Новое в законе о персональных данных 2020: Закон о персональных данных 2022: работа по новым правилам

Разное 

Содержание

Как изменится закон о персональных данных с 1 сентября 2022 года — СКБ Контур

    9 августа 2022 32 785

    Осенью произойдут масштабные изменения в работе с персональными данными. Операторы должны быть готовы к очередному ужесточению требований. Законодательные новации будут направлены на совершенствование правовой защищенности субъектов персональных данных, а также усиление госконтроля в этой сфере.

    Поправки в Федеральный закон от 27.07.2006 № 152-ФЗ вносит Федеральный закон от 14.07.2022 № 266-ФЗ. Некоторые положения этого закона начнут работать уже с 1 сентября 2022 года, но есть изменения, которые вступят в силу только 1 марта 2023 года — они затрагивают вопросы трансграничной передачи данных и порядок предоставления сведений из ЕГРН.

    Ранее Федеральный закон от 30.12.2020 № 519-ФЗ определил три важных принципа для согласия на обработку ПД:

    1. Молчание или бездействие не считаются согласием на обработку ПД.  
    2. Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно.
    3. В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу данных неограниченному кругу лиц.

    С учетом тех изменений, которые планируются к сентябрю, нужно провести аудит документов и внести соответствующие поправки. Также рекомендуем следить за новостями и разъяснениями Роскомнадзора.  

    • Введение принципа экстерриториальности 
    • Обязанность сообщать об утечке персональных данных
    • Сокращение сроков реагирования оператора на запросы
    • Усиление ответственности обработчика персональных данных
    • Изменение требований к поручениям
    • Новое в уведомлении Роскомнадзора об обработке персональных данных
    • Новые требования к согласию на обработку персональных данных
    • Изменение требований к политике обработки персональных данных
    • Новшества в обработке биометрических данных

    Если ранее в Федеральном законе от 27.07.2006 № 152-ФЗ (далее — 152-ФЗ) не было положений, регламентирующих его действия по территории и кругу лиц, то в новой редакции они появятся.

    Закон будет применяться к иностранных юридическим и физическим лицам, если обработка персональных данных (далее — ПД) осуществляется на основании договора с гражданином РФ или с его согласия.

    Эксперты InfoWatch периодически делятся данными об утечках информации. Еще в отчетах за 2020 год они обращали внимание на то, что пандемия, оказывая сильное влияние на различные сферы жизни, действует и на формирование картины утечек.

    2021 год запомнился развитием дистанционных каналов обслуживания, искусственного интеллекта и IT-сервисов. В этот период удаленная работа стала обычным явлением. «На этом фоне еще быстрее меняется ландшафт угроз информационной безопасности, – отмечают эксперты InfoWatch. – Все это отражается и на структуре утечек информации ограниченного доступа. Одним из главных факторов сокращения количества утечек в публичном пространстве стало повышение латентности (скрытности) инцидентов в компаниях».

    Новая редакция закона обязывает оператора ПД обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА). Цель такого новшества — заставить операторов информировать об инцидентах, которые повлекли неправомерную передачу ПД. То есть новая редакция 152-ФЗ предполагает усиление ответственности операторов обработки ПД за утечку данных.

    Если инцидент с утечкой данных произойдет, оператор будет обязан:

    • уведомить о случившемся Роскомнадзор в течение 24 часов;
    • провести внутреннее расследование и уведомить службу о его результатах в течение 72 часов;
    • представить сведения о лицах, действия которых стали причиной инцидента (при наличии).

    Оператору придется быстрее реагировать на запросы субъектов ПД и Роскомнадзора. Теперь он должен будет предоставить субъекту ПД сведения, касающиеся обработки его ПД, в течение не 30 рабочих дней, как ранее, а в течение 10 рабочих дней. Однако этот срок может быть продлен на 5 рабочих дней, если оператор направит в адрес субъекта мотивированное уведомление, в котором укажет причины отсрочки.

    Если субъект обращается с требованием прекратить обработку ПД, то оператор должен отреагировать на него в течение 10 дней, то есть прекратить обработку данных.

    Также по запросу Роскомнадзора оператор ПД должен предоставить необходимую информацию в течение 10 рабочих дней. При мотивированном уведомлении такой ответ можно продлить на 5 дней.

    Ответственность будет усилена по отношению к иностранным обработчикам. Обработчик ПД — это лицо, которое обрабатывает данные на основании поручения.

    Если ранее обработчик нес ответственность по поручению только перед оператором и, следовательно, не отвечал перед субъектами ПД, то с 1 сентября 2022 года при поручении обработки ПД иностранному лицу обработчик будет ответственен не только перед оператором, который поручил ему обработку, но и перед субъектом ПД.

    Вовремя примите меры по защите персональных данных

    В новой редакции 152-ФЗ уточняется, что обработчик данных обязан соблюдать принципы, правила обработки, конфиденциальность данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законом.

    В поручении оператор должен определить перечень ПД, перечень действий (операций) с данными, которые будут совершаться обработчиком, обязанность обработчика по соблюдению конфиденциальности. Кроме того, в поручении устанавливается обязанность по запросу оператора в течение срока действия поручения предоставлять документы и информацию, подтверждающие принятие мер и соблюдение обязанности по обеспечению безопасности ПД при их обработке.

    В поручении должна быть отражена обязанность обработчика уведомлять оператора об утечках ПД.

    Согласно ст. 22 152-ФЗ, прежде чем приступить к обработке ПД, оператор должен уведомить Роскомнадзор о своем намерении. Для этого есть специальная анкета.

    Ранее закон предусматривал несколько случаев, когда уведомление не требуется. В частности, если ПД включают только фамилии, имена и отчества; необходимы для однократного пропуска субъекта ПД на территорию, на которой находится оператор; обрабатываются в соответствии с трудовым законодательством и т.д.

    Теперь перечень ситуаций, когда уведомление Роскомнадзора не требуется, радикально сокращен. Он включает только два пункта:

    • ПД, включенные в государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
    • ситуацию, когда оператор осуществляет деятельность по обработке данных исключительно без использования средств автоматизации.

    Следует обратить внимание на появление новых признаков, которым должно соответствовать согласие субъекта ПД.

    Ранее, как отмечается в ст. 9 152-ФЗ, такое согласие должно было быть конкретным, информированным и сознательным. С 1 сентября характеристики расширятся — согласие, помимо всего прочего, должно быть предметным и однозначным.

    Теперь оператор должен в политике обработки ПД для каждой цели обработки указывать:

    • категории и перечень обрабатываемых ПД;
    • категории субъектов, данные которых обрабатываются;
    • способы, сроки их обработки и хранения;
    • порядок уничтожения ПД при достижении целей их обработки.

    Для того, чтобы соответствовать этому требованию, придется провести аудит и определить цели, которые преследует компания при обработке ПД. А далее работать по каждой цели.

    Кроме того, вносятся изменения и в правила публикации политики ПД. Она должна быть не просто размещена на сайте, а опубликована на страницах сайта, где осуществляется сбор данных.

    Важно помнить, что политика обработки ПД не может содержать положения, которые ограничивают права субъектов ПД.

    С 1 сентября вступает в силу запрет оператора отказывать гражданам в оказании услуг, в случае если они не желают предоставлять биометрию и это не является обязательным требованием.

    Согласно ст. 11 152-ФЗ к биометрическим данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (например, отпечатки пальцев).

    Безопасность

    Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

    Узнать больше

    Безопасность

    Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

    Узнать больше

    Изменения в 152-ФЗ «О персональных данных» на 2021 год

    Персональные данные разрешенные для распространения, новые требования и новые определения

    Получите консультацию по составлению согласия на распространение персональных данных

    «Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности»

    Сегодня в статье мы подробно рассмотрим изменения в 152-ФЗ «О персональных данных» на 2021 год.

    17  ноября 2020г. депутатом Государственной Думы А. В. Горелкиным был внесен законопроект № 1057337-7 «О внесении изменений в Федеральный закон «О персональных данных»» в части особенностей обработки персональных данных, разрешенных субъектом персональных данных для распространения.  Проект уже прошел все обсуждения и 30-го декабря был подписан президентом. В этой статье мы попробуем проанализировать какие-же изменения нас ждут уже в этом году в части обработки и защиты персональных данных.

    Первое, что мы видим это новое определение, появившееся в ст. 3:

    Персональные данные, разрешенные субъектом персональных данных для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом

    Т.е., по сути, определение общедоступные персональные данные заменили на персональные данные разрешенные для распространения. Интересный момент заключается в том, что сохраняются общедоступные источники ПДн, однако, как следует из внесённых поправок, включение ПДн в такие источники теперь не означает, что данные ПДн можно распространять свободно (нужно получить соответствующее согласие).

    Если раньше обработка персональных данных допускалась с согласия субъекта или в ряде других случаях, в т.ч. если персональные данные, сделаны общедоступными самим субъектом персональных данных, то теперь этот пункт, п. 10 ч.1 ст.6 был упразднён. Но взамен этого пункта, появилась целая статья, в которой описываются особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения. Она так и называется.

    Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

    Первый пункт нововведенной статьи касается оформления согласия на обработку персональных данных и звучит он следующим образом:

    Согласие    на   обработку   персональных   данных,   разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

    Т.е., мы не видим требований к оформлению согласий в письменном виде, что значительно может упростить процесс их сбора, но об этом чуть позже.

    В случае раскрытия ПДн неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, обязанность предоставить доказательства законности распространения или иной обработки лежит на каждом лице, осуществляющем их распространение или иную обработку.

    Т.е. по факту ничего особенного не добавилось, оператор как и раньше должен доказать свое право на обработку ПДн своих субъектов и основания на такую обработку. В новой версии Федерального закона основания должны быть представлены в виде отдельного согласия на распространение . Учитывая, что общедоступные источники никуда не делись, то возможно придется собирать уже два согласия. Одно письменное для включения персональных данных субъекта в общедоступные источники информации, второе же на распространение.

    Пока это лишь наша трактовка, но вероятность этого велика. В любом случае, после вступления закона в силу и возникновения подобных инцидентов нужно ждать позиции судов.

    Интересный момент, что если по каким-то причинам ПДн оказались доступны неопределенному кругу лиц, то любое лицо осуществившее их распространение или иную обработку также должны предоставить доказательства законности последующего их распространения.

    Если субъект ПДн дал согласие на обработку своих персональных данных, но из этого согласия не следует, что субъект ПДн согласился с распространением, такие персональные данные должны обрабатываться оператором без права распространения.

    В новом законопроекте субъектам персональных данных дается возможность самим регулировать  условия обработки, накладывать запреты на обработку своих ПДн, а также устанавливать запрет на передачу своих данных третьим лицам. Интересный момент, что если сам бланк согласия не подразумевает полей устанавливающих запреты или не указаны перечень ПДн или категории ПДн для которых субъект устанавливает условия и запреты, то такие персональные данные должны обрабатываться оператором без распространения или без предоставления доступа к этим данным. Отказать в установлении запрета или ограничения в отношении распространения своих персональных данных оператор не имеет права. Более того Оператор  обязан опубликовать информацию об условиях обработки и о наличии запретов и условий обработки в срок не превышающий 3-х дней с момента получения соответствующего согласия.

    На самом деле не совсем понятно, что имеется в виду под формулировкой «опубликовать»,  разместить информацию в ИС регулятора или же на собственном сайте, а может быть просто распечатать в завизировать  соответствующий внутренний документ. Если кто-то уже разобрался в данном вопросе, напишите пожалуйста в комментариях Ваше мнение.

    Получите первичную консультацию по составлению согласия на обработку персональных данных обратившись на почту hello@pdmaster. ru или позвонив нам по номеру телефона +7 (495) 782-69-88

    Как Оператору получить согласие на распространение персональных данных?

    Напомню, что в текущей версии закона, в общедоступные источники персональных данных могут включаться сведения о субъекте с его письменного согласия.

    Из новой статьи закона мы видим, что согласие на распространение персональных данных может быть предоставлено субъектом:

    • непосредственно;
    • с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

    Формулировки не подразумевают сбора письменных согласий операторами, что значительно упрощает сам процесс. Т.е. достаточно того, что субъект персональных данных соглашается с согласием размещенным на сайте. Но к оформлению таких согласий нужно подойти со всей серьезностью, т.к. как я уже описал выше, к самим согласиям будут предъявляться более жесткие требования.

    Что касается специальной информационной системы РКН, предназначенной для сбора согласий на распространение персональных данных, то ее нет. Т.е. регулятор закладывает такую возможность, но когда реализует непонятно. Поэтому имеет смысл ориентироваться на согласия данные непосредственно субъектом оператору. Тем более, что молчание или бездействие субъекта ПДн ни при каких обстоятельствах  не могут считаться согласием на распространение персональных данных.

