Вступил в силу Федеральный закон «О персональных данных»
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор — Уполномоченный орган по защите прав субъектов персональных данных) информирует Вас, что в январе 2007 года вступил в силу Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В соответствии с требованиями пункта 2 статьи 3 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (т.
е. имеющие персональный ИНН/КПП, ОГРН или ОГРНИП — для индивидуальных предпринимателей).
В соответствии с требованиями ч. 1 ст. 22 Федерального закона «О персональных данных» Операторы, которые осуществляют обработку персональных данных, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных Уведомление об обработке персональных данных. Официальные (информационные) сообщения о начале приема Уведомлений от операторов, осуществляющих обработку персональных данных были опубликованы в основных печатных изданиях, переданы по телевидению и размещены на сайте в сети Интернет.
С 1 сентября 2015 года вступил в силу Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», которым внесены изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» в части дополнения формы уведомления об обработке персональных данных сведениями о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации.
Оператор после 01.09.2015 обязан направить в территориальное управление Роскомнадзора уведомление с указанием, в том числе, места нахождения базы данных. В случае внесения изменений в имеющиеся сведения об операторе в реестре операторов должно быть направлено соответствующее информационное письмо.
Согласно части 1 статьи 23 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных», пункта 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г. № 228, Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
На территории Краснодарского края и Республики Адыгея таким органом является Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Южному федеральному округу — (350001, г. Краснодар, ул. Маяковского, 158, тел. (861) 991-24-43).
Подробная информация по всему спектру деятельности Роскомнадзора в сфере защиты прав субъектов персональных данных размещена на сайте Роскомнадзора (http://rkn.gov.ru), на Портале персональных данных Уполномоченного органа по защите прав субъектов персональных данных (http://pd.rkn.gov.ru), на сайте Управления Роскомнадзора по Южному федеральному округу (http://23.rkn.gov.ru). Доступ к реестру операторов, осуществляющих обработку персональных данных, размещен на сайте Роскомнадзора (http://rkn.gov.
ru/personal—data/register/).
Федеральный закон № 519-ФЗ от 30.12.2020
Принят
Государственной Думой
23 декабря 2020 года
Одобрен
Советом Федерации
25 декабря 2020 года
Статья 1
Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; 2010, N 31, ст. 4173, 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, 4243; 2016, N 27, ст. 4164; 2017, N 27, ст. 3945; N 31, ст. 4772; 2018, N 1, ст. 82; 2019, N 52, ст. 7798; 2020, N 17, ст. 2701) следующие изменения:
1) статью 3 дополнить пунктом 1.
1 следующего содержания:
2) пункт 10 части 1 статьи 6 признать утратившим силу;
3) статью 9 дополнить частью 9 следующего содержания:
«9. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.»;
4) пункт 2 части 2 статьи 10 изложить в следующей редакции:
«2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.
1 настоящего Федерального закона;»;
5) дополнить статьей 10.1 следующего содержания:
«Статья 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения
1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
4. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.
5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.
6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:
1) непосредственно;
2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
7. Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.
8. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
10. Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.
11. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.
13. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи.
14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд.
Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.
15. Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.»;
6) пункт 3 части 4 статьи 18 изложить в следующей редакции:
«3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;»;
7) пункт 4 части 2 статьи 22 изложить в следующей редакции:
«4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.
1 настоящего Федерального закона;».
Статья 2
1. Настоящий Федеральный закон вступает в силу с 1 марта 2021 года, за исключением абзаца десятого пункта 5 статьи 1 настоящего Федерального закона.
2. Абзац десятый пункта 5 статьи 1 настоящего Федерального закона вступает в силу с 1 июля 2021 года.
Президент
Российской Федерации
В.ПУТИН
Москва, Кремль
30 декабря 2020 года
N 519-ФЗ
Федеральных законов о защите данных | ОБРАЗОВАНИЕ
На этой странице представлен краткий список наиболее распространенных федеральных законов о защите данных. Чтобы получить более полный список основных федеральных законов и нормативных актов, регулирующих деятельность колледжей и университетов, посетите веб-сайт Альянса по соблюдению требований к высшему образованию и просмотрите матрицу соответствия требованиям HECA.
Следующие федеральные законы применяются к о том, как высшие учебные заведения и неправительственные организации собирают и используют данные .
- Закон об образовании и неприкосновенности частной жизни семьи от 1974 г. (FERPA) : Защищает учащихся и их семьи, обеспечивая конфиденциальность образовательных документов учащихся. Образовательные записи — это записи, поддерживаемые агентством или учреждением, содержащие персональные данные учащихся и данные об образовании. FERPA распространяется на начальные и средние школы, колледжи и университеты, профессиональные колледжи, а также государственные и местные образовательные учреждения, которые получают финансирование в рамках любой программы, администрируемой Министерством образования США.
- Дополнительную информацию см. на веб-сайте FERPA Министерства образования США.
Закон о переносимости и подотчетности медицинского страхования от 1996 г.
(HIPAA) : Требует, чтобы подпадающие под действие страховых компаний (как правило, поставщики медицинского и медицинского страхования и их партнеры) защищали безопасность и конфиденциальность медицинских записей. Этот закон часто используется в разговорах о данных студентов, когда в учреждениях есть медицинский центр в кампусе, а медицинские карты студентов интегрированы с студенческими документами об образовании (которые защищены FERPA).Закон Gramm Leach Bliley Act (GLBA) : применяется к финансовым учреждениям и содержит положения о конфиденциальности и информационной безопасности, предназначенные для защиты финансовых данных потребителей. Этот закон также применяется к тому, как учебные заведения собирают, хранят и используют финансовые отчеты (например, отчеты об оплате обучения студентов и/или финансовой помощи), содержащие личную информацию.
Закон о честных и точных кредитных сделках от 2003 г. (FACTA или «правило красного флага») : Требуется, чтобы организации, участвующие в определенных видах потребительских финансовых операций, знали о предупреждающих признаках кражи личных данных и предпринимали шаги для реагирования на предполагаемые случаи кражи личных данных.
Как и GLBA, этот закон применяется к тому, как учебные заведения собирают, хранят и используют финансовые отчеты студентов.
(HIPAA) : Требует, чтобы подпадающие под действие страховых компаний (как правило, поставщики медицинского и медицинского страхования и их партнеры) защищали безопасность и конфиденциальность медицинских записей. Этот закон часто используется в разговорах о данных студентов, когда в учреждениях есть медицинский центр в кампусе, а медицинские карты студентов интегрированы с студенческими документами об образовании (которые защищены FERPA).
Как и GLBA, этот закон применяется к тому, как учебные заведения собирают, хранят и используют финансовые отчеты студентов.Следующие законы применяются к тому, как федеральное правительство собирает и использует данные .
- Закон о конфиденциальности от 19 г.74 : Предназначен для защиты конфиденциальности записей, созданных и используемых федеральным правительством. В законе изложены правила, которым должно следовать федеральное агентство для сбора, использования, передачи и раскрытия информации, позволяющей установить личность человека. Закон также требует, чтобы агентства собирали и хранили только минимальную информацию, необходимую им для ведения бизнеса. Кроме того, закон требует, чтобы агентства уведомляли общественность о любых хранящихся у них записях, которые можно получить с помощью личного идентификатора (например, имени или номера социального страхования).
- Дополнительную информацию см. на веб-сайте Закона о конфиденциальности Министерства юстиции США.
- Дополнительную информацию см.
- Закон об электронном правительстве от 2002 г. : Требует, чтобы федеральные агентства анализировали и оценивали риски конфиденциальности для своих ИТ-систем и публично публиковали уведомления о конфиденциальности о своих методах сбора данных. Этот закон дополняет Закон о конфиденциальности 1974 года и был предназначен для расширения доступа к электронным государственным ресурсам. В соответствии с этим законом агентство, которое собирает личную информацию, должно провести оценку воздействия на конфиденциальность, прежде чем собирать эту информацию. В оценке воздействия на конфиденциальность должны быть указаны данные, которые агентство будет собирать, как оно собирает эти данные, как оно будет использовать и/или делиться данными, есть ли у отдельных лиц возможность дать согласие на конкретное использование данных (например, любое использование, не связанное с иное разрешено законом), как агентство будет защищать данные и будут ли собранные данные храниться в системе записей, как это определено Законом о конфиденциальности.
- Дополнительную информацию см. на веб-сайте Закона об электронном правительстве Министерства юстиции США.
- Федеральный закон об управлении информационной безопасностью от 2002 г. (FISMA) : предназначен для защиты безопасности федеральных систем информационных технологий и данных, содержащихся в этих системах. Этот закон и его положения применяются к федеральным агентствам, а также к подрядчикам и филиалам этих агентств (например, образовательным учреждениям, получающим грант от государственного органа). FISMA требует, чтобы федеральные агентства реализовывали программы информационной безопасности с учетом рисков, соответствующие определенным национальным стандартам. Он также требует, чтобы эти программы ежегодно подвергались независимой проверке.
- Дополнительную информацию см. на веб-сайте FISMA Министерства внутренней безопасности США.
на веб-сайте Закона о конфиденциальности Министерства юстиции США.
Вопросы или комментарии? Свяжитесь с нами.
Если не указано иное, эта работа находится под лицензией Creative Commons Attribution-NonCommercial-ShareAlike 4.
0 International License (CC BY-NC-SA 4.0) .
Двухпартийный законопроект выводит из тупика федеральные переговоры о конфиденциальности данных
Председатель Палаты представителей по энергетике и торговле Фрэнк Паллоне (Д-Н.Дж.), высокопоставленный член Кэти МакМоррис Роджерс (Р-Вашингтон) и сенатор Роджер Уикер (Р-Мисс.), высокопоставленный член Сенатского комитета по торговле, авторы новый законопроект о конфиденциальности, говорится в заявлении, что «эти двухпартийные и двухпалатные усилия по созданию всеобъемлющей системы конфиденциальности данных разрабатывались годами, и публикация этого проекта для обсуждения представляет собой важную веху».
Член палаты представителей Ян Шаковски (штат Иллинойс), председатель подкомитета по защите прав потребителей Палаты представителей по энергетике и торговле, заявил, что законопроект «положит конец дискриминационному использованию ваших данных, он обяжет компании соблюдать высокие стандарты безопасности и минимизации данных, и это запретит практику оплаты за конфиденциальность».
Прямо сейчас данные американцев защищены — местами — лоскутным одеялом государственных и отраслевых законов о конфиденциальности, таких как закон 1999 года о защите финансовой информации, закон 1996 года о защите медицинской информации и закон 1974 года о защите собранной информации. правительством.
Законодатели пытались принять национальный закон о конфиденциальности с 1970-х годов. Последний раз все выглядело многообещающе в конце 2019 года , когда сотрудники двухпартийной Палаты представителей по энергетике и торговле поделились законопроектом о конфиденциальности, а лидеры сенатского комитета по торговле ввели отдельные меры по партийным принципам, но ни один из них не продвинулся из своих комитетов.
Группы по защите интересов потребителей и гражданских прав приветствовали обсуждение проекта. «Права на неприкосновенность частной жизни — это гражданские права», — заявил в своем заявлении Дэвид Броуди, управляющий поверенный инициативы Digital Justice в Комитете юристов по гражданским правам в соответствии с законом.
Он сказал, что группа воодушевлена тем, что законопроект «обуздает безудержную дискриминацию, связанную с данными, которая возникает из-за отсутствия защиты конфиденциальности».
Представители отрасли также настроены оптимистично. «Мы больше, чем за последние годы, надеемся, что двухпартийный законопроект о конфиденциальности сможет попасть на стол президента в этом Конгрессе», — сказал Карл Холсхаузер, старший вице-президент TechNet, лоббистской группы, представляющей Google, Meta и Amazon. в заявлении.
Компромиссный законопроект включает в себя соглашение о том, что федеральный закон будет превалировать над законами штатов по умолчанию — с исключениями, в частности, для законов Калифорнии и Иллинойса, а также для широких классов законов штатов — и определенные ограниченные права физических лиц предъявлять иски о возмещении денежного ущерба, если компания нарушает их конфиденциальность, что называется «частным правом на действия». Республиканцы ранее хотели упредить все законы штата, в то время как демократы хотели, чтобы у отдельных лиц было широкое частное право действовать.
Законопроект о компромиссе включает положения, которые требуют, чтобы группы, собирающие данные, минимизировали то, что они собирают. «Застрахованным лицам запрещается собирать, обрабатывать или передавать защищенные данные сверх того, что разумно необходимо, соразмерно и ограничивается предоставлением конкретных продуктов и услуг», — говорится в кратком изложении законопроекта, предоставленном его спонсорами.
Законопроект также запрещает передачу конфиденциальных данных третьим лицам без «явно выраженного согласия лица, которому они принадлежат», говорится в сводке. Это также потребует, чтобы «крупные держатели данных, которые используют алгоритмы, ежегодно оценивали свои алгоритмы и представляли ежегодные оценки воздействия алгоритмов в FTC». Он усиливает защиту конфиденциальности данных в Интернете для детей младше 17 лет и запрещает таргетированную рекламу для детей младше 17 лет9.0005
Если сегодняшний компромисс станет законом, это приблизит США к уровню Европы, где действует несколько таких широких правил конфиденциальности, включая Общий регламент по защите данных или GDPR.
Безусловно, несмотря на то, что двухпартийные переговоры о конфиденциальности зашли дальше, чем когда-либо прежде, один ключевой переговорщик — председатель Сената по торговле Мария Кантуэлл (штат Вашингтон) — настроен скептически.
В своем заявлении Кантуэлл сказал: «Для того чтобы американские потребители имели значимую защиту конфиденциальности, нам нужен сильный федеральный закон, не пронизанный лазейками в правоприменении. Потребители заслуживают возможности защищать свои права в первый же день, а не четыре года спустя».
Законопроект включает четырехлетний мораторий после принятия, прежде чем могут быть поданы какие-либо частные иски.
Тем временем Кантуэлл поделилась пересмотренной версией своего Закона о правах потребителей в Интернете, впервые представленного в 2019 году, отраслевым группам и группам по защите конфиденциальности. В обновленной версии «существенный ущерб конфиденциальности» будет определяться как предполагаемый финансовый ущерб лицу в размере 1000 долларов США или более или предполагаемый физический, психический или репутационный ущерб.
Законопроект Кантуэлла не позволит компаниям использовать пользовательские соглашения, чтобы заставить отдельных лиц обращаться в арбитраж для урегулирования споров, а не подавать иски в суд, согласно проекту, полученному POLITICO.
Напротив, двухпартийный законопроект не запрещает компаниям принуждать клиентов к использованию арбитража, за исключением случаев, когда речь идет о детях. Компании регулярно включают такие пункты в пользовательские соглашения и настаивают на сохранении этого права.
Триша Энрайт, представитель большинства в сенатском комитете по торговле, заявила, что Кантвелл хочет провести в этом месяце надбавку к двухпартийному федеральному законопроекту о конфиденциальности наряду с законопроектами, касающимися конфиденциальности детей.
Однако в календаре Конгресса осталось совсем немного времени, прежде чем Конгресс прервется на августовский перерыв, а затем перейдет к промежуточным срокам. Неясно, сможет ли Конгресс провести федеральный закон о конфиденциальности в этом году.
Лидер большинства в Сенате Чак Шумер на прошлой неделе призвал Кэнтуэлл как можно скорее завершить двухпартийное соглашение, по словам человека, знакомого с разговором между ними, которому была предоставлена анонимность, поскольку они не имели права говорить под запись. Поддержка руководства имеет решающее значение, учитывая ограниченное количество календарных дней в законодательные органы, оставшееся до промежуточных выборов.
Срок действия ограничен также из-за смены руководства комитета. У Уикера, вероятно, осталось мало времени в качестве высокопоставленного члена Сената по торговле, поскольку он указал, что возьмет на себя высшую руководящую роль Республиканской партии в Комитете Сената по вооруженным силам после выхода на пенсию сенатора 9.0086 Джим Инхоф (R-Оклахома). Ожидаемая замена Уикера в Senate Commerce — сенатор Тед Круз (R-Texas) — не был лидером на федеральных переговорах о конфиденциальности.
«Возможно, это тот момент, когда Уикер действительно сможет поставить свою печать на счете, прежде чем он потенциально выйдет из этого комитета», — сказал Дивья Шридхар, старший директор по политике защиты данных в технологической группе SIIA.
