Изменения по персональным данным с 1 июля 2020 года: С 1 июля 2020 года в Москве будет проводиться эксперимент по установлению правового режима, связанного с разработкой и внедрением технологий искусственного интеллекта

Понятие искусственного интеллекта закреплено в федеральном законе

Одна из экспертов «АГ» отметила, что вводимый законом режим регуляторной песочницы позволяет игнорировать некоторые законодательные ограничения в целях развития новых технологий. Второй счел особенно интересными нововведения в части обработки персональных данных, поскольку в них усматривается забота не только об участниках рынка, но и о рядовых пользователях. Третий эксперт полагает, что с учетом правовой природы регуляторных песочниц следовало бы предоставить госорганам Москвы возможность изменять или не применять отдельные федеральные нормы в случае необходимости.

24 апреля подписан и опубликован Закон № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона “О персональных данных”», согласно которому с 1 июля 2020 г. в Москве начнет действовать специальный правовой режим для более эффективного использования искусственного интеллекта.

Суть нового правового режима

Экспериментальное регулирование вводится на 5 лет не только для разработки и внедрения технологий искусственного интеллекта, но и последующего «возможного использования результатов» применения искусственного интеллекта. Документ, как было указано при внесении законопроекта в Госдуму, разработан во исполнение послания Президента РФ Федеральному Собранию от 15 января 2020 г. для развития технологий искусственного интеллекта (№ 896438-7).

Согласно подп. 2 п. 1 ст. 2 Закона под искусственным интеллектом понимается комплекс технологических решений, позволяющий имитировать когнитивные функции человека и получать при выполнении конкретных задач результаты, сопоставимые, как минимум, с результатами интеллектуальной деятельности человека. Такой комплекс технологических решений включает в себя информационно-коммуникационную инфраструктуру, программное обеспечение, а также процессы и сервисы по обработке данных и поиску решений.

Закон определяет полномочия высшего исполнительного органа государственной власти Москвы, которым на сегодняшний день является правительство города. В частности, к ведению Правительства Москвы отнесено определение порядка и случаев передачи собственниками средств и систем фото- и видеонаблюдения изображений, полученных в публичных интересах, а также при съемке в открытых для свободного посещения местах или на публичных мероприятиях (подп. 1 и 2 п. 1 ст. 152.1 ГК). Кроме того, столичное правительство вправе установить порядок и случаи предоставления доступа к таким средствам и системам фото- и видеонаблюдения органам государственной власти и организациям, осуществляющим публичные функции.

По согласованию с Минкомсвязи Правительство Москвы также сможет регулировать порядок и условия обработки участниками экспериментального правового режима персональных данных, полученных в результате обезличивания, на основании соглашений с уполномоченным органом, а также требования к таким соглашениям. Однако такие персональные данные могут передаваться только участникам экспериментального правового режима (п. 4 ст. 6 Закона). Кроме того, не допускается хранение указанных персональных данных за пределами Москвы (п. 7 ст. 4 Закона).

В интересах экспериментального правового режима скорректирован и Закон о персональных данных. Часть 1 ст. 6 дополнена п. 9.1, согласно которому обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Законом № 123-ФЗ, в порядке и на условиях, которые предусмотрены указанным нормативным актом.

В ст. 10 Закона о персональных данных появилось указание на то, что обработка персональных данных, касающихся состояния здоровья, полученных в результате обезличивания персональных данных, допускается в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Законом № 123-ФЗ.

Согласно п. 1 ст. 5 Закона о проведении эксперимента лицо приобретает статус участника экспериментального правового режима со дня включения его в соответствующий реестр, который будет вести уполномоченный Правительством Москвы орган. Доступ к реестру сможет получить любое лицо через сайт уполномоченного органа.

Статус участника экспериментального правового режима смогут получить ИП или юрлица, зарегистрированные на территории Москвы, которые осуществляют деятельность по разработке, созданию, внедрению, реализации или обороту технологий искусственного интеллекта, а также по производству, реализации или обороту отдельных товаров (работ, услуг) на основе таких технологий либо планируют заниматься такими видами деятельности. При этом у ИП, лица, осуществляющего функции единоличного исполнительного органа, членов коллегиального исполнительного органа и совета директоров организации не должно быть неснятой или непогашенной судимости за преступления в сфере экономики, а также за преступления средней тяжести, тяжкие и особо тяжкие преступления.

Важно, что принятые в соответствии с Законом № 123-ФЗ нормативные акты Правительства Москвы будут применяться только в отношении участников экспериментального правового режима. При совершении сделок и совершении других юридически значимых действий участник экспериментального правового режима обязан уведомлять тех, кто не имеет такого статуса, о том, что он является участником экспериментального правового режима, и сообщать о применении в отношении него специальных актов московского правительства.

Для формирования стратегических направлений совершенствования механизмов экспериментального правового режима Закон предусматривает создание координационного совета, состав которого определяется Правительством Москвы по согласованию с Правительством РФ.

Закон вступит в силу с 1 июля 2020 г.

Эксперты прокомментировали поправки

Адвокат АА МГКА «Власова и партнеры» Людмила Космовская указала, что закон содержит определение искусственного интеллекта и технологий искусственного интеллекта, чего ранее в российском законодательстве не было. По ее словам, вводимый им режим регуляторной песочницы позволяет игнорировать некоторые законодательные ограничения в целях развития новых технологий. В то же время законодательные акты, которые будут приняты на основании рассматриваемого закона, не должны противоречить федеральному законодательству, заметила эксперт.

«Закон и принятые на его основе нормативные акты будут распространять свое действие только на участников эксперимента, включенных в специальный реестр, но технологии искусственного интеллекта напрямую связаны с персональными данными, потому новые меры могут повлиять на каждого жителя города. Будут ли эти правки носить положительный характер, сказать пока сложно. Будем ждать новых законодательных актов. Главное, не допустить бесконтрольной обработки персональных данных», – добавила она.

Руководитель практики IP/IT Maxima Legal Максим Али полагает, что принятый закон – это только первый шаг в проведении правового эксперимента на территории Москвы. Закон имеет рамочный характер, значительная часть норм (например, посвященных конкретным технологиям) будет устанавливаться подзаконными актами Правительства Москвы, пояснил он.

«Что же мы получили на сегодняшний день? Во-первых, сформулированные на уровне федерального закона дефиниции в сфере искусственного интеллекта, а также цели, задачи и принципы регулирования. Неудивительно, что в числе последних оказалось обеспечение безопасности личности», – заметил Максим Али. Во-вторых, добавил он, определены условия приобретения статуса участника экспериментального режима и ведение реестра таких участников.

«В-третьих, особенно интересны изменения режима обработки персональных данных. Обезличенные данные, обрабатываемые в соответствии с законом, не могут передаваться за пределы круга участников эксперимента. А если эксперимент прекращается или участник выходит из него, данные подлежат уничтожению. Отмечу, что мы давно не встречали законодательных инициатив в сфере персональных данных, где проявлялась бы забота не только об участниках рынка, но и о рядовых пользователях», – заключил эксперт.

Старший юрист Eversheds Sutherland Russia Иван Кайсаров отметил, что принятие данного закона не является инновационным. «В мире есть общепринятая практика так называемых регуляторных песочниц (regulatory sandbox). Идея их в том, чтобы ввести особое правовое регулирование для внедрения и разработки технологий, которые не регулируются действующим законодательством или даже противоречат ему. Нормативная база может не успевать за высокими технологиями, поэтому такие технологии долгое время могут находиться вне правового поля, что не всегда позитивно на них влияет. В иных случаях имеющееся законодательство может блокировать или тормозить развитие и использование новых технологий», – пояснил эксперт.

Читайте также

В России могут появиться экспериментальные правовые режимы для инноваторов в цифровой сфере

Минэкономразвития подготовило законопроект, который позволит лицам, занимающимся разработкой и внедрением цифровых инноваций, осуществить практическое применение их продукта в условиях отказа от стандартных ограничений и без риска правонарушений

17 Июля 2019

В России, по его словам, более-менее комплексное регулирование подобных механизмов было предложено в 2019 г. Минэкономразвития и сейчас отражено законопроекте № 922869-7 «Об экспериментальных правовых режимах в сфере цифровых инноваций в РФ», который находится на рассмотрении в Государственной Думе. «Еще до этого, в апреле 2018 г., в отношении финансовых технологий и сервисов на финансовом рынке регуляторную песочницу начал использовать Банк России», – рассказал Иван Кайсаров.

Принятый закон, как считает эксперт, преследует аналогичную цель, но только в меньшем масштабе и по отношению к конкретной технологии – искусственному интеллекту. «Хорошо, что государство не просто начинает регулировать определенную технологию, а подходит поступательно, начиная с проведения эксперимента, чтобы “обкатать” правовой режим и новое регулирование на технологии в небольшом масштабе перед распространением на всю страну. Это позволяет сделать правовое регулирование более точным, близким к жизни и рабочим, позволяющим действительно способствовать развитию и внедрению технологии при соблюдении общественных интересов и отсутствию вреда от использования технологии или нарушения прав граждан и бизнеса», – полагает Иван Кайсаров.

В то же время, добавил он, отдельные положения принятого закона выглядят несовершенными и вызывают некоторые вопросы. Концепция специального (экспериментального) правового режима, по словам эксперта, обычно подразумевает две особенности: во-первых, это появление новых норм, которых не было в законодательстве применительно к данной технологии и которые более точечно ее регулируют, а во-вторых, исключение (неприменение) или изменение отдельных действующих норм, которые могут помешать внедрению и разработке данной технологии. «В рамках же этого закона реализуется только первая часть норм, которые уточняют правовой режим в отношении технологии искусственного интеллекта», – заметил Иван Кайсаров.

Так, пояснил он, п. 4 ст. 1 закона указывает, что положения нормативных правовых актов Москвы, устанавливающие условия экспериментального правового режима, не могут исключать, изменять или вступать в противоречие с положениями федеральных законов и иных нормативных правовых актов РФ, относящихся в соответствии с Конституцией к ведению Федерации или совместному ведению РФ и ее субъектов. «В результате актами Москвы можно преимущественно только что-то уточнять и вводить специальное регулирование, которое не должно нарушать федеральное законодательство. В то же время, на мой взгляд, можно было указать, что акты Москвы в рамках такого специального правового режима не должны нарушать наиболее фундаментальные гарантии и права. В целом это как раз и указано уже в следующем пункте этой же статьи», – заметил эксперт.

По его мнению, закрепленного в п. 5 ст. 1 Закона № 123-ФЗ указания на то, что результатом установления экспериментального правового режима не может быть ограничение конституционных прав и свобод граждан, введение для них дополнительных обязанностей, нарушение единства экономического пространства на территории РФ или иное умаление гарантий защиты прав граждан и юридических лиц, достаточно для эффективного использования закона в случае предоставления Москве возможности изменять или не применять отдельные федеральные нормы, если это необходимо. «В то же время важно посмотреть, как это будет работать на практике. Возможно, практический подход будет более либеральным с минимальным количеством ограничений, несмотря на указанное выше», – добавил Иван Кайсаров.

CCPA Дата вступления в силу остается 1 июля 2020 г. — Конфиденциальность

Соединенные Штаты: Дата вступления в силу CCPA остается до 1 июля 2020 г.

17 апреля 2020

Klein Moynihan Turco LLP

Чтобы распечатать эту статью, все, что вам нужно, — это зарегистрироваться или войти в систему на Mondaq.com.

Пандемия нового коронавируса (COVID-19) требовал от предприятий адаптации к непредвиденным сбоям. Тем не мение, одна вещь, которая осталась неизменной, — это Калифорния Дата вступления в силу Закона о защите прав потребителей (CCPA) 1 июля 2020 г. Ранее в этом месяце коалиция, состоящая примерно из 60 человек. предприятий отправили письмо Генеральному прокурору Калифорнии Ксавье Бесерра просит отложить вступление в силу CCPA до 2 января 2021 г. из-за продолжающихся проблем со здоровьем и экономики Создано COVID-19.Раздел 1798.85 (c) Гражданского кодекса гласит, что «Генеральный прокурор не может возбуждать исполнительное дело под этим названием в течение шести месяцев после публикации окончательные правила, изданные в соответствии с этим разделом или 1 июля 2020 г., в зависимости от того, что наступит раньше «. В электронном письме на адрес журнала Forbes : советник прокуратуры Калифорнии сказал что они «привержены обеспечению соблюдения закона после завершения правила или 1 июля, в зависимости от того, что наступит раньше «и «побудить [d] предприятия внимательно относиться к данным безопасность в это время чрезвычайной ситуации.»Следовательно, поскольку окончательные правила не опубликованы, 1 июля 2020 г. Дата вступления в силу CCPA. Учитывая вышесказанное, предприятия, работающие на погодные условия, вызванные COVID-19, также необходимо учитывать свои обязательства по соблюдению CCPA.

Каковы меры по обеспечению соблюдения закона CCPA?

Регламент CCPA

CCPA вступил в силу 1 января 2020 года. Калифорния Генеральная прокуратура развернула правила, чтобы прояснить и интерпретировать CCPA.Правила CCPA в настоящее время находятся в третий черновик формы, последний период комментариев закончился 27 марта 2020 года. В целом, CCPA был принят в целях защиты права потребителей на неприкосновенность частной жизни, налагая обязательства на предприятия собирают, используют и передают жителей штата Калифорния личная информация. Среди других мер CCPA кодифицировал Права потребителей Калифорнии на: 1) отказ от продажи их личную информацию третьим лицам; 2) просьба знать какую личную информацию о них собрали компании и как компании продали или раскрыли эту информацию третьим стороны; и 3) потребовать от предприятий удалить личную информацию. что было собрано из / о них.

CCPA Обеспечение соблюдения

Несоблюдение правил CCPA может привести к существенным экономические последствия. Потребители Калифорнии могут привезти частные права на предъявление иска компаниям за утечку данных, раскрыли свою незашифрованную и неотредактированную личную информацию неавторизованным третьим лицам. Установленные законом убытки предусматривают больше фактического ущерба или от 100 до 750 долларов на потребителя, за инцидент. Генеральному прокурору Калифорнии поручено иное с обеспечением соблюдения CCPA.Компании, получающие уведомления о предполагаемых нарушениях будут предоставлены в течение тридцати (30) дней до устранять любые случаи несоблюдения. Если предприятия не могут излечение, гражданские штрафы будут варьироваться от 2500 долларов за непреднамеренное нарушения, до 7 500 долларов США за умышленные нарушения. Несмотря на вышесказанное, Генеральная прокуратура сообщил, что будет преследовать только самые вопиющие и вопиющие случаи CCPA на первых порах.

Учитывая значительные штрафы, связанные с нарушением CCPA, компаниям рекомендуется работать со знающими советник по обеспечению соблюдения CCPA к исполнению 1 июля датировать.

Подобные сообщения в блоге:

Формы CCPA: право на отказ, запрос информации и запрос Удалить

Закон CCPA: частное право иска

Требования к поставщику услуг CCPA разъяснены Калифорнией AG

Данная статья предназначена для ознакомления руководство по предмету. Следует обратиться за консультацией к специалисту. о ваших конкретных обстоятельствах.

ПОПУЛЯРНЫЕ СТАТЬИ НА: Конфиденциальность из США

Подготовка к исполнению CCPA Крайний срок 1 июля 2020 г.

Как вы, вероятно, знаете, Закон Калифорнии о конфиденциальности потребителей 2018 года (CCPA) вступил в силу 1 января 2020 года.CCPA — это революционное законодательство, касающееся прав потребителей Калифорнии в отношении их Личной информации (как определено в CCPA), и, по оценкам, затрагивает 75% предприятий Калифорнии. Компаниям онлайн-видеоконференций Zoom и Houseparty уже предъявили иск в соответствии с частным правом иска CCPA за предполагаемое нарушение личной информации жителей Калифорнии. Начиная с 1 июля 2020 года (несмотря на запрос об отсрочке от затронутых предприятий Калифорнии из-за пандемии COVID-19) Генеральная прокуратура Калифорнии может возбудить принудительные меры с санкциями за любое нарушение CCPA.Это более широкое право, чем предоставленное потребителям право предъявлять частные иски. AG может обеспечить соблюдение правил CCPA после 30-дневного периода уведомления и исправления, требуя штрафных санкций в размере до 2500 долларов за нарушение или до 7500 долларов за умышленное нарушение. Хотя определение «нарушения» в CCPA неясно, возможно, что каждый потребитель и каждый запрос в соответствии с CCPA будут индивидуально рассматриваться как «нарушение». Например, если компания не может предоставить надлежащее уведомление при сборе личной информации, и она собирает личную информацию 1000 потребителей, прежде чем пересматривать процедуру уведомления, установленный законом штраф может составить до 2 долларов.5 миллионов.

Таким образом, компаниям важно провести окончательные и необходимые приготовления сейчас, чтобы подготовиться к возможности принудительного исполнения CCPA, начиная с 1 июля 2020 года. Ниже приведены пять предлагаемых действий, которые следует рассмотреть по мере приближения даты вступления в силу.

1. ОБНОВЛЕНИЕ УВЕДОМЛЕНИЯ О КОНФИДЕНЦИАЛЬНОСТИ И ВЕБ-САЙТА

Компании должны предоставить потребителю достаточное уведомление с указанием категорий Персональной информации, которую собирает компания, и цели сбора.Компании также должны раскрывать свою практику в отношении сбора, использования, обмена или продажи Личной информации. Другие требования включают: описание прав потребителей, способы их реализации потребителями, методы, с помощью которых компания будет проверять личность потребителей, и возможность потребителей отказаться от продажи своей информации. Раскрытие должно охватывать последние 12 месяцев и обновляться не реже одного раза в 12 месяцев с учетом любых новых практик.Если ваша компания продает Личную информацию или получает компенсацию или другие выгоды от обмена Личной информацией, вам может потребоваться разместить заметный веб-сайт «Не продавать мою личную информацию» или ссылку, чтобы позволить потребителям отказаться от продажи своих данных.

Это, возможно, самый важный компонент CCPA: предоставление потребителям — и любым сотрудникам, находящимся в Калифорнии, — уведомления об их правах в отношении своих данных. Самое важное, что компания может сделать для подготовки, — это обеспечить обновление своей политики конфиденциальности и веб-сайта в соответствии с CCPA.

2. Проведите инвентаризацию данных

CCPA предоставляет всем потребителям в Калифорнии право знать, какая личная информация, связанная с потребителем, хранится в компании, а также категории третьих лиц, которым компания раскрыла или продала Личную информацию. Поэтому крайне важно, чтобы компании могли оперативно оценивать эти запросы и отвечать на них. Это может потребовать регулярного обновления данных инвентаризации, чтобы компании могли полностью и точно ответить.Хотя у компаний обычно есть 45 дней на то, чтобы ответить, может быть слишком поздно начинать этот процесс после получения запроса.

3. ДОКУМЕНТ ПРОЦЕССА А И ОБУЧЕНИЕ СОТРУДНИКОВ РЕАГИРОВАНИЮ ПОТРЕБИТЕЛЬСКИХ ЗАПРОСОВ

Любой сотрудник, отвечающий за ответы на запросы потребителей в соответствии с CCPA, должен быть обучен делать это в соответствии с CCPA и внутренней политикой компании. Внедрение соответствующих внутренних протоколов делает этот процесс более эффективным и последовательным. Это гарантирует, что сроки не будут пропущены, а все ответы будут максимально полными и точными.Четкий, хорошо задокументированный процесс с соответствующим обучением сотрудников снизит риск штрафных санкций.

4. УБЕДИТЕСЬ, ЧТО В ВАШЕЙ КОМПАНИИ ИМЕЮТСЯ СООТВЕТСТВУЮЩИЕ ПРОЦЕДУРЫ И ПРАКТИКИ БЕЗОПАСНОСТИ

Согласно CCPA, потребители в Калифорнии теперь имеют частное право предъявлять иск в случае нарушения их Личной информации, вызванного неспособностью компании поддерживать и внедрять «разумные процедуры и методы обеспечения безопасности». Доказательства реальных повреждений не требуются для восстановления; потребители могут взыскать наибольший из их фактических убытков или до 750 долларов США на потребителя за каждый инцидент в виде установленных законом убытков.Чтобы снизить риск ответственности, компании должны убедиться, что у них есть соответствующие методы хранения и уничтожения Персональной информации.

5. РАССМОТРЕТЬ ДОГОВОРЫ С ПОСТАВЩИКАМИ УСЛУГ ПО ВОПРОСАМ CCPA

Если ваша компания раскрывает Личную информацию поставщикам услуг, договор, регулирующий отношения, должен включать положения, относящиеся к CCPA. Поставщик услуг должен по контракту согласиться не сохранять, не использовать и не раскрывать Личную информацию, кроме как для конкретных целей, указанных в контракте.Другие рекомендуемые положения включают соглашение об оказании помощи с запросами о защите прав потребителей, защите всей полученной информации и сообщении о нарушениях данных. Рассмотрите возможность проверки ваших основных контрактов с поставщиками и внесения в них поправок, чтобы обеспечить соответствие CCPA.

ЗАКЛЮЧЕНИЕ

С приближающимся крайним сроком 1 июля 2020 года настало время сделать любые оценки или обновления CCPA в последнюю минуту.

© 2010-2020 Allen Matkins Leck Gamble Mallory & Natsis LLP National Law Review, Volume X, Number 143

Конфиденциальность данных в 2020 году: обновленная информация о CCPA

Закон о конфиденциальности потребителей Калифорнии (CCPA) вступил в силу в январе этого года 1 января 2020 г.Накануне этой даты, еще в сентябре 2019 года, мы представили краткое изложение того, как CCPA будет выглядеть, как он будет сравниваться с GDPR и чего ожидать, когда наступит январь 2020 года. Теперь, когда мы приближаемся к 2020 году, и произошло значительное количество изменений в сфере конфиденциальности и CCPA, StackAdapt предоставляет информацию, чтобы держать вас в курсе.

Влияние CCPA

Широкие определения закона и неподготовленность предприятий сделали соблюдение в отрасли неопределенным.Калифорния, являясь одним из крупнейших рекламных рынков в Соединенных Штатах, поставила предприятия и операторов веб-сайтов в первую очередь для инвестирования в управление данными и безопасность, поскольку пользователям были предоставлены законные права на их личную информацию. По данным eMarketer, 93% руководителей ИТ-служб США заявили, что они активно применяли правила конфиденциальности данных, такие как GDPR и CCPA. Более половины респондентов сообщают, что они предприняли такие шаги, как улучшение использования существующих технологий безопасности, инвестирование в новые технологии и улучшение методов обработки данных.Несоблюдение требований обходится недешево, как сообщалось ранее, компании могут быть подвергнуты судебному запрету и нести гражданский штраф в размере до 2500 долларов за каждое нарушение или 7500 долларов за каждое умышленное нарушение. Все это вступило в силу с 1 июля 2020 года.

