Образец обработка персональных данных с 1 июля 2020: Согласие на обработку персональных данных образец

Разное 

Содержание

Обработка персональных данных по агентскому договору \ Акты, образцы, формы, договоры \ КонсультантПлюс

  • Главная
  • Правовые ресурсы
  • Подборки материалов
  • Обработка персональных данных по агентскому договору

Подборка наиболее важных документов по запросу Обработка персональных данных по агентскому договору (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).

  • Персональные данные:
  • Cookie
  • Адвокатский запрос персональные данные
  • Адрес электронной почты
  • Акт об уничтожении персональных данных
  • Аттестация информационной системы
  • Показать все
Еще
  • Персональные данные:
  • Cookie
  • Адвокатский запрос персональные данные
  • Адрес электронной почты
  • Акт об уничтожении персональных данных
  • Аттестация информационной системы
  • Показать все
  • Поручение:
  • Безвозмездный договор поручения
  • Действия в чужом интересе без поручения
  • Доверенность по договору поручения образец
  • Доверитель
  • Договор на обработку персональных данных
  • Показать все

Судебная практика

Зарегистрируйтесь и получите пробный доступ к системе КонсультантПлюс бесплатно на 2 дня

Апелляционное определение Санкт-Петербургского городского суда от 22. 06.2021 N 33-4873/2021 по делу N 2-963/2020
Категория спора: Кредит.
Требования заимодавца: 1) О взыскании основного долга по кредитному договору; 2) О взыскании процентов за пользование кредитом.
Обстоятельства: Заемщиком не погашена задолженность по кредитному договору, при этом срок исковой давности по части требований пропущен.
Решение: 1) Удовлетворено в части; 2) Удовлетворено в части.Вопреки доводам ответчика, то обстоятельство, что он 14 марта 2016 года обратился в ПАО «Промсвязьбанк» с заявлением об отзыве согласия на обработку персональных данных, само по себе, не имеет правового значения для правильного разрешения настоящего спора. Указанное ответчиком обстоятельство не свидетельствует о ничтожности заключенного истцом агентского договора N 000-00059-20 от 30 января 2020 года с ООО «Долговые инвестиции». Положения Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» таких последствий не содержат.

Статьи, комментарии, ответы на вопросы

Нормативные акты

Федеральный закон от 27. 07.2006 N 152-ФЗ
(ред. от 14.07.2022)
«О персональных данных»
(с изм. и доп., вступ. в силу с 01.03.2023)3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18. 1 настоящего Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 настоящего Федерального закона.

Статья 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения \ КонсультантПлюс

Статья 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

(введена Федеральным законом от 30. 12.2020 N 519-ФЗ)

1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

4. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

1) непосредственно;

2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

7. Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

8. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

10. Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

11. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

13. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи.

14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

15. Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на государственные органы, муниципальные органы, а также на подведомственные таким органам организации функций, полномочий и обязанностей.

(часть 15 в ред. Федерального закона от 14.07.2022 N 266-ФЗ)

(см. текст в предыдущей редакции)

Закон штата Калифорния о конфиденциальности потребителей (CCPA) — Microsoft Compliance

Твиттер LinkedIn Фейсбук Электронная почта

  • Статья

Обзор CCPA

Калифорнийский закон о конфиденциальности потребителей (CCPA) является первым всеобъемлющим законом о конфиденциальности в Соединенных Штатах. Он предоставляет потребителям в Калифорнии различные права на неприкосновенность частной жизни. Предприятия, регулируемые CCPA, будут иметь ряд обязательств перед этими потребителями, включая раскрытие информации, общие правила защиты данных (GDPR), подобные правам субъектов данных потребителей (DSR), «отказ» от передачи определенных данных и «отказ от передачи данных». -in’ требование для несовершеннолетних.

CCPA применяется только к компаниям, ведущим бизнес в Калифорнии, которые удовлетворяют одному или нескольким из следующих требований: (1) имеют валовой годовой доход более 25 миллионов долларов США или (2) получают более 50% своего годового дохода от продажа личной информации потребителей из Калифорнии или (3) покупка, продажа или передача личной информации более чем 50 000 потребителей из Калифорнии ежегодно.

Закон CCPA вступает в силу 1 января 2020 г. Однако генеральный прокурор штата Калифорния (AG) вводит его в действие 1 июля 2020 г.

Калифорнийская административная группа будет обеспечивать соблюдение CCPA и будет иметь право налагать штрафы за несоблюдение требований. CCPA также предоставляет частное право на иск, которое ограничивается утечкой данных. В соответствии с частным правом на иск ущерб может составить от 100 до 750 долларов за инцидент на одного потребителя. Калифорнийская AG также может обеспечить соблюдение CCPA в полном объеме с возможностью наложения административного штрафа в размере не более 2500 долларов США за нарушение или 7500 долларов США за преднамеренное нарушение.

Microsoft и CCPA

Для коммерческих клиентов, ведущих бизнес в Калифорнии, Microsoft будет выступать в качестве «поставщика услуг» в отношении наших предложений Онлайн-сервисов и Профессиональных услуг. Условия Условий использования веб-служб (OST) и Дополнения по защите данных Microsoft Professional Services (MSDPA) уже соответствуют требованиям к поставщикам услуг в соответствии с CCPA и, как правило, достаточны для того, чтобы клиенты могли продолжать передавать данные в наши Веб-службы. Таким образом, никаких дополнительных договорных изменений не требуется, чтобы клиенты могли полагаться на Microsoft как на поставщика услуг в соответствии с CCPA.

Как указано в OST, Microsoft соблюдает все законы и правила, применимые к предоставлению Веб-служб, включая CCPA.

Облачные платформы и службы Microsoft

  • Azure
  • Azure Dev Ops
  • Динамика 365
  • Интуне
  • Офис 365
  • Поддержка и профессиональные услуги
  • Visual Studio

Как подготовиться к соблюдению требований CCPA при использовании продуктов и служб Майкрософт

Вот несколько шагов, которые вы можете предпринять, чтобы подготовиться к CCPA:

  • Начните использовать оценку GDPR в Compliance Manager как часть вашей программы конфиденциальности CCPA.
  • Создайте процесс для эффективного ответа на запросы доступа к субъектам данных (DSAR) с помощью инструмента запросов субъектов данных.
  • Настройте метки и политики для обнаружения, классификации и маркировки, а также защиты конфиденциальных данных с помощью Microsoft Purview Information Protection.
  • Используйте возможности шифрования электронной почты для дальнейшего контроля конфиденциальной информации.

Часто задаваемые вопросы

Как CCPA повлияет на мою компанию?

Многие права CCPA, предоставляемые калифорнийцам, аналогичны правам, предоставляемым GDPR, включая запросы на раскрытие информации и права субъекта данных (DSR), такие как доступ, удаление и переносимость. Таким образом, клиент может обратиться к нашим уже существующим решениям GDPR, чтобы помочь им с соблюдением требований CCPA.

Чтобы начать свое путешествие по CCPA, вы должны сосредоточиться на обнаружении информации, определении того, как передается личная информация, регулировании того, как она используется, как она защищена, и наличия официальной программы реагирования на утечку данных.

В чем разница между GDPR и CCPA?

Различий много. Легче сосредоточиться на сходстве, в том числе:

  • Обязательства по обеспечению прозрачности/разглашения,
  • Права потребителя на доступ, удаление и получение копии данных,
  • Определение «поставщиков услуг», аналогичное тому, как GDPR определяет «процессоров» с аналогичными договорными обязательствами, и
  • Определение «предприятий», которое включает определение «контролеров» в GDPR.

Самым большим отличием CCPA является основное требование, позволяющее отказаться от продажи данных третьим сторонам (при этом «продажа» в широком смысле включает обмен данными за ценное вознаграждение).

Какие права должны предоставлять компании в соответствии с CCPA?

Законодательство CCPA требует от регулируемых компаний, которые собирают, передают и продают личную информацию, среди прочего:

  • Предоставление потребителям информации до сбора информации о категориях и целях сбора.
  • Предоставьте в политике конфиденциальности более подробные сведения об источниках, деловых целях и категориях собираемой личной информации, в том числе о том, как эти категории продаются или передаются другим организациям.
  • Включить права DSR на доступ, удаление и перенос для определенных частей личной информации, которые были собраны вами.
  • Включите элемент управления, который позволит потребителям отказаться от продажи данных потребителя. Однако будут разрешены переводы освобожденным организациям, таким как поставщики услуг.
  • Для несовершеннолетних в возрасте до 16 лет включите процесс согласия, чтобы продажа личной информации несовершеннолетнего не могла происходить без активного согласия на продажу.
  • Обеспечить, чтобы потребители не подвергались дискриминации за осуществление каких-либо прав в соответствии с CCPA.

Как CCPA распространяется на детей?

  • CCPA вводит обязательства родителей в соответствии с Законом о защите конфиденциальности детей в Интернете (COPPA) для детей в возрасте до 13 лет.
  • Для детей в возрасте от 13 до 16 лет CCPA налагает новое обязательство по получению добровольного согласия от ребенка.

Используйте Microsoft Purview Compliance Manager для оценки рисков

Microsoft Purview Compliance Manager — это функция на портале соответствия Microsoft Purview, помогающая вам понять состояние вашей организации в области соблюдения требований и принять меры для снижения рисков. Compliance Manager предлагает премиум-шаблон для создания оценки для этого правила. Найдите шаблон в 9Шаблоны оценок 0065 Страница в диспетчере соответствия требованиям. Узнайте, как создавать оценки в диспетчере соответствия требованиям.

Ресурсы

  • 5 советов, которые помогут вам подготовиться к новому Закону штата Калифорния о конфиденциальности потребителей
  • Руководство по началу работы с CCPA
  • Запросы субъектов данных и GDPR
  • Закон штата Калифорния о конфиденциальности потребителей (CCPA), часто задаваемые вопросы
  • Соответствие требованиям центра управления безопасностью Майкрософт

Обратная связь

Просмотреть все отзывы о странице

Что такое CCPA? [Полное руководство CCPA]

Закон штата Калифорния о конфиденциальности потребителей (CCPA) — это закон штата, который дает жителям Калифорнии больший контроль над сбором и продажей их личных данных, аналогично Общему регламенту ЕС о защите данных (GDPR). Он работает, прежде всего, требуя от предприятий информирует потребителей о том, какая личная информация собирается, и

отвечает на запросы потребителей о конкретных действиях. Закон вступил в силу 1 января 2020 г., а его исполнение Генеральным прокурором Калифорнии началось 1 июля 2020 г.

CCPA создает четыре отдельных права на конфиденциальность данных:

  • право знать какая личная информация собирается и как она используется
  • право отказаться от продажи своей личной информации
  • Право на удаление личной информации, которая была собрана
  • Право на недискриминацию на осуществление прав в соответствии с CCPA
  • Право на исправление недостоверной информации
  • Право на ограничение использования и раскрытия конфиденциальной личной информации

В дополнение к признанию этих новых прав, CCPA также требует от предприятий реализации разумных процедур безопасности для предотвращения утечки данных. Если предприятия этого не сделают, а незашифрованная и неотредактированная личная информация потребителей станет объектом несанкционированного доступа, потребители могут получить до 750 долларов США в качестве возмещения установленных законом убытков даже без предъявления фактических убытков. В таком случае весьма вероятны коллективные иски. Узнайте больше о частных правах на действия в соответствии с CCPA.

Кто имеет права в соответствии с CCPA?

CCPA защищает «потребителей», определяемых в очень широком смысле как любой житель Калифорнии. К ним относятся (1) все, кто находится в штате Калифорния (если только временно) и (2) все, кто живет в Калифорнии, даже если они находятся за пределами штата.

На какие предприятия распространяется действие CCPA?

Разработанный для защиты калифорнийцев закон CCPA применяется к предприятиям в Калифорнии и предприятиям, расположенным за пределами штата, но предлагающим товары или услуги в Калифорнии. Любое коммерческое предприятие подпадает под действие закона Калифорнии, если оно (1) ведет бизнес в Калифорнии и (2) соответствует хотя бы одному из следующих критериев:

  • Валовой годовой доход превышает 25 миллионов долларов США
  • Покупает, продает или передает личную информацию 100 000 или более потребителей или домохозяйств
  • Получает 50% или более своей годовой выручки от продажи или обмена личной информацией потребителей.

Что касается последнего порогового требования, «продажа» и «обмен» личной информацией широко определены в CCPA, как описано ниже. Важно отметить, что использование рекламы на основе интересов считается совместным использованием, поэтому любой доход, связанный с этими типами рекламы, «получается» от продажи личной информации потребителей и должен быть включен в этот расчет.

Связанные статьи
  • Рассчитайте, соответствует ли ваш бизнес требованию в отношении 100 000 записей
  • Рассчитайте, соответствует ли ваш бизнес требованию 50% дохода

Ключевые понятия CCPA

Что такое «личная информация»?

Знание того, что считается «личной информацией» в соответствии с CCPA, имеет основополагающее значение для понимания того, как работает закон о конфиденциальности данных и что должны делать компании, чтобы соответствовать его требованиям.

Определение личной информации в CCPA очень широкое, до такой степени, что многие предприятия могут быть удивлены тем, сколько личной информации они собирают. Закон определяет это как:

Информация, которая идентифицирует, относится, описывает, может быть связана или может быть обоснованно связана, прямо или косвенно, с конкретным потребителем или домохозяйством.

Если это определение кажется немного расплывчатым, оно было намеренно написано открытым, чтобы охватить постоянно растущий список типов информации, собираемой предприятиями. К счастью, CCPA также предоставляет множество примеров данных о потребителях, которые считаются личной информацией.

Примеры личной информации
  • Идентификаторы , включая имена, онлайн-идентификаторы, номера социального страхования, адреса электронной почты, номера водительских прав, IP-адреса и другие подобные идентификаторы
  • Интернет-активность , включая историю поиска, историю просмотров и рекламные предпочтения
  • Биометрические данные , включая отпечатки пальцев, голосовые отпечатки, ДНК, а также данные о сне, здоровье или упражнениях, которые содержат идентифицирующую информацию
  • Данные геолокации
  • Информация о занятости
  • Характеристики охраняемых классификаций в соответствии с законодательством штата Калифорния или федеральным законодательством, например, раса, пол или инвалидность
  • Выводы, сделанные на основе личной информации для создания профиля в отношении предпочтений, поведения, отношения и т. д. потребителя

Включение IP-адресов в качестве личной информации важно по нескольким причинам. Во-первых, их очень легко не заметить; предприятия часто используют инструменты, которые автоматически собирают и обмениваются IP-адресами, даже не задумываясь об этом. Во-вторых, это один из случаев, когда CCPA идет дальше, чем GDPR, который не считает IP-адреса личной информацией. Предприятиям, у которых уже есть система соответствия GDPR, потребуется внести некоторые коррективы, чтобы соответствовать требованиям CCPA.

Что не является личной информацией?

Поскольку личная информация имеет такое широкое определение, важно знать, какие именно данные CCPA называет неличной информацией.

  • Личная информация не включает общедоступную информацию . Это включает в себя:
    • Информация, предоставленная на законных основаниях из правительственных архивов . Однако информация не является «общедоступной», если она используется для целей, несовместимых с целью, для которой данные хранятся и предоставляются в государственных архивах.
    • Информация, в отношении которой у бизнеса есть разумные основания полагать, что она на законных основаниях предоставляется широкой публике потребителем или из широко распространенных средств массовой информации ; или информация, предоставленная лицом, которому потребитель раскрыл информацию , если потребитель не ограничил информацию определенной аудиторией
    • Законно полученная, правдивая информация, которая представляет общественный интерес
  • CCPA не ограничивает сбор, использование, продажу или раскрытие информация о потребителе, которая обезличена или в совокупности . Например, если бизнес собирает статистику использования своего веб-сайта, но объединяет всю информацию о пользователях вместе, CCPA не затрагивает эту деятельность, поскольку нет возможности отнести информацию к какому-либо конкретному потребителю.
  • Информация, проданная агентствам кредитной информации или полученным от них, например, бюро кредитных историй
  • Медицинская информация , собранная, переданная или раскрытая в соответствии с Законом о переносимости и подотчетности медицинского страхования (HIPAA)
  • Личная информация, собираемая, передаваемая или раскрываемая в соответствии с Законом Грэмма-Лича-Блайли (GLBA) или Законом штата Калифорния о конфиденциальности финансовой информации (CFIPA)
  • Личная информация, собираемая, передаваемая или раскрываемая в соответствии с Законом о защите конфиденциальности водителей

Продажа и обмен

Многие из наиболее важных обязательств предприятий в соответствии с CCPA связаны с «продажей» и «обменом» личной информацией потребителей, но эти термины могут означать не то, что вы думаете.

Что такое «распродажа»?

CCPA дает широкое определение продажи, охватывающее операции, о которых предприятия часто даже не думают. Юридическое определение:

Продажа, сдача в аренду, выпуск, раскрытие, распространение, предоставление, передача или иное сообщение в устной, письменной, электронной или иной форме личной информации потребителя другим предприятием или третьей стороной за денежную или иную ценное внимание .

Наиболее очевидным примером является раскрытие личной информации третьей стороне за денежное вознаграждение. Если бизнес обменивает адреса электронной почты потребителей на деньги, мало кто будет спорить, что это не продажа.

Последняя фраза — «или другое ценное рассмотрение» — имеет ключевое значение. Это охватывает различные информационные транзакции, за которые предприятия не получают никаких денег. Например, предоставление доступа к личной информации ваших клиентов в обмен на бесплатное программное обеспечение или программное обеспечение со скидкой или в обмен на доступ к личной информации от других компаний («совместное использование данных»), скорее всего, будет считаться продажей.

Когда передача информации считается продажей, наиболее важным последствием является то, что на нее распространяется право потребителей на отказ, более подробно описанное ниже.

Что не является распродажей?

CCPA предусматривает несколько ключевых категорий транзакций, которые не считаются продажей личной информации. Раскрытие данных о потребителе третьей стороне не является продажей, если:

  • Потребитель использует или направляет бизнес для преднамеренного раскрытия личной информации или использует бизнес для намеренного взаимодействия с третьей стороной, при условии, что третья сторона также не продает личную информацию
  • Предприятие использует или передает поставщику услуг личную информацию потребителя, которая необходима для выполнения бизнес-целей

Для предприятий, подпадающих под действие CCPA, исключение для поставщиков услуг будет иметь решающее значение в их стратегии соблюдения требований.

Что такое «Общий доступ»?

«Совместное использование» — это использование или раскрытие личной информации потребителя для кросс-контекстной поведенческой рекламы независимо от того, за денежное или другое ценное вознаграждение. Кросс-контекстная поведенческая реклама означает таргетинг рекламы на потребителей на других сайтах в зависимости от их активности на вашем сайте, другими словами, ретаргетинг или реклама на основе интересов.

Суть в том, что если вы используете этот тип рекламы, это считается «расшариванием» и активирует права отказа.

Что такое «поставщик услуг»?

«Поставщики услуг» упоминаются в CCPA и являются одним из наиболее важных исключений из закона о конфиденциальности данных. Предприятиям, которые находятся в процессе приведения их в соответствие с CCPA, необходимо понимать, что такое поставщик услуг и как он влияет на права потребителей на неприкосновенность частной жизни.

CCPA дает потребителям контроль над продажей их личной информации предприятиями «третьим сторонам» (в основном кому-либо еще). Однако закон делает важное исключение для раскрытия информации о потребителях поставщикам услуг, которые не рассматриваются как третьи лица. Этот вид деятельности не является продажей и, следовательно, не подпадает под те же требования CCPA.

Эту разницу между третьими сторонами и поставщиками услуг в соответствии с CCPA лучше всего иллюстрирует пример:

Компания А полностью соответствует требованиям CCPA. В рамках своей деятельности компания A собирает адреса электронной почты потребителей и продает их компании B. Она также рассылает еженедельный информационный бюллетень и для этого делится своим списком адресов электронной почты с компанией C, поставщиком услуг электронного маркетинга. Все это прекрасно и совершенно законно в соответствии с CCPA, потому что компания А разместила все необходимые уведомления о конфиденциальности и ссылки для отказа.

Когда потребитель нажимает ссылку «Не продавать мою личную информацию» на домашней странице компании А и просит отказаться от продажи своей личной информации, компания А должна выполнить этот запрос. Он должен прекратить продавать данные этого конкретного потребителя компании B, НО он может продолжать делиться адресом электронной почты потребителя с компанией C, потому что компания C является поставщиком услуг и нуждается в адресе электронной почты для выполнения своей работы.

В целом, это исключение, основанное на здравом смысле, которое признает реалии современного бизнеса, но есть несколько нюансов и требований, о которых следует знать компаниям.

Определен поставщик услуг

CCPA определяет поставщика услуг как организацию, которая обрабатывает личную информацию от имени бизнеса, при условии, что две стороны имеют письменный договор, который запрещает поставщику услуг:

  • Сохранение, использование или раскрытие личной информации для любых целей, отличных от конкретной цели оказания услуг, указанных в договоре
  • Продажа или передача личной информации
  • Сохранение, использование или раскрытие личной информации вне прямых деловых отношений между бизнесом и поставщиком услуг
  • Объединение личной информации с личной информацией, полученной из других источников

Требование к контракту означает, что предприятия должны убедиться, что их контракты с поставщиками соответствуют требованиям CCPA, чтобы эти поставщики могли квалифицироваться как поставщики услуг. Если договор не отвечает этим требованиям, любое раскрытие информации может рассматриваться как продажа.

Подрядчики

Теперь есть еще один тип внешней стороны — «подрядчик». Подрядчик имеет право на те же исключения, что и поставщик услуг, т. е. на них не распространяются запросы на отказ, но они определяются несколько иначе. В отличие от поставщика услуг, который «обрабатывает информацию» для бизнеса, подрядчик — это « лицо, которому бизнес предоставляет личную информацию потребителя для деловых целей в соответствии с письменным договором с бизнесом». Следствием этого является то, что контракты предприятий со своими подрядчиками должны соответствовать тем же требованиям, что и поставщики услуг.

Права потребителей

Право знать

Закон CCPA дает потребителям право знать, какую личную информацию собирают компании и как эта информация используется. Для предприятий это означает, что они несут две юридические обязанности по отношению к потребителям: они должны заранее информировать потребителей о сборе данных и отвечать на запрос потребителя о том, что было собрано.

Чтобы выполнить первое из этих требований, предприятия должны опубликовать уведомление о конфиденциальности, соответствующее требованиям CCPA, в месте сбора или до него. Это известно как «уведомление о взыскании». Это говорит потребителям какие категории личной информации собираются и для каких целей .

Пример. Интернет-магазин предлагает промо-код на скидку, но требует, чтобы потребители ввели свой адрес электронной почты, чтобы получить его. Это точка сбора данных. В этот момент или до этого продавец должен включить ссылку на уведомление о конфиденциальности, которое позволяет потребителям узнать, какие личные данные собираются (например, адреса электронной почты) и для каких целей (например, отправка маркетингового контента и т. д.).

Во-вторых, потребители могут отправить запрос, чтобы узнать, какую личную информацию компания получила от них. В течение 12 месяцев, предшествующих запросу, предприятия должны раскрывать следующую информацию:

  • Категории собранной личной информации об этом потребителе
  • Категории источников, из которых собирается личная информация
  • Деловая или коммерческая цель сбора или продажи личной информации
  • Категории третьих лиц, с которыми бизнес делится личной информацией
  • Конкретные части личной информации, которую он собрал об этом потребителе

Они должны предоставлять эту информацию бесплатно, но только после проверки того, что потребитель является тем, за кого себя выдает. Компании обязаны отвечать на запросы отдельных лиц о предоставлении информации не более двух раз в течение 12 месяцев.

Узнайте больше об ответах на запросы CCPA.

Право на отказ

Если компания продает или передает личную информацию о потребителе третьей стороне, CCPA дает этому потребителю право потребовать, чтобы компания прекратила продажу или передачу своей информации. Это называется правом отказа . Любая компания, которая продает или передает личную информацию потребителей, должна размещать на своей домашней странице заметную ссылку « Не продавать и не передавать мою личную информацию », которая информирует потребителей о том, как отправить запрос на отказ.

После того, как потребитель отказался от подписки, компании должны подождать не менее 12 месяцев, прежде чем снова попросить его подписаться.

Закон CCPA также касается продажи или обмена личной информацией от несовершеннолетних в возрасте до 16 лет . Если потребитель находится в возрасте от 13 до 16 лет, предприятия должны получить его положительное согласие на продажу его личной информации. Для детей в возрасте до 13 лет родитель или опекун ребенка должен дать свое положительное согласие. Эти правила применяются, когда бизнес действительно знает возраст потребителя или умышленно игнорирует его.

Поставщики услуг

Важным исключением из права потребителя на отказ является предоставление предприятиями личной информации поставщикам услуг , что более подробно обсуждалось выше. Предприятия могут продолжать раскрывать личную информацию поставщику услуг даже после того, как потребитель отказывается от нее, поскольку это не считается продажей.

Узнайте больше об ответах на запросы CCPA об отказе.

Право на удаление

Право на удаление является основным компонентом попытки CCPA предоставить потребителям больший контроль над их личной информацией. Он стремится смягчить аспект «вечности» онлайн-данных, предоставляя потребителям право отправлять запрос на удаление компаниям, которые собрали их информацию. Однако это не абсолютное право, и предприятия могут по-прежнему сохранять личную информацию потребителей в различных обстоятельствах.

Законодательство CCPA требует, чтобы компании указали по крайней мере два способа, с помощью которых потребители могли бы отправить запрос на удаление, например, адрес электронной почты и номер бесплатного телефона. Методы запроса должны соответствовать тому, как компания обычно ведет бизнес. Например, интернет-магазин не может использовать исключительно офлайн-способы отправки запросов.

После того как компания получила запрос на удаление, у нее есть 45 дней, чтобы выполнить его. Этот срок может быть продлен в общей сложности до 90 дней, если это необходимо с учетом сложности и количества запросов, при условии уведомления потребителя.

Компания также должна уведомить всех поставщиков услуг, подрядчиков и третьих лиц, имевших доступ к информации о потребителе, о запросе на удаление.

Знание того, какую информацию о потребителях следует удалить, может оказаться сложной задачей для предприятий, особенно если у них еще нет системы соответствия требованиям CCPA. Они должны удалять «любую личную информацию» по запросу, но закон предусматривает ряд исключений. Предприятия (и поставщики услуг) не обязаны удалять личную информацию если необходимо:

  • Завершить транзакцию, для которой была собрана личная информация, предоставить товар или услугу, запрошенную потребителем или разумно ожидаемую в контексте текущих деловых отношений предприятия с потребителем, или иным образом выполнить договор между предприятием и потребителем
  • Обнаружение инцидентов безопасности, защита от злонамеренных, вводящих в заблуждение, мошеннических или незаконных действий; или привлечь к ответственности виновных в этой деятельности
  • Отладка для выявления и исправления ошибок, нарушающих существующую предполагаемую функциональность.
  • Осуществлять свободу слова, обеспечивать право другого потребителя на осуществление своего права на свободу слова или осуществлять иное право, предусмотренное законом
  • Соответствие Закону штата Калифорния о конфиденциальности электронных коммуникаций
  • Участие в публичных или рецензируемых научных, исторических или статистических исследованиях в общественных интересах, которые соответствуют всем другим применимым законам об этике и конфиденциальности, если потребитель предоставил информированное согласие
  • Для обеспечения исключительно внутреннего использования, которое разумно соответствует ожиданиям потребителя на основе отношений потребителя с бизнесом
  • Выполнить юридическое обязательство

Сложность обработки запроса на удаление прекрасно иллюстрирует, почему компаниям необходимо уже иметь план соответствия требованиям CCPA. В противном случае они легко могут либо не полностью выполнить запрос, либо удалить важную информацию, которая могла бы быть сохранена.

Узнайте больше об ответе на запросы CCPA на удаление.

Право на недискриминацию

Право на недискриминацию помогает гарантировать, что потребители могут спокойно осуществлять свои права на конфиденциальность данных в соответствии с CCPA, не опасаясь возмездия. Основное правило довольно простое. Предприятия не могут отказывать в товарах или услугах , предоставлять другой уровень качества товаров или услуг или взимать другую цену с потребителей, которые осуществляют свои права CCPA.

Как и в случае с другими правами CCPA, из этого правила существует ряд исключений.

  • Предприятия могут взимать другую цену или предлагать товары или услуги разного качества, если эта разница обоснованно связана с ценностью, предоставляемой предприятию информацией потребителя.
  • Предприятия могут предлагать рекламные акции, скидки и другие финансовые поощрения в обмен на сбор, хранение или продажу личной информации.
  • Если потребитель запросил удаление или отказ от продажи своей личной информации, и эта информация или продажа необходимы для предоставления товара или услуги, неспособность предприятия завершить транзакцию не является дискриминацией.

Право на исправление неточной личной информации

Новым дополнением к CCPA является право потребителя на исправление неточной личной информации . Закон гласит:

Потребитель имеет право потребовать от предприятия, которое хранит неверную личную информацию о потребителе, исправить эту неверную личную информацию, принимая во внимание характер личной информации и цели обработки личной информации.

Предприятия также обязаны информировать потребителей об этом праве в своей политике конфиденциальности. Новое право является прямым дополнением к CCPA. Он пытается сбалансировать права потребителей с бременем, возлагаемым на бизнес, требуя от бизнеса только «коммерчески разумных усилий» для исправления неточной информации.

Право на ограничение использования и раскрытия конфиденциальной личной информации

Теперь CCPA включает отдельную категорию данных потребителей — «конфиденциальную личную информацию» — и дает потребителям право ограничивать ее использование и раскрытие предприятиями. Это дополнение приближает закон Калифорнии к надежной защите конфиденциальности GDPR.

Что такое конфиденциальная личная информация?

Как более узкая категория личной информации, конфиденциальная личная информация определена более конкретно в CCPA. Это любая информация, подходящая под эти четыре категории.

  1. Личная информация, раскрывающая
    1. Социальное обеспечение потребителя, водительское удостоверение, удостоверение личности государственного образца или номер паспорта
    2. Номер входа в учетную запись потребителя, номер финансового счета, дебетовой или кредитной карты в сочетании с любым требуемым кодом безопасности или доступа, паролем или учетными данными, позволяющими получить доступ к учетной записи
    3. Точная геолокация потребителя
    4. Расовое или этническое происхождение, религиозные или философские убеждения потребителя или членство в профсоюзе
    5. Содержимое почты, электронной почты и текстовых сообщений потребителя, за исключением случаев, когда предприятие является предполагаемым получателем сообщения
    6. Генетические данные потребителя
  2. Обработка биометрической информации с целью однозначной идентификации потребителя
  3. Личная информация, собираемая и анализируемая в отношении здоровья потребителя
  4. Личная информация, собираемая и анализируемая в отношении сексуальной жизни или сексуальной ориентации потребителя
Требования к обработке конфиденциальной личной информации

Общая структура этого права аналогична праву на отказ. Предприятиям по-прежнему разрешено собирать конфиденциальную личную информацию, но потребители имеют право голоса в том, как эта информация используется и раскрывается. В частности, это дает потребителям право запрашивать у компании:

Ограничить использование конфиденциальной личной информации потребителя до то использование, которое необходимо для оказания услуг или предоставления товаров разумно ожидаемое средним потребителем, запрашивающим эти товары или услуги.

Если компания собирает конфиденциальную личную информацию, но уже ограничивает ее использование тем, что необходимо для предоставления ее услуг (и это обоснованно ожидается средним потребителем), этой компании не нужно предпринимать никаких действий, когда она получает запрос потребителя. Бизнес, который выходит за рамки необходимого использования конфиденциальной личной информации, например, продает ее третьей стороне, должен прекратить такое дополнительное использование после получения запроса потребителя.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *