Новый закон о персональных данных 2020: Закон «О персональных данных» — Российская газета — Независимое театральное объединение "Зрительские симпатии"

Содержание

Роскомнадзор о персональных данных в 2021 году

26 ноября 2020 г. Роскомнадзор провел онлайн-трансляцию по вопросам персональных данных и фактически рассказал, как будет применять Закон 152-ФЗ в следующем году.

Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.

На семинаре прозвучали доклады:

Дмитрия Рудакова, заместителя начальника отдела ведения реестра операторов, осуществляющих обработку персональных данных. Он рассказал о реестре. Его презентация.

Второй спикер, Альфия Гафурова, заместитель начальника Управления по защите прав субъектов персональных данных Роскомнадзора, озвучила основные вопросы по жалобам граждан. Ее презентация содержит информацию о типовых нарушениях:

в банковской сфере;
в ЖКХ;
в интернете;
в связи;
в торговле.

Во время трансляции Юрий Контемиров, начальник Управления по защите прав субъектов персональных данных Роскомнадзора, ответил на самые актуальные вопросы.

Здесь полная двухчасовая версия:

Получилось много информации, поэтому я отказался от стенографирования и написал как мне нравится: без потери смысла, сокращая фирменный стиль выступления чиновников.

Читайте и имейте в виду, что практика в регионах может отличаться. Некоторые тезисы выступления спорные, но они показывают, как Роскомнадзор будет применять законодательство о персональных в данных в 2021 году.

GDPR и российские компании

GDPR может применяться к российским компаниям в нескольких случаях:

Российская компания имеет филиалы на территории Европы.
Российская компания действует по поручению европейской компании и отвечает перед ней за обработку персональных данных.
Российская компания работает не только на территории России, но и направлена на европейского потребителя. Например, интернет-магазин предлагает продажу товаров в Европу, при этом одновременно выполняются два условия:

сайт доступен на языках стран ЕС;
предусмотрены расчеты в евро.

Если одно из этих условий не выполняется, то требования GDPR на такой магазин не распространяются.

Будет ли приведено российское законодательство к требованиям GDPR

По словам Контемирова, это дискуссионный вопрос. Специалисты изучают практику применения европейского законодательства, но как это будет реализовано в России будет видно в ближайшем будущем.

Трудовые отношения

Как передавать персональные данные сотрудников в рамках групп компаний

Например, при ведении кадрового учета, разработках программ повышения квалификации иностранная компания присваивает логины и пароли для работы в единой информационной системе.

Поскольку каждая компания выступает как отдельный оператор, то необходимо получать письменное согласие работника на передачу его персональных данных от одной компании в другую (ч. 4 ст. 9 Закона “О персональных данных”).

Если в группу компаний входит иностранное юридическое лицо, то необходимо оформлять не только согласие, но и договор поручения на обработку персональных данных.

Нужно ли согласие работника для передачи его персональных данных в аутсорсинговые компании

Да, нужно. Более того, передача данных в другие фирмы для ведения кадрового учета или бухгалтерского предполагает делегирование части обязанностей оператора и это требует оформление договора поручения (ч. 3 ст. 6 Закона “О персональных данных”).

В таком согласии должна быть указана конкретно одна цель, для достижения которой передаются данные сотрудника.

Порядок уничтожения персональных данных

Терминатор – оператор обработки персональных данных

Порядок уничтожения персональных данных работников и иных лиц должен быть закреплен локальных актах оператора. С актами должны быть ознакомлены все заинтересованные лица.

Оператором должен быть обеспечен неограниченный доступ к этим документам, а если сбор персональных данных осуществляется с помощью сайта, то Роскомнадзор рекомендует размещать ссылки на политику обработки персональных данных непосредственно рядом с веб-формами.

Что относится к персональным данным по мнению Роскомнадзора

Центр компетенций Роскомнадзора по Южному федеральному округу разрабатывает матрицу персональных данных. Проект такой матрицы уже существует, планируется, что он будет размещен в открытом доступе в первом полугодии 2021 года.

Сбор копий документов, содержащих персональные данные

Сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”.

Паспорт — это носитель биометрических персональных данных. Для получения копии документа согласия, предусмотренного ч. 4 ст. 9 ФЗ № 152 не требуется. Но должно быть получено согласие, которое отвечает требованиям ч. 1 ст. 9 Закона: согласие должно быть информированным, конкретным и сознательным.

Т.е. человек должен четко понимать, какие данные он предоставляет, в каких целях, кому, какие действия будут осуществлять с данными.

В течение какого срока, кто будет иметь доступ к персональным данным.

Если такие требования соблюдаются, то форма получения согласия определяется оператором: можно в электронном виде, можно на бумаге.

Являются ли идентификаторы персональными данными

Такие идентификаторы как ИНН, СНИЛС, электронная почта и т.п. являются персональными данным. Роскомнадзор исходит из их уникальности: они присваиваются конкретному человеку и не могут быть отнесены к другому.

Даже без дополнительной информации идентификаторы являются персональными данными.

Вопрос о MAC- адресах устройств нужно рассматривать в контексте Закона “О связи”. Без сведений об абоненте они не относятся к персональным данным. Но когда MAC- адрес добавляется сведениями, например, о геолокации или кукис, то в совокупности эта информация является персональными данными.

Комбинация: фамилия, имя и телефон — персональные данные.
Но отдельно номер телефона – не персональные данные, т. к он относится не к пользователю, а к абонентскому устройству.

Фотографии и видеозаписи в контексте персональных данных

Ранее Роскомнадзор уже озвучивал позицию о том, что в случаях, предусмотренных законодательством, фото является биометрическим персональными данными. Для их обработки необходимо выполнить требования статьи 11 Закона “О персональных данных”

Во всех иных случая фотография рассматривается как материальный носитель персональных данных и обработка которых осуществляется на общих основаниях, предусмотренных статьей 6 Закона 152-ФЗ.

Оборот фото-видеоизображений регулируется Гражданским кодексом, который предусматривает случаи использования изображения гражданина как с согласия, так и без такового.

Потоковое видеонаблюдение не рассматривается Роскомнадзором как обработка персональных данных. Но если камера направлена на идентификацию лица, например, для пресечения или раскрытия правонарушений, то записи с этой камеры должны рассматриваться как источники персональные данные.

Профилирование и оценка личностных качеств

Например в мобильном приложении осуществляется сбор информации в объеме: имя, телефон, история заказов, выявление предпочтений пользователя. По мнению Роскомнадзора такой набор информации является персональными данными, поскольку на его анализе осуществляется подготовка маркетинговых предложений. И дальнейшее использование этих данных в рекламе должно осуществляться в соответствии со ст. 15 Закона “О персональных данных” и предполагает согласие на обработку персональных данных

Оценка поведений и личных качеств работников, например, при проведении психологических тестов, представляет собой некую модель профилирования физического лица на основании которой вырабатываются рекомендации: о занятости, приеме или отказе в приеме на работу, на замещение вакантной должности. Для проведения профилирования необходимо получать согласие на обработку персональных данных.

О согласиях на обработку персональных данных

Несколько целей в одном согласии

Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.

Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.

Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.

Получение согласия на обработку персональных данных при заключении договора

Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется.

Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.

Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.

Если впоследствии по этим видам обработки субъект направит отзыв своего согласия, то оператор обязан ее прекратить, поскольку она не является основной применительно к предмету договора.

Согласия на обработку персональных данных соискателя и близких родственников

Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие.

Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников. В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников.

Например, сообщить о необходимости проверки конфликта интересов.

Обработка персональных данных родственников сотрудника имеет ряд особенностей

Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.

Электронные копии согласий на обработку персональных данных

Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?

Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо предоставить суду подлинники письменных доказательств. Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски.

Срок согласия на обработку персональных данных

По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора.

Нельзя указывать, что согласие дается на неограниченный срок или указывать сроки, не предусмотренные законодательством или ничем не мотивированные. Например, неправильно установить срок согласия на 15, 50 или 70 лет.

Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.

Форма согласия на получение рассылки от иностранного сайта

Достаточно ли получения согласия в электронной форме в виде проставления галочки в чек-боксе, если сайт или его администратор находятся за пределами РФ?

Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.

Передача персональных данных третьим лицам

Что делать, если персональные данные передаются третьим лицам? Причем этот список может изменяться.

Если для обработки персональных данных необходимо получать письменное согласие (ч. 4 ст. 9 Закона “О персональных данных”) например, трансграничная передача, обработка биометрических данных и т. д, то в этом случае обязательно поименное указание организаций, которые действуют по поручению оператора. В случае изменения этих организаций, согласие придется переподписывать.

Во всех остальных случаях согласие может содержать отсылку на сайт оператора, где можно разместить список третьих лиц, которым передаются персональные данные. В самом согласии необходимо указать цели, в которых ПД передаются этим третьим лицам.

Об изменении списка Роскомнадзор рекомендует уведомлять субъектов персональных данных. Срок такого уведомления законом не определен, но РКН считает разумным делать это в течение 10 дней.

Договоры поручения на обработку персональных данных

Является ли провайдер облачных услуг оператором?

Конечно, провайдер облачных услуг является оператором, поскольку на его серверах осуществляется хранение персональных данных.

Требуется ли при использовании облачных услуг заключать договор поручения на обработку персональных данных?

Да, потому что один оператор передает для хранения ПД другому оператору. А этот случай предполагает заключение договора поручения. Дополнительно нужно получать согласие субъекта на передачу его персональных данных по договору поручения.

Можно ли в согласии работника указывать всех третьих лиц, которым передаются ПД в рамках договоров поручений?

Можно, но только при условии, что третьи лица привлекаются для достижения единой цели, которая предусмотрена в тексте согласия на обработку персональных данных.

Например, для целей кадрового учета привлекается две организации. В согласии указывается цель: ведение кадрового учета. В этом случае согласие составлено корректно.

Должны ли третьи лица, которые осуществляют обработку персональных данных по договору поручения, направить в Роскомнадзор уведомления об обработке?

Да, эти лица являются операторами и обязаны предоставлять уведомления по общим правилам.

Исключение, предусмотренное для договорных отношений, в этом случае не применяется, поскольку субъекты персональных данных не являются стороной договора поручения, заключаемого оператором с третьим лицом.

Обязан ли оператор предоставлять по договору поручения сведения о правовых основаниях обработки персональных данных?

Действующим законодательством такая обязанность не предусмотрена, поскольку ответственность перед субъектом несет только оператор, даже за действия третьего лица.

Поэтому РКН рекомендует урегулировать этот вопрос в договоре поручения на обработку персональных данных, если необходимо.

Персональные данные представителей компаний в договоре

Типичная ситуация: два юридических лица заключили между собой договор. С одной стороны договор подписал представитель по доверенности.

Организация, которая выдала доверенность своему работнику, обязана получить от него согласие на передачу персональных данных контрагенту по договору.

Для контрагента, получившего доверенность этого работника, получать отдельное согласие на обработку не нужно, т.к. обработка ПД доверенного лица осуществляется в рамках договора.

Ответственное лицо

Будет ли привлечен оператор к ответственности, если он не назначил ответственное лицо за обработку персональных данных?

К административной ответственности РКН привлекать не будет. Но если в ходе проверки такой факт будет выявлен, то проверяющий выдаст предписание с указанием срока его исполнения. И если оператор в этот срок не устранит нарушение, то будет привлечен к административной ответственности по ст. 19.5 КоАП РФ.

Можно ли назначить нескольких лиц, ответственных за обработку ПД?

В уведомлении о намерении осуществлять обработку персональных данных должно быть указано только одно физическое лицо, ответственное за обработку персональных данных. Конечно, ответственный может делегировать часть своего функционала, но об этом нужно указать только в локальных актах оператора.

Можно ли указывать в уведомлении юридическое лицо, ответственное за обработку ПД?

Да, если к обработке привлечено юридическое лицо, то оно может быть указано в уведомлении о намерении осуществлять обработку персональных данных в дополнение к информации, предусмотренной ст. 22 Закона № 152-ФЗ.

Заключение

Если вы дочитали и не нашли каких-то ответов — это нормально. Отрасль развивается и даже регулятор не может дать четких рекомендаций. Судебная практика охватывает частные случаи, поэтому ее нужно изучать в контексте вашей ситуации.

Контемиров пообещал, что по результатам работы Центров компетенций в 2021 году будут опубликованы: матрица персональных данных, портфель оператора, включающий в себя шаблоны документов, актов, форм, необходимых для работы с персональными данными. РКН хочет, чтобы такой портфель был хорошим подспорьем.

Важное обновление 23.12.2020: принят закон об изменении правил публикации персональных данных.

Почитайте пост о Реестре операторов персональных данных.

Ну а я продолжаю наблюдение. Подпишитесь на мои страницы в Фейсбуке, Яндекс Дзене и Телеграм, чтобы делать это вместе.

Остаюсь с вами на связи. Все вопросы по статье можно написать в чат в Я. Дзене.

ps. Чатик придумал, чтобы избежать включения в реестр ОРИ, но быть с вами на связи.

Поделитесь в соцсетях

Новые правила распространения персональных данных — Аналитика

21 января 2021

Новые правила распространения персональных данных

30 декабря 2020 года принят закон¹, устанавливающий новые правила распространения (раскрытия неопределенному кругу лиц) персональных данных и обработки персональных данных из открытых источников. Изменения вступают в силу 1 марта 2021 года.

Новые правила касаются всех операторов персональных данных и любого распространения персональных данных с согласия гражданина (не только онлайн, но и офлайн).

Особенно важно обратить внимание на новые правила владельцам (операторам) онлайн-ресурсов и сервисов, которые позволяют пользователям делиться информацией с неограниченным кругом лиц, а также операторам, использующим в своей деятельности информацию из открытых источников (в частности, СМИ, компаниям, использующим системы мониторинга поведения в сети Интернет).

ОСНОВНЫЕ НОВОВВЕДЕНИЯ

1. Изменена терминология

Понятие «персональные данные, сделанные общедоступными субъектом персональных данных» исключено и введено понятие «персональные данные, разрешенные субъектом персональных данных для распространения». При этом сохранилось отдельное понятие «общедоступные источники персональных данных» (например, справочники, адресные книги), которые могут создаваться в информационных целях и в которые (с письменного согласия гражданина) могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные данные. Пока не ясно, будут ли положения об особенностях распространения персональных данных и получения соответствующего согласия, установленные новым законом, применяться на практике при формировании и использовании общедоступных источников персональных данных.

Также новым законом не разъяснены статус персональных данных, содержащихся в публичных реестрах, и основания их обработки. Исходя из положений Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», есть основания полагать, что персональные данные, содержащиеся в публично доступных разделах реестров, могут рассматриваться как общедоступная информация, которая может использоваться любыми лицами при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

2. Необходимость получения отдельных и более конкретных согласий на раскрытие

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения (далее – «согласие на распространение»), должно быть оформлено отдельно от иных согласий субъекта персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение. Молчание или бездействие гражданина ни при каких обстоятельствах не может считаться согласием.

Согласие на распространение может быть предоставлено оператору непосредственно или с использованием специальной информационной системы Роскомнадзора (она еще не функционирует).

Особое внимание на новые требования необходимо обратить владельцам (операторам) онлайн-ресурсов и сервисов, которые позволяют пользователям делиться информацией с неограниченным кругом лиц. Например, социальные сети, сайты объявлений и пр. могут быть вынуждены либо сделать профили своих клиентов полностью закрытыми, либо получать дополнительное расширенное согласие. При этом не ясно, будет ли требоваться такое отдельное согласие на распространение персональных данных пользователей, чьи профили были зарегистрированы до 1 марта 2021 г.

Ранее операторы зачастую оформляли право распространять персональные данные, просто включив в текст общего согласия на обработку персональных данных слово «распространение» при указании перечня действий с персональными данными, на которые дается согласие, или сделав отсылку к п. 3 ст. 3 Федерального закона «О персональных данных», который содержит определение «обработки персональных данных», или указав, что согласие дается на любые не запрещенные законом действия с персональными данными. Теперь формулировки согласия должны прямо и недвусмысленно разрешать распространение персональных данных, при этом должен быть указан четкий перечень персональных данных, в отношении которых разрешено распространение. Неоднозначные и неясные формулировки будут трактоваться в пользу субъекта персональных данных.

Важно: Закон не содержит требования об обязательной письменной форме согласия на распространение. При этом закон предполагает, что требования к содержанию (но не к форме) согласия на распространение будут установлены Роскомнадзором. На данный момент соответствующих актов регулятора нет, и пока не ясно, насколько жесткими могут оказаться требования к таким согласиям. Неопределенность в этом вопросе создаст дополнительные риски для операторов, если не будет устранена своевременно.

3. Право субъекта персональных данных установить запреты на обработку / условия обработки раскрытых данных

В согласии на распространение могут быть установлены запреты на передачу (кроме предоставления доступа) персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) персональных данных неограниченным кругом лиц. Это означает, в частности, что пользователи социальных сетей и иных Интернет-ресурсов, позволяющих пользователям делиться информацией с неограниченным кругом лиц, смогут установить запрет на обработку опубликованных ими персональных данных неограниченным кругом лиц или в определенных целях.

Оператор не может отказать в установлении субъектом персональных данных таких запретов и условий.

Установленные субъектом персональных данных запреты / условия обработки не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации. Данное исключение, на наш взгляд, станет одним из краеугольных камней при толковании и применении новых правил.

Важно:

В согласии на распространение следует четко указать, в отношении каких персональных данных установлены запреты и условия последующей обработки раскрытых данных, а факт отсутствия каких-либо запретов или условий обработки должен недвусмысленно следовать из формулировок согласия. Если из согласия не следует отсутствие запретов / условий обработки раскрытых данных или не определено, в отношении каких персональных данных они установлены, то такие персональные данные обрабатываются оператором, которому они предоставлены, без передачи и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.
Операторы обязаны в срок не позднее 3 рабочих дней с момента получения согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

4. Обязанность каждого оператора доказать законность обработки персональных данных из открытых источников

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, а также в случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку. На практике данное требование может создать дополнительные сложности при использовании компаниями различных систем мониторинга активности в сети Интернет, например, при подборе кадров HR-службами.

До обработки персональных данных из открытых источников будет необходимо убедиться в наличии согласия субъекта персональных данных на распространение его персональных данных оператором, раскрывшим персональные данные, и проверить наличие условий / ограничений на обработку данных другими операторами. При отсутствии информации о согласии субъекта персональных данных на распространение его персональных данных или в случае раскрытия персональных данных неограниченному кругу лиц самим субъектом персональных данных (например, при публикации на своем сайте) будет необходимо проверить наличие иных законных оснований для обработки из числа указанных в ч. 1 ст. 6 Федерального закона «О персональных данных».

Важно: с 1 марта 2021 г. утрачивает силу п. 10 ч. 1 ст. 6 Федерального закона «О персональных данных», допускающий обработку персональных данных, сделанных общедоступными субъектом персональных данных, любым лицом без согласия субъекта персональных данных.

5. Право субъекта персональных данных в любой момент потребовать прекращения передачи персональных данных

Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена оператором в любое время по требованию субъекта персональных данных. Субъект персональных данных вправе обратиться с аналогичным требованием к любому лицу, обрабатывающему его персональные данные в нарушение новых правил, или в суд.

РЕКОМЕНДАЦИИ

Оцените текущие процессы и решения, используемые при обработке персональных данных, на предмет их соответствия новым требованиям и при необходимости скорректируйте их.
Отслеживайте рекомендации регулирующих органов и правоприменительную практику.

Авторы: советник Елена Агаева, юрист Елена Квартникова, паралигал Марина Петрова

¹Федеральный закон от 30.12.2020 N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных».

Готовятся поправки в Закон о персональных данных

Центр компетенций по нормативному регулированию цифровой экономики Фонда «Сколково» опубликовал текст законопроекта, который адаптирует работу с персональными данными (далее – ПД) к новым технологиям.

Законопроектом предусмотрено расширение прав операторов и их возможностей по предоставлению ПД третьим лицам. Из текста законопроекта и содержания пояснительной записки к нему можно сделать вывод, что поправки предлагаются в интересах владельцев так называемых «больших данных» (которые включают в себя как обезличенные, так и иные данные) и, по сути, выводят обработку обезличенных ПД из сферы регулирования.

На мой взгляд, основная причина изменений – желание операторов получить более широкие возможности по «продаже» ПД третьим лицам.

Поправки не соответствуют принципам обработки персональных данных

Поправки во многом избыточны

Статью 9 Закона предлагается дополнить возможностью получения согласия субъекта ПД, «подтвержденного с помощью иного аналога собственноручной подписи, в том числе установленного соглашением сторон, позволяющего однозначно установить лицо, выразившее такое согласие». При этом использование простой электронной подписи и сейчас возможно по соглашению сторон в соответствии с условиями, установленными законодательством об электронной подписи¹.

Кроме того, изменениями в ст. 6 и 9 Закона предусмотрено предоставление оператору права поручить другому лицу обработку ПД без согласия субъекта, если оператор разместил на своем сайте перечень лиц, которым может быть поручена обработка. С одной стороны, более гибкий механизм указания лиц, которым может быть поручена обработка ПД, может быть полезен участникам рынка.

С другой стороны, практически аналогичного эффекта можно достичь и в рамках действующего регулирования, которое не запрещает деятельность по предоставлению ПД третьим лицам, в том числе в обезличенной форме, при условии обязательного получения информированного согласия субъекта на такие действия. Этот подход представляется справедливым с точки зрения необходимости защиты прав субъекта ПД.

Изменения, ущемляющие права субъектов персональных данных

Во-первых, предлагается предоставить Правительству РФ возможность устанавливать иные случаи обработки специальных категорий ПД без согласия субъекта (изменения в ч. 2 ст. 10 Закона).

Во-вторых, разработчики хотят увеличить сроки предоставления сведений субъекту ПД (изменения в ч. 3 ст. 14 Закона), сроки изменения и уничтожения неактуальных ПД (изменения в ч. 3 ст. 20 Закона).

В-третьих, поправки дополняют Закон основанием для обработки ПД без согласия субъекта «для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных», при этом под достижением таких целей может пониматься практически все что угодно.

Кроме того, законопроект предполагает наделение поправок обратной силой, что негативным образом скажется на субъектах ПД, которые дали согласие на обработку в рамках текущего регулирования.

В целом я оцениваю законопроект крайне негативно. Предлагаемые изменения идут вразрез с мировыми практиками в области регулирования обработки ПД (в частности, GDPR). Кроме того, в законопроекте планируется закрепить возможность свободной обработки обезличенных ПД, хотя многие эксперты, наоборот, указывают на необходимость более строгого регулирования в данной области в рамках «больших данных»².

Следует отметить, что в законопроекте есть ряд положительных моментов. Например, предлагается уточнить право оператора обрабатывать ПД без согласия субъекта в ходе переговоров. Но право обрабатывать ПД при направлении оферты создает угрозу злоупотребления со стороны операторов, поскольку позволяет им направлять предложения о заключении договора без согласия субъекта.

В то же время, если законопроект будет принят, то поправки крайне отрицательно отразятся на субъектах ПД, которые утратят контроль за обработкой их данных. При этом операторы получат гораздо большие возможности для анализа и монетизации больших данных.

¹ Статья 9 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».

² См., например, Савельев А. И. Направления регулирования больших данных и защита неприкосновенности частной жизни в новых экономических реалиях // Журнал «Закон» № 5, 2018.

Большинство россиян поддержали внесение изменений в закон о персональных данных: Общество: Россия: Lenta.ru

Всероссийский центр изучения общественного мнения (ВЦИОМ) выяснил отношение россиян к использованию их персональных данных в интернете. Результаты опроса доступны на сайте организации.

Большинство россиян сообщили, что положительно оценивают возможное внесение изменений в закон о персональных данных. 62 процента опрошенных согласны с необходимостью дать пользователям возможность отзывать согласие на использование своей личной информации и обязать интернет-сервисы удалять ее в течение трех дней. При этом 58 процентов респондентов считают, что за нарушения при обработке персональных данных нужно увеличивать штрафы.

Материалы по теме

00:07 — 5 сентября 2020

00:01 — 19 сентября 2020

Каждый второй опрошенный россиянин (52 процента) также рассказал, что ему интересно, для чего площадки запрашивают личную информацию и как потом ее используют. В то же время не интересует этот вопрос 29 процентов населения.

Сами же условия пользования интернет-сервисами изучают 60 процентов респондентов, совсем не читают — 22 процента. При этом 32 процента россиян готовы дать согласие на обработку персональных данных, чтобы получить доступ к онлайн-сервису, а 45 процентов скорее покинут его, чем введут личную информацию.

Более половины опрошенных — 59 процентов — знают, что личные данные могут передаваться третьим лицам. 70 процентов относятся к этому отрицательно, 2 процента — положительно, и 10 процентов это не беспокоит.

При этом 58 процентов респондентов в доступе третьих лиц к их данным видят личную угрозу. В основном это россияне в возрасте 35 до 49 лет. Об отсутствии же угрозы говорит 21 процент от всех опрошенных. В меньшей степени опасаются передачи данных третьим лицам 18-34-летние граждане.

Ранее депутат Госдумы, автор законопроекта «Об общедоступных персональных данных» Антон Горелкин рассказал, что в случае принятия его предложений по защите личной информации, сервисы должны будут предоставить пользователям возможность при желании отозвать разрешение на использование данных. Если юридические лица не выполнят требование, на них будет наложен штраф. «Эта схема гораздо проще и понятнее, чем перспектива судебного процесса или полицейского следствия», — пояснил он.

Быстрая доставка новостей — в «Ленте дня» в Telegram

Госдума приняла закон о праве требовать удаления общедоступных персональных данных — Политика

МОСКВА, 23 декабря. /ТАСС/. Госдума на пленарном заседании в среду приняла в третьем, заключительном чтении законопроект депутата Антона Горелкина, запрещающий использовать общедоступные персональные данные без согласия владельца, а также предоставляющий право требовать от оператора их удаления.

В соответствии с инициативой согласие субъекта персональных данных является «исключительным правовым основанием» для обработки сведений, сделанных общедоступными. Содержание такого согласия должно включать в себя перечень интернет-ресурсов оператора, на которых планируется размещать общедоступные персональные данные. Оно может быть предоставлено оператору непосредственно либо с использованием информационной системы Роскомнадзора. При этом не допускается получение оператором согласия «по умолчанию или бездействию субъекта персональных данных», уточняется в документе.

Законопроект наделяет субъекта персональных данных правом запрещать неограниченному кругу лиц обрабатывать общедоступную информацию о нем, а также устанавливать условия такой обработки. Кроме этого, закрепляется обязанность оператора информировать об имеющихся условиях и запретах.

По словам Горелкина, инициатива полностью ориентирована на интересы граждан. «Люди впервые начнут задумываться, прежде чем дать согласие на обработку своих персональных данных в Сети. И впервые смогут потребовать от оператора прекратить распространение своих персональных данных без необходимости доказывать, что это незаконно», — написал он в своем Telegram-канале.

Парламентарий считает, что принятие документа может повлечь другие законодательные изменения. В частности, речь идет об увеличении штрафов за нарушения в работе с персональными данными, а также продлении сроков давности по соответствующим составам правонарушений, уточнил Горелкин.

Как ранее пояснял автор инициативы, в случае принятия законопроекта каждый сайт будет обязан спрашивать пользователей, какие данные о них можно опубликовывать и передавать третьим лицам. Невыполнение этого требования повлечет штраф за нарушение обработки персональных данных, предупреждал депутат.

: Технологии и медиа :: РБК

Роскомнадзор назвал нарушающим закон «О персональных данных» вывешивание управляющими компаниями списков должников в подъездах. По статистике ведомства, 10% поступающих к нему жалоб россиян касаются ЖКХ

Фото: Антон Белицкий / «Коммерсантъ»

Размещение списков должников с указанием их ФИО или адреса является нарушением закона «О персональных данных», которое ведет к административной ответственности. Об этом сообщила замначальника управления по защите прав субъектов персональных данных Роскомнадзора Альфия Гафурова, выступая на семинаре для операторов персональных данных (проходил в онлайн-формате). По ее словам, ведомство «достаточно часто» получает жалобы граждан на размещение подобных списков в подъездах жилых домов.

Гафурова уточнила, что информация о сумме задолженности жильца вместе с ФИО или упоминанием полного адреса места жительства должника считаются персональными данными. Их публикация в подъездах, на официальном сайте компании и в СМИ без согласия должника является правонарушением. При этом она отметила, что в списках можно указывать сумму задолженности вместе с номером квартиры жильца или номером его лицевого счета. Как пояснил также выступавший на семинаре начальник управления по защите прав субъектов персональных данных Роскомнадзора Юрий Контемиров, полный адрес места жительства человека относится к категории сведений о месте жительства, и его публикация в списках должников требует согласия человека, «даже если там нет ФИО, даже если есть несколько собственников, в таком случае эта информация косвенно относится к каждому собственнику этого помещения».

Также он подчеркнул, что данные о лицевом счете и номере квартиры жильца относятся не к субъекту персональных данных, а к самому жилому помещению, и в таком случае получать согласие от должника не требуется. Контемиров также рассказал, что несмотря на то, что законодательство о персональных данных действует уже 13 лет, «до сих пор существует непонимание», что к ним относить.

Для решения этой проблемы в первом полугодии 2021 года специалисты завершат работу над «матрицей персональных данных», которую ведомство планирует разместить в открытом доступе. Он уточнил, что, например, ИНН, СНИЛС и электронная почта даже без дополнительной информации являются персональными данными, поскольку эти идентификаторы уникальны и присваиваются конкретному физическому лицу. При этом MAC-адрес (уникальный номер, который присваивается смартфону, компьютеру, роутеру и др. оборудованию на этапе производства) сам по себе не относится к сведениям об абоненте, но как только его начинают обогащать другими сведениями — геолокационными, об операционной системе, cookie-файлах или номере телефона, они «входят в область персональных данных».

Госдума приняла закон о праве требовать удаления общедоступных персональных данных

Законопроект дает право субъекту персональных данных запрещать обрабатывать общедоступную информацию о нем, а также устанавливать условия такой обработки

Госдума на пленарном заседании в среду приняла в третьем, заключительном чтении законопроект депутата Антона Горелкина, запрещающий использовать общедоступные персональные данные без согласия владельца, а также предоставляющий право требовать от оператора их удаления.

Hindsight — это 2020 год: обзор закона о конфиденциальности данных за год | Hinshaw Privacy & Cyber Bytes — Информация о соответствии, передовой практике и тенденциях

Год, полный первых, 2020 ввел ряд новых законов о защите конфиденциальности данных потребителей. Хотя Закон Калифорнии о конфиденциальности потребителей (CCPA) является одним из самых известных, другие штаты также приняли свои собственные законы о конфиденциальности и требования к компаниям по внедрению и поддержанию разумных мер безопасности. Ниже мы выделяем важные изменения и тенденции в области конфиденциальности данных с 2020 года.

Калифорния

Новаторский CCPA вступил в силу в январе 2020 года. Подобно Общему регламенту ЕС по защите данных, CCPA создал ряд прав на конфиденциальность для потребителей Калифорнии, а также обязательств для предприятий, которые собирают и обрабатывают личную информацию. Регламенты CCPA были утверждены в августе 2020 года. Генеральный прокурор Калифорнии (AG), однако, предложил изменения в правилах в октябре и декабре 2020 года. Хотя AG еще не приступило к принудительным действиям CCPA, десятки судебных исков, якобы заявляющих, был подан иск на основании ограниченного частного права на предъявление иска.

В то время как предприятия по-прежнему сосредоточены на юридических и операционных проблемах, связанных с соблюдением CCPA, жители Калифорнии проголосовали в ноябре за одобрение другого закона о конфиденциальности — Закона о правах потребителей Калифорнии (CPRA). Помимо изменения CCPA, CPRA дополнительно расширяет права потребителей на конфиденциальность. Одним из важных дополнений является Право на исправление, которое требует, чтобы покрываемая компания прилагала «коммерчески разумные усилия» для исправления личной информации после получения поддающегося проверке запроса потребителя.Большинство положений CPRA вступают в силу с 1 января 2023 года, но его расширенное положение о праве на информацию будет относиться к личной информации, которую покрытый бизнес собирает после 1 января 2022 года. CPRA также создает агентство по обеспечению конфиденциальности на уровне штата, которому будет поручено обеспечивать соблюдение законы о конфиденциальности. Это, вероятно, приведет к усилению принудительных мер за нарушение конфиденциальности в Калифорнии.

Нью-Йорк

Предлагаемая поправка к Закону о гражданских правах Нью-Йорка установит уголовную ответственность за определенные нарушения конфиденциальности, а предлагаемый Закон «Это ваши данные» создаст права на конфиденциальность потребителей, аналогичные CCPA, но с более широким частным правом иска. Предлагаемый Закон о конфиденциальности Нью-Йорка (NYPA) привлек значительное внимание в 2019 году в связи с созданием фидуциарных обязательств для контроллеров данных, но застопорился в Сенате штата Нью-Йорк в начале 2020 года. Закон штата Нью-Йорк «Остановить взломы и улучшить безопасность электронных данных» ( Закон о SHIELD), который внес поправки в закон штата Нью-Йорк об уведомлении о нарушениях и требовал от покрываемых компаний применять и поддерживать разумные меры безопасности, вступил в силу в марте 2020 года.

В июле влиятельный Департамент финансовых услуг штата Нью-Йорк (DFS) инициировал свои первые принудительные меры в связи с предполагаемыми нарушениями своего первого в стране постановления о кибербезопасности в 2017 году.Три месяца спустя DFS опубликовала подробный отчет о расследовании взлома Twitter в июле 2020 года. В сентябре 2020 года Генеральный прокурор штата Нью-Йорк объявил о выплате компенсации в размере 39,5 миллионов долларов в связи с утечкой данных Anthem Inc. в 2014 году.

Техас

В сентябре 2020 года Консультативный совет по защите конфиденциальности Техаса опубликовал отчет, в котором описывались недавние законодательные действия штата и различные проблемы, связанные с конфиденциальностью и соблюдением требований. Совет предоставил следующие рекомендации для предлагаемых законов о конфиденциальности на этом фоне:

Процесс обеспечения того, чтобы все государственные органы соблюдали стандарты конфиденциальности и политики, которые постоянно обновляются с учетом новых технологий, деловой практики и рисков.
должен быть рассмотрен новый и соответствующий баланс между дополнительной защитой конфиденциальности потребителей и безопасностью данных в рамках справедливой нормативно-правовой базы конфиденциальности.
следует учитывать влияние на строго регулируемые данные, такие как медицинская информация или банковские данные, а также то, как эти предложения соответствуют применимому федеральному закону.
Законодательство должно быть написано достаточно широко, чтобы позволить принятие новых технологий и бизнес-стандартов.
Предложения должны учитывать существующие законы Техаса и других штатов, чтобы не противоречить друг другу.
Техасцы имеют право знать, как используется их личная информация, и Законодательный орган должен рассмотреть способы усиления этого права.

Другие государства

Несколько законопроектов, касающихся защиты биометрической информации, находятся на рассмотрении в законодательном органе Массачусетса, а комплексные законопроекты о конфиденциальности были приняты в ряде штатов, включая Нью-Гэмпшир и Вирджинию. Хотя Вашингтонский закон о конфиденциальности потерпел неудачу в 2019 и 2020 годах, новая версия законопроекта, вероятно, будет представлена в 2021 году.Закон Коннектикута о защите данных о страховании вступил в силу 1 октября 2020 года. Департамент страхования Коннектикута выпустил руководство по соблюдению закона в июле 2020 года.

Федеральные инициативы

Продолжаются усилия в поддержку всеобъемлющего федерального закона о конфиденциальности, и в августе 2020 года в Сенат США был внесен законопроект о биометрической конфиденциальности, который содержит частное право на иск.

В декабре 2020 года Министерство здравоохранения и социальных служб выпустило Уведомление о предлагаемых нормах для изменения правила конфиденциальности в соответствии с Законом о переносимости и подотчетности медицинского страхования 1996 года (HIPAA) и Законом о медицинских информационных технологиях для экономического и клинического здравоохранения 2009 года ( HITECH Act).Предлагаемые изменения позволят пациентам быстрее получать свои медицинские записи и делать заметки, видео и фотографии своей личной медицинской информации (PHI).

15 декабря 2020 года Управление валютного контролера, Совет Федеральной резервной системы и FDIC выпустили уведомление о предлагаемом нормотворчестве, которое потребует значительно более быстрого уведомления об инцидентах кибербезопасности с участием банковских организаций, расширении списка инициирующих событий и предъявлять требования к первому в своем роде уведомлению для поставщиков банковских услуг. В частности, банковская организация должна будет предоставить своему первичному федеральному регулирующему органу уведомление о любом «инциденте, связанном с компьютерной безопасностью», который достигает уровня «инцидента с уведомлением», как можно скорее, но не позднее, чем через 36 часов после того, как добросовестно уверенность в том, что такой инцидент произошел. Поставщик банковских услуг должен будет немедленно уведомить клиентов банковской организации, если он столкнется с инцидентом, связанным с компьютерной безопасностью, который может нарушить, ухудшить или ухудшить услуги, которые он предоставляет, в течение четырех или более часов.

BIPA

Коллективные иски, часто заканчивающиеся многомиллионными расчетами, продолжают подаваться в связи с предполагаемыми нарушениями Закона штата Иллинойс о конфиденциальности биометрической информации (BIPA), который в настоящее время является единственным в стране законом о конфиденциальности биометрической информации с частным правом на иск. Претензии BIPA к таким известным компаниям, как TikTok, Microsoft и Google, а также массовые выплаты с участием таких гигантов социальных сетей, как Facebook, вызвали наибольшую огласку.Однако важно отметить, что иски BIPA были поданы к организациям любого размера. Многие случаи BIPA возникли в контексте занятости, когда биометрические технологии используются для функций хронометража и проверки личности.

Канада

В ноябре министр информатики и экономического развития Канады представил закон о введении в действие двух законов: Закона о конфиденциальности и защите потребителей (CPPA) и Закона о суде по защите личной информации и данных (PIDPT), которые вместе значительно изменят законы Канады о конфиденциальности и их исполнение.PIDPT создаст Трибунал для рассмотрения апелляций на определенные решения, принятые Уполномоченным по конфиденциальности в соответствии с CPPA, и наложения штрафов за определенные нарушения.

CPPA заменит давно действующий Закон Канады о защите личной информации и электронных документах (PIPEDA) и усилит контроль отдельных лиц над своей личной информацией путем создания различных прав, включая права на удаление и переносимость данных, и установит дополнительные требования, касающиеся уведомления и получения согласия. .CPPA санкционирует серьезные штрафы — до 5% от глобального дохода или 25 миллионов долларов США за определенные серьезные нарушения — и предоставляет частное право на иск, вызванное (1) выводом Комиссара по вопросам конфиденциальности, что организация нарушила CPPA, и вывод либо не был обжаловано или отклонено Трибуналом, созданным PIDPR; или (2) Трибунал пришел к выводу, что организация нарушила CPPA.

E.U. События

В Европейском Союзе директива, разрешающая представительные коллективные действия в связи с предполагаемыми нарушениями E.Недавно был принят закон США в широком спектре областей, включая защиту данных. Хотя Директива не разрешает коллективные иски в стиле США, шансы столкнуться с коллективным иском от имени ЕС. потребителей, вероятно, увеличится.

Решение суда Европейского Союза по делу Schrems II от июля 2020 года о признании недействительным ЕС-США Privacy Shield — механизм, позволяющий передавать личную информацию из ЕС. государства-члены в U. S. — создал значительную неопределенность в отношении международных потоков данных. Риск непреднамеренного несоблюдения требований был увеличен из-за открытых вопросов о том, как. Перед передачей организации должны оценить адекватность защиты данных, предоставляемой третьими странами. В декабре 2020 года E.U. регулирующие органы выпустили рекомендации по «дополнительным мерам», которые организации должны учитывать для настройки передачи данных в соответствии с требованиями. Регулирующие органы также предложили обновления Стандартных договорных условий, которые будут поддерживать более широкий спектр отношений передачи данных и решать проблему государственного доступа к данным (требуя, например, обязательства импортера данных уведомлять экспортера данных и оспаривать любой запрос государственного доступа. ).

После Брексита и выхода Великобритании из ЕС 1 января 2021 г. поток данных между Великобританией и ЕС можно свободно продолжать. Соглашение о торговле и сотрудничестве, подписанное в конце декабря, предусматривает шестимесячный «промежуточный механизм», который будет защищать свободный поток данных до тех пор, пока не будет принято формальное решение об адекватности в соответствии с GDPR. Хотя широко распространено мнение, что соответствие Великобритании будет достигнуто, Соглашение наделяет Партнерский совет полномочиями контролировать действие Соглашения и давать рекомендации и решения в отношении трудностей с переводом или проблем с адекватностью.С 1 января 2021 г. GDPR больше не применяется к Великобритании, а скорее сохранен во внутреннем законодательстве Великобритании и переименован в «UK GDPR». Нынешний E.U. Структура передачи, включая существующие решения о достаточности и стандартную договорную оговорку в качестве механизма передачи, сохраняется в GDPR Великобритании, что позволяет потокам данных из Великобритании в третьи страны продолжаться таким же образом, как и раньше.

В декабре 2020 г. регулирующие органы предложили директиву, требующую от компаний в ранее обозначенных основных и важных секторах, включая энергетику, банковское дело, инфраструктуру финансовых рынков, здравоохранение и цифровую инфраструктуру, принимать меры по повышению киберустойчивости. Максимальный штраф за несоблюдение составляет 2% от мирового оборота. Прежде чем оно вступит в силу, предложение должно быть одобрено государствами-членами и ЕС. Парламент.

На что обращать внимание в 2021 году

Хотя на официальном веб-сайте Biden-Harris Transition конкретно не говорится о том, как новая администрация планирует решить проблему защиты конфиденциальности данных потребителей, 17 декабря 2020 года избранный президент Байден выступил с заявлением в ответ на недавнее массовое нарушение кибербезопасности, затрагивающее федеральное правительство. и частный сектор, что администрация «сделает кибербезопасность главным приоритетом на всех уровнях правительства.«Находясь на посту генерального прокурора Калифорнии, избранный вице-президент Харрис был решительным сторонником защиты конфиденциальности данных потребителей и издал ряд рекомендаций для предприятий, в том числе« Обнародовать вашу политику конфиденциальности »и« Отчет о нарушениях данных в Калифорнии ». Таким образом, это не будет Удивительно видеть толчок к принятию всеобъемлющего федерального законодательства о конфиденциальности и безопасности данных.

Нет хрустального шара, чтобы предсказать, что ждет 117-й Конгресс США. Законодательство штата о защите конфиденциальности потребителей на горизонте включает Arizona SB 1614 (конфиденциальность данных потребителей), Arizona HB 2729 (стандарты безопасности данных), Illinois SB 2263 (закон о конфиденциальности данных), Illinois SB 2330 (закон о прозрачности данных и конфиденциальности), Illinois HB 5603 (Закон о конфиденциальности потребителей), Мэриленд HB 0784 (защита потребителей), Minnesota HF 3936 (Закон о конфиденциальности данных потребителей) и Закон штата Вашингтон о конфиденциальности от 2021 года.

Защита данных 2020 | Законы и правила | США

1.

Соответствующее законодательство и компетентные органы

1. 1 Каково основное законодательство о защите данных?

В США нет единого основного законодательства о защите данных. Скорее, набор из сотен законов, принятых как на федеральном уровне, так и на уровне штатов, служит для защиты личных данных U.Жители С. На федеральном уровне Закон о Федеральной торговой комиссии (15 Кодекса США, § 41 и последующие ) в целом наделяет Федеральную торговую комиссию США (FTC) право применять принудительные меры для защиты потребителей от недобросовестных или обманных действий и обеспечения соблюдения федеральной конфиденциальности и правила защиты данных. FTC заняла позицию, согласно которой «методы обмана» включают невыполнение компанией своих опубликованных обещаний о конфиденциальности и неспособность обеспечить надлежащую безопасность личной информации, а также использование обманчивой рекламы или маркетинговых методов.

Как более подробно описано ниже, другие федеральные законы в первую очередь касаются определенных секторов, таких как финансовые услуги или здравоохранение. Параллельно с федеральным режимом законодательные акты на уровне штатов защищают широкий спектр прав отдельных жителей на неприкосновенность частной жизни. Защита, предоставляемая статутами штатов, часто значительно различается от штата к штату и охватывает самые разные области, от защиты библиотечных документов до защиты домовладельцев от наблюдения с дронов.

1.2 Существует ли какое-либо другое общее законодательство, влияющее на защиту данных?

Хотя общего федерального законодательства, влияющего на защиту данных, нет, существует ряд федеральных законов о защите данных, которые относятся к конкретным секторам (см. Вопрос 1.3 ниже) или сосредоточиться на определенных типах данных. Например, Закон о защите конфиденциальности водителей 1994 года (DPPA) (18 Кодекса США § 2721 и след. ) регулирует конфиденциальность и раскрытие личной информации, собранной государственными департаментами транспортных средств, включая фотографии, номер социального страхования ( SSN), идентификационный номер водителя (DID), имя, адрес (но не пятизначный почтовый индекс), номер телефона, медицинская информация и информация об инвалидности. Информация о детях защищена на федеральном уровне в соответствии с Законом о защите конфиденциальности детей в Интернете (COPPA) (15 U.S. Code § 6501), который запрещает сбор любой информации от детей младше 13 лет в Интернете и с устройств, подключенных к Интернету, и требует публикации уведомлений о конфиденциальности и сбора поддающегося проверке согласия родителей при сборе информации от детей. Закон о защите конфиденциальности видео (VPPA) (18 Свода законов США § 2710 и след. ) ограничивает раскрытие информации об аренде или продаже видео или аналогичных аудиовизуальных материалов, включая потоковую передачу в Интернете. Аналогичным образом, Закон о политике в области кабельной связи 1984 г. включает положения, посвященные защите конфиденциальности абонентов (47 U.S. Кодекс § 551).

Незаконное наблюдение продолжает оставаться серьезной проблемой в Соединенных Штатах, и федеральное правительство и большинство штатов приняли закон, криминализирующий запись сообщений без получения согласия одной или всех сторон, в зависимости от закона. В ряде штатов приняты отдельные законы, касающиеся наблюдения, включая отслеживание местоположения по сотовой сети, фотографирование с помощью дронов и даже функции «слежки» за Smart TV.

Законы штата

также могут налагать ограничения и обязательства на предприятия, связанные со сбором, использованием, раскрытием, безопасностью или хранением особых категорий информации, таких как биометрические данные, медицинские записи, номера SSN, информация о водительских правах, адреса электронной почты, записи библиотеки, привычки просмотра телепередач, финансовые отчеты, налоговые отчеты, информация о страховании, информация об уголовном правосудии, записи телефонных разговоров и записи об образовании — это лишь некоторые из наиболее распространенных.

В каждом штате принято законодательство об уведомлении об утечке данных, которое применяется к определенным типам личной информации о его резидентах. Даже если компания не имеет физического присутствия в определенном штате, она, как правило, должна соблюдать законы штата, когда сталкивается с несанкционированным доступом или получением личной информации, которую он собирает, хранит, передает или обрабатывает в отношении жителей этого штата. Типы информации, подпадающей под действие этих законов, различаются, при этом в большинстве штатов личная информация определяется таким образом, чтобы включать имя или имя или имя человека и его фамилию, а также данные, включая SSN человека, водительские права или номер государственной идентификационной карты, номер финансового счета. или данные платежной карты.В некоторых штатах есть дополнительные триггерные данные, такие как дата рождения, девичья фамилия матери, номер паспорта, биометрические данные, идентификационный номер сотрудника или имя пользователя и пароль.

Некоторые штаты более активны, чем другие, когда дело касается защиты данных. Например, в Массачусетсе действуют строгие правила защиты данных (201 CMR 17,00), требующие от любой организации, которая получает, хранит, поддерживает, обрабатывает или иным образом имеет доступ к «личной информации» жителя Массачусетса в связи с предоставлением товаров или услуг. или в связи с приемом на работу: (а) внедрить и поддерживать всеобъемлющий письменный план информационной безопасности (WISP), охватывающий 10 основных стандартов, и (б) установить и поддерживать официальную программу информационной безопасности, которая удовлетворяет восьми основным требованиям, которые варьируются от шифрование для обучения информационной безопасности. В 2019 году Массачусетс обновил свой закон об уведомлении об утечке данных, чтобы потребовать от компаний раскрыть, действительно ли они поддерживают требуемый WISP, и раскрыть, какие шаги они предприняли или планируют предпринять в связи с инцидентом, включая обновление WISP.

В 2019 году Нью-Йорк расширил свой закон об уведомлении об утечке данных, включив в него четкое требование о том, чтобы организации разрабатывали, внедряли и поддерживали «разумные» меры безопасности для защиты безопасности, конфиденциальности и целостности частной информации.Примечательно, что Закон штата Нью-Йорк SHIELD (Закон штата Нью-Йорк, Закон о автобусах, § 899-bb) определяет ряд административных, технических и физических мер безопасности, которые, в случае их реализации, считаются отвечающими нормам разумности штата Нью-Йорк согласно закону. Ранее Нью-Йорк уделял приоритетное внимание регулированию определенных финансовых учреждений, ведущих бизнес в штате, путем установления минимальных стандартов кибербезопасности с требованиями к компаниям проводить периодическую оценку рисков и подавать ежегодные сертификаты соответствия (23 NYCRR 500).

В штате Иллинойс действует исключительно обширный закон штата (740 ILCS 14 /), который устанавливает требования к предприятиям, которые собирают или иным образом получают биометрическую информацию. Закон штата Иллинойс о конфиденциальности биометрической информации (BIPA) примечателен как на момент написания единственный закон штата, регулирующий использование биометрических данных, который позволяет частным лицам подавать иски и взыскивать убытки за нарушения. В январе 2019 года Верховный суд Иллинойса подробно остановился на защите BIPA, постановив, что закон не требует от лиц доказывать, что им причинен вред, кроме нарушения их законных прав на подачу иска.

Калифорния имеет долгую историю принятия законодательства о конфиденциальности, и в 2018 году штат принял Закон о конфиденциальности потребителей Калифорнии («CCPA»), который вступил в силу 1 января 2020 года. Закон ввел новые обязательства для покрытых предприятий, в том числе требования к раскрытию категорий личной информации, которую компания собирает о потребителях, конкретных частей личной информации, собранных бизнесом о потребителях, категорий источников, из которых собирается личная информация, деловых или коммерческих целей для сбора или продажи личной информации , а также категории третьих лиц, с которыми компания делится личной информацией. Он также ввел новые права для жителей Калифорнии, включая право запрашивать доступ к личной информации и ее удаление, а также право отказаться от продажи личной информации третьим лицам. Требования CCPA могут привести к изменению бизнес-моделей, основанных на данных, и потребовать значительных обновлений внешней и внутренней политики конфиденциальности и процедур соблюдения нормативных требований.

1.3 Существует ли какое-либо отраслевое законодательство, влияющее на защиту данных?

Ключевые отраслевые законы включают законы, регулирующие финансовые услуги, здравоохранение, телекоммуникации и образование.

Закон Грэмма Лича Блайли (GLBA) (15 Кодекса США § 6802 (a) и след. ) регулирует защиту личной информации в руках банков, страховых компаний и других компаний в сфере финансовых услуг. Этот закон касается «закрытой личной информации» (NPI), которая включает любую информацию, которую финансовая компания собирает от своих клиентов в связи с предоставлением своих услуг. Он налагает требования к компаниям отрасли финансовых услуг по обеспечению безопасности NPI, ограничению раскрытия и использования NPI и уведомлению клиентов, когда NPI ненадлежащим образом подвергается воздействию неуполномоченных лиц.

Закон о честной кредитной отчетности (FCRA) с поправками, внесенными Законом о справедливых и точных кредитных операциях (FACTA) (15 Кодекса США § 1681), ограничивает использование информации, имеющей отношение к кредитоспособности, кредитоспособности, кредитоспособности, характеру человека. , общая репутация, личные характеристики или образ жизни для определения права на получение кредита, работы или страхования. Он также требует усечения номеров кредитных карт на распечатанных квитанциях, требует безопасного уничтожения определенных типов личной информации и регулирует использование определенных типов информации, полученных от аффилированных компаний, в маркетинговых целях.Наконец, он налагает обязательства на финансовые учреждения и кредиторов по созданию программ, которые выявляют случаи кражи личных данных и реагируют на них в соответствии с Правилом красных флажков кражи личных данных.

В дополнение к законам и нормативным актам финансовой отрасли, крупные компании, выпускающие кредитные карты, требуют, чтобы компании, обрабатывающие, хранящие или передающие данные платежных карт, соблюдали Стандарт безопасности данных индустрии платежных карт (PCI-DSS).

Закон о переносимости и подотчетности медицинской информации с поправками (HIPAA) (29 U.S. Кодекс § 1181 и след. ) защищает информацию, имеющуюся у застрахованного лица, которая касается состояния здоровья, предоставления медицинских услуг или оплаты медицинских услуг, которые могут быть связаны с физическим лицом. Его Правило конфиденциальности регулирует сбор и раскрытие такой информации. Его Правило безопасности предъявляет требования к защите этих данных.

Закон о защите потребителей телефонных услуг (TCPA) (47 Кодекса США § 227) и связанные с ним нормативные акты регулируют звонки и текстовые сообщения на мобильные телефоны, а также регулируют звонки на домашние телефоны, которые совершаются в маркетинговых целях или с использованием систем автоматического набора или предварительно записанных сообщений. .

Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA) (20 USC § 1232g) предоставляет студентам право проверять и пересматривать свои студенческие записи на предмет точности, а также запрещает разглашение этих записей или другой личной информации о студенте без согласие учащегося или родителя (в некоторых случаях).

Если федеральный закон регулирует конкретную тему, федеральный закон может иметь преимущественную силу в отношении любого аналогичного закона штата по этой теме. Однако в некоторых федеральных законах, таких как, например, GLBA, указывается, что они не имеют преимущественной силы по отношению к законам штата по этому вопросу.

1.4 Какие органы (и) отвечают за защиту данных?

Хотя в Соединенных Штатах нет полномочного регулятора защиты данных, полномочия FTC очень широки и часто задают тон федеральным вопросам конфиденциальности и безопасности данных. Кроме того, ряд других агентств регулируют защиту данных с помощью отраслевых законов, включая Управление финансового контролера, Министерство здравоохранения и социальных служб, Федеральную комиссию по связи, Комиссию по ценным бумагам и биржам, Бюро финансовой защиты потребителей ( CFPB) и Министерством торговли.

2.

Определения

2.1 Просьба представить ключевые определения, используемые в соответствующем законодательстве:

« Персональные данные »

В США информация, относящаяся к физическому лицу, обычно называется «личной информацией» (а не личными данными).Определение личной информации в США неодинаково во всех штатах или во всех нормативных актах. Кроме того, определенные данные могут считаться личной информацией для одной цели, но не для другой.

« Обработка »

Это не применимо в нашей юрисдикции.

«Контроллер »

Это не применимо в нашей юрисдикции.

«Процессор »

Это не применимо в нашей юрисдикции.

« Субъект данных »

Закон штата о защите данных обычно распространяется на «потребителя», проживающего в штате. Определение «потребитель» различается в зависимости от штата. Согласно законам многих штатов о защите данных, «потребитель» — это физическое лицо, которое занимается бизнесом в личных, семейных или домашних целях. Напротив, в соответствии с Законом Калифорнии о конфиденциальности потребителей (CCPA) «потребитель» в широком смысле определяется как «физическое лицо, которое является резидентом Калифорнии».

« Конфиденциальные личные данные »

Это не применимо в нашей юрисдикции.

« Нарушение данных »

Определение утечки данных зависит от законодательного акта конкретного штата, но обычно включает несанкционированный доступ или получение компьютеризированных данных, которые ставят под угрозу безопасность, конфиденциальность или целостность личной информации.

Другие ключевые определения — укажите (например, «Псевдонимные данные», «Прямые персональные данные», «Косвенные персональные данные»)

Это не применимо в нашей юрисдикции.

3.

Территориальный охват

3.1 Распространяются ли законы о защите данных на предприятия, учрежденные в других юрисдикциях? Если да, то при каких обстоятельствах бизнес, учрежденный в другой юрисдикции, будет подпадать под действие этих законов?

Компании, учрежденные в других юрисдикциях, могут подпадать под действие федеральных законов и законов штата о защите данных в отношении действий, влияющих на жителей Соединенных Штатов, чью информацию компания собирает, хранит, передает, обрабатывает или делится.

4.

Основные принципы

4.1 Каковы основные принципы обработки персональных данных?

Прозрачная пленка

FTC выпустила руководящие принципы, поддерживающие принцип прозрачности, рекомендуя предприятиям: (i) предоставлять более четкие, короткие и стандартизированные уведомления о конфиденциальности, которые позволяют потребителям лучше понимать методы обеспечения конфиденциальности; (ii) предоставлять разумный доступ к хранящимся у них данным потребителей, который пропорционален конфиденциальности данных и характеру их использования; и (iii) расширить усилия по информированию потребителей о методах защиты коммерческих данных.

Законное основание для обработки

Хотя в законодательстве США нет требования «законной основы для обработки», FTC рекомендует компаниям уведомлять потребителей о своих методах сбора, использования и обмена данными и получать согласие в ограниченных случаях, когда использование данных потребителей существенно отличается от заявлено, когда данные были собраны, или когда конфиденциальные данные собираются для определенных целей.

Ограничение цели

FTC рекомендует методы сохранения конфиденциальности, которые включают ограничение «сбора данных теми, которые соответствуют контексту конкретной транзакции или отношениям потребителя с бизнесом, или в соответствии с требованиями или специально разрешенными законом».

Минимизация данных

См. Выше.

Пропорциональность

См. Выше.

Удержание

FTC рекомендует методы сохранения конфиденциальности, предусматривающие «разумные ограничения на хранение данных», в том числе удаление «после того, как данные достигли законной цели, для которой они были собраны».

Прочие ключевые принципы — просьба указать

Это не применимо в нашей юрисдикции.

5.

Индивидуальные права

5.1 Каковы основные права физических лиц в отношении обработки их личных данных?

Право доступа к данным / копиям данных

Эти права зависят от закона. Например, при определенных обстоятельствах сотрудники имеют право получать копии данных, хранящихся у работодателей.В других обстоятельствах родители имеют право получать копии информации, собранной в Интернете от своих детей в возрасте до 13 лет. Согласно HIPAA, люди имеют право запрашивать копии медицинской информации, хранящейся у поставщика медицинских услуг. Кроме того, в соответствии с FCRA, физическим лицам разрешается получать копию информации о потребителях, которая хранится в агентстве по информированию потребителей. Кроме того, CCPA предоставляет жителям Калифорнии право доступа к личной информации, имеющейся у компании и относящейся к этому резиденту.

Право на исправление ошибок

Эти права зависят от закона. Некоторые законы, такие как FCRA, предоставляют потребителям право просматривать данные о потребителе, принадлежащие юридическому лицу, и запрашивать исправления ошибок в этих данных. На уровне штата право на исправление информации обычно прилагается к кредитным отчетам, а также к информации уголовного правосудия, трудовым книжкам и медицинским картам.

Право на удаление

Эти права зависят от закона.В качестве примера федерального закона COPPA предоставляет родителям право просматривать и удалять информацию о своих детях и может требовать удаления данных даже при отсутствии запроса. Законы некоторых штатов, такие как CCPA, предоставляют жителям Калифорнии право удаления, за некоторыми исключениями.

Право на возражение против обработки

Эти права зависят от закона. Физическим лицам предоставляется право отказаться от получения коммерческих (рекламных) электронных писем по CAN-SPAM и право не принимать определенные типы звонков на номера домашних или мобильных телефонов без явного согласия в соответствии с TCPA.В некоторых штатах людям предоставляется право не записывать телефонные разговоры без согласия всех сторон на звонок или согласия одной стороны на звонок.

Право на ограничение обработки

Эти права зависят от закона. Некоторые законы ограничивают то, как организация может обрабатывать данные потребителей. Например, CCPA позволяет жителям Калифорнии запрещать компании продавать личную информацию этого человека.

Право на переносимость данных

Эти права зависят от закона.Примеры прав потребителей на переносимость данных существуют в соответствии с HIPAA, где люди имеют право требовать, чтобы медицинская информация, хранящаяся у поставщика медицинских услуг, была передана другому поставщику медицинских услуг. Кроме того, CCPA предоставляет право на перенос данных для жителей Калифорнии.

Право на отзыв согласия

Эти права зависят от закона. Например, согласно TCPA, физическим лицам разрешается отозвать согласие на получение определенных типов звонков или текстовых сообщений на жилые или мобильные телефонные линии.

Право на возражение против маркетинга

Эти права зависят от закона. Некоторые законы разрешают потребителям ограничивать маркетинговую деятельность с использованием их личных данных. Например, в рамках CAN-SPAM люди могут отказаться от получения коммерческих (рекламных) электронных писем. Согласно TCPA, физические лица должны предоставить явное письменное согласие на получение маркетинговых звонков / текстовых сообщений на мобильные телефоны. Закон штата Калифорния «Shine the Light» требует, чтобы компании, которые делятся личной информацией для целей прямого маркетинга получателя, либо отказались, либо раскрыли потребителю определенную информацию о том, какая информация передается и с кем.

Право на подачу жалобы в соответствующие органы по защите данных

Эти права зависят от закона. Например, люди могут сообщать о нежелательной или вводящей в заблуждение коммерческой электронной почте («спам») непосредственно в FTC, а о нарушениях телемаркетинга — непосредственно в FCC. Точно так же любой может подать жалобу HIPAA напрямую в Департамент здравоохранения и социальных служб (HHS). На уровне штата жители Калифорнии могут сообщать о предполагаемых нарушениях CCPA Генеральному прокурору Калифорнии.

Другие ключевые права — укажите

Это не применимо в нашей юрисдикции.

6.

Регистрационные формальности и предварительное одобрение

6.1 Есть ли у предприятий юридическое обязательство регистрироваться или уведомлять орган по защите данных (или любой другой государственный орган) в отношении своей деятельности по обработке?

И Вермонт, и Калифорния требуют, чтобы брокеры данных регистрировались у генерального прокурора штата. Требование штата Вермонт, вступившее в силу в 2019 году, определяет «брокера данных», чтобы включать организации, которые сознательно собирают и продают или лицензируют третьим сторонам личную информацию потребителя, с которым бизнес не имеет прямых отношений (глава 9 VSA 62). Требование Калифорнии вступило в силу в 2020 году и аналогичным образом распространяется на сбор и продажу личной информации о потребителях, с которыми компания не имеет прямых отношений (Cal.Civ. Кодекс § 1798.99.82).

6.2 Если такая регистрация / уведомление требуется, должна ли она быть конкретной (например, перечислять все действия по обработке, категории данных и т. Д.) Или может быть общей (например, с подробным описанием соответствующих действий по обработке)?

Государства, в которых была введена обязательная регистрация брокера данных, как правило, не требуют конкретного описания соответствующих действий по обработке данных. Калифорния делает необязательным для брокера данных предоставление в рамках своей регистрации любой информации, касающейся его методов сбора данных (Cal. Civ. Кодекс § 1798.99.82). Вермонт, напротив, более требователен и требует от владельцев регистраций раскрытия информации об отказе потребителей, о том, реализует ли брокер данных процесс подтверждения учетных данных покупателя, а также о количестве и степени любых нарушений безопасности брокера данных, с которыми он столкнулся в течение предыдущего года. Если брокеры данных сознательно владеют информацией о несовершеннолетних, закон Вермонта требует, чтобы они подробно описывали все соответствующие методы сбора данных, базы данных, торговые операции и политики отказа (9 V.S.A. § 2446).

6.3 На каком основании делаются регистрации / уведомления (например, для каждого юридического лица, для каждой цели обработки, для каждой категории данных, для каждой системы или базы данных)?

Регистрации брокеров данных производятся для каждого юридического лица.

6.4 Кто должен регистрироваться / уведомлять орган по защите данных (например, местные юридические лица, иностранные юридические лица, подпадающие под действие соответствующего законодательства о защите данных, представительства или филиалы иностранных юридических лиц, подпадающих под действие соответствующего законодательства о защите данных)?

В штатах, для которых он применяется, регистрация требуется в зависимости от бизнеса, подпадающего под определение «брокера данных» в соответствии с законодательством штата. Как правило, «брокер данных» определяется как бизнес, который сознательно собирает и продает личную информацию потребителя, с которым бизнес не имеет прямых отношений.

6.5 Какая информация должна быть включена в регистрацию / уведомление (например, сведения об уведомляющем субъекте, затронутых категориях лиц, затронутых категориях личных данных, целях обработки)?

См. Вопрос 6.2 выше.

6.6 Каковы санкции за отсутствие регистрации / уведомления в случае необходимости?

В Вермонте штраф составляет 150 долларов США в день в дополнение к регистрационному взносу в размере 100 долларов США.В Калифорнии брокер данных, не прошедший регистрацию, несет ответственность за гражданские штрафы, сборы и расходы в размере 100 долларов США за каждый день, когда брокер данных не может зарегистрироваться, а также за сумму, равную сборам, которые причитались за период, когда он не прошел регистрацию.

6.7 Какова плата за регистрацию / уведомление (если применимо)?

Сборы зависят от штата. Регистрационный взнос брокера данных в Вермонте составляет 100 долларов США, а в Калифорнии — 360 долларов США.

6.8 Как часто необходимо обновлять регистрации / уведомления (если применимо)?

Как в Вермонте, так и в Калифорнии брокеры данных обязаны регистрироваться ежегодно.

6.9 Требуется ли предварительное одобрение регулирующего органа по защите данных?

Для регистрации брокера данных требуется одобрение генерального прокурора как Вермонта, так и Калифорнии.

6.10 Можно ли заполнить регистрацию / уведомление онлайн?

Регистрация брокера данных для Вермонта и Калифорнии может быть выполнена онлайн.

6.11 Существует ли общедоступный список выполненных регистраций / уведомлений?

Вермонт и Калифорния ведут общедоступные списки зарегистрированных брокеров данных.

6.12 Сколько времени занимает типичный процесс регистрации / уведомления?

Ни Вермонт, ни Калифорния не публикуют информацию о типичном количестве времени для процесса регистрации брокера данных.

7.

Назначение сотрудника по защите данных

7.1 Является ли назначение сотрудника по защите данных обязательным или необязательным? Если назначение сотрудника по защите данных является обязательным только при определенных обстоятельствах, укажите эти обстоятельства.

Назначение сотрудника по защите данных не требуется в соответствии с законодательством США, но определенные законодательные акты требуют назначения или назначения лица или лиц, которым поручено соблюдение требований конфиденциальности и безопасности данных в соответствии с законом. К ним относятся, например, GLBA, HIPAA и Положение о безопасности данных штата Массачусетс.

7.2 Каковы санкции за неспособность назначить сотрудника по защите данных, когда это необходимо?

Возможные санкции зависят от закона / регулирующего органа.

7.3 Защищен ли сотрудник по защите данных от дисциплинарных мер или других последствий при приеме на работу в связи с его или ее ролью в качестве сотрудника по защите данных?

Это не применимо в нашей юрисдикции.

7.4 Может ли компания назначить одного сотрудника по защите данных для охвата нескольких организаций?

Это не применимо в нашей юрисдикции.

7.5 Опишите любую квалификацию сотрудника по защите данных, требуемую законом.

Это не применимо в нашей юрисдикции.

7.6 Каковы обязанности сотрудника по защите данных в соответствии с требованиями законодательства или передовой практики?

Это не применимо в нашей юрисдикции.

7.7 Должно ли быть зарегистрировано / уведомлено о назначении сотрудника по защите данных в соответствующие органы по защите данных?

Это не применимо в нашей юрисдикции.

7. 8 Должен ли сотрудник по защите данных быть указан в общедоступном уведомлении о конфиденциальности или аналогичном документе?

Это не применимо в нашей юрисдикции.

8.

Назначение обработчиков

8.1. Если компания назначает обработчика для обработки персональных данных от своего имени, должна ли компания заключать какие-либо соглашения с этим процессором?

В соответствии с законами некоторых штатов и федеральными нормативными актами, если компания делится некоторыми категориями личной информации с поставщиком, она обязана по контракту обязать поставщика соблюдать разумные меры безопасности.Например, HIPAA требует использования соглашений с деловыми партнерами для передачи защищенной медицинской информации поставщикам. Другой пример — CCPA, который требует письменных контрактов с поставщиками услуг.

8.2 Если необходимо заключить соглашение, каковы формальности этого соглашения (например, в письменной форме, с подписью и т. Д.) И какие вопросы оно должно решать (например, обработка личных данных только в соответствии с соответствующими инструкциями, обеспечение безопасности личных данных и т. д.)?

Форма контракта обычно не указывается. Однако HIPAA является примером закона с минимальными требованиями к положениям, которые должны быть включены в соглашения о бизнес-партнерстве. Эти соглашения должны включать ограничения на использование и раскрытие информации, а также требовать от поставщиков соблюдения Правил безопасности HIPAA, предоставления уведомлений о нарушениях и отчетов о несанкционированном использовании и раскрытии, возврата или уничтожения защищенных данных и предоставления доступа к их бухгалтерским книгам, записям и методам. федеральному регулятору.Согласно CCPA, договор должен ограничивать поставщика услуг от сохранения, использования или раскрытия личной информации для любых целей, кроме оказания услуг, указанных в договоре.

9.

Маркетинг

9.1 Опишите любые законодательные ограничения на отправку электронного прямого маркетинга (например,g. для маркетинга по электронной почте или SMS требуется ли получение предварительного согласия получателя?).

Предварительное письменное согласие требуется в соответствии с TCPA, прежде чем определенные маркетинговые тексты могут быть отправлены на мобильный телефон. В других федеральных законах есть требования отказа, а не согласия на подписку. Например, в рамках CAN-SPAM маркетинговые электронные письма — или электронные письма, отправленные с основной целью рекламы или продвижения коммерческого продукта или услуги — могут быть отправлены тем, кто не отказывается от участия, при условии, что отправитель точно идентифицирован, строка темы и текст электронное письмо не является вводящим в заблуждение, электронное письмо содержит имя и адрес отправителя, электронное письмо содержит бесплатный простой механизм для отказа от будущих писем, и отправитель соблюдает отказ в течение 10 дней с момента получения.

9.2 Применяются ли эти ограничения только к маркетингу «бизнес-потребитель» или они также применяются в контексте «бизнес-бизнес»?

Закон о TCPA и CAN-SPAM применяется как к прямому электронному маркетингу между предприятиями, так и между предприятиями. Напротив, телефонная связь между предприятиями, за исключением тех, которые предназначены для стимулирования розничной продажи офисных принадлежностей краткосрочного пользования или чистящих средств, не подпадают под действие Правила телемаркетинговых продаж, описанного в вопросе 9.3 ниже.

9.3 Опишите любые законодательные ограничения на рассылку маркетинговых материалов другими способами (например, для маркетинга по телефону необходимо заранее проверить национальный реестр отказа; для маркетинга по почте не требуется согласия или отказа от рассылки. , так далее.).

Маркетинг по телефону регулируется на национальном уровне Правилами телемаркетинговых продаж, положениями Закона о телемаркетинге и предотвращении мошенничества и злоупотреблений со стороны потребителей. Этим законом был установлен национальный список номеров телефонов, запрещающих звонки, которые нельзя использовать для маркетинговых коммуникаций (звонки и текстовые сообщения), а также требования к раскрытию информации для компаний, занимающихся телефонным маркетингом.Он также запрещает ограничения на использование телефонного маркетинга, включая, например, ограничение времени суток для маркетинговых звонков, требование от вызывающего абонента отказаться от будущих звонков и ограничение использования предварительно записанных сообщений. Для отправки маркетинговых материалов по почте нет требований о согласии или отказе от рассылки.

Отмечается, что Федеральная торговая комиссия, регулирующая методы обмана, приняла меры принудительного характера в отношении передачи маркетинговых электронных писем или телемаркетинговых звонков компаниями, которые в своих публично опубликованных политиках конфиденциальности обещали, что личная информация не будет использоваться в маркетинговых целях. Кроме того, многие штаты применяют законы о практике обмана для наложения штрафов или судебного запрета в аналогичных обстоятельствах или когда нарушение федерального закона считается обманной практикой в соответствии с законодательством штата.

9.4 Распространяются ли указанные выше ограничения на маркетинговые материалы, отправленные из других юрисдикций?

Да, если получатель находится в США.

9.5 Активны ли соответствующие органы по защите данных в обеспечении нарушения маркетинговых ограничений?

FTC, FCC и Генеральные прокуроры штатов принимают меры по обеспечению соблюдения в этой области.

9.6 Законно ли покупать маркетинговые списки у третьих лиц? Если да, то есть ли какие-либо рекомендации по использованию таких списков?

Да; тем не менее, покупатель списка должен «очистить» его от национального списка «Не звонить» и списков отказов электронной почты покупателя. В некоторых штатах запрещена продажа адресов электронной почты лиц, которые отказались от получения маркетинговых писем, а в некоторых запрещена продажа информации, полученной в связи с транзакцией покупки потребителем.

9.7 Каковы максимальные штрафы за отправку маркетинговых сообщений в нарушение действующих ограничений?

Штрафы по CAN-SPAM могут варьироваться от 16 000 до 41 484 долларов США за одно письмо. Штрафы в соответствии с TCPA составляют 500 долларов США за нарушение телефонного звонка / текстового сообщения, 1500 долларов США за каждое умышленное или сознательное нарушение, а также дополнительные штрафы в размере до 10 000 долларов США за умышленные нарушения (на основании Закона TRACED, принятого в 2019 году), плюс штрафы в размере 16 000 долларов США за каждое политическое сообщение или звонок, отправленный в нарушение Закона.Например, FTC и генеральные прокуроры нескольких штатов вынудили в 2017 году судебное решение на сумму 280 миллионов долларов США за неоднократное нарушение компанией (включая более 66 миллионов звонков) TCPA, Правил продаж телемаркетинга FTC и закона штата.

Многие штаты имеют свои собственные законы о практике обмана, которые налагают дополнительные штрафы штатов, если нарушения федеральных законов считаются обманом в соответствии с законом штата.

10.

Печенье

10.1 Опишите любые законодательные ограничения на использование файлов cookie (или аналогичных технологий).

Федеральный закон о компьютерном мошенничестве и злоупотреблениях был использован для предъявления юридических исков против использования файлов cookie для поведенческой рекламы, где файлы cookie позволяют проводить «глубокую пакетную» проверку компьютера, на котором они размещены. По крайней мере, два штата, Калифорния и Делавэр, требуют раскрытия информации о том, где файлы cookie используются для сбора информации о действиях пользователя в Интернете на разных веб-сайтах или с течением времени. Требуемое раскрытие должно включать в себя то, как оператор реагирует на так называемые сигналы «не отслеживать» или другие подобные механизмы.

Кроме того, Закон о Федеральной торговой комиссии и государственные законы о введении в заблуждение лежат в основе нормативного правоприменения и частных коллективных исков против компаний, которые не раскрыли или представили ложные сведения об использовании отслеживающих файлов cookie. Одна компания урегулировала иск в 2012 году, выплатив Федеральной торговой комиссии США 22,5 миллиона долларов США, а в 2016 году согласилась выплатить 5,5 миллиона долларов США для урегулирования частного коллективного иска с таким же поведением.

10.2 Различают ли применяемые ограничения (если есть) разные типы файлов cookie? Если да, то каковы соответствующие факторы?

Закон о компьютерном мошенничестве и злоупотреблении и Закон о конфиденциальности электронных коммуникаций, а также законы штата о надзоре могут вступить в игру, когда файлы cookie собирают информацию с компьютера, на котором они размещены, и передают эту информацию лицу, размещающему файлы cookie без надлежащего согласия. .

10.3 Принял ли / принимал ли соответствующий орган (а) по защите данных какие-либо принудительные меры в отношении файлов cookie?

Да, Федеральная торговая комиссия (FTC) возбудила принудительные меры в отношении компаний, которые не раскрыли или не предоставили ложных сведений об использовании файлов cookie.

10.4 Каковы максимальные штрафы за нарушение действующих ограничений файлов cookie?

Максимальные размеры штрафов законом не установлены.

11.

Ограничения на международную передачу данных

11.1 Опишите любые ограничения на передачу личных данных в другие юрисдикции.

США не накладывают ограничений на передачу персональных данных в другие юрисдикции.

11.2 Опишите механизмы, которые предприятия обычно используют для передачи персональных данных за границу в соответствии с применимыми ограничениями на передачу (например,g. , согласие субъекта данных, выполнение договора с субъектом данных, утвержденные договорные положения, соблюдение юридических обязательств и т. д.).

Это оставлено на усмотрение компании, поскольку США не накладывают ограничений на передачу персональных данных в другие юрисдикции. Что касается получения данных из-за границы, Рамочная программа по защите конфиденциальности ЕС-США предоставляет механизм для соблюдения требований защиты данных при передаче персональных данных из Европейского Союза в США.

11.3 Требуется ли для передачи персональных данных в другие юрисдикции регистрации / уведомления или предварительного согласия соответствующих органов по защите данных? Пожалуйста, опишите, какие типы переводов требуют одобрения или уведомления, что включают в себя эти шаги и сколько времени они обычно занимают.

Такой регистрации / уведомления не требуется.

12.

Горячие линии для информаторов

12.1 Каков допустимый объем корпоративных горячих линий для информаторов (например, ограничения по типам вопросов, о которых можно сообщать, лицам, которые могут подавать отчет, лицам, которых может касаться сообщение, и т.

Федеральный закон 1989 года о защите информаторов защищает федеральных служащих, и в некоторых штатах есть аналогичные законы, защищающие государственных служащих. Публичные компании, подпадающие под действие Закона Сарбейнса-Оксли, также должны иметь политику информаторов, которая должна быть одобрена советом директоров, и создавать процедуру для получения жалоб от информаторов.

12.2 Запрещено ли анонимное сообщение, категорически не рекомендуется или вообще разрешено? Если это запрещено или не рекомендуется, как предприятия обычно решают эту проблему?

Анонимное сообщение обычно разрешено. Правило 10A-3 Закона о фондовых биржах 1934 года, например, требует, чтобы комитеты по аудиту публично зарегистрированных компаний устанавливали процедуры для конфиденциального анонимного представления сотрудниками вопросов, вызывающих озабоченность по поводу сомнительных вопросов бухгалтерского учета или аудита.

13.

CCTV

13.1 Требуется ли для использования видеонаблюдения отдельная регистрация / уведомление или предварительное разрешение соответствующих органов по защите данных и / или какая-либо конкретная форма публичного уведомления (например, заметный знак)?

Использование видеонаблюдения должно соответствовать федеральным и государственным законам о вуайеризме / подслушивании, некоторые из которых требуют размещения знаков в местах проведения видеонаблюдения, ограничения использования скрытых камер или полного запрета на видеосъемку, если это место по своей природе является частным ( включая места, где люди обычно раздеваются, например ванные комнаты, гостиничные номера и раздевалки).

13.2 Существуют ли ограничения на цели использования данных видеонаблюдения?

Как правило, нет ограничений на использование законно собранных данных видеонаблюдения в соответствии с установленными политиками компании или трудовыми соглашениями.

14.

Мониторинг сотрудников

14.1 Какие виды мониторинга сотрудников разрешены (если они есть) и при каких обстоятельствах?

Права сотрудников на неприкосновенность частной жизни, как и права любого человека, основаны на том принципе, что человек ожидает конфиденциальности, если это ожидание не уменьшено или не устранено контекстом, соглашением, уведомлением или законом. Мониторинг сотрудников, как правило, разрешен в той же степени, что и в отношении общественности, в том числе когда работодатель четко раскрывает тип и объем мониторинга, в котором он участвует, и при условии соблюдения общеприменимых законов о наблюдении в отношении заведомо частных мест, а также специфические для сотрудников законы, например, касающиеся конфиденциальности деятельности членов профсоюзов.

14.2 Требуется ли согласие или уведомление? Опишите, как работодатели обычно получают согласие или отправляют уведомление.

Права на согласие и уведомление зависят от штата, как и использование скрытых камер. При необходимости или добровольно, работодатели обычно получают согласие на наблюдение за сотрудниками путем принятия справочников сотрудников и могут предоставить уведомление, разместив соответствующие знаки.

14.3 В какой степени производственные советы / профсоюзы / представители работников должны быть уведомлены или проконсультированы?

Закон о национальных трудовых отношениях запрещает работодателям контролировать своих сотрудников, когда они занимаются защищенной профсоюзной деятельностью.

15.

Безопасность данных и утечка данных

15. 1 Есть ли общие обязательства по обеспечению безопасности личных данных? Если да, то какие объекты отвечают за обеспечение безопасности данных (например, контроллеры, процессоры и т. Д.)?

В контексте потребителя FTC заявила, что меры безопасности компании для защиты личных данных должны быть «разумными», принимая во внимание множество факторов, включая объем и конфиденциальность информации, хранящейся в компании, размер и сложность деятельности компании и стоимости инструментов, доступных для устранения уязвимостей.Определенные федеральные законы и законы отдельных штатов также налагают обязательство обеспечивать безопасность личной информации. Например, GLBA и HIPAA налагают требования безопасности к финансовым услугам и медицинским учреждениям (и их поставщикам). Некоторые государства налагают обязательства по обеспечению безопасности данных на определенные организации, которые собирают, хранят или передают ограниченные типы личной информации. Например, Департамент финансовых услуг Нью-Йорка (NYDFS) принял в 2017 году постановления, обязывающие все «регулируемые организации» принять программу кибербезопасности и процессы управления кибербезопасностью. Правила также требуют сообщать регулирующим органам о событиях в области кибербезопасности, таких как утечки данных и попытки проникновения. Охватываемые организации включают банки, ипотечные компании, страховые компании и пункты обналичивания чеков, которые иным образом регулируются NYDFS.

15.2 Существует ли требование закона сообщать о нарушениях данных в соответствующий орган (а) по защите данных? Если да, опишите, о каких подробностях необходимо сообщить, кому и в какие сроки. Если никаких требований закона не существует, опишите, при каких обстоятельствах соответствующие органы по защите данных ожидают добровольного сообщения о нарушениях.

На федеральном уровне, помимо требований об уведомлении о нарушениях, относящихся к самим федеральным агентствам, HIPAA требует, чтобы «Защищенная организация» сообщала о недопустимом использовании или раскрытии в соответствии с Правилом конфиденциальности, которое ставит под угрозу безопасность или конфиденциальность защищенной медицинской информации, Департамент здравоохранения и социальных служб. Если нарушение затрагивает более 500 человек, такое уведомление должно быть сделано в течение 60 дней с момента обнаружения нарушения. Информация, которая должна быть предоставлена, включает информацию о субъекте, пострадавшем от нарушения, характере нарушения, сроках (начало и конец) нарушения, времени обнаружения нарушения, типе раскрытой информации, мерах предосторожности, принятых до нарушение и действия, предпринятые после нарушения, включая уведомления, отправленные пострадавшим лицам, и меры по исправлению положения.

Хотя Закон о ценных бумагах и биржах и связанные с ним нормативные акты, в том числе Положение S-K, конкретно не являются обязательством по уведомлению об утечке данных, они требуют от публичных компаний раскрывать в документах, поданных в Комиссию по ценным бумагам и биржам, когда происходят существенные события, включая киберинциденты. От владельцев регистрации требуется, чтобы они делали выводы об эффективности средств контроля и процедур раскрытия информации. В той степени, в которой киберинциденты представляют риск для способности регистранта записывать, обрабатывать, обобщать и сообщать информацию, которая должна быть раскрыта в документах Комиссии SEC, руководство также должно рассмотреть, есть ли какие-либо недостатки в его средствах контроля и процедурах раскрытия информации, которые могли бы сделать они неэффективны.

Законодательство некоторых штатов требует при определенных условиях сообщать об утечках данных в агентство штата или генеральному прокурору. Информация, которая должна быть предоставлена, зависит от штата, но обычно включает описание инцидента, количество затронутых лиц, типы раскрытой информации, время инцидента и обнаружения, действия, предпринятые для предотвращения будущих событий, копии уведомлений, отправленных в затронутых лиц и любые услуги, предлагаемые пострадавшим лицам, например кредитный мониторинг.

15.3 Существует ли требование закона сообщать о нарушениях данных затронутым субъектам данных? Если да, опишите, о каких подробностях необходимо сообщить, кому и в какие сроки. Если никаких требований закона не существует, опишите, при каких обстоятельствах соответствующие органы по защите данных ожидают добровольного сообщения о нарушениях.

На федеральном уровне HIPAA требует, чтобы покрываемые организации сообщали о нарушениях данных пострадавшим лицам без необоснованной задержки и ни в коем случае не позднее 60 дней.Уведомление должно включать описание нарушения, включая: типы информации, которая была затронута; шаги, которые люди должны предпринять, чтобы защитить себя, включая то, с кем они могут связаться в покрываемой организации для получения дополнительной информации; а также то, что застрахованное лицо делает для расследования нарушения, уменьшения ущерба и предотвращения дальнейших нарушений. В случае нарушений, затрагивающих более 500 жителей штата или юрисдикции, охваченные юридические лица должны предоставить уведомление местным СМИ в дополнение к индивидуальному уведомлению.

По состоянию на май 2018 года во всех 50 штатах, округе Колумбия, Гуаме, Пуэрто-Рико и Виргинских островах США есть законы, требующие сообщать пострадавшим лицам о нарушениях данных, как это определено в каждом законе. Эти законы инициируются раскрытием личной информации резидента юрисдикции, поэтому, если нарушение происходит с участием жителей нескольких штатов, необходимо соблюдать законы нескольких штатов. Большинство законодательных актов определяют «нарушение безопасности системы» как использование незашифрованной компьютеризированной личной информации, но в некоторых штатах личная информация включается в любом формате.Получение личной информации зависит от закона, и большинство из них включает имя или имя, имя и фамилию человека, а также точку данных, включая номер социального страхования, водительские права или номер государственной идентификационной карты, номер финансового счета или информацию о платежной карте. В некоторых штатах есть дополнительные триггерные данные, такие как дата рождения, девичья фамилия матери, номер паспорта, биометрические данные, идентификационный номер сотрудника или имя пользователя и пароль.Стандарты того, когда требуется раскрытие информации, варьируются от несанкционированного доступа к личной информации до несанкционированного получения личной информации, неправомерного использования или риска причинения вреда личной информации. В большинстве штатов требуется уведомление, как только это практически возможно, и часто в течение 30–60 дней после обнаружения инцидента, в зависимости от закона. Информация, которая должна быть предоставлена, зависит от штата, но обычно включает описание инцидента, типы раскрытой информации, время инцидента и его обнаружение, действия, предпринятые для предотвращения будущих событий, информацию о шагах, которые люди должны предпринять для защиты, информацию ресурсы и любые услуги, предлагаемые затронутым лицам, такие как кредитный мониторинг.

15.4 Каковы максимальные штрафы за нарушение безопасности данных?

Штрафы зависят от закона и факта. В соответствии с HIPAA, например, денежные штрафы могут варьироваться от 100 до 50 000 долларов США за нарушение (или за запись) с максимальным штрафом в 1,75 миллиона долларов США в год за каждое нарушение. В 2019 году компания согласилась заплатить рекордный штраф в размере не менее 575 миллионов долларов США и, возможно, до 700 миллионов долларов США в рамках урегулирования проблемы утечки данных, достигнутой с FTC, CFPB, 48 штатами, округом Колумбия и Содружеством США. Пуэрто-Рико.

16.

Правоприменение и санкции

16.1 Опишите правоприменительные полномочия органов по защите данных.

Некоторые законы разрешают исполнение только федеральным правительством, некоторые разрешают исполнение закона федеральным правительством или правительством штата, а некоторые разрешают исполнение через частное право иска потерпевших потребителей.Являются ли санкции гражданскими и / или уголовными, зависит от соответствующего закона. Например, исполнение HIPAA разрешает наложение гражданских и уголовных наказаний. В то время как гражданско-правовые средства защиты HIPAA применяются на федеральном уровне HHS, а на уровне штата — Генеральными прокурорами, Министерство юстиции США (USDOJ) отвечает за уголовное преследование в соответствии с HIPAA.

16. 2 Имеет ли орган по защите данных право наложить запрет на конкретную обработку данных? Если да, то требует ли такой запрет постановления суда?

The U.S. не имеет центрального органа по защите данных. Правоприменительные полномочия, в том числе вопрос о том, может ли регулирующий орган запретить конкретную процессинговую деятельность, указаны в соответствующих законах. Например, к концу 2019 года восемь штатов приняли Типовой закон о безопасности данных страхования, разработанный Национальной ассоциацией комиссаров по страхованию. Среди прочего, эти законы уполномочивают государственных комиссий по страхованию издавать приказы о прекращении действия, относящиеся к нарушениям обработки данных в страховой отрасли, и даже приостанавливать действие или отзывать лицензию страхового учреждения или агента на деятельность.

16.3 Опишите подход органа по защите данных к осуществлению этих полномочий с примерами недавних дел.

В США это зависит от соответствующего законодательного механизма правоприменения и агентства, осуществляющего правоприменительные меры. Например, FTC, помимо публикации на своем веб-сайте всех документов, поданных в дела и судебные разбирательства FTC, ежегодно публикует сводку ключевых действий по обеспечению конфиденциальности и безопасности данных, а также урегулирования, в котором содержится руководство для предприятий по приоритетам правоприменения.Аналогичным образом, HHS публикует основные моменты правоприменения, резюмирует основные проблемы соответствия, заявленные во всех жалобах, и, по закону, поддерживает веб-сайт, на котором перечислены обязательные сообщения о нарушениях незащищенной защищенной медицинской информации, затрагивающие 500 или более человек.

16.4 Исполняет ли орган по защите данных свои полномочия в отношении предприятий, учрежденных в других юрисдикциях? Если да, то как это обеспечивается?

Экстерриториальное исполнение закона U.Законодательство США будет зависеть от ряда факторов, в том числе от того, подпадает ли организация под юрисдикцию судов США, влияние на торговлю в США и влияние на жителей США, а также другие факторы.

17.

Электронное открытие / раскрытие информации иностранным правоохранительным органам

17.1 Как предприятия обычно отвечают на запросы о раскрытии информации из-за рубежа или запросы о раскрытии информации от иностранных правоохранительных органов?

Запросы на информацию, поданные в соответствии с договорами о взаимной правовой помощи, обычно обрабатываются через USDOJ, который работает с местным U.Прокуратура и местные правоохранительные органы до рассмотрения федеральным судьей и службой компании США.

17.2 Какие инструкции выпустили / выпустили органы по защите данных?

Руководство зависит от агентства, и нет центрального органа по защите данных. Например, FTC выпустила руководство по множеству вопросов, включая конфиденциальность детей, кражу личных данных и телемаркетинг. Генеральные прокуроры некоторых штатов также предлагают ресурсы на своих веб-сайтах для жертв кражи личных данных и для компаний, страдающих нарушениями безопасности данных.

18.

Тенденции и изменения

18.1 Какие тенденции в области правоприменения проявились за последние 12 месяцев? Опишите любую соответствующую судебную практику.

FTC продолжала активно регулировать вопросы безопасности и конфиденциальности данных в 2019 году. После проигрыша в федеральном апелляционном суде в 2018 году FTC подчеркнула изменения, которые она внесла для улучшения своих приказов о безопасности данных, выдаваемых компаниям.Их подход заключался в том, чтобы (1) сделать приказы более конкретными, (2) повысить ответственность сторонних оценщиков соответствия и (3) потребовать, чтобы вопросы безопасности данных были доведены до совета директоров компаний или других подобных руководящих органов. Кроме того, члены Комиссии FTC подчеркнули свою приверженность применению принудительных мер в отношении компаний, которые применяют несправедливые или необоснованные методы обеспечения конфиденциальности и защиты данных. Тем не менее, при этом члены Комиссии признали потенциальные пределы своих полномочий и призвали Конгресс принять закон, дополняющий эти полномочия, или, в качестве альтернативы, национальный закон о конфиденциальности, который будет обеспечиваться исполнением со стороны FTC.

В сентябре 2019 года FTC и Генеральный прокурор Нью-Йорка договорились о мировом соглашении с поисковой системой в Интернете и ее дочерней платформой для обмена видео, чтобы разрешить обвинения в нарушении закона США о защите личных сведений детей в Интернете, поскольку платформа для обмена видео собирает личную информацию от детей без согласие родителей. Урегулирование включало самый крупный денежный штраф, который FTC получила по делу COPPA, когда компании согласились выплатить 34 миллиона долларов США Нью-Йорку и 136 миллионов долларов США FTC. В дополнение к денежным расчетам компании должны также разработать, внедрить и поддерживать систему на платформе обмена видео, позволяющую владельцам каналов указывать контент, предназначенный для детей, чтобы обеспечить соблюдение COPPA.

В июле 2019 года Комиссия по ценным бумагам и биржам договорилась о мировом соглашении с компанией социальных сетей за предоставление вводящей в заблуждение информации относительно неправомерного использования пользовательских данных компании; такое злоупотребление было сочтено гипотетическим, но имело место на самом деле.Компания, занимающаяся социальными сетями, согласилась на вступление в силу окончательного судебного решения о наложении штрафа в размере 100 миллионов долларов США и навсегда запретила ему в будущем нарушение вышеупомянутых законов о ценных бумагах.

HHS остается активным в обеспечении соблюдения требований HIPAA, и в начале 2019 года регулирующий орган добился урегулирования в размере 3 миллионов долларов США против некоммерческой больничной системы, которая пострадала от двух утечек данных, и несоблюдение которых включало ее неспособность провести комплексный риск. анализ, непринятие достаточных мер безопасности и невозможность получить письменное соглашение о деловом партнерстве с поставщиком, который от его имени хранит защищенную в электронном виде информацию о здоровье.Аналогичным образом, в мае 2019 года HHS добилась еще одного урегулирования в размере 3 миллионов долларов США против компании, предоставляющей услуги диагностической медицинской визуализации, в результате инцидента с конфиденциальностью, произошедшего в мае 2014 года, когда компания не провела своевременное расследование инцидента, не уведомила пострадавших лиц в своевременно, не провела всесторонний анализ рисков и не заключила соглашения о деловых партнерах со своими поставщиками, которые от ее имени хранят защищенную в электронном виде медицинскую информацию.

Генеральные прокуроры штата также сыграли ключевую роль в возбуждении принудительных мер в соответствии с законами конкретных штатов в 2019 году. Например, в июле Генеральные прокуроры 48 штатов, Содружества Пуэрто-Рико и Округа Колумбия, а также Федеральная торговая комиссия и CFPB урегулировал иски к компании за утечку данных в 2017 году, которая затронула более 147 миллионов потребителей в Соединенных Штатах. Компания согласилась выплатить не менее 575 миллионов долларов США, из которых Генеральные прокуроры получают 175 миллионов долларов США на различные цели, включая обучение потребителей и судебные издержки.

Наконец, компания социальных сетей согласилась выплатить 550 миллионов долларов США для урегулирования коллективного иска, возбужденного в соответствии с Законом штата Иллинойс о конфиденциальности биометрической информации (BIPA). Иск был вызван программным обеспечением для сопоставления лиц, используемым компанией, в котором утверждалось, что компания нарушила BIPA, собирая данные о лицах с фотографий миллионов пользователей в Иллинойсе без их разрешения.

18.2 Какие «горячие темы» сейчас находятся в центре внимания регулирующего органа по защите данных?

Мы ожидаем, что следующие темы останутся актуальными в следующем году: вопросы, связанные со сбором и защитой биометрической информации; доступ потребителей к финансовой помощи и другим средствам правовой защиты в случае нарушения их прав на защиту данных, даже при отсутствии доказательств причинения вреда; усиление регулирования брокеров данных; и повышенное внимание регулирующих органов к защите коммерческих секретов и операционных данных (в дополнение к личным данным), когда их потеря или изменение может повлиять на рынок ценных бумаг или стабильность критически важной инфраструктуры.

новых законов об Интернете — законы США о конфиденциальности в 2021 году

Игра в защиту конфиденциальности данных меняется, и Соединенные Штаты испытывают натиск предлагаемого законодательства, которое стремится установить новые стандарты обработки пользовательских данных.

В то время как компании по всему миру все еще приспосабливаются к изменениям, внесенным Общим регламентом ЕС по защите данных (GDPR), США приветствуют собственные законы, которые будут следовать примеру GDPR и революционизировать способ взаимодействия компаний с пользовательскими данными.

Что мы можем ожидать от правовой системы США в плане законов о данных? Как они пойдут по пути, проложенному GDPR? И что означают эти предложенные законодательные акты для и ?

Оглавление

Как GDPR меняет представление о цифровых данных
Закон о согласии
Закон о защите конфиденциальности в социальных сетях и правах потребителей 2018 г.
Закон Калифорнии о конфиденциальности потребителей 2018 г.
Другие возможные законы о конфиденциальности
Вывод

1.Как GDPR меняет представление о цифровых данных

Миссия

GDPR — изменить баланс сил в пользу потребителей, когда дело доходит до использования их личных данных.

Соответствие

GDPR требует глобальных корректировок в управлении данными — как в ЕС, так и во всем мире. Изменения включают:

Пользователям необходимо объяснить простыми словами , как собираются их данные и используются
Пользователи должны дать согласие на сбор данных и понимать, что это согласие означает
Пользователь должен иметь возможность отказаться от согласия и иметь возможность отозвать согласие
Компании должны объяснить, почему они собирают данные
Компании не могут добиться согласия путем отказа или ограничения услуг

США черпают вдохновение в некоторых из этих моментов, когда различные штаты разрабатывают законы, включающие одну или несколько из вышеперечисленных концепций.

США — далеко не единственная страна, вдохновленная GDPR. Ознакомьтесь с нашей инфографикой, чтобы узнать о крупнейших законах о конфиденциальности во всем мире.

2. Закон о СОГЛАСИИ

Закон об онлайн-уведомлении клиентов о прекращении нарушений в сети пограничного провайдера. (СОГЛАСИЕ) — это предлагаемый федеральный закон (S. 2639), который предоставляет пользователям более строгие права на конфиденциальность.

Вы можете спросить, кто именно является пограничным поставщиком и считается ли вы таковым.

Термин Edge Provider первоначально использовался для обозначения крупных компаний, таких как интернет-провайдеры, Facebook, Google, Twitter и другие, которые предлагают приложения и услуги через Интернет или предоставляют устройства для доступа в Интернет (планшеты, телефоны и т. Д.)).

Но в 2014 году FCC расширила определение пограничных провайдеров, включив в него всех , которые отправляют пакеты данных через Интернет.

Это означает, что если ваша компания предоставляет какой-либо онлайн-контент — интернет-магазин, видео, изображения или даже просто блог о вашей организации — FCC считает вас пограничным поставщиком .

Закон о СОГЛАСИИ потребует от Федеральной торговой комиссии (FTC) установить требование согласия на использование конфиденциальной информации этими пограничными поставщиками.

Получение согласия и подтверждение подписки являются одними из ключевых элементов GDPR, с которыми сталкиваются предприятия. Узнайте больше о требованиях согласия GDPR, чтобы ваш бизнес был готов соблюдать любые законы о конфиденциальности, ориентированные на согласие.

На кого это влияет?

Ожидается, что любой, у кого есть бизнес-сайт в США, будет соблюдать Закон о СОГЛАСИИ вместе с крупными поставщиками периферийных услуг, такими как Google, Amazon, YouTube и т. Д.

Если у вас есть какой-либо контент на вашем сайте или вы собираете и храните какие-либо данные (что вы, вероятно, делаете), СОГЛАСИЕ будет применяться к вашему взаимодействию с посетителями сайта и клиентами.

Что это значит для бизнеса?

Если Закон о СОГЛАСИИ будет принят, веб-сайт вашей компании должен будет:

Следите за тем, какие данные вы собираете о посетителях сайта
Получите явное согласие, прежде чем вы сможете использовать, передавать или продавать эти данные
Воздерживаться от рекламы пользователям на основе их данных, если они не согласны
Прекратите использовать поле «отказ» для получения согласия и внедрите четкий процесс «отказа»
Подробные данные, собранные и специально использованные — не кладите их мелким шрифтом
Предоставьте четкий механизм отзыва согласия, когда потребитель выберет

Законопроект сената № 2728 направлен на защиту конфиденциальности пользователей в социальных сетях и других платформах. требует, чтобы веб-сайты предоставляли пользователям копии собранных о них данных.

Раскрытие также сообщит конечному пользователю, который получил доступ к его данным, могут ли ваши сотрудники получить к ним доступ, и об использовании этих данных.

На кого это влияет?

Хотя название законопроекта звучит так, будто он актуален только для платформ социальных сетей, он потенциально применим к любому веб-сайту, который собирает данные о посетителях сайта , даже если он в первую очередь ориентирован на социальные сети.

Законодательство все еще находится в процессе изменения — а это означает, что результаты еще не определены — но ведется активное лоббирование в пользу того, чтобы охват соблюдения требований выходил далеко за рамки одних только социальных сетей.

Что это значит для бизнеса?

Если Закон о защите конфиденциальности в социальных сетях будет принят и окончательная интерпретация будет включать не только социальные сети, то веб-сайт вашей компании должен будет:

Напишите условия обслуживания на понятном языке
Показать пользователям , какие данные были собраны у них
Предоставить пользователям расширенный доступ и контроль над собранными о них данными
Настроить сервисов отказа и отключения отслеживания
Создать программу конфиденциальности (включает политику конфиденциальности, методы обеспечения внутреннего соответствия и план реагирования на инциденты)
Уведомлять пользователей в течение 72 часов о любых нарушениях конфиденциальности

Используйте наши бесплатные примеры условий использования, чтобы создать условия, которые будут легко понятны пользователям.

4. Закон Калифорнии о конфиденциальности потребителей от 2018 г.

Закон о конфиденциальности потребителей Калифорнии от 2018 г. (CCPA) должен был появиться в бюллетенях для голосования в ноябре этого года, но 28 июня 2018 г. законодательный орган штата принял более мягкую его версию.

Закон предоставляет потребителям право знать, какие данные от них собирают компании и пограничные провайдеры, и предлагает им определенные средства контроля над тем, как эти данные обрабатываются, хранятся и передаются.

На кого это влияет?

Этот закон о конфиденциальности данных применяется к любому бизнесу или пограничному провайдеру, который разрешает кому-либо в Калифорнии доступ на свой веб-сайт или платформу, при условии, что бизнес соответствует хотя бы одному из следующих критериев:

Годовая валовая выручка превышает двадцать пять миллионов долларов ( 25000000 долларов )
Ежегодно покупает, получает, продает или делится в коммерческих целях, по отдельности или в сочетании, личной информацией 50 000 или более потребителей CA, домашних хозяйств или устройств.
Получает 50% или более своей годовой выручки от передачи любым способом, включая продажу или совместное использование, личной информации потребителей CA третьей стороне в коммерческих целях.

CCPA не распространяется на некоммерческие организации, а также на государственные и местные правительственные учреждения Калифорнии.

Что это значит для бизнеса?

Действующий с 1 января 2020 года , CCPA требует от предприятий внести несколько изменений в свои методы сбора и обработки данных или столкнуться с штрафами за несоблюдение в размере 750 долларов США на человека за нарушение .

Вот основные меры, которые вам необходимо учитывать, чтобы соответствовать CCPA:

Раскрыть потребителям категорий данных , которые вы собираете
Раскрыть, какие, если таковые имеются, третьи стороны вы разрешаете доступ к данным
Разрешить потребителям CA отказаться от продажи своих данных
Не прекращать и не ограничивать использование услуг для потребителей, которые отказываются от продажи своих данных
Настроить дополнительных услуг для потребителей ЦА младше 16 лет

В нынешнем виде CCPA требует, чтобы вы предоставляли пользователям возможность отказаться от продажи их данных через заметную ссылку на вашей домашней странице и в вашей политике конфиденциальности, которая гласит: « Не продавайте мою личную информацию . ”

5. Другие потенциальные законы о конфиденциальности

Хотя упомянутые выше законы являются наиболее важными из тех, которые выходят на первый план в США, их список далеко не исчерпывающий.

Закон о защите данных и уведомлении о нарушениях

Ожидается, что Закон о защите данных и уведомлении о нарушениях, предложенный на сессии Конгресса 2017-18 годов, снова появится. Закон направлен на стандартизацию того, как обрабатываются утечки данных , и требует строгого 72-часового уведомления затронутых пользователей.

Закон о сборе данных, технологической отчетности и безопасности

Это предложение исходит от Палаты представителей, и устанавливает национальный стандарт для уведомления о нарушениях и безопасности данных.

На данный момент в большинстве штатов действуют законы об уведомлении о нарушениях, многие из которых противоречат друг другу. США прилагают все усилия, чтобы вшить это юридическое лоскутное одеяло в единое законодательство, чтобы лучше защитить личные данные пользователей Интернета.

Безопасность Нью-Йорка

Даже города выходят на арену закона о защите данных, включая Нью-Йорк с их инициативой NYC Secure.

Эта программа направлена на защиту местных жителей от злонамеренной киберактивности через Wi-Fi и мобильные устройства, обеспечивая при этом конфиденциальность данных.

Знаете ли вы, что GDPR применяется к компаниям в США? Ознакомьтесь с нашим руководством по соблюдению GDPR для компаний США, чтобы узнать больше.

6. Заключение

GDPR вызвал эффект домино в правовой сфере цифровой конфиденциальности. Комиссар Великобритании по информации Элизабет Денхэм заявила в недавнем выступлении:

В GDPR есть многое, что вы узнаете из действующего закона, но не заблуждайтесь, он меняет правила игры для всех.

И вот — новая парадигма конфиденциальности личных данных прокладывает себе путь в США. Между озабоченностью потребителей и усилением давления со стороны международных правовых стандартов США быстро прилагают усилия для улучшения законов о конфиденциальности в Интернете, вводя в действие новые законы и постановления для обеспечения конфиденциальности и защиты данных пользователей.

Хотя эти шаги в конечном итоге служат на благо общества, предприятиям может быть сложно не отставать от них и соблюдать их.

Первый шаг к тому, чтобы идти в ногу с меняющимся миром прав на данные, — это быть в курсе того, что хранится, и быть на шаг впереди всех.

Объяснение 12 новых государственных законов о конфиденциальности и безопасности: Готов ли ваш бизнес?

В то время как на федеральном уровне законодательство о безопасности и конфиденциальности потеряно в трясине партийной политики и задержек с корпоративным лоббированием, штаты продвигаются вперед, чтобы протолкнуть впечатляющее количество важных законопроектов, которые помогают заполнить пробелы.Поиск в базе данных Legiscan показывает, что сотни законопроектов, касающихся конфиденциальности, кибербезопасности и утечки данных, находятся на рассмотрении в 50 штатах, территориях и округе Колумбия.

Самым всеобъемлющим законодательным актом на уровне штата, охватывающим эти часто взаимосвязанные категории, который был принят за последние два года, является всеобъемлющий Закон Калифорнии о конфиденциальности потребителей (CCPA), принятый и подписанный 28 июня 2018 года. новаторский Общий регламент по защите конфиденциальности данных (GDPR) ЕС направлен на то, чтобы предоставить потребителям государства больший контроль над тем, как предприятия собирают и используют их личные данные.В ноябре 2020 года избиратели в Калифорнии одобрили Закон о правах на конфиденциальность в Калифорнии (CPRA), который создает новое агентство по защите конфиденциальности потребителей и более тесно согласовывает правила конфиденциальности с GDPR.

CCPA должен вступить в силу 1 января 2020 года, что даст тем, кто считает, что закон был слишком широким или слишком узким, достаточно времени, чтобы ограничить или расширить его сферу. К настоящему времени на рассмотрение Ассамблеи Калифорнии было внесено два законопроекта, расширяющих сферу действия CCPA, а девять законопроектов направлены на ограничение его воздействия.

В нижеследующих разделах мы резюмируем текущие положения CCPA, а также другие основные законодательные акты штата, которые были недавно приняты и подписаны. Каждая из этих недавно принятых мер по-своему существенно влияет на конфиденциальность, безопасность данных, кибербезопасность или требования к уведомлению о взломе данных в соответствующих государствах.

Законы о конфиденциальности

Закон Калифорнии о конфиденциальности потребителей (CCPA)
Закон штата Калифорния о правах на конфиденциальность (CPRA)
Законопроект Сената Невады 220 Закон о конфиденциальности в Интернете
Закон штата Мэн о защите конфиденциальности информации для потребителей в Интернете

Закон Калифорнии о конфиденциальности потребителей (CCPA)

CCPA включил многие из положений GDPR в то, что ранее было мерой голосования в штате под названием Закон о праве потребителей на неприкосновенность частной жизни от 2018 года.Положения законодательства «предоставляют потребителю право требовать от компании раскрытия категорий и конкретных частей личной информации, которую он собирает о потребителе, категорий источников, из которых собирается эта информация, деловых целей для сбора или продажи информации. , а также категории третьих лиц, с которыми передается информация ».

Закон применяется к компаниям, которые собирают информацию от жителей Калифорнии и соответствуют как минимум одному из следующих пороговых значений: (1) имеют более 25 миллионов долларов годового валового дохода; (2) покупать, получать, продавать или делиться в коммерческих целях личной информацией 50 000 или более потребителей, домашних хозяйств или устройств; или (3) получать 50 или более процентов своего дохода от продажи личной информации потребителей.

Среди наиболее примечательных из многих обширных положений закона есть разделы, которые:

Требуют от компании раскрытия информации о собираемой личной информации и целях, для которых она используется.
Предоставьте потребителю право запросить удаление личной информации и потребовать от компании удалить эту информацию после получения подтвержденного запроса.
Предоставить потребителю право потребовать, чтобы компания, которая продает личную информацию потребителя или раскрывает ее для деловых целей, раскрыла категории информации, которую он собирает, и категории информации, а также личность третьих лиц, которым эта информация была продана. или раскрыт.Компании должны будут предоставить эту информацию в ответ на поддающиеся проверке запросы потребителей.
Разрешить потребителю отказаться от продажи личной информации бизнесом и запретить бизнесу дискриминировать потребителя за осуществление этого права, в том числе путем взимания платы с потребителя, который выбирает другую цену, или предоставления потребителю товаров другого качества. или услуги, за исключением случаев, когда разница обоснованно связана со стоимостью, предоставленной данными потребителя.
Требовать от компаний, раскрывающих личные данные, по запросу бесплатно доставлять эти данные проверяемым потребителям.
Предоставить потребителям право контролировать продажу своей информации третьим лицам с помощью ссылки «Не продавать мою личную информацию» в их политиках конфиденциальности.
Дайте людям возможность указывать предприятиям на удаление их информации.
Запрещает компаниям продавать информацию о потребителях в возрасте от 13 до 16 лет без их явного согласия и требует от них получения согласия родителей перед продажей информации о потребителях младше 13 лет.
Расширить определение личной информации, включив в нее такие вещи, как IP-адреса, идентификаторы устройств, идентификаторы файлов cookie и психографические профили, основанные на предпочтениях, характеристиках, поведении, интересах и многих других переменных клиентов.

Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA)

Избиратели Калифорнии одобрили эту меру голосования в ноябре, в результате чего закон вступил в силу с 1 января 2023 года, хотя с шестимесячным льготным периодом для вступления в силу. CPRA требует создания агентства по защите конфиденциальности потребителей, которое возьмет на себя ответственность за нарушения закона о конфиденциальности от генерального прокурора штата.

Наиболее существенные изменения по сравнению с CCPA:

Компании, обслуживающие менее 100 000 жителей или домашних хозяйств Калифорнии, не подпадают под действие положений о конфиденциальности. Порог CCPA составляет 50 000 и включает устройства.
Компании должны удалить личную информацию, если она больше не нужна. Как регулирующие органы определят «необходимый», можно интерпретировать.
Потребители могут заставить компанию исправить неточные личные данные.
Компании должны гарантировать, что любые третьи стороны, с которыми они делятся личными данными, соблюдают CPRA.
Потребители могут отказаться от предоставления компаниями своих данных. Согласно CCPA, потребители могут только отказаться от продажи своих данных.
Ответственность за нарушение теперь включает раскрытие адресов электронной почты в сочетании с секретными вопросами.
Если нарушение касается личных данных несовершеннолетних, штраф может быть увеличен в три раза.
Компании могут по-прежнему подпадать под действие частных прав на предъявление иска и возмещения установленного законом ущерба после нарушения, даже если они исправят причину нарушения.
Потребителям больше не нужно показывать вред, чтобы иметь возможность подать иск о нарушении.

Законопроект Сената штата Невада 220 о конфиденциальности в Интернете

В то время как Калифорнийский CCPA получил все заголовки, Невада тихо приняла свой собственный более жесткий закон о конфиденциальности в Интернете, Законопроект 220 Сената, который был подписан губернатором 30 мая 2019 года. В закон были внесены поправки. Существующий закон Невады о конфиденциальности требует, чтобы компании предлагали потребителям отказ от продажи их личной информации, за некоторыми исключениями. Законопроект вступает в силу 1 октября 2019 года до даты вступления в силу CCPA, что делает законодательство штата Невада первым в США.S. предоставить потребителям право отказаться от продажи своих личных данных.

В отличие от CCPA и GDPR, законопроект Невады не добавляет никаких новых требований к уведомлениям для операторов веб-сайтов, но требует от них публиковать определенные элементы информации в своих политиках конфиденциальности, включая категории собираемой информации, категории третьих лиц, с которыми эти данные передается описание процесса, который потребители могут использовать для просмотра и запроса изменений в покрываемой ими информации, раскрытие информации о том, что третьи стороны могут отслеживать онлайн-действия потребителей, и дату вступления в силу этих уведомлений.

Организации, нарушающие эти условия, могут быть подвергнуты штрафу до 5000 долларов за нарушение, а также временному или постоянному судебному запрету. Согласно закону, генеральная прокуратура будет иметь право возбуждать иски о нарушениях, но должна предоставить правонарушителям 30-дневный период для исправления нарушений, кроме тех, которые касаются права отказа.

Закон штата Мэн о защите конфиденциальности информации о потребителях в Интернете

7 июня 2019 года губернатор штата Мэн Джанет Миллс подписала закон о защите конфиденциальности информации о потребителях в Интернете.Законопроект вступает в силу 1 июля 2020 года. Закон прямо запрещает поставщикам широкополосного доступа в Интернет «использовать, раскрывать, продавать или разрешать доступ к личной информации клиентов, если только клиент явно не дает согласия на такое использование, раскрытие, продажу или доступ» с некоторые исключения.

Законопроект также запрещает провайдерам широкополосного доступа отказываться от обслуживания клиентов или взимать с них дополнительную плату, если они не дают согласия на использование, раскрытие, продажу или доступ к своим личным данным.

Законопроект также требует, чтобы поставщики принимали разумные меры для защиты личной информации клиентов от несанкционированного использования, раскрытия, продажи или доступа. Согласно законопроекту, личная информация определяется как (а) «личная информация о клиенте» о клиенте и (б) информация, полученная в результате использования клиентом услуг широкополосного доступа в Интернет, таких как история просмотра веб-страниц, данные геолокации, идентификаторы устройств и номер других точек технических данных, которые могут использоваться для идентификации людей.

Законы о кибербезопасности, безопасности данных и уведомлении о взломе данных

Департамент финансовых услуг штата Нью-Йорк, Требования кибербезопасности для компаний, оказывающих финансовые услуги (23 NYCRR 500)
Закон штата Нью-Йорк «Остановить взломы и повысить безопасность электронных данных» (SHIELD)
Massachusetts Bill H.4806 — Закон о защите потребителей от нарушений безопасности
Нью-Джерси — АКТ о раскрытии нарушений безопасности и внесении поправок в P. L.2005, c.226 (S. 51)
Закон штата Мэриленд о защите личной информации — Требования к уведомлению о нарушениях безопасности — Изменения (Законопроект 1154)
Закон штата Орегон о защите информации потребителей (OCIPA) SB 684
Техас — Закон о конфиденциальности личной идентифицирующей информации и создание Консультативного совета по защите конфиденциальности штата Техас
Вашингтон — Закон о нарушении систем безопасности, защищающих личную информацию (SHB 1071)

Департамент финансовых услуг штата Нью-Йорк, Требования к кибербезопасности для компаний, предоставляющих финансовые услуги (23 NYCRR 500)

Регулирующие органы Департамента финансовых услуг Нью-Йорка (DFS) приняли новые правила, 23 NYCRR 500, 16 февраля 2017 г. определенные минимальные требования к кибербезопасности для всех финансовых учреждений, на которые распространяется действие программы.Эти правила требуют, чтобы каждая компания оценила свой профиль рисков и разработала программу, направленную на устранение рисков.

Крайним сроком для некоторых необходимых регулирующих действий в соответствии с новыми правилами был март 2019 года. Согласно требованиям, любая регулируемая DFS организация, отвечающая определенным критериям (более 10 сотрудников, более 5 миллионов долларов в год и превышение активов на конец года $ 10 млн), которая ведет бизнес в Нью-Йорке, требуется для создания внутренней программы кибербезопасности для защиты информационных активов, находящихся под их контролем.

Более мелкие организации должны выполнять другие обязательства, в том числе ограничивать доступ к информации, оценивать свои риски, внедрять политики, связанные с контролем данных третьих сторон, и их собственное размещение данных. Все регулируемые организации обязаны сообщать об утечках данных, независимо от размера.

Кроме того, правила требуют от субъектов, на которые распространяется действие страховки, назначать главного сотрудника по информационной безопасности и вести контрольный журнал среди множества других передовых методов кибербезопасности, изложенных в регламенте.

Закон штата Нью-Йорк «О прекращении взломов и повышении безопасности электронных данных» (SHIELD)

25 июля 2019 года губернатор Нью-Йорка Эндрю Куомо подписал Закон «О прекращении взломов и улучшении безопасности электронных данных» (законопроект Сената S5575B ), который расширяется действующий закон штата о взломе данных и налагает на застрахованные организации определенные обязательства по обеспечению кибербезопасности.

Среди прочего, счет:

Расширяет объем информации, подпадающей под действие действующего закона об уведомлении об утечке данных, за счет включения биометрической информации, адресов электронной почты и соответствующих им паролей или секретных вопросов и ответов.
Расширяет определение утечки данных, включая несанкционированный доступ к частной информации.
Применяет требование об уведомлении к любому физическому или юридическому лицу с частной информацией о жителе Нью-Йорка, а не только к тем, кто ведет бизнес в штате Нью-Йорк.
Обновляет процедуры уведомления, которым должны следовать компании и государственные организации в случае нарушения конфиденциальности частной информации.
Создает требования к безопасности данных, адаптированные к размеру бизнеса.

Первые четыре положения вступают в силу 23 октября 2019 года, а последнее, обязывающее требования безопасности, вступает в силу 21 марта 2020 года.

Законопроект штата Массачусетс H.4806 — Закон о защите потребителей от нарушений безопасности

Подписан губернатором Чарли Бейкером 10 января 2019 г. и вступает в силу с 11 апреля 2019 г. новый закон:

Законодательство о конфиденциальности данных в 2020 году и тенденции, на которые следует обратить внимание в 2021 году

В 2020 году во всем мире произошел ряд значительных изменений в законодательстве о конфиденциальности данных.Вызванная пандемией «новая норма» вызвала новые опасения по поводу конфиденциальности данных, что усилило аргументы в пользу строгих законов о конфиденциальности данных в 2021 году. .

Whatsapp наконец отложил применение своей новой политики обмена данными до 15 мая, но ущерб, похоже, уже нанесен: миллионы возмущенных пользователей по всему миру переходят на альтернативные платформы, а в Индии и Турции грядут потенциальные судебные иски и расследования.

Whatsapp — это не разовый случай, а лишь верхушка айсберга в дебатах о конфиденциальности данных.Будь то цифровое отслеживание контактов или обеспечение физического дистанцирования, цифровизация здравоохранения или онлайн-покупок, работа из дома или онлайн-образование, ускорение цифровизации, вызванное пандемией, продолжало подталкивать нас все дальше и дальше в цифровые сферы. Естественно, «новая норма» вызвала новые опасения по поводу конфиденциальности данных, что усилило аргументы в пользу строгих законов о конфиденциальности данных.

ТАКЖЕ ЧИТАЙТЕ: COVID-19 — Поиск компромисса между безопасностью и конфиденциальностью данных

Интересно, что прошедший год также был отмечен обнадеживающим прогрессом в этом аспекте. В то время как Канада, Бразилия, Китай и Новая Зеландия ввели законы, аналогичные Общему регламенту защиты данных Европы, мы также увидели, что конфиденциальность нашла свое отражение в законодательстве Конгресса США, связанном с COVID-19, в том числе в Законе о защите данных потребителей COVID-19 от 2020 г. Сенат и Закон о защите частной жизни в чрезвычайных ситуациях в Палате представителей. В ходе знаменательного события в ноябре 2020 года граждане Калифорнии проголосовали за поправки к Закону о конфиденциальности потребителей Калифорнии и приняли новый закон — Закон о правах на конфиденциальность в Калифорнии.В настоящее время ни в одном другом американском штате нет такого строгого закона, как в Калифорнии, но около 30 штатов работают над законами, которые содержат хотя бы некоторые из этих условий.

Давайте взглянем на некоторые из этих законодательных актов.

Бразилия

Общий закон Бразилии о защите данных — Lei Geral de Proteção de Dados Pessoais (LGPD) — вступил в силу с 16 сентября 2020 года. Правительство также одобрило создание национального органа по защите данных — Autoridade Nacional de Proteção de Dados (ANDP), который будет отвечать за исполнение LGPD.

Несмотря на то, что окончательный текст был одобрен в 2019 году после многолетних дебатов по поводу защиты данных, его исполнение было отложено из-за политических событий в стране, а затем из-за вспышки COVID. Создание ANDP — важный шаг в принятии закона, который делает прозрачность жизненно важной.

Среди других условий, очень похожих на GDPR, LGPD помещает согласие держателя персональных данных и его / ее право доступа в центр и требует, чтобы организации, занимающиеся данными, создали в Бразилии правовую базу для обработки персональных данных и придерживались ограничениям на трансграничную передачу данных.Компании также должны предоставлять подробные уведомления о конфиденциальности и обновления уведомлений об утечке данных.

Канада

Канада представила Закон о реализации цифровой хартии 2020 17 ноября 2020 года, который, если он будет принят, приведет к принятию Закона о защите конфиденциальности потребителей (CPPA) и Трибунала по защите личной информации и данных.

Новый закон предоставит канадцам право раскрывать информацию об использовании их личной информации; включая право на прозрачность в отношении того, как компании используют алгоритмическое принятие решений на основе своих данных.Пользователи также получат право удалить личную информацию или отозвать согласие; и права на перемещение данных, которые позволяют передавать личную информацию между организациями.

Компании, со своей стороны, должны будут внедрить программу управления конфиденциальностью, чтобы обеспечить соблюдение нового закона. Они также должны будут соответствовать определенным условиям, аналогичным GDPR, в том числе условиям согласия на обработку персональных данных и использования анонимных данных без согласия.

ТАКЖЕ ПРОЧИТАЙТЕ: Цифровое отслеживание контактов и почему у американцев проблемы с этим

Китай

Китай опубликовал проект закона о защите личной информации (PIPL) 21 октября 2020 г., пригласив общественное мнение.Закон снова в значительной степени основан на GDPR. В случае принятия PIPL станет первым законодательным актом Китая, направленным на решение проблем конфиденциальности данных и обеспечивающим защиту личных данных граждан. Он будет сосуществовать с действующим Законом о кибербезопасности, Законом о безопасности данных и Законом КНР об электронной торговле.

Новый закон будет применяться не только к организациям, действующим на территории материкового Китая, но и к предприятиям или организациям, расположенным за пределами страны, которые обрабатывают персональные данные лиц, проживающих в Китае.Интересно, что организация, стремящаяся передать личные данные людей из Китая, в определенных случаях должна будет пройти оценку безопасности со стороны Администрации киберпространства Китая.

Новая Зеландия

Закон о конфиденциальности Новой Зеландии 2020 вступил в силу 1 декабря 2020 года, заменив ранее действовавший Закон о конфиденциальности 1993 года. Новый Закон применяется к организациям, которые собирают личную информацию в ходе «ведения бизнеса» внутри страны, даже если они не юридическое лицо в Новой Зеландии.Новый закон также требует, чтобы компании, собирающие персональные данные, уведомляли затронутых лиц, а также Управление уполномоченного по вопросам конфиденциальности (OPC) в случае нарушения конфиденциальности, в противном случае им грозят крупные штрафы в размере 10 000 новозеландских долларов за нарушение.

OPC разработало пошаговое руководство, чтобы помочь организациям и предприятиям понять и отреагировать на новые обязательства, связанные с трансграничной передачей персональных данных, собранных в Новой Зеландии. Использование офшорных облачных провайдеров или другой третьей стороны для хранения или обработки данных не рассматривается как разглашение, если третья сторона не использует эту информацию в своих целях.

Калифорния

Закон о конфиденциальности потребителей Калифорнии от 2018 г. (CCPA), который дает потребителям больше контроля над личной информацией, которую собирают о них предприятия, был принят законодательным собранием штата 28 июня 2018 г. и вступил в силу 1 января 2020 г.

3 ноября калифорнийцы проголосовали за Закон Калифорнии о правах на неприкосновенность частной жизни (CPRA), который вносит поправки в CCPA, создавая новое агентство по обеспечению конфиденциальности, помимо предоставления дополнительных прав и новой категории личной информации потребителей.Новый закон вступит в силу 1 января 2023 г., при этом личные права физических лиц, а также полномочия и требования для предприятий, предоставленные CCPA, останутся в течение переходного периода.

Дорога впереди

Хотя закон о конфиденциальности на федеральном уровне в США все еще не на горизонте, конфиденциальность данных явно стала насущной проблемой для обеих партий. Big Tech — особенно Facebook и Google — были уличены в многочисленных спорах и жестких судебных процессах в стране, которые, вероятно, продолжатся при новой администрации.А поскольку в этом году Европа стремится решить проблемы, связанные с решением Schrems II, события 2020 года явно указывают на интересное и обнадеживающее время для защиты конфиденциальности данных.

ТАКЖЕ ПРОЧИТАЙТЕ: «Ой, бедняжка, Facebook» и моменты «О, черт» от Google!

Демократический закон о конфиденциальности предлагает новое агентство данных | Статья

Сенатор Шеррод Браун (штат Огайо) заявил в пресс-релизе, что Закон об отчетности и прозрачности данных 2020 года (DATA 2020) «даст американцам право возлагать на корпорации, крупные технологии и правительство ответственность за то, как они собирают данные. и защитить личные данные.”

Законопроект «отвергает текущую, неэффективную модель« согласия »на конфиденциальность и вместо этого устанавливает строгие ограничения на сбор, использование и передачу личных данных американцев», — сказал Браун. «Законопроект содержит строгие меры защиты гражданских прав, чтобы гарантировать, что личная информация не используется в дискриминационных целях, а также запрет на использование технологии распознавания лиц».

Примечательно, что законопроект Брауна создаст новое, независимое агентство, которое «будет иметь нормотворческие, надзорные и правоприменительные органы, способность выносить гражданские штрафы за нарушения закона и специальный офис по гражданским правам для защиты людей от дискриминации.”

Руководители компаний должны будут подавать заявки и получать ежегодные «сертификаты соответствия» от нового агентства с потенциальными уголовными и гражданскими санкциями для генерального директора и совета директоров за нарушения. В рамках этого процесса компании должны будут передать свои алгоритмы сбора данных новому агентству.

Другие ключевые положения законопроекта включают запрет на программное обеспечение для распознавания лиц и запрет на использование данных для «дискриминации в вопросах жилья, занятости, кредита, страхования и общественных мест».”

Федеральные законы, регулирующие конфиденциальность данных, в настоящее время соблюдаются Федеральной торговой комиссией, хотя многие призывали к созданию единого строгого федерального закона о конфиденциальности данных. В отсутствие федерального законодательства штаты начали принимать и обеспечивать соблюдение своих собственных законов о конфиденциальности данных, начиная с Закона Калифорнии о конфиденциальности потребителей (CCPA), который вступил в силу 1 января. Закон о конфиденциальности данных Невады вступил в силу в октябре 2019 года. законопроект в штате Вашингтон находится на рассмотрении законодательного собрания штата.

Законопроект DATA 2020 — второй законопроект, разработанный сенатором-демократом в этом году, в котором предлагается создать новое агентство по надзору за конфиденциальностью данных. Сенатор Кирстен Гиллибранд (штат Нью-Йорк) в феврале представила Закон о защите данных от 2020 года, согласно которому в США будет создано Агентство по защите данных для надзора и обеспечения соблюдения федеральных требований в отношении конфиденциальности. Однако в законопроекте Гиллибранда не было конкретного закона о конфиденциальности, который агентство должно было применять.

В 2020 году законы о конфиденциальности данных покроют U.С. от берега до берега

1 января 2020 года вступит в силу новое нормативное требование штата Калифорния о конфиденциальности данных — Закон Калифорнии о конфиденциальности потребителей (CCPA), принятый в 2018 году. CCPA следует GDPR как новая попытка государственного сектора решить растущие проблемы конфиденциальности данных при управлении данными граждан в цифровом мире, который окружен утечками данных.

В соответствии с законом гражданам Калифорнии будут предоставлены большие права и контроль над своими данными, даже если эти данные могут быть расположены практически где угодно.Согласно информационному бюллетеню Генеральной прокуратуры Калифорнии, потребители имеют «право знать, какая личная информация собирается, используется, передается или продается, как по категориям, так и по отдельным частям личной информации».

С точки зрения бизнеса, однако, CCPA повлияет на безопасность и конфиденциальность данных для предприятий, которые соответствуют любому из следующих критериев:

Коммерческая компания, ведущая бизнес в Калифорнии, с годовым доходом не менее 25 миллионов долларов
Продажа 50000 потребительских записей в год
Получение не менее 50% годового дохода от продажи личной информации

Конфиденциальность данных не ограничивается Западным побережьем

Законы о конфиденциальности данных имеют широкие последствия как для потребителей, так и для предприятий, поэтому общенациональный разговор о безопасности и конфиденциальности данных потребителей вызвал волну действий в обеих странах.С. берегов.

В марте 2020 года вступит в силу Закон штата Нью-Йорк о прекращении взломов и улучшении безопасности электронных данных (NY SHIELD). Закон NY SHIELD будет шире с точки зрения того, на кого он влияет — на каждую компанию, имеющую клиентов в Нью-Йорке, независимо от того, находится ли компания в другом штате или другой стране. По сути, любая компания среднего и крупного размера, имеющая хотя бы одного клиента в Нью-Йорке, должна внедрять эту новую политику.

«Закон Нью-Йорка требует реализации программы защиты данных, включая такие меры, как оценка рисков, обучение персонала, планирование и тестирование реагирования на инциденты», — сказал Брайан Чезаратто, консультируя в отчете National Law Review .«Компании должны немедленно начать процесс соблюдения требований Закона, вступающих в силу 21 марта 2020 года».

Оба закона схожи в том, что они могут налагать штрафы, если предприятия не защищают свои данные и если происходят такие события, как утечка данных. В случае CCPA, если предприятие не устраняет предполагаемое несоблюдение в течение 30 дней после уведомления от государства, оно может считаться нарушением и налагаться гражданский штраф в размере до 7500 долларов за нарушение. Любой бизнес, работающий в Калифорнии, который не соответствует требованиям CCPA, может столкнуться с гражданским ущербом в размере до 750 долларов США за нарушение для каждого пользователя.

Кроме того, это открывает возможности для судебных разбирательств со стороны потребителей. Согласно закону NY SHIELD, генеральный прокурор штата Нью-Йорк может требовать до 250 000 долларов за нарушения со стороны компании. Очевидно, что эти правила могут иметь существенное влияние на организации! Вероятно, это хорошая ставка на то, что аналогичные законодательные акты от штата к штату будут продолжать распространяться, и всегда есть шанс, что США примут общенациональный федеральный закон, аналогичный GDPR.

По мере того как государства все больше участвуют в том, как компании защищают данные о потребителях, интеллектуальное управление данными для достижения конкурентных преимуществ и потенциальных рисков становится нежелательным; это необходимо.

Как предприятия могут соблюдать закон о конфиденциальности данных?

Проведите инвентаризацию контента: В рамках любой инициативы по созданию контента важно понимать объем соответствующих корпоративных данных. Какими репозиториями управляет компания, какова бизнес-цель данных, как долго они хранятся, какие средства контроля регулируют их доступ и безопасность, а также кто потребляет и использует эти данные?

Эту рекомендацию поддерживает Шахрияр Шагаги, эксперт CCPA в CohnReznick Advisory, который отмечает: «Чтобы соответствовать требованиям CCPA, вам необходимо выполнить упражнение по сопоставлению данных, чтобы вы могли видеть, откуда вы получаете свои данные и где они идет.И если клиент запрашивает их удаление, вы должны ответить в течение определенного периода времени, чтобы вы могли понять, какие данные у вас есть и как вы их удаляете ».

На первый взгляд, это очень простое упражнение, но при работе с организациями любого размера вас обязательно ждут сюрпризы!

Использование уже существующих практик и технологий электронного обнаружения: Сценарии использования безопасности и конфиденциальности данных, включая GDPR, имеют несколько общих черт с электронным обнаружением, когда необходимо идентифицировать релевантный контент, часто связанный с человеком или транзакцией, объем о которых трудно догадаться.Уточнение результатов поиска, выбор самого важного и просмотр — все это часть уравнения.

Кроме того, это часто происходит на фоне огромных объемов цифровых данных и временных ограничений. Использование корпоративного архива, который может содержать, дедуплицировать, защищать и сохранять критически важные данные, является основой усилий по управлению конфиденциальностью; Следующим уровнем является использование приложения для обзора дела для проведения интенсивного поиска, применения юридических запретов и выполнения извлечения / экспорта.Это всего лишь техническая основа, и это должна быть самая простая часть. Хорошее управление информацией также требует наличия необходимых людей, сотрудничества и соответствующих процессов (таких как обеспечение соблюдения политик хранения), чтобы быть успешным в долгосрочной перспективе, а не только в каждом конкретном случае.

Запланированная минимизация данных: Есть так много причин, чтобы использовать строгие методы управления хранением. Сохранять все навсегда — это стратегия, но все чаще она не лучшая. Законы о конфиденциальности данных действительно заставят организации задаться вопросом, почему они хранят информацию и с какой целью.Чем больше площадь поверхности, тем выше риск нарушения и, соответственно, больше возможностей для обнаружения данных во время судебных разбирательств и других событий корпоративного управления. Это не означает, что нет причин для длительного хранения бизнес-данных, но организации должны четко понимать, что «зачем?» — «если мне это может понадобиться» не является достаточно хорошим ответом, учитывая потенциальные финансовые, репутационные и юридические риски. . Систематически применяйте политики хранения — при необходимости сотрудничайте для их создания, убедитесь, что они применяются последовательно, и выберите правильную технологию архивирования, чтобы обеспечить их соблюдение.

В следующей части, посвященной конфиденциальности, мы рассмотрим, как комплексная программа кибербезопасности может помочь соответствовать требованиям новой волны безопасности и конфиденциальности данных.

Хотите больше подобных замечательных статей? Подпишитесь на наш блог.

Получайте все последние новости, советы и статьи прямо на ваш почтовый ящик

Спасибо за подписку

Вскоре вы получите электронное письмо

Вернитесь к статье

Роскомнадзор о персональных данных в 2021 году

GDPR и российские компании

Будет ли приведено российское законодательство к требованиям GDPR

Трудовые отношения

Как передавать персональные данные сотрудников в рамках групп компаний

Нужно ли согласие работника для передачи его персональных данных в аутсорсинговые компании

Порядок уничтожения персональных данных

Что относится к персональным данным по мнению Роскомнадзора

Сбор копий документов, содержащих персональные данные

Являются ли идентификаторы персональными данными

Фотографии и видеозаписи в контексте персональных данных

Профилирование и оценка личностных качеств

О согласиях на обработку персональных данных

Несколько целей в одном согласии

Получение согласия на обработку персональных данных при заключении договора

Согласия на обработку персональных данных соискателя и близких родственников

Обработка персональных данных родственников сотрудника имеет ряд особенностей

Электронные копии согласий на обработку персональных данных

Срок согласия на обработку персональных данных

Форма согласия на получение рассылки от иностранного сайта

Передача персональных данных третьим лицам

Что делать, если персональные данные передаются третьим лицам? Причем этот список может изменяться.

Договоры поручения на обработку персональных данных

Является ли провайдер облачных услуг оператором?

Требуется ли при использовании облачных услуг заключать договор поручения на обработку персональных данных?

Можно ли в согласии работника указывать всех третьих лиц, которым передаются ПД в рамках договоров поручений?

Должны ли третьи лица, которые осуществляют обработку персональных данных по договору поручения, направить в Роскомнадзор уведомления об обработке?

Обязан ли оператор предоставлять по договору поручения сведения о правовых основаниях обработки персональных данных?

Персональные данные представителей компаний в договоре

Ответственное лицо

Будет ли привлечен оператор к ответственности, если он не назначил ответственное лицо за обработку персональных данных?

Можно ли назначить нескольких лиц, ответственных за обработку ПД?

Можно ли указывать в уведомлении юридическое лицо, ответственное за обработку ПД?

Заключение

Новые правила распространения персональных данных — Аналитика

Готовятся поправки в Закон о персональных данных

Поправки не соответствуют принципам обработки персональных данных

Поправки во многом избыточны

Изменения, ущемляющие права субъектов персональных данных

Большинство россиян поддержали внесение изменений в закон о персональных данных: Общество: Россия: Lenta.ru

Материалы по теме

Госдума приняла закон о праве требовать удаления общедоступных персональных данных — Политика

: Технологии и медиа :: РБК

Госдума приняла закон о праве требовать удаления общедоступных персональных данных

Hindsight — это 2020 год: обзор закона о конфиденциальности данных за год | Hinshaw Privacy & Cyber ​​Bytes — Информация о соответствии, передовой практике и тенденциях

Калифорния

Нью-Йорк

Техас

Другие государства

Федеральные инициативы

BIPA

Канада

E.U. События

На что обращать внимание в 2021 году

Защита данных 2020 | Законы и правила | США

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

11.

12.

13.

14.

15.

16.

17.

18.

новых законов об Интернете — законы США о конфиденциальности в 2021 году

1.Как GDPR меняет представление о цифровых данных

2. Закон о СОГЛАСИИ

На кого это влияет?

Что это значит для бизнеса?

На кого это влияет?

Что это значит для бизнеса?

Hindsight — это 2020 год: обзор закона о конфиденциальности данных за год | Hinshaw Privacy & Cyber Bytes — Информация о соответствии, передовой практике и тенденциях