Что изменилось в 2020 году

Итак, что изменилось за последние несколько месяцев? Как в США эволюционировал лоскутный подход к конфиденциальности данных?

При отсутствии федеральных указаний или стандартов в отношении конфиденциальности данных только 3 штата успешно приняли законодательство: Калифорния (AB-375 «CCPA»), Невада (SB-220) и Мэн (LD-946).Потерянные в шумихе вокруг CCPA, законы о конфиденциальности данных Невады и Мэна были фактически приняты за несколько месяцев до CCPA в 2019 году. Юридические определения были гораздо более узкими по сравнению с CCPA в отношении продажи личной информации и новых прав пользователей. к их данным.

IAB Tech Lab разработала IAB CCPA Compliance Framework для издателей и технологических компаний, чтобы поддерживать соответствие CCPA владельцам веб-сайтов и приложений, а также экосистеме цифровых рекламных технологий. Хотя план IAB по законам о конфиденциальности данных в других государствах еще не выпущен, мы следим за развитием новостей и будем держать вас в курсе, если станут доступны другие механизмы обеспечения конфиденциальности.StackAdapt подписал IAB CCPA Compliance Framework и поощряет издателей и партнеров по рекламным технологиям становиться членами Framework для поддержки коллективных усилий по обеспечению соответствия.

Ожидалось, что Нью-Йорк станет следующим крупным штатом, который примет всеобъемлющий закон о конфиденциальности на уровне штата с Законом о конфиденциальности Нью-Йорка (NYPA), вводящим права пользователей на судебные иски в отношении нарушителей. Однако в настоящее время такие штаты, как Нью-Йорк, Мэриленд или Иллинойс, все еще находятся в комитетах и ​​ожидают утверждения в рамках законодательного процесса.Пока эти правила конфиденциальности не будут приняты и введены в действие, их будущее все еще остается неопределенным.

Глобальный кризис здравоохранения в этом году из-за COVID-19 только усугубил положение всех вовлеченных сторон. Изменяющаяся экономика, меняющиеся социальные привычки и необходимость адаптироваться к новым нормам ведения бизнеса сделали инвестиции в соблюдение нормативных требований для предприятий более сложной задачей. В то же время правительственные процессы по утверждению этих законопроектов откладываются или выносятся на обсуждение в будущем.

Вместо законодательства о конфиденциальности данных мы увидели, что государства расширяют свой стандартизированный налог с продаж или вводят налог на валовую выручку, чтобы включить рекламу, в ответ на экономический дефицит и влияние COVID-19.Как и в случае с конфиденциальностью данных, существует уникальный подход на государственном уровне, который порой приводит к противоречиям в соглашениях и взглядах по этому вопросу.

С января этого года мы стали свидетелями того, как 3 штата приняли законы, облагающие налогом цифровую рекламу: Мэриленд, Небраска и Нью-Йорк. Мэриленд был первым штатом, успешно прошедшим налог на цифровую рекламу 18 марта 2020 года. Законопроект (SB-2), принятый Ассамблеей и Сенатом, предположительно является доказательством вето. Обе палаты набрали достаточно голосов, так что если губернатор наложит вето на законопроект, они все равно смогут его принять.Это произошло 7 мая 2020 года, когда губернатор Мэриленда Ларри Хоган наложил вето на законопроект, сославшись на его поспешное принятие, и изменения усугубят бремя, с которым граждане уже столкнулись с COVID-19, поскольку эти новые расходы в конечном итоге будут переложены на Жители и предприятия Мэриленда. Это вето усложняет попытки определить, что бизнесу нужно делать, чтобы соответствовать закону. Тем не менее, тенденция налогообложения цифровой рекламы продолжается и все еще вводится в других государствах.

Намерение было связано не только с доходом, но и с ответом на предполагаемое использование данных клиентов и конфиденциальности потребителей, особенно на таких обнесенных стеной садовых платформах, как Facebook и Google.Законопроект устанавливает ставки до 10% на цифровую рекламу, при этом предприятия с валовой выручкой менее 100 миллионов долларов не облагаются налогом. LB-989 Небраски стремится расширить свой существующий налог с продаж до 5,5%, а Закон Нью-Йорка о налоге на цифровую рекламу (DATA) стремится к 10% для предприятий, как и в Мэриленде. Законодательство все еще находится в комитетах, но ожидает принятия аналогичных препятствий.

Новый стандарт конфиденциальности данных

По мере того, как мы переходим к новому стандарту, разговоры о конфиденциальности данных начинают развиваться.Вот некоторые из задаваемых вопросов:

• Как глобальный кризис в области здравоохранения повлиял на компании, внедряющие эффективные программы обеспечения конфиденциальности?
• Такие данные, как геолокация, оказались важными при чрезвычайных ситуациях в области здравоохранения, таких как COVID-19. Должна ли чрезвычайная ситуация, подобная нынешней, преобладать над правами на конфиденциальность данных граждан?
• Какой штат представит новое законодательство, требующее от IAB создания еще одной дорожной карты? Какой тип инфраструктуры может потребоваться для соответствия?
• SB2 Мэриленда приносила доход штату по IP-адресу пользователя.Что, если резидент использует виртуальную частную сеть (VPN) для доступа в Интернет?

Наконец, учитывая все последние обновления, вот несколько важных моментов, которые вы должны знать:

• Генеральный прокурор Калифорнии Ксавье Бесерра отказался отложить исполнение CCPA из-за COVID-19. Правоприменение началось 1 июля 2020 года. На данный момент не было заявлений о каких-либо штрафах или судебных исках, возбужденных AG в соответствии с CCPA.
• Европейский совет по защите данных (EDPB) опубликовал руководство по использованию данных о местоположении и инструментов отслеживания контактов. для смягчения последствий пандемии COVID-19.В целом, важно по-прежнему придерживаться законов о защите данных, таких как GDPR, даже во время кризиса, такого как COVID-19, и настоятельно рекомендуется сосредоточиться на анонимных данных, а не на личных данных. Кризис в области общественного здравоохранения не должен предоставлять возможности для установления непропорциональной практики обработки данных, и данные должны храниться только в течение необходимого необходимого времени. Личные данные, такие как геолокация, которые используются для помощи в отслеживании контактов, должны быть удалены после завершения пандемии. Данные должны использоваться только по назначению и согласованию.
• Дополнительные налоги на цифровую рекламу считаются нарушением Закона о постоянной налоговой свободе в Интернете (PITFA), который запрещает государствам облагать налогом доступ в Интернет или «дискриминационные налоги на электронную торговлю».В настоящее время налоги на цифровую рекламу не взимаются.
• Специальная сессия Мэриленда для обсуждения наложенного вето законопроекта о налоге на цифровую рекламу, скорее всего, возобновится в январе 2021 года из-за пандемии
• 23 июля 2020 года Совет округа Колумбия проголосовал об изменении бюджета и финансового плана на 2021 год с целью отмены предлагаемого налога на рекламу.

  ---

  Навигация по CCPA — что вам нужно знать до 1 июля

  1 июля 2020 года вступит в силу долгожданный Закон Калифорнии о конфиденциальности потребителей (CCPA).

  Предоставлено BigStock.com — Авторские права: cristianstorto

  1 июля 2020 года вступит в силу долгожданный Закон Калифорнии о конфиденциальности потребителей (CCPA). Организации должны были приступить к соблюдению требований в начале этого года, но до того, как генеральный прокурор Калифорнии сможет наложить штрафы, еще есть время.Вот разбивка того, что такое CCPA, на кого он влияет, преимущества и многое другое.

  1. Что такое CCPA и на кого он влияет? CCPA — это законопроект, направленный на усиление прав на неприкосновенность частной жизни и защиту потребителей для жителей Калифорнии. Закон применяется к любому бизнесу во всем мире, который получает личную информацию от любых жителей Калифорнии прямо или косвенно и соответствует как минимум одному из следующих дополнительных критериев: общий годовой доход превышает 25 миллионов долларов (не только в Калифорнии), получает личные данные как минимум от 50 000 жителей Калифорнии, устройств или домашних хозяйств в год и, наконец, получает на 50% больше своего годового дохода от продажи личной информации о жителях Калифорнии.
  2. Как компании могут соблюдать правила конфиденциальности, изложенные в CCPA? Соблюдение нормативных требований, прозрачность и защита конфиденциальности потребителей должны быть первоочередными задачами с самого начала. Процесс начинается с открытия. Анализ источников данных для выявления и количественной оценки областей риска для конфиденциальности путем исследования риска приложений, неструктурированного риска и риска третьих лиц в ваших источниках данных дает компаниям четкое представление о том, как они используют данные. Это может укрепить способность компаний быть прозрачными для потребителей.Понимание индивидуальных прав, таких как доступ, переносимость данных, удаление, совместное использование / продажа раскрытия информации, а также отказ или согласие, имеют решающее значение при ответе на запрос человека о раскрытии этих сведений. Компаниям следует обновить процедуры управления правами, обновить политику конфиденциальности, обновить контракты и разработать процесс для полной автоматизации запросов на получение права на информацию, что позволит компаниям сократить расходы, время и ресурсы, связанные с соблюдением CCPA.
  3. Как компании могут получить выгоду от CCPA? CCPA побуждает компании внедрять конфиденциальность посредством дизайна, повышая осведомленность потребителей о данных.Прозрачность приносит пользу репутации бизнеса, особенно по мере роста нормативных требований, и они по-прежнему стремятся оставаться в авангарде соблюдения CCPA. Кроме того, компании могут сосредоточиться на сборе собственных данных, при этом в долгосрочной перспективе это обеспечивает более надежные данные, что улучшает целевые маркетинговые кампании. Конечно, несоблюдение требований во многих отношениях может обойтись очень дорого. Подумайте о сообщениях Apple о конфиденциальности как о примере того, где это может принести пользу бренду.
  4. Изменяют ли что-нибудь недавно предложенные поправки генерального прокурора Калифорнии? Последние представленные операционные правила по сути такие же, как и вторая красная линия, но операционные правила, взятые вместе с CCPA, изменяют почти все аспекты соблюдения конфиденциальности. Затрагивается практически каждая операционная область, включая элементы мобильной связи, ADA, защиты подростков, сроков, отчетности и доказательств, третьих лиц, уведомлений, определений, финансовых стимулов, проверки, трудоустройства, агентов, продажи, отказа и других разделов, которые были неясно в исходном тексте.Кроме того, он проверяет пределы закона в нескольких областях, таких как обязательное принятие сигналов «Не продавать» и оценка данных (среди других элементов), а не только их разъяснение. Если Управление административного права не завершит проверку в ускоренные сроки, тогда мы столкнемся с неприятной ситуацией, когда они будут применять только «базовый» CCPA, который будет обеспечивать соблюдение только того, что есть в правилах и поправках, но не правила работы — с 1 июля.
  5. В чем разница между CCPA и CCPR? CPRA расширяет защиту конфиденциальности, введенную CCPA, которая создает новые права на конфиденциальность, позволяя потребителям запрещать предприятиям использовать конфиденциальную личную информацию, защищает конфиденциальность детей путем утроения штрафов, связанных со сбором и продажей личных данных ребенка, расширяет освобождение для данных о занятости , и учреждает правоприменительный орган в Калифорнийском агентстве по защите конфиденциальности.
  6. Сколько стоит конфиденциальность потребителя? Можно ли его монетизировать? Конфиденциальность потребителя ощутима, она постоянно продается и обменивается на различные стимулы, такие как бесплатные услуги или денежная выгода. Иногда данные о потребителях продаются сознательно, а бывают случаи, когда потребители не знают, что данные передаются сторонним поставщикам, поэтому прозрачность является критическим фактором в обеспечении конфиденциальности потребителей. Прозрачность позволяет потребителям принимать более обоснованные решения о своих правах на данные, включая ценность их данных.
  7. Почему конфиденциальность важна для тех, кто пользуется COVID-19? По мере того, как мир переживает COVID-19 и другие события, компании вынуждены думать о двух основных элементах: безопасности и прозрачности. Поскольку новые протоколы вводятся в действие для обеспечения здоровья и безопасности потребителей и сотрудников по мере возобновления работы предприятий, акцент на конфиденциальности важен для обеспечения прозрачности. Конфиденциальность по дизайну обеспечивает внедрение надлежащих протоколов безопасности для предприятий для защиты данных, которые являются невероятно конфиденциальными при соблюдении руководящих принципов, установленных такими организациями, как Центр по контролю за заболеваниями.Конфиденциальность — это право человека, которое необходимо защищать.

  Об авторе: Дэн Кларк является президентом по продуктам и решениям в IntraEdge. Дэн имеет 30-летний опыт сочетания технологий с медиа, розничной торговлей и бизнес-лидерством, занимал руководящие должности в Intel, является опытным консультантом по конфиденциальности данных и 9-кратным исполнительным директором. Благодаря платформе конфиденциальности Truyo, охватывающей более миллиарда пользователей, и ее 4-летней истории, Дэн обладает глубокими знаниями в области конфиденциальности.Он часто выступает в общественных местах и ​​принимает активное участие в законодательстве штата Аризона, Техас, а также в федеральном законодательстве о конфиденциальности.

  Закон о защите прав потребителей Калифорнии (CCPA) и как Siteimprove может помочь — Центр поддержки Siteimprove

  Фон

  С мая 2018 года, когда вступил в силу Общий регламент ЕС по защите данных (GDPR), мы стали свидетелями глобального движения по защите данных и конфиденциальности данных со стороны регулирующих органов, а также потребителей, которые осознают свои права.Это столь необходимое изменение, которое заставляет организации, обрабатывающие персональные данные, осознавать, нести ответственность за то, как они обрабатывают и потенциально продают данные. Неправильное обращение с личными данными может стоить организациям финансового и репутационного ущерба.

  91% потребителей обеспокоены тем, как их данные используются и защищаются [1], поэтому для организаций является преимуществом серьезно относиться к проблемам с данными пользователей и демонстрировать потребителям, что с личными данными обращаются с уважением.

  Помимо внесения этого изменения только для потребителей, права жителей Калифорнии, полученные в соответствии с Законом о защите прав потребителей Калифорнии (CCPA), имеют несколько исключений [2]:

  Закон о защите прав потребителей Калифорнии (CCPA) вступил в силу 1 января 2020 года и изменяет юридические требования в отношении того, что компании могут делать с личными данными в штате Калифорния.

  За некоторыми исключениями жители Калифорнии получают новые права на данные, в том числе право на:

  • Узнавать, какие личные данные собираются;
  • Быть проинформированным, продает ли компания эти персональные данные и кому;
  • иметь возможность отказаться от продажи своих личных данных;
  • получить доступ к своим личным данным;
  • Уметь запрашивать удаление своих личных данных; и
  • Не подвергаться дискриминации за использование своих прав на новые данные.

  CPPA применяется для определенных предприятий [3]:

  • Компании подпадают под действие CCPA, если выполняется одно или несколько из следующих условий:
    • Имеет годовой валовой доход более 25 миллионов долларов;
    • Покупает, получает или продает личную информацию 50 000 или более потребителей, домохозяйств или устройств;
    • Получает 50 или более процентов годового дохода от продажи личной информации потребителей.
  • Согласно законопроекту, предприятия, которые обрабатывают личную информацию более 4 миллионов потребителей, будут иметь дополнительные обязательства.

  CCPA вступил в силу 1 января 2020 года, однако обратите внимание, что на веб-сайте офиса генерального прокурора говорится: « Генеральный прокурор не может подать принудительный иск в соответствии с CCPA до 1 июля 2020 года. . [4]»

  Соответствие CCPA налагает новые деловые обязательства:

  • Компании, подпадающие под действие CCPA, должны уведомлять потребителей во время или до сбора данных.
  • Компании должны создать процедуры для ответа на запросы потребителей об отказе, знании и удалении.
    • Для запросов на отказ компании должны предоставить ссылку «Не продавать мою информацию» на своем веб-сайте или в мобильном приложении.
  • Компании должны отвечать на запросы потребителей, чтобы узнать, удалить и отказаться в течение определенных периодов времени.
    • Согласно законопроекту, компании должны рассматривать настройки конфиденциальности пользователей, которые сигнализируют о выборе потребителя для отказа, как правильно поданный запрос на отказ.
  • Компании должны проверять личность потребителей, которые запрашивают информацию и удаление, независимо от того, поддерживает ли потребитель защищенную паролем учетную запись в компании.
    • Согласно проекту правил, если бизнес не может проверить запрос, он может отклонить запрос, но должен выполнить в максимально возможной степени. Например, он должен рассматривать запрос на удаление как запрос на отказ.
  • Согласно проекту правил, компании должны раскрывать финансовые стимулы, предлагаемые в обмен на сохранение или продажу личной информации потребителя, и объяснять, как они рассчитывают ценность личной информации.Компании также должны объяснить, как поощрение разрешено в соответствии с CCPA.
  • Согласно проекту правил, предприятия должны вести учет запросов и ответов на них в течение 24 месяцев, чтобы продемонстрировать соблюдение требований.
    • Кроме того, предприятия, которые собирают, покупают или продают личную информацию более 4 миллионов потребителей, несут дополнительные обязательства по ведению учета и обучению.

  CCPA и GDPR

  Закон Калифорнии о конфиденциальности потребителей (CCPA) и Общий регламент Европейского Союза о защите данных (GDPR) представляют собой отдельные правовые рамки с разными сферами применения, определениями и требованиями.Бизнес, который соответствует GDPR и регулируется CCPA, может иметь дополнительные обязательства по CCPA.

  • Например, согласно GDPR, компании должны проводить инвентаризацию данных и отображение потоков данных в целях создания записей для демонстрации соответствия. Дополнительное отображение данных может быть важным для отражения различных требований CCPA.
  • Согласно GDPR, компании должны разрабатывать процессы и / или системы для ответа на индивидуальные запросы на доступ к личной информации и на удаление личной информации.Эти процессы и / или системы могут применяться для обработки запросов потребителей CCPA, хотя предприятиям может потребоваться пересмотреть и согласовать различные определения личной информации и применимые правила проверки запросов потребителей.
  • Согласно GDPR, компании должны раскрывать методы обеспечения конфиденциальности данных в политике конфиденциальности. CCPA также требует, чтобы компании раскрывали конкретные методы ведения бизнеса во всеобъемлющей политике конфиденциальности. Многие компании, управляющие коммерческими веб-сайтами и онлайн-сервисами, должны опубликовать политику конфиденциальности в соответствии с Политикой защиты конфиденциальности в Интернете Калифорнии или CalOPPA, и им необходимо будет обновить эту политику для CCPA.
  • Согласно GDPR, компании должны составлять и заключать письменные контракты со своими поставщиками услуг («обработчиками»). Компаниям может потребоваться пересмотреть эти контракты, чтобы отразить требования CCPA.

  Siteimprove Data Privacy

  Siteimprove Data Privacy поддерживает вас в работе по обеспечению соответствия CCPA, управляя личной информацией, которую вы храните на веб-сайтах. Это решение для обеспечения конфиденциальности данных , которое упрощает ваши усилия по контролю того, какая личная информация находится на сайтах и ​​в файлах, за которые вы несете ответственность.

  Восстановить контроль над личными данными

  Для управления данными, которые ваша организация размещает в Интернете, важно иметь полный обзор собственных доменов, чтобы можно было проверить все страницы и файлы. Отсутствие проверки всех сайтов представляет риск того, что личные данные, которые не должны быть общедоступными, будут доступны в Интернете. IP и домены Siteimprove обнаруживает домены, которые потенциально могут принадлежать вашей организации. Вы можете отклонить чужие домены или добавить домены, не идентифицированные поисковым роботом.Это дает вам полный и обновленный обзор всех сайтов, которыми ваша организация владеет и за которые несет ответственность.

  Уважать запросы частных лиц на конфиденциальность

  В соответствии с CCPA предприятия должны создавать процедуры для ответа на запросы потребителей об отказе от рассылки, получении сведений и удалении своей личной информации. Универсальный поиск позволяет мгновенно находить личную информацию на всех HTML-страницах, документах и ​​метаданных. Отметьте личные данные для удаления и убедитесь, что вы всегда будете знать, когда они снова появятся, с помощью условий отслеживаемого поиска.

  Подтвердите свои усилия по соблюдению нормативных требований

  Согласно CCPA предприятия должны вести учет запросов и их ответов в течение 24 месяцев, чтобы продемонстрировать свое соответствие. Журналы действий пользователей, а также отслеживаемые условия поиска фиксируют действия, которые вы предпринимаете в модуле конфиденциальности данных, чтобы ваши усилия по обеспечению соответствия были видны руководству и органам, отвечающим за соблюдение нормативных требований.

  Будьте прозрачны в том, какие данные собираются

  «Право знать», какая личная информация собирается, используется, передается или продается, также требует понимания того, какие файлы cookie размещаются и кому эта информация передается.Siteimprove Cookie Tracker автоматизирует процесс идентификации файлов cookie вашего веб-сайта и показывает имена файлов cookie, независимо от того, установлен ли файл cookie вы или третье лицо, путь к страницам, которые устанавливают файл cookie, время истечения срока действия и безопасность.

  Свяжитесь со своим контактным лицом на Siteimprove, если вы хотите узнать больше о конфиденциальности данных. Если вы новичок в Siteimprove, вы можете запланировать персональную демонстрацию.

  Список литературы

  [1] Cognizant white paper о деловой ценности доверия — Manish Bahl 2020.

  [2] Использование лазеек в CCPA — Алекс Вуди, 9 января 2020 г.

  [3] Информационный бюллетень Закона о защите прав потребителей Калифорнии (CCPA), Офис генерального прокурора. Департамент юстиции Калифорнии.

  [4] Справочная информация о CCPA и нормотворческом процессе, Генеральная прокуратура. Департамент юстиции Калифорнии.

  GDPR исполняется два года по мере того, как во всем мире растет импульс регулирования конфиденциальности

  При введении в 2018 году GDPR был новаторским законом о конфиденциальности данных, ознаменовав глобальный сдвиг в сторону более агрессивных законов о конфиденциальности данных и их правоприменения.Запланированный двухлетний оценочный отчет Европейской комиссии (ЕК), опубликованный 24 июня 2020 года, знаменует успех GDPR в укреплении прав физических лиц на защиту личных данных. Он также обнаружил, что GDPR оказывается гибким для поддержки цифровых решений в непредвиденных обстоятельствах, таких как разработка приложений для отслеживания во время пандемии COVID-19.
  

  В оценке отмечается наличие «несоответствий» между руководящими принципами, предоставленными Европейским советом по защите данных (EDPB) и на национальном уровне, и подчеркивается необходимость того, чтобы государства-члены «выделяли достаточные человеческие, финансовые и технические ресурсы национальным органам по защите данных. », Чтобы они могли эффективно выполнять свою работу и обеспечивать полное соответствие национальных руководящих принципов руководящим принципам, выпущенным EDPB.

  В нем также признаются проблемы, которые GDPR может представлять для малых и средних предприятий (МСП), и содержится призыв к «активному и повсеместному» предоставлению инструментов и инициатив органами по защите данных для поддержки усилий МСП по соблюдению требований.

  Влияние GDPR можно увидеть в претензиях по киберстрахованию. Судя по опыту клиентов Marsh, в Европе наблюдается рост потерь конфиденциальности данных, но на инциденты с прерыванием бизнеса, такие как атаки программ-вымогателей, по-прежнему приходится львиная доля крупных потерь киберсобытий в Европе.Тем не менее, утечки данных, хотя обычно приводят к меньшим потерям, чем другие кибер-события, такие как прерывание бизнеса, требуют от организаций большей работы для подготовки и реагирования в соответствии с требованиями GDPR.

  Глобальные правила Spurring

  Несмотря на то, что интерпретация и обеспечение соблюдения GDPR продолжают развиваться, конфиденциальность данных стала неотъемлемой частью глобальной карты. Для многих стран GDPR послужил катализатором и отправной точкой для разработки новых законов о конфиденциальности данных, пересмотра существующих законов.Хотя существуют вариации, эти законы о защите данных следуют общим темам — расширенные права на конфиденциальность для потребителей, новые и / или более строгие обязательства для предприятий и более широкие полномочия регулирующих органов.

  Ниже приводится неисчерпывающий обзор заметных событий в нескольких странах:

  США / Калифорния

  Хотя в США нет общего федерального закона о конфиденциальности данных, отдельные штаты ужесточают свои законы. Одним из наиболее важных законов о конфиденциальности данных, принятых после внедрения GDPR, является Закон Калифорнии о конфиденциальности потребителей (CCPA).CCPA вступил в силу 1 января и вступил в силу с 1 июля 2020 года и вводит в действие одни из самых широких мер защиты конфиденциальности в США. Как и GDPR, CCPA вводит новые права на неприкосновенность частной жизни для потребителей со значительными финансовыми последствиями в случае несоблюдения и риском юридического частного права на иск в случае утечки данных. Ожидается, что другие штаты в конечном итоге примут аналогичные законы.

  Канада

  В прошлом году правительство опубликовало свою знаменательную цифровую хартию, положившую начало процессу модернизации основного закона страны о конфиденциальности данных — Закона о защите личной информации и электронных документах (PIPEDA).Текущие предложения могут значительно расширить сферу действия федерального закона о конфиденциальности в Канаде, потенциально налагая серьезные денежные штрафы, новые законные права и предоставляя регулирующим органам гораздо большие правоприменительные полномочия и ресурсы.

  Бразилия

  Бразилия была одной из первых стран, которые близко подражали GDPR ЕС, когда она приняла Lei Geral de Proteção de Dados (LGPD), свое первое всеобъемлющее постановление о защите данных. Это создаст новое Национальное управление по защите данных, создаст основные права для людей и потребует от предприятий сообщать об утечках данных.Как и GDPR, LGPD является экстерриториальным по своему охвату, поскольку применяется к любому бизнесу, обрабатывающему персональные данные бразильцев, независимо от того, где находится организация.

  Австралия

  Австралия ввела жесткие требования к уведомлению о взломе данных в 2018 году. Последние предложения установят более строгие законы в отношении использования данных организациями. В рамках текущего пересмотра Закона о конфиденциальности 1988 года будет рассмотрен вопрос об укреплении прав потребителей за счет расширения определения личной информации и введения таких понятий, как согласие и право на забвение.

  Новая Зеландия

  Новозеландский законопроект о конфиденциальности был принят парламентом в конце июня и должен быть реализован 1 декабря 2020 года. Среди ключевых реформ — введение обязательного уведомления о вредоносных нарушениях конфиденциальности для повышения прозрачности. Это означает, что если организации нарушают конфиденциальность, что создает риск серьезного ущерба, по закону они обязаны уведомить Уполномоченного по конфиденциальности и затронутые стороны.

  Индия

  Индия представила свой первый всеобъемлющий закон о конфиденциальности данных, Закон о защите личных данных, в 2018 году.Законопроект, который еще не принят, в значительной степени основан на GDPR и содержит множество аналогичных концепций, включая требования к уведомлению о нарушениях, права субъектов данных и экстерриториальный охват. Он также предусматривает создание нового регулирующего органа, Управления по защите данных Индии, с существенными правоприменительными полномочиями

  Сингапур

  Ключевые предлагаемые поправки к Сингапурскому Закону о защите личных данных (PDPA) включают увеличение финансовых штрафов и усиление правоприменительных полномочий.В настоящее время организации, нарушающие PDPA, несут ответственность за финансовые санкции в размере до 1 миллиона сингапурских долларов. В законопроекте указывается максимальный размер штрафа в размере более 10% годового оборота организации или 1 млн сингапурских долларов. Предлагаемые изменения включают режим обязательного уведомления, который требует от организаций уведомлять регулирующие органы и затронутых лиц об утечках данных в установленные сроки.

  Таиланд

  Закон Таиланда о защите персональных данных (PDPA) был опубликован 27 мая 2019 года, но большинство из них правительство временно отложило его применение из-за COVID-19.PDPA, обладающая экстерриториальной юрисдикцией, включает положения о сборе, согласии, использовании и раскрытии персональных данных; права субъектов данных; пассивы; и штрафы. Этот закон допускает уголовное наказание, в том числе тюремное заключение сроком до одного года, и гражданскую ответственность, включая штрафные санкции, размер которых в два раза превышает реальный ущерб.

  Китай

  В Китае нет единого всеобъемлющего закона о конфиденциальности данных. Конфиденциальность и регулирование данных регулируются рядом отраслевых, потребительских и кибербезопасных законов и постановлений, касающихся методов обработки данных, дополненных рядом необязательных национальных стандартов.Однако в декабре 2019 года китайские власти объявили, что принятие нового Закона о защите персональных данных и нового Закона о безопасности данных будет приоритетной задачей в 2020 году. Ожидается, что закон закрепит существующие принципы защиты данных в Китае.

  Вьетнам

  В декабре 2019 года Вьетнам опубликовал проект Указа о защите личных данных, будущие версии которого, как ожидается, будут включать в себя разработку прав субъектов данных, меры по защите личных данных и создание компетентных органов, ответственных за защиту личной информации.Иностранные и отечественные поставщики онлайн-услуг уже обязаны хранить личные данные граждан Вьетнама. Оффшорные поставщики услуг должны открывать представительства во Вьетнаме в соответствии с законами о локализации данных и законами о кибербезопасности.

  Южная Корея

  Закон Южной Кореи о защите личной информации (PIPA) налагает строгие требования безопасности к организациям, которые хранят или обрабатывают личные данные, и налагает жесткие ограничения на совместное использование и использование таких данных.В январе 2020 года правительство внесло поправки в PIPA, чтобы уточнить понятие персональных данных и усилило полномочия регулирующего органа. Страна находится в процессе внедрения Положения о страховании киберответственности, которое требует от компаний, работающих в определенных секторах, включая финансовые учреждения и поставщиков информационных услуг, страхование киберответственности или альтернативные средства компенсации ущерба.

  Мониторинг и подготовка к дальнейшему регулированию

  В этом быстро развивающемся нормативном ландшафте организации должны оставаться в курсе, постоянно оценивать, каким нормативным актам они подчиняются, и реализовывать планы действий по обеспечению соответствия, которые включают оценку связанных рисков предприятия.Выполнение этого для новых правил может быть легче для тех организаций, которые уже выполнили это упражнение для GDPR или других правил. Даже компании, на которые в настоящее время не распространяются новые правила, должны оценить свои методы сбора данных, поскольку существует большая вероятность того, что в скором времени большее число стран примут собственное законодательство.

  Специалисты по рискам должны проконсультироваться со своими консультантами и страховыми брокерами по поводу принятия условий и положений страховых полисов для решения проблемы растущего риска их организаций.Компаниям следует пересмотреть применимые формулировки страхования, обращая особое внимание на потенциальную возможность страхования штрафов, пени и финансовых обязательств.

  Калифорния вступает в новый год с новым законом о конфиденциальности данных: NPR

  Новый закон Калифорнии о цифровой конфиденциальности вступает в силу 1 января. Сол Грейви / Getty Images / Ikon Images скрыть подпись

  переключить подпись Сол Грейви / Getty Images / Ikon Images

  Новый закон Калифорнии о цифровой конфиденциальности вступает в силу с января.1.

  Сол Грейви / Getty Images / Ikon Images

  1 января вступает в силу самый строгий закон о конфиденциальности данных в США: Закон Калифорнии о конфиденциальности потребителей или CCPA.

  Вот почему в вашем почтовом ящике появляется множество электронных писем от различных компаний, объявляющих об обновлениях их условий обслуживания, в частности их политик конфиденциальности. Поскольку на горизонте нет подобного федерального закона, ожидается, что этот закон на какое-то время установит национальный стандарт.

  Итак, что он требует?

  «1 января 2020 года все калифорнийцы смогут узнать, какую личную информацию собирает бизнес о них, их устройствах и их детях», — сказала Мэри Стоун Росс, одна из соавторов нового закона, и признанный на национальном уровне эксперт по конфиденциальности данных.

  Согласно закону, потребители могут отказаться от продажи своей личной информации. Если компания не реализует разумные методы обеспечения безопасности и личная информация потребителей будет нарушена, им будет разрешено подать в суд на эти компании.

  Компании по-прежнему могут собирать данные: что вы покупаете; куда вы идете и когда; все фотографии, которые вы когда-либо делали; ваши электронные письма, даже те, которые вы удалили.

  Но теперь компании должны сказать вам, что они собирают, когда вы спросите, и удалить все это, если вы попросите об этом. Однако некоторые компании могут отклонить ваш запрос на удаление, если данные необходимы для завершения финансовой транзакции или защиты от мошенничества.

  Что компании больше не могут делать с юридической точки зрения, так это продавать эти данные, если вы им запретите.Но если они все равно это сделают, потребители не смогут подать в суд. Закон оставляет за собой право предъявлять иски для решения еще одной слишком распространенной проблемы: «Это касается только утечки данных. Таким образом, если некоторые категории личной информации, например, ваш номер социального страхования, нарушены, и компания не может применять разумные меры безопасности, тогда — сказал Стоун Росс.

  Генеральный прокурор Калифорнии

  Офис генерального прокурора Ксавьера Бесерра не начнет применять закон до 1 июля 2020 года, но Бесерра заявил, что считает закон вступившим в силу с января.1 января 2020 года, «сразу после того первого поцелуя, объятий и шампанского».

  Однако бюджет генерального прокурора ограничен. Он сказал, что его офис, скорее всего, будет проводить только три правоприменительных мероприятия в год. Против кого? Он пока не скажет, хотя Бесерра сказал, что «чем крупнее компания, тем серьезнее проблема. Чем больше вселенная, в которой есть данные, которые используются определенным образом, которые могут привести к этому нарушению, тем серьезнее будет дело».

  Есть особо секретные виды защиты информации, которым его офис стремится уделять первоочередное внимание.

  «Я думаю, что моя медицинская информация является конфиденциальной. Я думаю, что мой номер социального страхования является конфиденциальным. Я думаю, что мои схемы свиданий, особенно после того, как я женат, будут конфиденциальными», — шутливо сказал Бесерра.

  Затем он добавил, что «агрессивное, раннее и решительное правоприменение», вероятно, будет сосредоточено на продаже данных с участием детей. «Меньше всего вы хотите, чтобы любая компания думала, что мы будем мягкими, позволяя вам злоупотреблять личной информацией детей».

  Технологические гиганты

  Отраслевые группы в прошлом году пытались переписать и смягчить закон.Ожидается, что они подадут в суд, чтобы остановить его развертывание в новом году, даже несмотря на то, что большинство из них предприняли некоторые шаги для соблюдения CCPA. Многие компании жалуются на отсутствие ясности в правилах, которые генеральный прокурор все еще разрабатывает.

  Common Sense Media, группа по защите конфиденциальности, имеет шаблон формы запроса «Не продавать мои данные» на своем веб-сайте. Но предприятия хотят, чтобы генеральная прокуратура выпускала образцы бланков и уведомлений. Генеральная прокуратура выпустила стандартизированную оценку регулирующего воздействия, которая демонстрирует потенциальную сферу применения нового закона.

  Тем временем некоторые компании, такие как Microsoft, сразу же принимают новые правила по всей стране.

  Но в то время как Facebook упростил загрузку ваших данных (как и Twitter и Google), гигант социальных сетей из Menlo Park утверждает, что продает рекламодателям доступ к пользователям, поэтому рекламодатели должны позволить пользователям отказаться или нет.

  Это не проходит тест на запах для ряда обозревателей отрасли, включая Криса Хофнэгла, который преподает технологическое регулирование в Калифорнийском университете в Беркли.

  «Facebook, в частности, похоже, интерпретирует закон весьма оппортунистическим образом. Так что им на самом деле не нужно ничего делать для его соблюдения», — сказал он.

  Хофнэгл считает, что крупнейшие технологические компании Кремниевой долины могут держать пари, что через некоторое время за ними приедет офис генерального прокурора.

  Технологические компании тем временем могут заработать серьезные деньги.Только Facebook заработал 55 миллиардов долларов в 2018 году, предоставив рекламодателям доступ к пользователям.

  «Правоприменение здесь — большая неизвестность. Но у Facebook будут проблемы, если генеральный прокурор возьмет закон и воспользуется им», — сказал Хофнэгл.

  Брокеры данных

  Менее обсуждаются, но не менее драматичны последствия закона для брокеров данных, компаний, построенных на сборе и продаже информации независимо от того, знают об этом потребители или нет.

  Закон применяется к любой компании, которая соответствует любому из трех пороговых значений в год: она имеет доход не менее 25 миллионов долларов, зарабатывает не менее половины своих денег на продаже данных или собирает информацию не менее чем о 50 000 потребителей.Компании, которые не устраняют нарушения в течение 30 дней с момента уведомления, могут быть оштрафованы до 7500 долларов за каждое умышленное нарушение.

  Отслеживание данных и продажа стали крупным бизнесом для самых разных компаний, включая автопроизводителей, розничных торговцев, компании-разработчики программного обеспечения и других, которые, о которых вы не обязательно знаете, ведут побочный бизнес, обслуживая рекламодателей.

  Многие потребители технически согласились на отслеживание и продажу своих данных, нажав «да» на те трудные для понимания формы принятия, необходимые для использования множества веб-сайтов и приложений.

  Считайте последнее приглашение на вечеринку, которое вы получили через Evite.

  «Они собирают выводы, которые они почерпнули из приглашения», — объяснила Мэри Стоун Росс. «Итак, они собирают и продают присутствие детей в семье; ваша религия; если вы переезжаете или ждете ребенка. Это то, что CCPA разоблачит, потому что теперь вы можете прочитать их политику конфиденциальности».

  Активисты по защите конфиденциальности данных, такие как Стоун Росс, надеются, что даже если отдельные люди не очень хотят копаться в мелком шрифте, юристы и журналисты будут делать это таким образом, чтобы привлечь внимание общественности.

  No related posts.