    Как и любое правило, требования нововведенной статьи имеют исключения.  Установленные субъектом запреты на распространение его персональных данных могут быть проигнорированы оператором, если случаи обработки ПД касаются государственных, общественных или иных публичных интересов, определенных законодательством РФ.

    Также требования новой статьи не применяются, если:

    • Обработка персональных данных производится в целях выполнения норм законодательства РФ.
    • Обработка производится федеральными  или региональными органами исполнительной власти или же органами местного самоуправления для исполнения своих функций, полномочий и обязанностей.

    Передача персональных данных, разрешенных субъектом для распространения, должна быть прекращена по требованию субъекта. В данном случае, ничего нового требования статьи не содержат, т.к. оператор и так должен прекратить обработку ПДн субъекта, если тот пишет соответствующий отзыв ранее данного согласия. Данное требование должно включать в себя ФИО субъекта, контактную информацию, а также перечень персональных данных, распространение которых подлежит прекращению. Соответственно, действие ранее данного согласия прекращается в течение трех дней с момента поступления оператору подобного требования или в срок, указанных во вступившем в законную силу решения суда, если субъект обратился в суд.

    Еще немного изменений

    Помимо новой статьи закона, вводятся изменения в уже существующие и связанные с общедоступными источниками информации. В частности претерпела изменение статья 18. Если раньше Оператор освобождался от обязанности предоставлять субъекту персональных данных сведения, полученные из общедоступных источников информации, то теперь закон ссылается на все вышеописанные требования новой статьи.

    Ровно тоже произошло и со статьей 22 152-го Федерального закона. В которой говорится об уведомлении Роскомнадзора. В старой версии закона говорится о том, что Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку ПД, полученных из общедоступных источников информации. В новой же версии Оператор должен учитывать все условия и запреты отраженные в вводимой статье.

    На самом деле последние два описанных изменения, на мой взгляд, не накладывают каких –то дополнительных условий на оператора. Т.к. в большинстве случаев оператор и так должен был предоставить обрабатываемые данные субъекта по его запросу и уведомить РКН о своей деятельности как оператора.

    Закон уже подписан, но требования вступают в силу с 1 марта 2021г. Поэтому рекомендую заранее подготовиться и разработать шаблон согласия на распространение, которое Вы будете использовать.

    Здесь можно задавать свои вопросы

    «Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности»

    Самое важное в одном абзаце

    Появилось новое понятие, пришедшее на смену «Общедоступные источники персональных данных», при этом сами общедоступные источники никуда не делись. Оператору нужно оформлять отдельным документом согласие на распространение персональных данных субъекта. Субъект ПД может устанавливать запреты на распространение своих персональных данных или их части. Должна появиться информационная система, оператором которой будет РКН. В этой ИС можно будет получить согласие на распространение персональных данных своих субъектов.

    Законы о конфиденциальности данных в 2022 году: что вам нужно знать

    Введение в конфиденциальность данных в 2022 году

    За последние несколько лет распространение законов о конфиденциальности данных ускорилось во всем мире.

    И эта тенденция не собирается останавливаться. По данным Gartner, «к 2023 году 65% населения мира будут иметь свои личные данные, подпадающие под действие современных правил конфиденциальности». Но важно отметить, что не все правила конфиденциальности созданы одинаковыми, и уровни конфиденциальности данных, защиты данных, области действия или деловых обязательств могут сильно различаться. Приведенная ниже карта, составленная DLA Piper, обеспечивает хорошую визуализацию не только текущего охвата закона о конфиденциальности данных, но также их сильных сторон и надежности.

    Ниже мы перечислили краткие сведения об основных правилах конфиденциальности, о которых вы должны знать, и будем обновлять эту страницу по мере появления новых правил или поправок.

    СОДЕРЖАНИЕ

    Законы о конфиденциальности данных в США по штату
    Международные законы о конфиденциальности данных
    Ключевые риски несоблюдения
    Заключение

    Законы США о конфиденциальности по состоянию

    9004 9

    .

    Закон штата Калифорния о конфиденциальности потребителей (CCPA)
    Закон штата Калифорния о правах на конфиденциальность (CPRA)
    Закон штата Вирджиния о конфиденциальности данных потребителей (CDPA)
    Закон штата Колорадо о конфиденциальности (CPA)
    Федеральные законы о защите данных

    В настоящее время это делают Соединенные Штаты. не иметь всеобъемлющего федерального закона о конфиденциальности данных. Хотя за последние десятилетия было предпринято много попыток согласовать вопросы конфиденциальности и защиты данных, до сих пор нет единой структуры. Вы можете проверить этот полезный трекер, разработанный IAPP, чтобы отслеживать введение и развитие федерального закона о конфиденциальности.

    В отсутствие федеральной системы обеспечения конфиденциальности некоторые штаты взяли на себя инициативу и приняли новые всеобъемлющие законы о конфиденциальности данных, вдохновленные Европейским общим регламентом по защите данных (GDPR). По мере принятия новых государственных правил мы будем обновлять эту страницу.

    Закон штата Калифорния о защите прав потребителей (CCPA)

    Закон штата Калифорния о защите прав потребителей (CCPA) был первым всеобъемлющим законом о конфиденциальности данных. Закон CCPA был подписан 28 июня 2018 г. и вступил в силу 1 января 2020 г.

    Этот закон Калифорнии о конфиденциальности данных в настоящее время применяется к коммерческим организациям, которые собирают личную информацию от жителей Калифорнии и соответствуют любому из следующих пороговых значений:

    (i) валовой годовой доход не менее 25 миллионов долларов США,

    (ii) покупки , продает или получает личную информацию не менее чем о 50 000 калифорнийских потребителей, домохозяев или устройств в коммерческих целях или,

    (iii) получает более 50% своего годового дохода от продажи личной информации.

    Кроме того, CCPA также вводит новые права потребителей для жителей Калифорнии, такие как право знать, право на удаление, право отказаться от продажи и многое другое.

    Чтобы узнать больше о законе CCPA и о том, что он может означать для вашего бизнеса, посетите наш обзор CCPA.

     

    Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA).

    Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA) является второй версией CCPA, поэтому многие называют его CCPA 2.0. Аластер Мактаггарт, архитектор CCPA, представил CPRA осенью 2019 года.и собрал достаточно подписей, чтобы подготовить инициативу голосования и обойти законодательный орган. 3 ноября 2021 года избиратели Калифорнии одобрили Предложение 24 с перевесом в 13%, что привело к созданию CPRA. CPRA вступит в силу 1 января 2023 года.

    По сравнению с CCPA, CPRA добавляет следующее:

    • Пороговое заявление для организаций, собирающих личную информацию от жителей Калифорнии,
    • Новые права потребителей, такие как право на исправление или право на ограничение использования и раскрытия конфиденциальных данных,
    • Определение «Подрядчика»,
    • Определения продажи и обмена данными,
    • Автоматический штраф в размере 7500 долларов США за нарушение, касающееся личной информации несовершеннолетних,
    • Ежегодный аудит кибербезопасности, необходимый для предприятий, обработка которых представляет значительный риск для конфиденциальности или безопасности потребителей,
    • Создание Калифорнийского агентства по защите конфиденциальности (CPPA) для обеспечения соблюдения CPRA,
    • Предприятия, обработка которых представляет значительный риск для конфиденциальности или безопасности потребителей, должны регулярно представлять оценку риска в CPPA.
    • И многое другое!

    CPRA содержит положение об ретроспективном анализе на 12 месяцев, а это означает, что предприятий должны будут убедиться, что их методы сбора данных соответствуют CPRA с 1 января 2022 года . Хотя у вас может возникнуть соблазн отложить это до более позднего этапа, просто знайте, что соблюдение закона CCPA действует, и меры по обеспечению соблюдения должны усиливаться по мере того, как Калифорнийское агентство по защите конфиденциальности (CPPA) структурирует свою команду и операции.

    Чтобы получить дополнительные сведения о CPRA и понять, чем он отличается от CCPA, см. наш обзор CCPA и CPRA.

    Закон Вирджинии о конфиденциальности данных потребителей (CDPA)

    Закон Вирджинии о защите данных потребителей (CDPA) был подписан губернатором Ральфом Нортамом 2 марта 2021 года и вступит в силу 1 января 2023 года.

    Закон CDPA стал второй всеобъемлющий закон о конфиденциальности данных, который будет принят в США и был в значительной степени вдохновлен CPRA. Несмотря на то, что между этими двумя законами существует много общего, есть и ключевые различия:

    • Потребители должны согласиться на сбор и использование своих конфиденциальных данных для обработки
    • CDPA требует оценки воздействия на защиту данных для любой обработки, связанной с целевой рекламой, продажей данных, профилированием или конфиденциальными данными; или любая обработка данных, которая представляет «риск причинения вреда»
    • CDPA не требует добавления ссылки «Не продавать мою личную информацию» на веб-сайтах
    • Обеспечение соблюдения CDPA будет осуществляться Генеральной прокуратурой Вирджинии

    Для более подробного ознакомления с CDPA штата Вирджиния см. наш обзор CDPA.

     

    Закон штата Колорадо о конфиденциальности (CPA).

    Закон штата Колорадо о конфиденциальности (CPA) был единогласно принят 26 мая 2021 г. и подписан 7 июля 2021 г. губернатором Джаредом Полисом. CPA вступит в силу 1 июля 2023 года.

    CPA стал третьим всеобъемлющим регламентом конфиденциальности данных, принятым в США, после Калифорнии с ее CCPA и CPRA и после Вирджинии с CDPA.

    Хотя CPA похож на CCPA и CDPA, некоторые элементы отличают закон Колорадо от двух других правил и потребуют дополнительных усилий по соблюдению со стороны компаний, подпадающих под его юрисдикцию. Например:

    • CPA не указывает денежную стоимость в своих критериях применимости, поэтому каждая компания должна контролировать жителей Колорадо и домохозяйства, которые она приобретает.
    • CPA требует, чтобы соответствующие предприятия внедрили средства, с помощью которых потребители могли бы отказаться от обработки своих личных данных в целях профилирования
    • Кроме того, CPA явно запрещает соответствующим компаниям использовать темные шаблоны для получения согласия от потребителей
      • .

    Продолжайте читать о Законе штата Колорадо о конфиденциальности в нашем обзоре CPA.

    Федеральные законы о защите данных

    Хотя в настоящее время в США нет всеобъемлющего федерального закона о конфиденциальности, существует множество федеральных нормативных актов, регулирующих сбор информации в Интернете и определяющих требования к защите данных. Вот некоторые из основных правил, с которыми вы можете столкнуться.

    HIPAA

    Закон о переносимости и подотчетности медицинского страхования, также известный как HIPAA, – это федеральный закон, вступивший в силу 14 апреля 2003 года и требующий создания национальных стандартов для защиты конфиденциальной информации о состоянии здоровья пациентов от раскрытия без предварительное согласие или знание пациента.

    Согласно HHS, HIPAA требует «соответствующих мер безопасности для защиты конфиденциальности личной медицинской информации, а также устанавливает ограничения и условия использования и раскрытия такой информации без разрешения пациента».

    HIPAA также «предоставляет пациентам права на информацию о своем здоровье, включая право на изучение и получение копии своих медицинских карт, а также право запрашивать исправления».

    Этот комплексный регламент определяет подпадающие под действие организации, разрешенное использование данных, исключения, а также протоколы защиты данных пациентов. Вы можете узнать больше о HIPAA на веб-сайте CDC и на веб-сайте HHS.

    COPPA

    Правило защиты конфиденциальности детей в Интернете, также известное как COPPA, представляет собой федеральный закон США о конфиденциальности данных, принятый Конгрессом в 1998 г. и вступивший в силу в апреле 2000 г.

    COPPA налагает определенные требования на операторов веб-сайтов или онлайн-сервисов, детям младше 13 лет, а также операторам других веб-сайтов или онлайн-сервисов, которым действительно известно, что они собирают личную информацию в Интернете от ребенка младше 13 лет, как указано на веб-сайте FTC.

    На высоком уровне в законе указано:

    • Сайты должны требовать согласия родителей на сбор или использование любой личной информации молодых пользователей веб-сайтов.
    • Что должно быть включено в политику конфиденциальности, включая требование, чтобы сама политика была размещена везде, где собираются данные.
    • Когда и как получить поддающееся проверке согласие родителей или опекунов.
    • Какие юридические обязательства несет оператор веб-сайта в отношении конфиденциальности и безопасности детей в Интернете, включая ограничения на типы и методы маркетинга, ориентированного на лиц моложе 13 лет.

    Вы можете получить доступ к полному официальному тексту COPPA на веб-сайте FTC.

    FCRA

    Закон о достоверной кредитной отчетности, также известный как FCRA, был принят в 1970 г. и вступил в силу 25 апреля 1971 г. конфиденциальность личной информации, содержащейся в файлах агентств кредитной информации».

    Этот федеральный закон регулирует «сбор кредитной информации потребителей и доступ к их кредитным отчетам».

    FCRA создало множество новых прав потребителей и деловых обязательств, касающихся объема, содержания кредитного отчета, разрешения споров, доступа к данным и многого другого.

    Вы можете ознакомиться как с кратким изложением, так и с полным текстом FCRA на веб-сайте FTC.

    GLBA

    Закон Грэмма-Лича-Блайли (GLBA) был принят 12 ноября 1999 года и требует «финансовых учреждений — компаний, предлагающих потребителям финансовые продукты или услуги, такие как кредиты, финансовые или инвестиционные консультации или страхование, — разъяснять свои практики обмена информацией со своими клиентами и для защиты конфиденциальных данных».

    Объем охваченных данных (более 10 точек данных), а также регулируемые субъекты, охватывающие организации, которые либо оформляют кредиты, либо берут на себя кредитные риски, имели далеко идущие последствия. GLBA предоставляет такие преимущества для защиты потребителей, как:

    • Частная или конфиденциальная информация защищена от несанкционированного доступа,
    • Клиенты, уведомленные об обмене частной информацией между финансовыми учреждениями и третьими лицами и имеющие возможность отказаться при желании,
    • Отслеживается активность пользователей и сотрудников, включая любые попытки доступа к конфиденциальной информации или защищенным записям.

    Полный текст GLBA доступен здесь.

    Закон США о конфиденциальности 1974 г.

    В 1974 г. Конгресс принял Закон США о конфиденциальности 1974 г., содержащий важные положения о конфиденциальности и защите данных для потребителей США. Основная цель Закона – «сбалансировать потребность правительства в хранении информации о лицах с правами людей на защиту от необоснованного вторжения в их частную жизнь, связанного со сбором, хранением, использованием и раскрытием личной информации о них федеральными агентствами». ».

    Некоторые из основных моментов и новых разработок Закона о конфиденциальности:

    • Право граждан США на доступ и копирование любых данных, хранящихся в государственных учреждениях,
    • Право граждан на исправление любых информационных ошибок, содержащихся в их данных,
    • Агентства должны следовать принципам минимизации данных при сборе данных – минимум информации, «соответствующей и необходимой» для достижения своих целей,
    • Доступ к данным ограничивается по мере необходимости — например, сотрудники, которым записи нужны для их должностных обязанностей,
    • Обмен информацией между другими федеральными (и нефедеральными) агентствами ограничен и разрешен только при определенных условиях.

    С полным текстом Закона США о конфиденциальности можно ознакомиться на веб-сайте Министерства юстиции.

    Закон FTC

    Хотя это и не является действительно всеобъемлющим законом о конфиденциальности данных, некоторые называют Закон о Федеральной торговой комиссии (Закон FTC) 1914 года первым федеральным законом о конфиденциальности.

    В соответствии с Законом о Федеральной торговой комиссии Комиссия уполномочена:

    • (a) предотвращать недобросовестные методы конкуренции и недобросовестные или вводящие в заблуждение действия или практики в торговле или влияющие на нее,
    • (b) добиваться денежной компенсации и другой помощи за поведение, наносящее ущерб потребителям,
    • (c) предписывать правила, конкретно определяющие действия или действия, которые являются несправедливыми или вводящими в заблуждение, и устанавливающие требования, направленные на предотвращение таких действий или действий,
    • (d) собирать и обобщать информацию и проводить расследования, касающиеся организации, бизнеса, практики и управления субъектами, занимающимися коммерческой деятельностью, и
    • (e) представлять отчеты и законодательные рекомендации Конгрессу и общественности.

    На сегодняшний день Федеральная торговая комиссия в целом полагалась на Раздел 5 Закона о Федеральной торговой комиссии (Закон о Федеральной торговой комиссии) для расследования нарушений прав потребителей и принятия мер, в том числе в контексте конфиденциальности и безопасности данных.

    Вы можете получить доступ к полному тексту закона FTC на веб-сайте FTC.

    Международные законы о конфиденциальности данных

    В этом разделе

    Общий регламент ЕС по защите данных (GDPR)
    Общий закон о защите данных Бразилии (LGPD)
    Китайский закон о защите личной информации (PIPL)
    Канада PIPEDA
    Канадский закон о борьбе со спамом (CASL)

    Общий регламент по защите данных (GDPR) изменил ландшафт конфиденциальности и вдохновил последние законы о конфиденциальности в США и во всем мире. GDPR вступил в силу 25 мая 2018 года, но на его разработку ушли годы. IAPP имеет довольно обширный график изменений в области конфиденциальности, ведущих к принятию GDPR.

    Основной целью GDPR является усиление контроля и прав отдельных лиц над их личными данными, а также упрощение нормативно-правовой базы для международного бизнеса.

    GDPR ввел права потребителей для всех жителей ЕС, требует защиты данных и оценки воздействия на конфиденциальность, а также добавил добровольное согласие, которое должно быть «свободно предоставленным, конкретным, информированным и недвусмысленным» посредством «четких позитивных действий».

    Постановление также ввело 7 ключевых принципов:
    • Законность, справедливость и прозрачность
    • Ограничение цели
    • Минимизация данных
    • Точность
    • Ограничение хранения
    • Целостность и конфиденциальность
    • Подотчетность

    Если вы хотите узнать больше о GDPR, ознакомьтесь с нашим полным руководством GDPR.

    Общий закон Бразилии о защите данных (LGPD)

    Бразильский закон о защите данных (LGPD) вступил в силу 18 сентября 2020 г., но положения об административных санкциях LGPD вступили в силу 1 августа 2021 г.

    LGPD – это первое комплексное регулирование конфиденциальности данных в Бразилии, созданное на основе GDPR. Хотя между LGPD и GDPR существует много общего, существуют заметные различия, в основном связанные с определением данных в области действия, экстерриториальностью, требованиями сотрудника по защите данных или запросами прав потребителей на неприкосновенность частной жизни (DSAR).

    Подобно GDPR, LGPD требует от организаций назначать сотрудников по защите данных, проводить оценку воздействия на защиту данных, вести учет действий по обработке и т. д.

    Полный обзор LGPD см. в нашем полном руководстве.

    Закон о защите личной информации Китая (PIPL)

    Недавний Закон о защите личной информации (PIPL), принятый 20 августа 2021 года, является первым всеобъемлющим законом о конфиденциальности данных в Китае, основанным на конституции Китая. Он вступает в силу 1 ноября 2021 года и объявлен «изменяющим правила игры для компаний в Китае».

    PIPL имеет экстерриториальное действие: он применяется не только к компаниям, обрабатывающим личную информацию в Китае, но и к компаниям, обрабатывающим личную информацию за пределами Китая, где обработка осуществляется в целях предоставления продукта или услуги, анализа поведения жителей Китая. PIPL требует, чтобы иностранные компании создали специальное учреждение или назначили представителя в Китае для решения вопросов защиты личной информации.

    Кроме того, PIPL ввела специальные рекомендации по сбору согласия потребителей, запросам о правах субъекта данных, а также обязательствам обработчика данных.

    Чтобы узнать больше о PIPL, ознакомьтесь с нашим полным руководством по PIPL.

    Канада PIPEDA

    Закон о защите личной информации и электронных документов (PIPEDA) — канадский закон о конфиденциальности данных, вступивший в силу 13 апреля 2000 г. Это основной федеральный закон Канады о конфиденциальности, регулирующий сбор данных в частном секторе.

    PIPEDA имеет широкое применение и «применяется к организациям частного сектора по всей Канаде, которые собирают, используют или раскрывают личную информацию в ходе коммерческой деятельности».

    Согласно PIPEDA, к личной информации относится «любая фактическая или субъективная информация, записанная или нет, об идентифицируемом лице. Сюда входит информация в любой форме, например:

    • возраст, имя, идентификационный номер, доход, этническое происхождение или группа крови;
    • мнений, оценок, комментариев, социального статуса или дисциплинарных взысканий; и
    • файлы сотрудников, кредитные записи, кредитные записи, медицинские записи, наличие спора между потребителем и продавцом, намерения (например, приобрести товары или услуги или сменить работу)».

    Несмотря на отсутствие определений конфиденциальных данных или требований к оценке конфиденциальности, согласие и права потребителей являются двумя важными аспектами PIPEDA.

    Чтобы узнать больше об исключениях, требованиях к утечке данных и основных принципах получения согласия, просто ознакомьтесь с нашим подробным обзором PIPEDA.

    Закон Канады о борьбе со спамом (CASL)

    Закон Канады о борьбе со спамом (CASL) был принят в 2010 г. и вступил в силу 1 июля 2014 г. Основная цель CASL – уменьшить «вредное воздействие спама и связанных с ним угрозы» и «помочь создать более безопасный и защищенный онлайн-рынок», как указано на веб-сайте правоохранительного органа.

    CASL — это всеобъемлющий закон о конфиденциальности данных, созданный для борьбы со спамом и запрещающий организациям, в том числе иностранным, отправлять нежелательные или вводящие в заблуждение коммерческие электронные сообщения («CEM») или программы потребителям без их согласия.

    Щелкните здесь, чтобы узнать больше о CASL и ее деловых обязательствах.

    Основные риски несоблюдения

    Если ваша организация работает в нескольких юрисдикциях, вам, вероятно, придется соблюдать несколько правил. Как видите, хотя многие из этих правил имеют общий подход, их различия могут быть трудными для понимания и применения в вашем бизнесе для обеспечения соблюдения конфиденциальности.

    Однако риски, связанные с несоблюдением требований, могут иметь негативные последствия для бизнеса:

    • Упущенная выгода : Жалобы потребителей могут повлиять на имидж вашего бренда, уменьшить доверие среди вашей клиентской базы и повлиять на ваши доходы. По данным KPMG, конфиденциальность вызывает все большую озабоченность у 86 % потребителей, а 40 % потребителей в США не доверяют компаниям в этичном использовании их личной информации, и все больше людей в настоящее время готовы действовать, перенеся свой бизнес в другое место.
    • Увеличение затрат : Штрафы могут очень быстро накапливаться в соответствии с большинством правил конфиденциальности, поэтому вы должны убедиться, что сводите риск соблюдения требований к минимуму. В федеральные суды уже подано более 200 исков о ряде нарушений CCPA.
    • Распределение ресурсов : Ваша команда может использовать 30-дневный льготный период, чтобы исправить или устранить предполагаемое нарушение, что может привести к снижению приоритета других важных проектов, направленных на улучшение ваших инициатив по приобретению, удержанию и продуктам. Выявление ключевых пробелов до вступления закона в силу имеет решающее значение.
    • Удержание талантов:  Некоторые из ваших лучших сотрудников, ориентированных на конфиденциальность, могут принять решение уйти в компанию, ориентированную на конфиденциальность, что может ограничить вашу производительность инноваций и ваш рост.
    • Показатели конфиденциальности:  Если вы не продумаете стратегический аспект своей программы конфиденциальности для соблюдения правил конфиденциальности, создание внутренней коалиции вокруг общего видения вашего подхода к конфиденциальности будет затруднено, что ограничит влияние вашей команды по конфиденциальности.

    Продолжить чтение

    • Сравните, чем отличаются глобальные законы о конфиденциальности: быстро определите дополнительную работу, которую необходимо выполнить для соблюдения дополнительных правил конфиденциальности.
    • Советы по подготовке и использованию лоскутного одеяла государственных законов о конфиденциальности: ознакомьтесь с мнением экспертов по конфиденциальности о том, как соблюдать и соблюдать требования в условиях фрагментированной нормативно-правовой базы конфиденциальности.

    Заключение

    Текущие международные правила конфиденциальности могут быть трудны для понимания. Еще более сложной задачей является включение и внедрение вашей программы конфиденциальности. Хотя эти законы могут иметь общий подход и много общего, вы увидите, что необходимо учитывать многие особенности, когда речь идет об объеме защищаемых данных, типах и ответах на права потребителей, требованиях к оценке и многом другом.

    Наша команда стандартизировала основные положения этих ключевых правил в интерактивной таблице конфиденциальности , чтобы вам было легче понять их сходства и различия.

    Сравните соответствие требованиям, обязательства по защите прав потребителей, требования к утечке данных, штрафы и многое другое в нашей интерактивной таблице конфиденциальности!

    Защита данных и конфиденциальность в США в 2020 году

    Общий регламент ЕС по защите данных (GDPR) вступил в силу 25 мая 2018 года. Вскоре после этого органы ЕС по защите данных получили более 95000 обращений граждан. Потребители из ЕС стали более охотно заключать сделки с предприятиями из ЕС, потому что у них есть законные средства для обеспечения соблюдения своих прав на неприкосновенность частной жизни. Таким образом, усиленная защита конфиденциальности, обеспечиваемая GDPR, приносит пользу как потребителям, так и предприятиям в ЕС. (Чтобы узнать больше о GDPR, см. GDPR: Знаете ли вы, должна ли ваша организация соответствовать требованиям?)

    Реклама

    США по-прежнему отстают от ЕС в отношении защиты конфиденциальности. Несмотря на несколько федеральных законов о конфиденциальности, охватывающих определенные отрасли промышленности, и ряд законов штата о конфиденциальности, в США нет федерального закона о конфиденциальности, который бы обеспечивал потребителям надежную защиту конфиденциальности на всей территории страны. Это угрожает экономическому развитию экономики США, которая является крупнейшей в мире.

    В этой статье мы рассмотрим ряд недавних событий, указывающих на то, что в США вскоре может быть принят федеральный закон о конфиденциальности потребителей, и предложим наши прогнозы относительно характера нового закона. В конце статьи делается вывод.

    Реклама

    Обзор изменений в области конфиденциальности в США

    2018

    В апреле 2018 года The Guardian объявила, что консалтинговая компания Cambridge Analytica собрала и использовала данные из примерно 87 миллионов профилей Facebook без согласия соответствующих пользователей. Большинство из них (70 миллионов) базировались в США. Чтобы собрать такой огромный объем данных, Cambridge Analytica использовала приложение под названием thisisyourdigitallife.

    Бывший представитель Cambridge Analytica (Кристофер Уайли) заявил по поводу утечки данных: «Мы использовали Facebook для сбора профилей миллионов людей. И построили модели, чтобы использовать то, что мы знали о них, и нацеливаться на их внутренних демонов. На этой основе строилась вся компания». Нарушение данных привело к серьезной публичной критике Facebook. Около трех четвертей домохозяйств в США, использующих Интернет, обеспокоены рисками для конфиденциальности и безопасности. Вскоре после того, как нарушение было обнаружено, Марку Цукербергу, генеральному директору Facebook, было предложено дать показания перед Конгрессом США.

    В июле 2018 года Белый дом сообщил, что намерен работать с Конгрессом над «политикой защиты конфиденциальности потребителей, которая представляет собой надлежащий баланс между конфиденциальностью и процветанием». Совет индустрии информационных технологий, организация, представляющая крупные технологические компании, высоко оценил усилия Белого дома и подчеркнул, что у Соединенных Штатов есть возможность создать новую парадигму конфиденциальности для цифровой экономики и избежать нынешних лоскутных законов о конфиденциальности.

    Закон о прозрачности информации и контроле личных данных и Закон об уходе за данными

    В 2018 году сенаторы США предложили как минимум два законопроекта о защите данных. Во-первых, в сентябре 2018 года конгрессмен Сьюзан ДельБен представила законопроект под названием «Закон о прозрачности информации и контроле личных данных». Он налагает на компании различные требования в отношении конфиденциальности, включая, помимо прочего, (i) требования о предоставлении потребителям политики конфиденциальности на «простом английском языке» и (ii) требования о получении согласия потребителей перед обработкой их личной информации. Законопроект был повторно внесен в 2019 году..

    Реклама

    Во-вторых, в декабре 2018 года группа из 15 сенаторов США представила Закон об уходе за данными. В случае принятия Закон потребует от компаний, собирающих персональные данные пользователей, принятия разумных мер для их защиты. Брайан Шац, сенатор США, который выступил инициатором законопроекта, объяснил суть закона следующим образом:

    «Люди ожидают, что личная информация, которую они предоставляют веб-сайтам и приложениям, надежно защищена и не будет использоваться. против них.»

    2019

    В 2019 году Сенат США представил новую версию Закона об обслуживании данных (также известного как Закон об обслуживании данных 2019 года). Он обязывает поставщиков онлайн-услуг (i) защищать личные данные от несанкционированного доступа, (ii) воздерживаться от использования личных данных таким образом, который может нанести вред конечным пользователям, и (iii) избегать раскрытия личных данных третьей стороне, если только эта третья сторона не связан обязательствами, установленными Законом.

    Закон о правах потребителей на неприкосновенность частной жизни в Интернете, часть

    3 декабря 2019 года сенатор Мария Кантуэлл [D-WA] представила Конгрессу США Закон о правах потребителей на конфиденциальность в Интернете (COPRA). Его цель — регулировать обработку информации, которая может идентифицировать человека, проживающего в США, или может быть разумно связана с потребительским устройством. Он освобождает некоторые малые предприятия от обязанности соблюдать Закон.

    COPRA требует от организаций, на которые распространяются требования:

    1. Получить согласие субъектов данных перед обработкой их персональных данных.
    2. Используйте данные только для определенных целей.
    3. Принять разумные меры информационной безопасности для защиты данных.
    4. Предоставлять субъектам данных (по их запросу) свои персональные данные.

    Разрешить субъектам данных изменять и удалять свои данные. В случаях, когда данные, подлежащие обработке, являются конфиденциальными персональными данными, согласие должно быть в форме явного положительного согласия. CORPA реализует принцип прозрачности обработки данных, что означает, что подпадающие под действие организации должны публиковать политики конфиденциальности, соответствующие определенным требованиям.

    Как выглядит защита данных и конфиденциальность в 2020 году?

    Закон о защите данных от 2020 г.

    13 февраля 2020 г. сенатор Кирстен Гиллибранд (штат Нью-Йорк) представила Закон о защите данных от 2020 г. В случае принятия законопроект приведет к созданию федерального агентства по защите данных. который будет отвечать за рассмотрение жалоб потребителей, связанных с конфиденциальностью.

    Кроме того, агентство сможет объявлять действия, нарушающие частную жизнь, вводящими в заблуждение или несправедливыми. Новый орган по надзору за конфиденциальностью сможет возбуждать гражданские иски против нарушителей законов о конфиденциальности и даже сможет налагать на них штрафы в размере до 1 миллиона долларов США в день. Законопроект подвергается критике за предоставление слишком большой свободы действий исполнительной власти.

    Мишель Ричардсон из Центра демократии и технологий предупредила, что могут пройти годы, пока мы не поймем, окажет ли режим, установленный законопроектом, сколько-нибудь значимое влияние на поведение корпораций.

    Закон о конфиденциальности и безопасности данных потребителей от 2020 г.

    12 марта 2020 г. сенатор Джерри Моран [R-KS] представил Закон о конфиденциальности и безопасности данных потребителей от 2020 г. (CDPSA). Закон объединяет другие части предлагаемого законодательства с целью создания федеральной базы конфиденциальности.

    CDPSA предоставляет физическим лицам права, аналогичные правам, предусмотренным Калифорнийским законом о конфиденциальности потребителей (CCPA) и GDPR. За некоторыми исключениями, эти права превалируют над другими законами штата и федеральными законами. CDPSA не создает новое федеральное агентство по защите данных. Вместо этого он назначил Федеральную торговую комиссию (FTC) федеральным агентством, отвечающим за администрирование CDPSA.

    CDPSA признает два типа согласия, а именно, подразумеваемое согласие и выраженное утвердительное согласие. Согласие второго типа требуется только в случаях сбора и обработки конфиденциальных персональных данных и в случаях, когда раскрытие персональных данных третьей стороне не подпадает под одну или несколько допустимых целей, которые четко указаны CDPSA.

    Важной особенностью CDPSA является то, что он освобождает определенные малые предприятия от ряда обязательств по соблюдению требований, тем самым снижая нагрузку на такие предприятия. К освобожденным обязательствам относятся, например, право субъекта данных на доступ к своим личным данным и право субъекта данных на исправление своих личных данных.

    CDPSA определяет термин «малый бизнес» как любую застрахованную организацию или поставщика услуг, который в совокупности соответствует двум условиям.

    Первое условие CDPSA

    Первое условие состоит в том, что за последний 6-месячный период в компании работает не более 500 сотрудников, а средняя валовая выручка за предыдущие 3 года составляет менее 50 миллионов долларов.

    Второе условие CDPSA

    Второе условие заключается в том, что застрахованная организация или поставщик услуг ежегодно собирает или обрабатывает персональные данные менее 1 миллиона человек; или конфиденциальные личные данные менее 100 000 человек.

    Еще одна характеристика CDPSA заключается в том, что он не только требует от организаций, на которые распространяется действие, излагать свои политики на понятном языке (аналогично GDPR), но также требует, чтобы они делали общедоступными любые предыдущие версии своих политик конфиденциальности и предоставлять прямое уведомление о любых изменениях в их политике конфиденциальности.

    Закон о защите данных потребителей в связи с COVID-19

    Закон о защите данных потребителей в связи с COVID-19 был принят 7 мая 2020 года в результате различных предложений использовать мобильные устройства и другие службы мониторинга для отслеживания лиц, инфицированных COVID-19.. Закон применяется в основном к сбору информации о геолокации, близости и состоянии здоровья.

    Такие данные могут обрабатываться только после предварительного уведомления субъекта данных и получения его явного согласия. Закон направлен на то, чтобы заполнить пробел в федеральном законодательстве, касающийся практики, связанной с COVID, например, ситуаций, когда работодатели измеряют температуру своих сотрудников или отслеживают их болезнь.

    Спекуляции о характере нового закона

    Принимая во внимание успех GDPR и тенденцию отдельных штатов США к принятию законов, напоминающих GDPR, можно ожидать, что новый федеральный закон о конфиденциальности также будет следовать структуре GDPR.

    Это означает, что компаниям, вероятно, потребуется:

    • Собирать только те данные, которые строго необходимы для достижения законных целей.
    • Опубликовать комплексную политику конфиденциальности.
    • Убедитесь, что у них есть законные основания для обработки персональных данных потребителей.
    • Использовать персональные данные, полученные от потребителей, только для конкретных и ограниченных целей, о которых потребители осведомлены.
    • Убедитесь, что потребители могут легко управлять (например, получать доступ, редактировать и удалять) свои личные данные.
    • Принимать современные технологические и организационные меры для защиты персональных данных потребителей.
    • Сообщите об утечке персональных данных в компетентные органы по защите данных.
    • Хранить личные данные потребителей только в течение ограниченного периода времени.
    • Передавайте личные данные за пределы США только после принятия соответствующих мер безопасности.

    Несоблюдение компанией требований нового закона может привести к крупным штрафам.

    Мы можем ожидать, что новый закон учредит один или несколько федеральных органов по защите данных, которые будут нести ответственность за его соблюдение. Вступление в силу GDPR не привело к созданию новых органов по защите данных в ЕС, поскольку такие органы существовали еще до принятия GDPR.

    Предыдущий закон ЕС о защите данных (Директива 95/46/EC) требовал, чтобы в каждой стране ЕС был один или несколько государственных органов, ответственных за соблюдение конфиденциальности. В настоящее время федеральные вопросы конфиденциальности входят в компетенцию Федеральной торговой комиссии (FTC), но сложная задача администрирования основного федерального закона о конфиденциальности потребителей, вероятно, потребует создания нового государственного органа. Организация может, например, называться Федеральной комиссией по конфиденциальности (FPC). (Подробнее о конфиденциальности см. в статье «10 цитат о конфиденциальности в сфере технологий, которые заставят вас задуматься».)

    Заключительные мысли

    Новый всеобъемлющий федеральный закон США о конфиденциальности может повысить доверие потребителей к электронной коммерции, тем самым еще больше ускорив ее рост. Кроме того, это может предотвратить фрагментацию регулирования, вызванную различными законами штатов о конфиденциальности, что, в свою очередь, может стать препятствием для торговли между штатами. Это связано с тем, что компаниям, базирующимся в одном штате США, необходимо будет нанять экспертов по конфиденциальности во многих других штатах США, чтобы обеспечить соблюдение применимых законов о конфиденциальности, и они понесут значительные расходы в связи с обеспечением такого соблюдения.

    Поскольку это будет препятствовать развитию электронной коммерции, которая имеет первостепенное значение для современной экономики, маловероятно, что федеральные учреждения США допустят, чтобы регулятивная фрагментация в области конфиденциальности сохранялась в течение длительного времени. Кристин Уилсон, комиссар FTC, недавно подчеркнула необходимость принятия федерального закона о конфиденциальности, заявив: «Было бы невероятно полезно иметь федеральное законодательство о конфиденциальности, поскольку мы занимаемся этими новыми и невероятно сложными проблемами».

    Однако, если новый закон регулирует вопросы конфиденциальности потребителей довольно свободно, он может принести больше вреда, чем пользы гражданам США. Это связано с тем, что он может иметь приоритет над некоторыми строгими законами штата о конфиденциальности, такими как Калифорнийский закон о конфиденциальности потребителей от 2018 года. Точно так же Федеральный закон США об арбитраже запрещает штатам регулировать арбитражные соглашения.

    Опрос, проведенный Consilio, глобальной юридической фирмой, оказывающей юридические услуги и стратегический консалтинг, показал, что большинство юристов считают, что в 2020 году Соединенные Штаты примут федеральный закон о конфиденциальности9.

    No related posts.

    Автор записи

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *