О законе о персональных данных: Статья 7. Конфиденциальность персональных данных \ КонсультантПлюс

Разное 

Содержание

Почему закон о персональных данных глубже, чем кажется / Хабр

Как должны храниться персональные данные, почему они попадают в сеть, и что с этим делать бизнесу. Как распределяются зоны ответственности и какие федеральные законы регламентируют действия операторов данных.

О чем 152-ФЗ


В России с 2007 года действует Федеральный Закон №152, в котором отражено большинство требований и предписаний, касающихся защиты персональных данных от использования третьими лицами. Закон регулярно дополняется, поэтому отвечает большинству тенденций.

25 мая 2022 года в первом чтении было одобрено сразу несколько поправок, направленных на ускорение подачи данных об утечках в органы власти и постоянное взаимодействие с ГосСОПКА.

152-ФЗ регламентирует отношения между оператором данных и пользователями. Операторами данных могут быть не только интернет-ресурсы, но и бумажные картотеки или периодические издания. Юридические или физические лица. Закон затрагивает сферу обработки, хранения и утилизации персональных данных операторами. То есть данных, по которым можно безошибочно идентифицировать человека. Например, одного ФИО для этого часто недостаточно, поскольку таких людей даже в одном городе может быть несколько. Хотя исключения и уникальные ФИО тоже бывают.

Какими бывают персональные данные


  1. Общедоступные. Эти данные открыты неограниченному количеству лиц с согласия человека. Например, информация об авторе материала в СМИ, либо на основании ФЗ: выписки из ЕГРЮЛ или ЕГРИП.
  2. Биометрические. В эту группу попадает информация о биологических и физиологических особенностях, которые используются для идентификации. Отпечатки пальцев, даже образцы голоса и сканы сетчатки глаз.
  3. Специальные. Сюда относятся не только данные, которые хранят карточки в поликлиниках. Это также информация о судимостях и прохождении воинской службы. Информация о расовой и национальной принадлежности, политических и религиозных взглядах.
  4. Иные. Название группы достаточно общее, но это самая популярная категория персональных данных. Сюда относятся данные, которые не были упомянуты в других группах. Это ФИО, адрес, паспортные данные, электронная почта и мессенджеры, стаж работы — данные, полученные с согласия субъекта. Эти данные собирают все интернет-магазины и большинство сервисов во время регистрации или оформления заказов.

Тем не менее, не все связки персональных данных представляют одинаковую опасность для пользователей и ценность для злоумышленников. Например, слитые строки с электронными адресами и ФИО вряд ли можно радикально использовать против человека.

В мире социальных сетей и интернет-покупок персональные данные можно считать персональными лишь частично. С ними постоянно взаимодействуют различные сервисы, они обрабатываются и хранятся в самых разных условиях.

Данные часто становятся товаром для бесплатных VPN и спам-сервисов. На заседании от 25 мая также обратили внимание на компании, занятые передачей трансграничных ПДн, поэтому этот сектор в ближайшее время скорее всего ждут новые ограничения и новые санкции за несоблюдение мер безопасности.

Закон о персональных данных тесно связан с ФЗ-242, который предписывает операторам данных хранить их на территории страны. С отказом выполнять это требование был связан, например, уход LinkedIn в 2016 году.

Кого касается 152-ФЗ


Может показаться, что исполнять требования 152-ФЗ должны только банки и медицинские учреждения. То есть организации, работающие с целым набором документов и данных.

На самом деле, под действие закона попадают почти все информационные системы. Интернет-магазины, библиотеки, государственные учреждения, биллинговые системы, call-центры.

Многие компании воспринимают требования 152-ФЗ как ростовую фигуру, за которой может не стоять содержания. Кажется, что достаточно спросить пользователя, готов ли он записать данные в cookie, и все. Система действительно может так работать до первой утечки данных или до проверки регулятором.

Если говорить о технической защите персональных данных, то стоит обратиться к подзаконным актам 152-ФЗ — 1119 ПП, 21 Приказ ФСТЭК. В них прописаны меры обеспечения защиты персональных данных, в зависимости от характера данных.

Например, сервисам, которые обрабатывают специальные категории персональных данных >100000 пользователей необходимо соблюдать защитные меры второго уровня защищенности.

Для каждой системы должна быть разработана модель угроз. Несмотря на то, что применение криптографических средств защиты не является обязательным пунктом при защите персональных данных, они могут требоваться, если актуальны угрозы, связанные с перехватом персональных данных по каналам связи. Или когда из модели угроз требуется использовать криптографические средства для шифрования баз данных с персональными данными.


Почему персональные данные попадают в сеть


Причин, почему персональные данные оказываются в открытом доступе, достаточно много. Все инциденты можно локализовать на трех уровнях: на уровне персонала, приложения или инфраструктуры. Стоит заметить, что 152-ФЗ в меньшей степени сконцентрирован на действиях персонала, способствующих утечке ПДн. Его фокус направлен на то, как компании должны организовать работу с конкретным типом данных.

Уровень персонала

Все инциденты утечек данных тщательно расследуются с применением DLP-систем анализа трафика сотрудников. Всей правды мы никогда не узнаем, но, например, исследование RTM Group говорит, что чаще всего в утечках данных виноваты сотрудники салонов сотовой связи.

Правильнее читать эту новость в другом ключе.

Чаще всего в утечках данных виноваты не вредоносные программы или уязвимости в инфраструктуре, а персонал. Сотрудники часто раскрывают персональные данные случайно, когда общаются с конкурентами или коллегами с другим уровнем допуска.
В этом деле всегда есть место обычной халатности и незаблокированным экранам. Часто данные просто копируют и уносят на флешках, чтобы продать.

Бороться с такими преступлениями следует с помощью кадровой политики, постоянного обучения сотрудников и дифференцированной политике доступов к ПДн.

Уровень приложения

Утечка персональных данных может случиться на уровне приложения.

Само приложение может содержать массу уязвимостей, поэтому если утечка произошла на уровне приложения, то даже провайдер, который полностью выполняет обязательства 152-ФЗ на уровне инфраструктуры, не может на это повлиять, поскольку это находится не в его зоне ответственности. Например, для услуги выделенные серверы Selectel, схема ответственности выглядит следующим образом:

Уровень инфраструктуры

Если клиент размещает свои информационные системы/приложения с персональными данными у провайдера, то ему необходимо убедиться, что провайдер выполняет требования 152-ФЗ на уровне инфраструктуры.

Стоит заметить, что выделенные серверы и облака проходят «раздельную» оценку эффективности принимаемых мер защиты персональных данных по 152-ФЗ. Например, в Selectel и облако, и выделенные серверы во всех дата-центрах на уровне инфраструктуры соответствуют 152-ФЗ и предоставляют защиту персональных данных до 3 уровня включительно (УЗ-3). При таком уровне защищенности возможно хранить, например, почти все персональные и медицинские данные до 100 000 субъектов.

С клиентской точки зрения, это решение не несет каких-либо дополнительных затрат, поскольку является особенностью инфраструктуры компании.

В России есть несколько специализированных центров, которые с равным успехом проводят мероприятия по оценке эффективности.

Процедура оценки эффективности принимаемых мер защиты предполагает проверку соответствия инфраструктуры провайдера на соответствие уровню защиты. Сам провайдер при этом не является оператором персональных данных для клиентов сервиса, который размещается в его инфраструктуре — только для самого сервиса. Процесс предполагает оценку как организационных (документация, приказы и т.п.), так и технических мер (настройка средств защиты и пр.).

С точки зрения бизнеса, следует еще на этапе выбора провайдера проверить наличие Акта оценки эффективности или Аттестата соответствия. Хорошо, если компания публично разместила его прямо на сайте.

Для клиентов, которые хотят построить систему с повышенными требованиями безопасности существует решение аттестованный сегмент ЦОД.

152-ФЗ как верхушка айсберга. Что еще можно сделать для безопасности данных


Аттестованный сегмент ЦОД — это не только соответствие Tier III. По факту это отдельные стойки, которые дополнительно оборудованы электронным замком со стороны холодного и горячего коридоров и дополнительными камерами. В стойках аттестованного сегмента ЦОД клиенты могут разместить серверы произвольной конфигурации за индивидуальным аппаратным межсетевым экраном. Таким образом достигается изоляция систем клиента от других клиентов и сетей Selectel.
Доступ в это пространство имеют, как правило, только сотрудники, которые прошли обучение и получили согласование отдела клиентской безопасности.

Ключевая проблема, которую решает размещение в аттестованном сегменте ЦОД — потребность в полном контроле за безопасностью и аттестации своей системы для операторов данных.

Персональные данные останутся у владельцев

Председатель Государственной Думы Вячеслав Володин отметил, что сейчас при совершении покупок или оплате услуг у людей под разными предлогами собирают номера телефонов, адреса электронной почты и другие личные сведения — даже в тех случаях, когда предоставление такой информации не является обязательным. «Прежде всего это касается онлайн-магазинов. Принятие соответствующих поправок позволит дополнительно защитить права потребителей», — уточнил он.

В Госдуме отметили, что в ст.16 закона «О защите прав потребителей» также предложено закрепить перечень недопустимых условий договора. «К таким условиям могут быть отнесены, например, установление штрафных санкций для потребителя за отказ от исполнения договора, оказание дополнительных услуг за плату без согласия потребителя, ограничение права выбора способа и формы оплаты. Положения, устанавливающие перечень недопустимых условий договора, распространятся и на ранее заключенные договоры», — рассказали в ведомстве.

Старший юрисконсульт Linxdatacenter в Петербурге Алексей Юсупов отмечает, что предлагаемые законопроектом изменения отражают системное толкование принципов, заложенных законодателем в суть Закона РФ от 07.02.1992 №2300-1 «О защите прав потребителей» («Закон о защите прав потребителей»), Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» («Закон о персональных данных»).

«На фоне развивающегося тренда по повышению уровня регулирования и контроля за обработкой ПДн развитие положений «Закона о защите прав потребителей» в части предоставления потребителям дополнительных гарантий защиты прав и законных интересов выглядит вполне логичной мерой ввиду очевидного неравного положения потребителей в правоотношениях с иными субъектами предпринимательской деятельности», — считает юрист. По его словам, внесение прямого запрета на отказ от заключения, исполнения или расторжения сделки в связи с отказом потребителя предоставить свои персональные данные, за исключением случаев, когда предоставление таких данных необходимо для заключения или исполнения договора, не является по своей природе законодательной новеллой. «Ставить в зависимость заключение договора от приобретения потребителем дополнительных услуг и или совершения потребителем действий, не относящихся к сути заключаемого договора или его исполнению, нельзя было и до рассмотрения обсуждаемого законопроекта. Иными словами, такие положения закона существовали и ранее», — объясняет Алексей Юсупов. По его словам, в данном случае законодатель дублирует основные принципы и существующие нормы регулирования правоотношений с потребителями, устанавливая императивный запрет на сбор ПДн без прямого волеизъявления субъекта ПДн.

«Предлагаемые изменения по части запрета на отказ от заключения, исполнения или расторжения договора в связи с возможностью отказа потребителем предоставить свои персональные данные повлечет необходимость для коммерческих субъектов пересмотреть порядок сбора ПДн. Хозяйствующим субъектам придется комплексно пересмотреть подход к сбору ПДн, возможно произвести мероприятия по внеплановому аудиту ПДн, что определенно повлечет дополнительные расходы на контрольно-организационные процедуры», — пояснил юрист.

Владелец бизнес-школы Katkov.School, член Ассоциации юристов России Павел Катков отмечает, что проектируемые нормы до п.4 предлагаемой к принятию статьи представляют собой попытку собрать в один пакет нарушения, допускаемые в отношении потребителей. «И если ранее юристам надо было доказывать незаконность тех или иных норм, например о подсудности, то теперь их собрали в одном месте и прямо сказали: так нельзя», — уточняет он. По его словам, гораздо большие опасения вызывает п.4 проектируемой статьи, согласно которому «Продавец (исполнитель, владелец агрегатора) не вправе отказывать потребителю в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить персональные данные, за исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством Российской Федерации или непосредственно связана с исполнением договора с потребителем».

«На мой взгляд, исполнителю услуги виднее, когда ему нужны, а когда не нужны персональные данные и какие. Обязанность их предоставить может быть не предусмотрена законом — законом всего не предусмотришь. Из чего следует, что, если мне нужны персональные данные, но обязательность их предоставления не предусмотрена законом, я не могу их получить. Это неразумно», — считает юрист. По его словам, там есть оговорка про непосредственную связь с исполнением договора с потребителем. «Но теперь, например мне, как онлайн-школе, надо будет эту связь доказывать. Сделать это, впрочем, будет несложно: для оказания услуг EdTech-отрасли нам необходимо и имя, и телефон, и электронный адрес — посредством этих данных мы с ним общаемся, информируем о расписании, даём доступы к урокам, идентифицируем в информационных технологических системах», — говорит Павел Катков.

Президент Ассоциации компаний интернет-торговли (АКИТ) Артем Соколов считает, что поправки не предполагают никаких изменений для добросовестных участников рынка. «Все они работают в строгом соответствии с требованиями закона «О защите персональных данных» и сведения о покупателе собирают исключительно для исполнения договора, что, собственно, прописано в поправках. Так, почта необходима для отправки электронного чека, а адрес покупатель сообщает только тогда, когда заказывает доставку домой, в других случаях он не требуется», — отмечает эксперт. По его словам, отчасти поправки могут стать хорошим барьером и защитить потребителей от недобросовестных игроков, владельцев ресурсов, которые под видом интернет-магазинов целенаправленно занимаются сбором персональных данных. «Речь идет о площадках, где потенциальный покупатель не может даже ознакомиться с каталогом товаров, пока не зарегистрируется, то есть не сообщит свои ПДн», — уточнил Артем Соколов.

Напомним, что в начале апреля группа депутатов и сенаторов внесла в Госдуму законопроект, ужесточающий требования к операторам персональных данных, которым в том числе предлагается установить прямой запрет на отказ гражданам в оказании услуг в случае, если человек не хочет оставлять свои персональные данные.

https://www.comnews.ru/content/219652/2022-04-07/2022-w14/operatorov-persdannykh-obyazhut-ne-obyazyvat

Павел Катков прямой конкуренции этого ПФЗ с законопроектом депутата Хинштейна не видит, так как в последнем основным предметом регулирования является трансграничная передача данных. «В любом случае, активность законодателя вызывает опасения за нашу молодую EdTech-отрасль: как бы ее не зарегулировали избыточно раньше времени. Если же цель — иностранные сервисы, то в эти правовые акты надо прямо вводить такую оговорку, а не ухудшать ситуацию для всех», — говорит он.

Артем Соколов из АКИТ также считает, что два законопроекта абсолютно не пересекаются.

Закон о защите данных в Перу — Securiti

Перу принадлежит к группе стран, в которых закон о защите данных действовал до вступления в силу GDPR. Закон о защите персональных данных № 29733 (DPL) (английский перевод здесь) был принят в июле 2011 года. Март 2013 г., чтобы расширить требования закона и установить правила и положения, касающиеся защиты данных. Закон и его Регламент служат основными законодательными актами, регулирующими все вопросы, связанные с конфиденциальностью данных в стране.

Закон о защите персональных данных был впоследствии изменен Законодательным декретом № 1353 в январе 2017 года. К сожалению, закон явно менее строг по сравнению с другими известными законодательными актами, такими как GDPR и LGPD, поскольку обязательства обработчиков и контролеров данных относительно ограничены. Например, отсутствуют обязательные юридические требования для организаций, на которые распространяется действие закона, проводить оценку воздействия на защиту данных (DPIA) или назначать сотрудников по защите данных (DPO). Точно так же отсутствуют требования к прямому уведомлению о нарушениях в дополнение к отсутствию оценки обработки третьей стороной/поставщиком.

Однако за несоблюдение положений закона предусмотрены строгие санкции для контролеров и обработчиков данных, а регулирующим органам рекомендуется регулярно выпускать учебные материалы для организаций, чтобы помочь им в их усилиях по соблюдению требований.

1. Кто должен соблюдать закон

Вот как перуанский закон о защите данных применяется к организациям в зависимости от того, какие данные они собирают и где они находятся:

a.

Объем материала

Закон распространяется на все персональные данные, содержащиеся или предназначенные для хранения в базах данных персональных данных, находящихся в государственном или частном управлении, которые обрабатываются на территории Перу организацией. Следует отметить, что конфиденциальные данные являются объектом особой защиты в соответствии с законодательством. Кроме того, это относится ко всем формам сбора данных, осуществляемым контроллером данных или обработчиком данных от имени контроллера данных.

б. Территориальный охват

Любой сбор или обработка персональных данных, которые соответствуют следующим критериям, подпадают под действие перуанского закона о защите данных:

  • Персональные данные, собранные в Перу;
  • Персональные данные, собранные обработчиком данных, независимо от местонахождения, для контроллера данных, базирующегося в Перу;
  • Персональные данные, собранные для контролера данных, не базирующегося в Перу, но подпадающего под действие перуанского законодательства на основании договорных обязательств или международных соглашений;
  • Контроллер данных не находится в Перу, но использует средства, расположенные в Перу, для обработки персональных данных, за исключением тех ситуаций, когда такие средства используются только для транзитных целей и не предназначены для обработки данных.

Кроме того, положения настоящего закона не распространяются на персональные данные, которые должны:

  • использоваться исключительно физическими лицами в целях, связанных с их частной и семейной жизнью;
  • Содержатся или предназначены для содержания в публично управляемых базах данных, где степень их обработки необходима для строгого соблюдения закона в целях национальной обороны, общественной безопасности, в уголовных делах, для расследования и пресечения преступлений.

Обязанности контролеров/обработчиков данных в соответствии с этим конкретным законом

Одной из основных отличительных черт любого закона о защите данных является перечень обязательств, которые он налагает на организации, собирающие данные. Перуанская DPL немного отстает в этом плане. В соответствии с Законом № 29733 любая организация, обрабатывающая или собирающая данные о пользователях в Перу, несет следующие обязательства:

  • Обрабатывать персональные данные только после получения информированного, явного и недвусмысленного согласия субъекта данных;
  • Избегайте сбора личных данных мошенническими, недобросовестными или незаконными способами;
  • Собирать персональные данные, которые являются обновленными, необходимыми, актуальными и адекватными в связи с определенными, явными и законными целями, для которых они были получены;
  • Не использовать обрабатываемые персональные данные в целях, отличных от тех, которые послужили мотивом для их первоначального сбора, за исключением случаев анонимизации или процедуры диссоциации;
  • Хранить персональные данные таким образом, чтобы субъект данных мог и облегчал осуществление своих прав;
  • Удалять и заменять или, если применимо, дополнять обрабатываемые персональные данные, когда ему известно об их неточном или неполном характере, без ущерба для прав субъекта данных в этом отношении;
  • Удалять обрабатываемые персональные данные, когда они больше не нужны или не актуальны для цели, для которой они были собраны, или когда срок обработки истек, если не применяется процесс анонимизации или диссоциации;
  • Обеспечить, чтобы маркетинг персональных данных, содержащихся или предназначенных для содержания в базах данных персональных данных, подпадал под действие положений закона;
  • Принять технические, организационные и юридические меры для обеспечения безопасности хранимых или хранимых персональных данных.
  • Избегайте изменения, потери, несанкционированной обработки или доступа к сохраненным или сохраненным личным данным. Требования и условия, которым должны соответствовать базы данных персональных данных в вопросах безопасности, должны соответствовать руководящим принципам ANPD. Запрещается обработка персональных данных в базах данных, не отвечающих требованиям и условиям безопасности, указанным в Законе;
  • Предоставить Национальному органу по защите персональных данных (ANPD) информацию об обработке персональных данных, требуемую им, и предоставить ему доступ к базам данных персональных данных для выполнения своих функций.

Требования к согласию

Одной из основных обязанностей любого обработчика/контроллера данных является обработка персональных данных только после получения предварительного информированного, явного и недвусмысленного согласия субъекта данных, если только не существует официального закона, разрешающего им приступить к сбору данных, когда это будет сочтено необходимым для национальной безопасности или интересов перуанского государства, без получения согласия. В случае конфиденциальных данных согласие на обработку также должно быть дано в письменной форме. Субъект данных также может отозвать свое согласие в любое время, если обязательство поддержать его запрос имеет те же реквизиты, которые существовали, когда он давал свое согласие.

Кроме того, существуют четкие указания о том, что любые собранные личные данные не должны использоваться в целях, отличных от тех, которые послужили мотивом для их первоначального сбора.
Кроме того, согласие субъекта данных не требуется в следующих случаях:

  • Персональные данные собираются или передаются для выполнения функций государственных органов в пределах их компетенции;
  • Персональные данные содержатся или должны содержаться в общедоступных источниках;
  • Персональные данные связаны с платежеспособностью и кредитоспособностью в соответствии с законом;
  • В случае закона о содействии конкуренции на регулируемых рынках, изданного при выполнении регулирующей функции регулирующими органами, указанными в Законе № 27332, Рамочном законе об органах регулирования частных инвестиций в государственные услуги или его замене, при условии, что что предоставленная информация не используется с нарушением конфиденциальности пользователя;
  • В случае, если сбор или использование персональных данных необходимо для выполнения договора, стороной которого является субъект данных;
  • В случае, если сбор или использование персональных данных связаны со здоровьем субъекта данных и, при необходимости, если они находятся в условиях риска, для профилактики, диагностики и медицинского или хирургического лечения субъекта данных при условии, что такое лечение осуществляется специалистами/учреждениями в области здравоохранения; или по причинам общественного интереса, предусмотренным законом; или если они должны быть обработаны по соображениям общественного здравоохранения или для проведения эпидемиологических или аналогичных исследований, при условии, что применяются адекватные процедуры диссоциации;
  • В случае, когда обработка осуществляется некоммерческими организациями с политическими, религиозными или профсоюзными целями и относится к собранным персональным данным их соответствующих членов, и в этом случае данные должны быть связаны с целью их деятельности и не может быть передано без согласия участников;
  • В случае применения процедуры анонимизации или диссоциации.

Требования к обработке третьим лицом

Когда услуги по обработке персональных данных оказываются от имени третьих лиц, персональные данные не могут применяться или использоваться в целях, отличных от тех, которые указаны в договоре или заключенном соглашении, или подлежат передаче другим лицам, в том числе для его хранения.

Третьи стороны также обязаны соблюдать соответствующие требования DPL. После выполнения услуги, связанной с договором или соглашением, обработанные персональные данные должны быть уничтожены, если только нет прямого разрешения стороны, от имени которой оказываются такие услуги, когда разумно предполагается, что существует возможность дополнительных задач, в в этом случае персональные данные могут храниться в надлежащих условиях безопасности до срока, установленного нормами Закона.

Трансграничная передача данных Требования

Перуанский закон о защите данных разрешает трансграничные потоки данных только в том случае, если предполагаемые страны-получатели имеют адекватные механизмы защиты данных. Передача должна осуществляться посредством официального письменного обязывающего договора, в котором контролер данных должен эффективно сообщать получателям условия, на которых субъект данных дал согласие на их обработку. ANPD оценит, какие страны соответствуют этим требованиям адекватной защиты.

Однако эти требования не будут применяться в следующих случаях:

  • Соглашения по международным договорам, стороной которых является Республика Перу;
  • Дела о передаче данных, подлежащие международному судебному сотрудничеству;
  • Международное сотрудничество спецслужб по борьбе с терроризмом, незаконным оборотом наркотиков, отмыванием денег, коррупцией, торговлей людьми и другими формами организованной преступности;
  • Когда передача персональных данных необходима для выполнения договора, стороной которого является субъект данных;
  • В случае банковских или биржевых переводов, в отношении соответствующих сделок согласно действующему законодательству;
  • Когда трансграничный поток персональных данных имеет место для профилактики, диагностики или медицинского или хирургического лечения субъекта данных; или когда необходимо провести эпидемиологические или аналогичные исследования, при условии, что применяются адекватные процедуры диссоциации;
  • Когда субъект данных дал свое предварительное, информированное, прямое и недвусмысленное согласие на международную передачу данных.

Права субъекта данных

Как и почти любой другой важный закон о защите данных, перуанский закон DPL ограничивает права пользователей, более известные как права субъекта данных. Эти права включают следующее:

  • Право на информацию — Субъект данных имеет право на получение подробной информации, просто, прямо, недвусмысленно и до составления, о цели, для которой будут обрабатываться его личные данные; кто будет или кто может быть получателями, наличие базы данных, в которой они будут храниться, а также личность и адрес контролера и, если применимо, обработчика их персональных данных; обязательный и необязательный характер ответов на предложенную им анкету, особенно в отношении конфиденциальных данных; о передаче персональных данных; последствия предоставления своих персональных данных и его отказа сделать это; время, в течение которого будут храниться их личные данные; и возможность осуществлять права, предоставленные им законом.
  • Право отозвать согласие — Субъект данных имеет право отозвать свое согласие в любое время.
  • Право на доступ — Субъект данных имеет право на получение информации, обрабатываемой о нем в любых общедоступных или частных базах данных, а также сведений о сборе, обработке, передаче и причинах составления их данных. Уместно отметить, что контроллеры данных должны ответить на запрос доступа без неоправданной задержки в течение 20 рабочих дней с момента получения, который при необходимости может быть продлен еще на 20 рабочих дней.
  • Право на обновление, включение, исправление и удаление — Субъект данных имеет право на обновление, включение, исправление и удаление своих личных данных, когда они частично или полностью неточны или неполны или содержат пропуски, ошибки , или неточность, или когда она больше не нужна или не актуальна для цели, для которой она была собрана. Если персональные данные были переданы ранее, контролер базы данных персональных данных должен сообщить об изменениях стороне, которой были переданы данные. Важно отметить, что контролеры данных должны ответить на запрос об исправлении без неоправданной задержки в течение десяти рабочих дней с момента получения, который при необходимости может быть продлен еще на десять рабочих дней.
  • Право на запрет поставки — Субъект данных имеет право запретить передачу данных (т. е. продажу/распространение) третьим лицам, особенно когда это затрагивает их основные права;
  • Право на возражение — Субъект данных имеет право возражать против любой формы обработки данных в соответствии с положениями закона и при отсутствии согласия, если у них есть законная причина. Если существует обоснованное возражение, обработчик/контролер данных должен немедленно прекратить обработку своих данных. Важно указать, что контролеры данных должны ответить на запрос возражения без неоправданной задержки в течение десяти рабочих дней с момента получения запроса.
  • Право на объективную обработку — Субъект данных имеет право возражать против обработки персональных данных, предназначенной для оценки определенных аспектов его личности, без надлежащего согласия, если только это не происходит в рамках выполнения договорных обязательств или в случаях оценки с целью включения в публичную организацию.
  • Право на защиту — Если обработчик данных или контролер данных не выполняет запрос субъекта данных о доступе, субъект данных имеет право напрямую обратиться в Национальный орган по защите персональных данных, подав жалобу или обратившись в судебный орган за возмещением ущерба. осуществлять свои права;
  • Право на возмещение убытков — Затронутый субъект данных в случае нарушения настоящего Закона контролером или обработчиком базы данных персональных данных или третьими лицами имеет право на получение соответствующего возмещения.

Однако следует отметить, что контролеры и обработчики данных могут отказать в осуществлении прав субъекта данных по причинам, основанным на защите прав и интересов третьих лиц, или если это может предотвратить незавершенные судебные или административные разбирательства, связанные с к расследованию выполнения налоговых или социальных обязательств, выполнения функций санитарного и экологического контроля или проверке административных правонарушений.

Регулирующий орган

Autoridad Nacional de Protección de Datos Personales (Национальный орган по защите персональных данных) или ANPD является основным органом, ответственным за соблюдение закона Перу о защите данных за его пределами.

ANPD заслушивает, расследует и разрешает жалобы, поданные субъектами данных на нарушение прав, предоставленных им, и принимает временные и/или корректирующие меры, как установлено в положении. Кроме того, ANPD также несет ответственность за рекомендацию любых незначительных или крупных поправок к закону о защите данных, чтобы гарантировать, что он не отстает как от технологических достижений, так и от потенциальных юридических проблем.

ANPD также создала Национальный реестр защиты персональных данных, который ведет общедоступный учет всех обработчиков данных и типов данных, собираемых о резидентах Перу.

Наконец, ANPD обязан публиковать ежегодный отчет о состоянии защиты данных в стране, а также рекомендации для организаций о том, как лучше соблюдать перуанское законодательство, касающееся защиты данных.

Штрафы за несоблюдение

Процедура применения санкций инициируется ex officio Национальным органом по защите персональных данных или по жалобе стороны в случае предполагаемого совершения действий, противоречащих положениям Закона или его постановлению. Санкции, предусмотренные перуанским законодательством для организаций, признанных в несоответствии уникальны. В основном потому, что все организации-нарушители штрафуются «налоговыми единицами», а не фиксированной денежной суммой. Одна налоговая единица эквивалентна примерно 1022 долларам США или 4400 пенсам9.0003

Затем организация должна заплатить эту сумму напрямую как часть своих налогов, гарантируя, что национальная казна получит сумму штрафа.

В случае нарушений могут применяться следующие штрафы:

  • Нарушения легкой степени тяжести влекут за собой штраф в размере от 0,5 (ноль целых пять десятых) налоговых единиц до 5 (пяти) налоговых единиц;
  • Серьезные нарушения влекут наложение штрафа в размере от 5 (пяти) налоговых единиц до 50 (пятидесяти) налоговых единиц;
  • Очень серьезные нарушения влекут наложение штрафа в размере от 50 (пятидесяти) налоговых единиц до 100 (ста) налоговых единиц.

Налагаемый штраф ни при каких обстоятельствах не может превышать 10% (десяти процентов) годового валового дохода, полученного предполагаемым нарушителем в течение предыдущего финансового года. Кроме того, штраф будет наложен без ущерба для дисциплинарных взысканий, применяемых к персоналу государственных организаций в случаях публично управляемых баз данных персональных данных, а также возмещения ущерба и применимых уголовных санкций.

Кроме того, Закон также предписывает, что ANPD может налагать принудительные штрафы на сумму, не превышающую десять (10) налоговых единиц, за нарушение обязательств, подлежащих санкциям, наложенным в рамках санкционной процедуры. Принудительные штрафы будут налагаться после окончания срока исполнения. Однако наложение принудительных штрафов не препятствует применению других механизмов принудительного исполнения.

Как организация может ввести закон в действие

Даже если точные требования закона четко определены, предприятиям может быть сложно начать свои усилия по соблюдению требований, поскольку бывает трудно понять, с чего начать. Следовательно, вот несколько способов, которыми бизнес может применять закон в своей практике:

  • Иметь легко читаемую, легкодоступную и идентифицируемую политику конфиденциальности, которая четко сообщает обо всех правах субъекта данных, не оставляя места для двусмысленности;
  • Развернуть автоматизированную платформу управления согласием для сбора, записи и систематизации разрешений на согласие, полученных субъектами данных;
  • Рекомендуется, чтобы организации добровольно назначали постоянного сотрудника по защите данных (DPO), который обеспечивал бы соответствие всей деловой практики в организации требованиям PDPL;
  • Убедитесь, что все сотрудники и сотрудники компании четко осознают свои обязанности в соответствии с законом;
  • Убедитесь, что использование и развертывание файлов cookie, данных о местоположении или других персональных данных, которые будут собираться, должны соответствовать законам о конфиденциальности данных и что перед использованием файлов cookie и/или данных о местоположении необходимо получить согласие субъекта данных.
  • Наличие надежных политик защиты данных наряду с регулярным обучением персонала, который помогает вашей организации своевременно и точно выполнять запросы о правах субъекта данных.
  • Хотя это и не является обязательным требованием законодательства, организациям следует проводить регулярные оценки воздействия на защиту данных, а также упражнения по сопоставлению данных, чтобы гарантировать идентификацию конфиденциальных персональных данных и применение соответствующих мер безопасности для защиты данных.;
  • Принять меры безопасности для предотвращения несанкционированного доступа к персональным данным.

Чем может помочь Securiti

Хотя данные всегда считались важным активом для бизнеса, в последние пару лет конфиденциальность данных приобрела все большее значение. Свою роль сыграли различные факторы, но теперь предприятия понимают, насколько важно не только защищать любые собранные пользовательские данные, но и проявлять бдительность в отношении сбора данных только после получения надлежащего согласия.

В настоящее время в большинстве стран действуют собственные версии законов о защите данных, которые требуют от организаций принятия упреждающих мер для обеспечения защиты прав пользователей на протяжении всего процесса сбора данных. Соблюдение этих законов может оказаться намного сложнее для самих предприятий из-за огромного количества данных и должной осмотрительности.

Здесь Securiti может помочь. Securiti является лидером на рынке решений для защиты корпоративных данных, управления данными и обеспечения соответствия данных.

Запросите демонстрацию сегодня и узнайте больше о том, как Securiti может помочь вам соблюдать Закон о защите персональных данных Перу.

Закон 19.628: подход Чили к защите персональных данных

В завершение серии статей, посвященных законодательству в отношении данных, нам пришлось вернуться в нашу родную страну, Чили! Неудивительно, что эта латиноамериканская страна, одна из вершин инноваций в южном полушарии, имеет действующий закон об обработке данных: Закон 19. 628.

Этот закон распространяется на обработку персональных данных в реестрах или банках данных. Под этим мы подразумеваем любую процедуру или набор операций, автоматизированных или нет, которые собирают, хранят, записывают, систематизируют, уточняют, выбирают, извлекают, противопоставляют, соединяют, сообщают, одалживают , передают , передают ИЛИ удаляют личные данные. в любом случае.

Закон 19.628 в его основе

Когда дело доходит до обработки персональных данных, этот закон требует, чтобы он был одобрен законом или письменным и явным согласием законного владельца данных. Как мы видели в GDPR, 19.628 закон также требует полного раскрытия цели данных и раскрытия до коллекции.

Однако необходимо принять во внимание некоторые соображения. Например, данные, поступающие из общедоступных ресурсов, не требуют согласия. Кроме того, закон также считает, что по истечении срока действия данных и их использования они должны быть удалены, изменены или заблокированы без согласия.

Какие права есть у людей?

Люди или законные владельцы данных имеют право на запросите всю информацию, относящуюся к ним , а также источник сбора и цель или назначение данных.

А также:

  • Запрос на изменение неточных данных.
  • Требование удаления данных, когда их хранение не связано юридически или истек срок их хранения.
  • Отзыв своего согласия и запрос на удаление или блокировку данных, предоставленных ранее.


В целом они очень похожи на стандарт, установленный GDPR, за которым следуют такие стандарты, как CalOPPA. Этих запросов должно быть бесплатно для лица, запрашивающего их , и должна поставляться с копией измененного реестра.

Это право, и оно не может быть ограничено конвенцией, за исключением случаев, когда это препятствует надлежащему функционированию аудиторских процедур общественной организации или означает разглашение установленной законом тайны, а также любой конфликт, который может возникнуть с безопасностью государства /интересы.

Обязанности регулятора данных

Организация, отвечающая за эти банки данных, имеет двухдневный срок для доставки любого запроса, требуемого пользователями. По истечении этого времени пользователь может подать в суд через назначенного ему судью. Это право также распространяется на негатив со стороны регулирующего органа из соображений национальной безопасности.

Если судья откажет в пользу лица, связанного с данными, он или она установит фиксированные сроки доставки и, если применимо, может наложить штраф в размере от от 1 до 10 UTM или от 10 до 50 UTM (или Ежемесячная налоговая единица), когда коммерческая, экономическая или финансовая информация раскрывается без официального разрешения.

Более того, закон считает, что регулятор данных должен компенсировать пользователю моральный или имущественный вред, который он мог причинить при раскрытии любой личной информации.

Как это относится к общественным организациям?

Наконец, когда дело доходит до государственных организаций, чилийский закон устанавливает, что эти учреждения могут обрабатывать только персональные данные , которые непосредственно связаны с их торговлей.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *