиент и их представители могут предоставить следующие персональные данные: Фамилия, Имя, Отчество, адрес проживания, контактный номер телефона, адрес электронной почты, ИНН, ОГРН, банковские реквизиты;
Субъект персональных данных – пользователь сайта может предоставить следующие персональные данные: Фамилия, Имя, Отчество, адрес проживания, контактный номер телефона, адрес электронной почты;
Субъект персональных данных – посетители могут предоставить следующие персональные данные: фамилия, имя, отчество, адрес проживания, контактный номер телефона, данные документов: паспорта РФ, водительского удостоверения;
Субъект персональных данных – кандидат на замещение вакантной должности, сотрудник (работник) Оператора могут предоставить следующие персональные данные:  фамилия, имя, отчество, дату и место рождения, адрес проживания, контактный номер телефона, адрес электронной почты, семейное положение, социальное положение, состояние здоровья, данные документов: паспорта РФ, военного билета, свидетельства о рождении, о заключении/расторжении брака, водительского удостоверения, пенсионного удостоверения, документа об образовании, ИНН, СНИЛС, трудовой книжки;
Субъект персональных данных – учредитель, руководитель, аффилированное лицо Общества могут предоставить следующие персональные данные: фамилия, имя, отчество, дату и место рождения, адрес проживания, контактный номер телефона, адрес электронной почты, данные документов: паспорта РФ, ИНН, СНИЛС;
Персональные данные – любая информация, относящаяся к прямо или косвенно определённому, или определяемому физическому лицу (субъекту персональных данных).
2.2. Специальные категории персональных данных – персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;
2.3. Информационная система – совокупность содержащейся в базе данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
2.4. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
2.5. Защита персональных данных – деятельность Оператора, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.

3.ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3. 1. Общество обрабатывает персональные данные субъектов исключительно в следующих целях:
1) Исполнения положений нормативных актов, указанных в п.1.2 настоящей Политики;
2) При трудоустройстве кандидатов в Общество, при ведении кадрового делопроизводства и личных дел работников Общества;
3) Заключения и выполнения обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами, проведении расчетов с клиентами;
4) При работе с обращениями и заявлениями граждан;
5) Осуществления пропускного и внутриобъектового режимов;
6) В иных законных целях.
3.2. В информационных системах персональных данных Общества обрабатываются следующие категории персональных данных: персональные данные кандидатов на замещение вакантных должностей, работников Общества, персональные данные учредителей, аффилированных лиц Общества, персональные данные контрагентов, клиентов и их представителей, персональные данные посетителей, а также пользователей официального сайта Общества.
3.3. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Субъект персональных данных, предоставляя свои персональные данные Обществу, соглашается на их обработку Обществом.
4.2. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения.
4.3. Обработка персональных данных на основании договоров и иных соглашений Общества, поручений Общества на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений Общества, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности: 
1) цели, условия, сроки обработки персональных данных; 
2) обязательства сторон, в том числе меры по обеспечению конфиденциальности; 
3) права, обязанности и ответственность сторон, касающиеся обработки персональных данных. 
4.4. В случаях, не предусмотренных действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках или оформлено в письменной форме в соответствии с законодательством. Нажимая на кнопку «ОТПРАВИТЬ», «ЗАКАЗАТЬ», «ЗАДАТЬ ВОПРОС» и т.п. любой формы отправки сообщений, Субъект персональных данных подтверждает, что ознакомился с Политикой конфиденциальности ООО «Тверской экспресс» по обработке и защите персональных данных и дает согласие на обработку своих персональных данных.
4.5. Форма согласия на обработку персональных данных и форма согласия на обработку специальных категорий персональных данных и биометрических персональных данных в Обществе утверждена в Положении об обработке и защите персональных данных работников ООО «Тверской экспресс».
4.6. Общество предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:
1) Назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
2) Проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
3) Издание локальных нормативных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
4) Обеспечение физической безопасности помещений (в том числе транспортных средств) и средств обработки, пропускной режим, охрана, видеонаблюдение;
5) Ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
6) Определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
7) Применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
8) Учет и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
9) Резервное копирование информации для возможности восстановления;
10) Осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

5.ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЯЗАННОСТИ ОПЕРАТОРА

5.1. Субъект персональных данных имеет право:
1) Получать достоверную информацию, касающуюся обработки его персональных данных в Обществе, за исключением случаев, предусмотренных законодательства Российской Федерации;
2) Требовать от Общества, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3) Отозвать согласие на обработку персональных данных, направив соответствующий запрос в Общество по электронной почте или обратившись лично;
4) Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами;
5) Для реализации своих прав, указанных в п. 4.6. Политики, субъект персональных данных имеет право обратиться к Обществу. Общество рассматривает любые обращения и жалобы со стороны субъектов персональных данных, расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке;
6) Субъект персональных данных вправе обжаловать действия или бездействие Общества путем обращения в уполномоченный орган по защите прав субъектов персональных данных;
7) Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
5.2. Общество вправе использовать технологию «cookies». «Cookies» не содержат конфиденциальную информацию. Субъект персональных данных настоящим дает согласие на сбор, анализ и использование cookies, в том числе третьими лицами для целей формирования статистики и оптимизации рекламных сообщений.
5.3. Общество получает информацию об ip-адресе посетителя официального сайта www.poezdmegapolis.ru (далее – Сайт). Данная информация не используется для установления личности посетителя.
5.4. Общество не несет ответственности за сведения, предоставленные Субъектом персональных данных на Сайте в общедоступной форме.
5.5. Иные права и обязанности Общества, как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных.
5.6.    Общетсво в своей деятельности обеспечивает:
1) Соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
2) Соблюдение требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
3) Принимает меры, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»; 
5. 7. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
1) Иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
2) Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или иными федеральными законами;
3) Иное не предусмотрено иным соглашением между Обществом и субъектом персональных данных.
5.8. Оператор рассматривает обращения субъекта персональных данных (законного представителя субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных) по вопросу обработки его персональных данных и дает мотивированные ответы в срок, не превышающий 30 календарных дней с даты поступления обращения (запроса).
5.9. Ответственность за нарушение требований законодательства Российской Федерации и нормативных правовых актов Общества, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации.

Хронология истории конфиденциальности / safecomputing.umich.edu

• 1789

  Конституция США

  Конституция США вступила в силу в 1789 году. Не гарантируя явно право на неприкосновенность частной жизни, Верховный суд пришел к выводу, что Конституция обеспечивает право на неприкосновенность частной жизни в ее Первой, Третьей, Четвертой и Пятая поправка.

• 1890

  Брандейс «Право на неприкосновенность частной жизни»

  Law Review Статья

  Право на неприкосновенность частной жизни (или «право быть оставленным в покое») — это обзорная статья, опубликованная в 1890 Harvard Law Review . Написанный главным образом судьей Луи Брандейсом (но приписанный как Брандейсу, так и Сэмюэлю Уоррену), он является одним из самых влиятельных эссе в истории американского права и считается первой публикацией в США, в которой отстаивается право на неприкосновенность частной жизни. Авторы утверждают, что «мгновенные фотографии и газетная деятельность вторглись в священные пределы частной и домашней жизни», и пытаются «рассмотреть, предоставляет ли существующий закон принцип, который можно должным образом использовать для защиты частной жизни человека».

• 1914

  Учреждение FTC

  Закон о Федеральной торговой комиссии (FTCA) 1914 г. учредил Федеральную торговую комиссию и запретил недобросовестную или вводящую в заблуждение коммерческую практику. С 1970-х годов FTC является ведущим федеральным агентством, которое чаще всего занимается вопросами конфиденциальности, правилами и правоприменением.

• 1917

  Постановление о защите запечатанной почты

  Во втором десятилетии 20-го века недавно созданное Бюро расследований активно работало над расследованием актов иностранного саботажа и искоренением подрывной деятельности. Слежка распространялась на мониторинг и незаконное открытие переписки подозреваемых в подрывной деятельности. Когда бюро подало официальный запрос на вскрытие почты, генеральный солиситор судья Уильям Ламар вынес решение против нарушения конфиденциальности и поддержал давно установленные меры защиты запечатанной почты.

• 1948

  Джордж Оруэлл пишет

  1984

  1984 — роман-антиутопия, написанный Джорджем Оруэллом и содержащий темы национализма, футурологии, цензуры и слежки. У жителей Океании, «сверхгосударства», где происходит действие книги, нет личной жизни. Общественные и частные пространства заполнены камерами и микрофонами. Даже мысли контролируются тайными агентами «Полиции мыслей».

• 1948

  Декларация прав человека ООН

  Провозглашенная Генеральной Ассамблеей ООН 10 декабря 1948 г. Декларация прав человека ООН (UDHU) была разработана представителями со всего мира с различными правовыми и культурными фоны. Статья 12 гласит: «Никто не может подвергаться произвольному вмешательству в его частную жизнь, семью, жилище или переписку, а также посягательствам на его честь и репутацию. Каждый имеет право на защиту закона от такого вмешательства или посягательств».

• 1960

  Гражданские правонарушения

  В 1960 году Уильям Л. Проссер, известный юрист того времени, опубликовал статью «Конфиденциальность». В статье, до сих пор считающейся влиятельной в области права на неприкосновенность частной жизни, он описал четыре правонарушения, которые позволяют лицу, чья неприкосновенность частной жизни была нарушена одним из этих четырех способов, подать в суд на нарушителя за причиненный ущерб. Эти деликты используются до сих пор:

  • Вторжение в уединение или уединение или в личные дела;
  • Публичное раскрытие смущающих личных фактов;
  • Публичность, которая выставляет человека в ложном свете в глазах общественности; и
  • Присвоение имени или подобия.

• 1967

  Alan Westin Writes

  Конфиденциальность и свобода

  Алан Вестин, который определил конфиденциальность как «притязание людей … определять для себя, когда, как и в какой степени информация о них передается», помог подготовить почву для современных дебатов о технологиях, конфиденциальности и личной свободе. Его книга, Конфиденциальность и свобода до сих пор остается одной из основополагающих работ по конфиденциальности.

• 1960-е и 70-е годы

  Постановления Верховного суда, касающиеся конфиденциальности

  • Грисволд против Коннектикута (1965) стало знаковым делом Верховного суда, касающимся «закона Комстока» Коннектикута, который запрещал все формы контрацепции. Верховный суд 7 голосами против 2 отклонил закон на основании «права на неприкосновенность частной жизни в браке», заложив основу для права на неприкосновенность частной жизни в отношении интимных практик.
  • Кац против Соединенных Штатов (1967) , знаменательное решение Верховного суда, расширило защиту Четвертой поправки от незаконных обысков и конфискаций за пределами домов и собственности граждан на любое место, где человек имеет разумные основания ожидать конфиденциальности.
  • Eisenstadt v. Baird (1972) было делом Верховного суда США, которое гарантировало право незамужних людей иметь противозачаточные средства. Решение было основано на праве на неприкосновенность частной жизни, установленном в деле Грисволд против Коннектикута, и на пункте о равной защите Четырнадцатой поправки.

• 1973

  Записи, компьютеры и права граждан: отчет Консультативного комитета HEW по автоматизированным системам персональных данных

  Консультативный комитет секретаря Министерства здравоохранения, образования и социального обеспечения (HEW) по автоматизированным системам персональных данных (SACAPDS) разработал знаменательный документ 1973 года «Записи, компьютеры и права граждан, отчет Консультативного комитета секретаря по автоматизированным системам персональных данных». Отчет был источником Fair Information Practices — набор принципов, которые легли в основу современного законодательства о конфиденциальности.

• 1974

  FERPA Неприкосновенность частной жизни учащихся

  FERPA, Закон о правах семьи на образование и неприкосновенность частной жизни от 1974 г., или Поправка Бакли, представляет собой федеральный закон, защищающий конфиденциальность сведений об образовании учащихся. Закон распространяется на все школы, колледжи, университеты и другие учреждения, получающие средства от Министерства образования США.

• 1974

  Закон о конфиденциальности 1974 г.

  Закон о конфиденциальности 1974 г., принятый 31 декабря 1974 г., представляет собой федеральный закон США, устанавливающий Кодекс добросовестной информационной практики в отношении сбора, хранения, использования и распространения информации, позволяющей установить личность, федеральными агентствами. .

• 1977

  Отчет Комиссии по конфиденциальности

  Комиссия США по изучению защиты конфиденциальности, созданная в соответствии со статьей 5 Закона о конфиденциальности 1974 года, должна была оценить Закон о конфиденциальности и выпустить отчет, содержащий его выводы и рекомендации по улучшению. Комиссия опубликовала свой окончательный отчет и прекратила свою деятельность в 1977.

• 1986

  TCPA и Национальный реестр запрета звонков

  Закон о защите потребителей телефонных услуг (TCPA) и Национальный реестр запрета звонков регулируют телемаркетинговые звонки и автоматический набор номера по телефону. TCPA запрещает определенные типы призывных звонков, а Реестр «Не звонить» позволяет потребителям отказаться от телемаркетинговых звонков.

• 1991

  Общие правила конфиденциальности исследований на людях

  В 1991 году были внесены поправки в Раздел 45 CFR 46 (Общественное благосостояние) Министерства здравоохранения и социальных служб США, подразделы A, B, C и D. Подчасть A, известная как Общее правило, представляет собой обновленную версию правила 1981 года. этики в Соединенных Штатах в отношении биомедицинских и поведенческих исследований с участием людей. Он был принят Институциональными наблюдательными советами для надзора за исследованиями на людях и является этическим стандартом, регулирующим все исследования, финансируемые государством (и большинство неправительственных) исследований в США. Последний раз регламент обновлялся в 2018 году9.0009

• 1995

  Директива ЕС о защите данных

  Принятая Европейским Союзом в 1995 году Директива о защите данных регулирует обработку персональных данных в ЕС. По сравнению с Соединенными Штатами право на неприкосновенность частной жизни является более развитой областью права в ЕС. Директива о защите данных была заменена Общим регламентом защиты данных (GDPR) в 2018 году.

• 1996

  HIPAA Health and Medical Privacy

  HIPAA, или Закон о переносимости и подотчетности медицинского страхования от 1996 г. , был создан для оптимизации потока медицинской информации, защиты информации, позволяющей установить личность, хранимой в сфере здравоохранения и медицинского страхования, от кражи и мошенничества, а также для устранения ограничений на медицинское страхование. . Также известный как закон Кеннеди-Кассебаума, он был принят Конгрессом США 104-го созыва и подписан президентом Биллом Клинтоном.

• 1998

  COPPA Конфиденциальность детей в Интернете

  COPPA, или Закон о защите конфиденциальности детей в Интернете, стал федеральным законом США 21 октября 1998 года. возраст как в США, так и за их пределами. Он включает информацию о том, что веб-сайты должны включать в свою политику конфиденциальности, как проверить согласие родителей или опекунов и как сайты должны защищать безопасность и конфиденциальность детей в Интернете.

• 1999

  Главный советник по вопросам конфиденциальности в федеральном правительстве

  До того, как в государственных учреждениях США появились главные советники по вопросам конфиденциальности, у них были сотрудники Закона о конфиденциальности. В первую очередь они касались запросов от частных лиц о предоставлении их государственных документов в соответствии с положениями о доступе Закона о конфиденциальности и Закона о свободе информации (FOIA). Понимая необходимость более эффективной должности, администрация Клинтона начала требовать от агентств назначения главного советника по вопросам конфиденциальности. Питер Свайр был назначен главным советником по вопросам конфиденциальности администрации Административно-бюджетного управления.

• 1999

  Закон Грэмма-Лича-Блайли

  Закон Грэмма-Лича-Блайли (GLBA), или Закон о финансовой модернизации 1999 года, представляет собой федеральный закон, требующий раскрытия финансовыми учреждениями информации о том, как они обмениваются и защищают данные частных клиентов. Закон требует, чтобы финансовые учреждения объясняли, как происходит обмен данными клиентов, предоставляли клиентам возможность отказаться от обмена информацией и защищали личные данные с помощью плана безопасности, разработанного учреждением. Основные средства защиты данных изложены в Правиле гарантий GLBA. Реализация закона была инициирована и обеспечена соблюдением Правил Федеральной торговой комиссии о конфиденциальности финансовой информации потребителей (Правила конфиденциальности), федеральных банковских агентств и других федеральных регулирующих органов, а также органов государственного страхового надзора.

• 1999

  Первый директор по вопросам конфиденциальности

  Директор по вопросам конфиденциальности (CPO) является руководителем высшего уровня, ответственным за управление рисками, связанными с законами о конфиденциальности информации, и обеспечение их соблюдения. Роль существует во все большем числе корпораций, государственных учреждений и других организаций. В то время как первый пример CPO можно найти в 1991 году, когда он реализовал эту роль в компании Acxiom, занимающейся маркетингом потребительских баз данных, он стал более известен в 1991 году.99. Компания AllAdvantage, занимающаяся технологиями интернет-рекламы, наняла юриста по вопросам конфиденциальности Рэя Эверетта.

• 2002

  Закон об электронном правительстве 2002 г.

  Закон об электронном правительстве 2002 г. был принят Конгрессом с целью привести федеральное правительство в 21 век путем применения достижений информационных технологий для улучшения доступа к государственным органам и их использования. услуги и информация. Центральной частью законодательства было требование ко всем федеральным правительственным агентствам проводить оценку воздействия на конфиденциальность (PIA) для любой новой технологии, которая «собирает, хранит или распространяет личную информацию (PII), или для нового агрегирования информации, которая собирается, поддерживается или распространяется с использованием информационных технологий».

• 2003

  Законы штата об уведомлении об утечке данных

  В 2003 году Калифорния стала первым штатом, принявшим законы об уведомлении об утечке данных. Новое законодательство требовало от компаний и государственных учреждений раскрывать информацию о раскрытии личной информации Californian в результате нарушения безопасности. Большинство других штатов США и некоторые юрисдикции за рубежом разработали свои законы о раскрытии информации об утечке данных по образцу этого закона.

• 2010

  Красный флаг Защита от кражи личных данных

  В 2008 году Федеральная торговая комиссия (FTC) и Национальная администрация кредитных союзов (NCUA) разработали правило красного флага. Правило было разработано, чтобы помочь предотвратить кражу личных данных. Несмотря на то, что закон был принят в январе 2008 г., его исполнение было отложено до 31 декабря 2010 г. из-за несогласия оппозиции.

• 2012

  Право ЕС на забвение

  В 2012 году Европейская комиссия выпустила проект европейского регламента по защите данных, который заменит собой директиву ЕС о защите данных. Закон позволяет гражданам ЕС подавать запросы в поисковые системы, чтобы личная информация была удалена из результатов поиска по их имени.

• 2018

  GDPR

  Общий регламент по защите данных (GDPR) — это закон о защите данных и конфиденциальности, который вступил в силу в Европейском союзе (ЕС) и Европейской экономической зоне (ЕЭЗ) 25 мая 2018 года. также относится к передаче персональных данных за пределы ЕС и ЕЭЗ.

• 2020

  CCPA

  Закон штата Калифорния о конфиденциальности потребителей (CCPA) — это закон штата, призванный регулировать порядок обращения компаний с личной информацией жителей штата Калифорния. Закон CCPA был подписан в 2018 г. и вступил в силу 1 января 2020 г.

• 2021

  Законы штата о конфиденциальности

  2 марта 2021 года губернатор Вирджинии подписал Закон о защите данных потребителей. Вслед за Калифорнией Вирджиния стала вторым штатом, принявшим основное законодательство о конфиденциальности, имеющее общее применение в Соединенных Штатах. CDPA вступит в силу 1 января 2023 года.

  8 июля 2021 года штат Колорадо официально принял Закон штата Колорадо о конфиденциальности. Закон вступает в силу с 1 июля 2023 года. 

• 2021 и последующие годы

  Реальность вечной связи

  Мы живем в мире вездесущих технологий, неизбирательного сбора данных и повсеместного наблюдения. Эти события представляют собой фундаментальные проблемы для того, как мы воспринимаем и подходим к конфиденциальности, даже если они часто облегчают нашу жизнь.

  Вместо того, чтобы вести проигрышную битву с технологическими вторжениями, мы должны приложить больше усилий для признания внутренней ценности наших данных. Это позволит нам сместить акцент на понимание и реализацию наших прав и возможностей, а также на принятие обоснованных решений, когда речь идет о том, как используются наши данные.

  Действуя сейчас, мы можем гарантировать, что в будущем у нас будет место, где мы можем быть самими собой и оставаться в одиночестве.

законов США о конфиденциальности данных вступят в новую эру в 2023 г. философия, лежащая в основе законов о конфиденциальности данных в Соединенных Штатах.

Исторически здешние законы о конфиденциальности данных коренились в сборе средств защиты конфиденциальности, «основанных на предотвращении вреда», направленных на предотвращение или смягчение вреда в определенных секторах. Напротив, в соответствии с более широким подходом, основанным на правах, примером которого является Общий регламент ЕС по защите данных (GDPR), люди фактически владеют своей личной информацией и, таким образом, предположительно имеют законное право распоряжаться ею, а кто может ее использовать — это вопрос. чтобы они решили.

Вслед за Калифорнией четыре других штата — Колорадо, Коннектикут, Юта и Вирджиния — начнут применять новые законы, вдохновленные GDPR, в 2023 году. Обязательно последуют и другие штаты. Последствия этого фундаментального изменения основополагающих философских основ защиты конфиденциальности данных будут значительными в ближайшие годы и десятилетия. 2023 год ознаменует собой сдвиг.

Соединенные Штаты исторически разрешали предприятиям и учреждениям собирать личную информацию без явного согласия, при этом регулируя такое использование для предотвращения или уменьшения вреда в определенных секторах.

Например, эти секторы включают законы и постановления, применимые к финансовому (например, Закон Грэма-Лича-Блайли (GLBA)) и медицинскому сектору (Закон о переносимости и подотчетности медицинского страхования (HIPAA)), образованию (права семьи на образование и неприкосновенность частной жизни). Закон (FERPA)), дети (Закон о защите конфиденциальности детей в Интернете (COPPA)) и другие сектора как на федеральном уровне, так и на уровне штатов.

Уставы, подобные этому, создают правила, применимые к определенным отраслям и типам учреждений. Эти правила защищают и предотвращают неправомерное использование определенных категорий личной информации. В соответствии с их основной философией, позволяющей собирать и использовать личную информацию, но предотвращать вред, эти правила налагают ограничения на отрасли и учреждения в отношении их обработки личной информации.

В отличие от этой философии, основанной на предотвращении вреда, страны Европейского союза (ЕС) уже давно придерживаются режима защиты личной информации, основанного на правах человека. Исторически эта философия утверждает, что конфиденциальность данных является одним из основных прав человека. Люди эффективно владеют своей личной информацией, и решать, кто может ее использовать, — это их дело.

Это отличающееся мировоззрение права на неприкосновенность частной жизни уходит корнями в исторический опыт страданий европейцев из-за печально известного сбора данных нацистами, которые собирали и систематизировали информацию о происхождении и принадлежности людей (среди прочего) и использовали ее для совершения злодеяний. . Чудовищность этих преступлений против человечности сопровождалась аналогичным сбором данных тайной полицией бывшей коммунистической Восточной Германии. Эта трагическая история привела к понятной необходимости регулирования сбора, хранения и использования личной информации.

В 1970 году в немецкой земле Гессен был принят первый в мире закон о защите данных за десятилетия до того, как Интернет и Всемирная паутина стали повсеместными. В 1978 году в Германии был принят Федеральный закон о защите данных. А в 1983 году Федеральный конституционный суд Германии постановил, что каждый человек имеет конституционное право на «информационное самоопределение».

С таким историческим прошлым в Европе и Германией, выступающей в качестве лидера в разработке законов о конфиденциальности данных, к 2016 году ЕС осознал необходимость модернизированного подхода к конфиденциальности данных. Это признание возникло в свете достижений в области информационных технологий и ускорения использования персональных данных в глобально взаимосвязанном мире. Соответственно, ЕС принял Общий регламент по защите данных (GDPR). GDPR, вступивший в силу в 2018 году, кодифицировал несколько ключевых принципов, отражающих европейскую философскую основу защиты конфиденциальности данных, основанную на правах человека.

Понимание основных принципов, кодифицированных в GDPR, полезно для понимания того, что происходит с новыми законами о конфиденциальности данных, которые должны вступить в силу в ближайшие недели и месяцы 2023 года. Новые законы вступят в силу в 2023 году в Калифорнии, Колорадо, Коннектикут, Юта и Вирджиния (а также другие штаты, которые, вероятно, последуют их примеру в ближайшие годы) отражают влияние основанной на правах человека философской основы GDPR. Эти новые законы представляют собой комплексный подход к защите конфиденциальности, применимый к предприятиям во многих секторах, в дополнение к законам для конкретных секторов, которые остаются в силе.

GDPR подразделяет на «контроллеров данных» и «обработчиков данных». Контроллеры данных, как следует из названия, — это предприятия и организации, которые контролируют сбор и использование данных — контроллеры данных решают, что делать с данными. Обработчики данных выполняют инструкции, предоставленные контроллерами данных. Обязательства, которые применяются к контроллерам данных, и их ответственность отличаются от тех, которые применяются к обработчикам данных. Новые законы штатов о конфиденциальности данных содержат это различие и подход.

GDPR устанавливает несколько прав физических лиц в отношении их личной информации. Конкретные применимые права зависят от типа данных, особенно данных, считающихся очень конфиденциальными. Детали в законах США различаются, но в основном права аналогичны правам, изначально установленным в GDPR.

Эти права включают следующее:

•Доступ — физические лица имеют право запрашивать доступ для проверки своей личной информации.

• Исправление — физические лица имеют право требовать исправления ошибок в их личной информации.

• Переносимость — физические лица имеют право потребовать, чтобы их личная информация была передана другому лицу.

•Удаление — физические лица имеют право потребовать удаления их личной информации.

•Согласие — физические лица имеют право решать, может ли их личная информация быть продана или может быть использована для целей получения целевой рекламы.

• Апелляция — физические лица имеют право обжаловать отказ компании в удовлетворении их запроса.

Помимо обеспечения этих прав для отдельных лиц (называемых «субъектами данных» на языке GDPR), GDPR устанавливает определенные руководящие принципы. Эти принципы включают следующее:

• Конфиденциальность или защита данных по дизайну — система управления данными должна быть разработана с учетом защиты конфиденциальности (включая сопоставление данных, чтобы вы знали, какие данные где хранятся, а средства защиты соответствовали уровню чувствительности данных).

• Ведение записей — необходимо вести соответствующие записи в отношении сбора, обработки и использования данных.

•Минимизация данных — личная информация, особенно конфиденциальная, должна храниться, если вообще хранится, только до тех пор, пока она служит своим целям. Если данные не хранятся, хакеры не могут их украсть.

•Прозрачность, информированное согласие и законное использование — личная информация должна использоваться с информированного согласия субъектов данных, понятным для них образом и только в законных целях, разрешенных законом.

• Специалисты по защите данных и оценки защиты данных — обученный персонал должен следить за соблюдением требований защиты конфиденциальности, а защита данных должна оцениваться с использованием соответствующих принципов управления рисками.

• Передовые методы кибербезопасности — данные должны быть защищены с использованием передовых методов кибербезопасности, чтобы свести к минимуму риски утечки данных, включая соответствующие физические и технологические средства защиты.

• Уведомления об утечке данных — в случае утечки данных должен быть разработан проверенный план реагирования на инциденты, чтобы гарантировать своевременную доставку соответствующих уведомлений в различные сроки, предусмотренные законодательством.

• Обучение сотрудников — сотрудники должны быть обучены методам защиты конфиденциальности в соответствии с хорошо разработанными политиками, а доступ сотрудников к конфиденциальной личной информации должен быть ограничен для снижения рисков.

• Требование надлежащей договорной формулировки — положения договора, касающиеся защиты данных и конфиденциальности, должны использоваться для обеспечения того, чтобы поставщики и подрядчики также принимали меры против неправомерного использования и утечки личной информации.

Приведенные выше списки прав и правовых принципов не являются исчерпывающими; 99 статей GDPR содержат гораздо больше. Но знакомство с ними помогает изучить быстро меняющиеся законы о конфиденциальности данных в США и предвидеть появление новых.

Вот список новых законов штата о конфиденциальности данных, которые должны быть опубликованы в 2023 году:

(1) Большинство положений Калифорнийского закона о правах на неприкосновенность частной жизни (CPRA) вступают в силу 1 января 2023 года. Закон Калифорнии о конфиденциальности потребителей (CCPA), который уже создал ряд индивидуальных прав по образцу GDPR. CPRA создало новое государственное агентство, аналогичное агентствам по защите данных в странах ЕС, которым поручено обеспечивать соблюдение GDPR.

(2) Закон штата Колорадо о конфиденциальности (CPA) вступает в силу 1 июля 2023 г. В дополнение к созданию прав, основанных на индивидуальных правах в соответствии с GDPR, CPA требует обеспечения безопасности данных и положений контракта для поставщиков, а также оценки «высокого риска». обработка.

(3) Закон штата Коннектикут о конфиденциальности данных (CDPA), как и новый закон штата Колорадо о конфиденциальности, вступает в силу 1 июля 2023 г. CDPA также создает набор индивидуальных прав, подобных GDPR, и требует минимизации данных, безопасности и оценки. для обработки «высокого риска».

(4) Закон штата Юта о конфиденциальности потребителей (UCPA) вступает в силу 31 декабря 2023 г. Он предусматривает определенные индивидуальные права, подобные GDPR, а также требует обеспечения безопасности данных и положений контракта. Но UCPA не включает в себя явно требуемые оценки рисков.

(5) Закон штата Вирджиния о конфиденциальности данных потребителей (VCDPA) вступает в силу 1 января 2023 г. Он предусматривает определенные права личности, подобные GDPR. Но в 2022 году «право на удаление» было заменено правом отказа от определенной обработки.

Несмотря на то, что эти новые законодательные акты штатов должны быть всеобъемлющими, они содержат определенные исключения для данных, уже защищенных другими законами, такими как HIPAA. Уставы различаются в зависимости от их охвата, в зависимости от предприятий, которые достигают определенных пороговых значений дохода, или в зависимости от количества жителей, потребителей, домохозяйств или устройств с данными в соответствующем состоянии. Каждый закон уникален и должен быть тщательно проанализирован в отношении его сферы действия, требований, возможных обязательств и санкций, а также средств его обеспечения.