Персональные данные с 1 июля 2020 года: Распространение персональных данных

Соответствие POPIA Cookiebot CMP

Cookiebot CMP — это ведущая в мире платформа для управления согласием, построенная на основе передовой технологии сканирования, которая обнаруживает все файлы cookie и трекеры на вашем веб-сайте и передает полный контроль конечному пользователю для получения точного детального согласия в полном соответствии с GDPR ЕС и CCPA Калифорнии. , LGPD Бразилии, а теперь и POPIA в ЮАР.

Cookiebot CMP работает, моделируя несколько реальных пользователей, посещающих ваш веб-сайт, прокручивая, щелкая, просматривая, как это делают люди, чтобы активировать и раскрыть всю сеть файлов cookie, трекеров и троянских коней в вашем домене.

Cookiebot CMP баннер для файлов cookie для соответствия GDPR, LGPD, POPIA в Южной Африке и др.

Благодаря настраиваемым баннерам согласия ваши конечные пользователи смогут быстро и плавно дать предпочтительное согласие, в то время как Cookiebot CMP автоматически геотаргетирует каждого пользователя, чтобы убедиться, что представлен правильный интерфейс согласия, будь то GDPR в ЕС или CCPA в Калифорнии.

Cookiebot CMP полностью интегрирован с режимом согласия Google, что позволяет вашему веб-сайту получать ценные аналитические и маркетинговые данные, если ваши пользователи решат отказаться от статистики и маркетинговых файлов cookie.

Cookiebot CMP также является стандартным тегом в Google Tag Manager, бесплатном плагине WordPress и интегрирован как с IAB Europe TCF 2.0, так и с IAB CCPA Framework.

Попробуйте Cookiebot CMP бесплатно в течение 30 дней — или навсегда, если у вас небольшой веб-сайт

Просканируйте свой веб-сайт бесплатно, чтобы узнать, какие файлы cookie и трекеры используются

Начать работу с Google Consent Mode

Подробнее о GDPR и согласии на использование файлов cookie

POPIA в ЮАР, подробно

Давайте внимательнее рассмотрим детали POPIA в Южной Африке; как он вписывается в текущий правовой режим конфиденциальности данных, какие права он предоставляет гражданам и как компании и организации добиваются соблюдения требований POPIA.

Правовой режим Южной Африки и POPIA

Закон Южной Африки о защите личной информации (POPIA) был фактически разработан еще в 2003 году по образцу европейского законодательства о конфиденциальности данных того времени, Директивы о конфиденциальности, но в последующие годы несколько раз приостанавливался и изменялся, когда Общие правила защиты данных (GDPR) вступили в силу и значительно обновили режим конфиденциальности данных в ЕС.

POPIA окончательно вступила в силу 1 июля 2020 года .

Правовой режим конфиденциальности данных в Южной Африке состоит из самой Конституции (которая гарантирует гражданам право на неприкосновенность частной жизни) и Закона об электронных коммуникациях и транзакциях (ECTA) от 2002 года, которые фактически регулируют сбор личной информации. , но делает его соблюдение добровольным для компаний и организаций.

1 июля 2021 года POPIA ЮАР вступила в силу. Предвидя это, Управление по регулированию информации Южной Африки за 100 дней до этого опубликовало заявление, в котором подробно излагались приоритетные направления деятельности, в том числе —

• Создание кодексов поведения для соответствия POPIA
• Рассмотрение проекта руководящих принципов регистрации сотрудников по вопросам информации
• Завершение работы над инструкциями и шаблонами для предварительной авторизации, а также для уведомлений о нарушениях безопасности и трансграничных уведомлениях о личной информации.

Регулятор информации Южной Африки также заявляет в заявлении от 24 марта, что обязательная регистрация сотрудников по информации будет доступна на их веб-сайте с 1 мая 2021 года под заголовком Guidance Note on Information Officers .

Обеспечение соблюдения POPIA в Южной Африке началось 1 июля 2021 г.
Получите бесплатный доступ к Cookiebot CMP

Область применения и применение POPIA

POPIA применяется к любой обработке (сбор, запись, организация, совместное использование, использование, хранение и т. Д.) личной информации ответственной стороной (веб-сайт, компания или организация) l , размещенная в Южной Африке или за ее пределами, если они используют средства для обработки в Южной Африке .

Это означает, что сфера действия POPIA в Южной Африке более ограничена, чем сфера действия GDPR в Европе, которая применяется ко всем, кто обрабатывает персональные данные из ЕС, независимо от того, где они находятся.

Если ваш веб-сайт, компания или организация находится в Южной Африке и вы обрабатываете личную информацию, вы автоматически обязаны соблюдать POPIA.

Если у вас есть веб-сайт , расположенный не в Южной Африке, , но обрабатывающий личную информацию о гражданах Южной Африки внутри страны, вы также обязаны соблюдать POPIA.

Сфера действия POPIA в Южной Африке меньше, чем GDPR ЕС.

Личная информация в соответствии с POPIA

POPIA имеет очень широкое определение личной информации, в основном — любая информация, относящаяся к идентифицируемому живому физическому лицу, компании или аналогичному юридическому лицу , включая, помимо прочего, —

• имена, адреса, номера телефонов, адреса электронной почты,
• информация о возрасте, расе, поле, внешности, характеристиках, сексуальной ориентации, политических убеждениях, религиозных убеждениях, языке,
• данные о здоровье, такие как физическое или психическое здоровье, благополучие, инвалидность,
• онлайн-идентификаторов, таких как адреса электронной почты, IP-адреса, файлы cookie, уникальные идентификаторы, история поиска и браузера, данные о местоположении.

Широкое определение личной информации POPIA охватывает действий, которые происходят на большинстве веб-сайтов в мире , такие как собственные и сторонние файлы cookie, собирающие IP-адреса, историю поиска и браузера, средства отслеживания, устанавливающие уникальные идентификаторы, и многое другое.

Если ваш веб-сайт обрабатывает личную информацию из Южной Африки , например при использовании файлов cookie и аналогичных трекеров вы должны соблюдать POPIA.

Просканируйте свой веб-сайт, чтобы узнать, какие файлы cookie и трекеры обрабатывают данные

Подробнее о GDPR и согласии

Права конечного пользователя в соответствии с POPIA

Так же, как GDPR ЕС и LGPD Бразилии, POPIA в Южной Африке создает совершенно новый набор прав для своих граждан, которые они могут использовать для защиты своих данных и конфиденциальности, получения информации о том, какие данные о них собираются, запроса их исправления и удаления. .

POPIA в Южной Африке обеспечивает защиту конечных пользователей и потоков их данных в Интернете.

POPIA создает следующие права для граждан ЮАР (субъектов данных) —

• Право на получение уведомления о сборе и обработке личной информации
• Право на доступ к личной информации
• Право требовать исправления личной информации
• Право требовать удаления личной информации
• Право на возражение против обработки личной информации
• Право не обрабатывать личную информацию в целях прямого маркетинга с помощью незапрашиваемых электронных сообщений (четко отражающих Директиву о конфиденциальности, а не GDPR)
• Право не подвергаться решению, которое приводит к возникновению юридических обстоятельств, основанных исключительно на автоматизированной обработке
• Право на подачу жалобы в Информационный регулятор
• Право на судебную защиту

Другими словами, граждане ЮАР смогут знать , когда их личная информация, вероятно, будет собрана, и будут иметь право дать согласие на это до того, как это произойдет; будет иметь возможность запросить , чтобы ваш веб-сайт предоставил им доступ, чтобы увидеть, какую личную информацию он о них собрал, а также чтобы эта информация была либо исправлена, либо полностью удалена , среди прочего.

Попробуйте Cookiebot CMP бесплатно в течение 30 дней — или навсегда, если у вас небольшой веб-сайт

Просканируйте свой веб-сайт бесплатно, чтобы узнать, какие данные он обрабатывает от пользователей

Минимальные требования для обработки в соответствии с POPIA

Как и его европейские и бразильские аналоги, южноафриканский стандарт POPIA также устанавливает минимальные требования для компаний и организаций в отношении законной обработки личной информации граждан Южной Африки.

POPIA очень ясно дает понять: личная информация может обрабатываться только в том случае, если конечный пользователь дает согласие на обработку , в том числе для конкретных целей, для которых собирается личная информация.

Субъект данных может отозвать свое согласие в любое время .

Подробнее о согласии в соответствии с Законом ЮАР о POPIA

POPIA устанавливает восемь условий для законной обработки данных в ЮАР —

• Подотчетность (обработка является законной и осуществляется без нарушения конфиденциальности)
• Ограничение обработки (обработка только для указанной цели)
• Спецификация цели (конкретная цель должна быть явно определена)
• Дальнейшее ограничение обработки (дополнительная обработка должна по-прежнему соответствовать первоначальной цели, на которую конечный пользователь дал свое согласие)
• Качество информации (убедитесь, что данные полные, точные и актуальные)
• Открытость (документирование всех операций обработки)
• Меры безопасности (должны обеспечивать защиту и конфиденциальность личной информации)
• Участие субъектов данных (обеспечение того, чтобы конечные пользователи могли осуществлять свои права на доступ, исправление и удаление своих данных)

Все восемь условий должны быть соблюдены при обработке личной информации на законных основаниях в соответствии с POPIA .

Ознакомьтесь с условиями обработки в соответствии с Законом Южной Африки о POPIA

Регламент информации (SAIR) и правила POPIA

Основным надзорным и надзорным органом в рамках POPIA является Информационный регулятор (SAIR) , учрежденный самим законом и наделенный обязанностями —

• обеспечивает обучение и тренинги по законам о защите данных и соблюдению нормативных требований,
• мониторинг и обеспечение соблюдения для компаний и организаций, которые обрабатывают личную информацию в Южной Африке,
• обработка жалоб от субъектов данных,
• создание руководящих принципов, правил и отраслевых кодексов поведения для практического соблюдения POPIA,
• содействие иностранному сотрудничеству для обеспечения соблюдения POPIA за пределами Южной Африки.

Информационный регулятор (SAIR) является ведущим органом по обеспечению соблюдения и надзором за соблюдением требований POPIA.

Информационный регулятор является более широкой структурой в POPIA, чем надзорный орган GDPR, поскольку он не только является ведущим исполнителем и контролером соблюдения POPIA, но также имеет несколько других областей деятельности, таких как авторизация веб-сайтов, компаний и организаций к —

• обрабатывать уникальные идентификаторы субъектов данных с целью, отличной от той, которая предназначалась в точке сбора,
• данные процесса в отношении кредитной отчетности,
• передает специальную личную информацию (или личную информацию детей) из Южной Африки в зарубежную страну, в которой нет надлежащего уровня защиты данных, согласно POPIA.

В декабре 2018 года Информационный регулятор опубликовал правила POPIA для соблюдения и обеспечения соблюдения закона. Эти правила все еще остаются в силе и образуют основу для обеспечения соблюдения POPIA Регулятором информации, которое, однако, начнется не раньше 1 июля 2021 года.

Правила POPIA включают информацию и кодексы поведения в отношении —

• как можно отправлять запросы на исправление или удаление личной информации,
• , как можно возражать против обработки личной информации,
• как запросить и получить согласие на незапрашиваемый прямой электронный маркетинг,
• каковы обязанности и обязанности сотрудников по информации,
• спецификация отраслевых кодексов поведения от регулятора информации,
• как подать жалобу в Регулятор информации,
• и дальнейшие спецификации роли и ответственности регулятора информации.

Правила POPIA Регулятора информации (в формате PDF)

POPIA и GDPR

Ключевые различия между POPIA и GDPR

Поскольку Общий регламент ЕС по защите данных (GDPR) так четко отражен в Законе Южной Африки о защите личной информации (POPIA) , имеет смысл противопоставить их друг другу, чтобы выявить ключевые различия в законах — что жизненно важны для веб-сайтов и компаний, чтобы они знали, чтобы ориентироваться в двух режимах и соответствовать требованиям POPIA и GDPR.

Ключевые различия между GDPR и POPIA необходимо учитывать для обеспечения надлежащего соответствия

Личная информация и субъекты данных в соответствии с POPIA и GDPR

POPIA определяет персональную информацию как информацию, относящуюся к идентифицируемому, живому и физическому лицу , что очень близко к GDPR и его определению персональных данных как информации, относящейся к идентифицированному или идентифицируемому физическому лицу («данные субъект », как называют это в обоих законах.).

Однако POPIA также включает в свое определение субъектов данных компаний, организаций и других юридических лиц, в то время как GDPR строго ограничивает свое определение людьми.

Очевидно, это имеет большое значение, поскольку позволяет компаниям быть не только «ответственными сторонами», но и «субъектами данных» с правами на «личную» информацию, собранную и переданную о них.

Как именно это будет происходить, станет яснее после вступления в силу POPIA с 1 июля 2021 года, но можно с уверенностью сказать, что создаст в Южной Африке совсем другие методы обеспечения конфиденциальности данных , чем GDPR в Европе.

Согласие согласно POPIA и GDPR

Когда дело доходит до определений согласия , POPIA и GDPR практически идентичны.

POPIA определяет согласие как «любое добровольное, конкретное и осознанное выражение воли, на основании которого дается разрешение на обработку личной информации» ; , тогда как GDPR определяет согласие как «любое свободно данное, конкретное, информированное и недвусмысленное указание на пожелания субъекта данных» .

Тем не менее, POPIA особо отмечает, что — это вопрос интерпретации того, что составляет как добровольное волеизъявление, оставляя открытой дверь для отраслевых стандартов и прецедентов правоприменения, которые определяют практический характер соблюдения POPIA.

Так обстоит дело с GDPR ЕС, соблюдение которого было обусловлено решением суда и руководящими указаниями Европейского совета по защите данных (EDPB), которым национальные органы по защите данных будут следовать при соблюдении закона о защите данных.

В результате надлежащее и законное согласие в соответствии с GDPR стало означать предварительное и явное действие конечных пользователей при взаимодействии с интерфейсами согласия на веб-сайтах, которые не могут иметь предварительно отмеченные флажки или подталкивать пользователей в отношении использования файлов cookie и трекеров.

Обеспечение соблюдения POPIA в Южной Африке началось 1 июля 2021 г.
Получите бесплатный доступ к Cookiebot CMP

Объем GDPR против POPIA

POPIA применяется к обработке, выполняемой веб-сайтами, компаниями, организациями и другими юридическими лицами, которые расположены внутри Южной Африки — но также и к «ответственным сторонам», которые находятся за пределами Южной Африки, , если они обрабатывают личную информацию внутри ЮАР (не только передача данных по стране).

По сравнению с GDPR ЕС, POPIA имеет меньшую область действия.

GPDR применяется к любой обработке персональных данных внутри ЕС, , независимо от того, где в мире находится контролер данных и / или обработчик данных .

Вместо того, чтобы соответствовать стандарту GDPR, сфера действия POPIA отражает область действия Директивы ЕС по электронной конфиденциальности.

Обработчик данных в GDPR и POPIA

GDPR очень четко описывает разделение ответственности между контроллером данных и процессором данных (т.е. организация, обрабатывающая персональные данные от имени контроллера данных) и определяет, как оба должны обеспечить соответствие GDPR в соответствии с термином совместные контроллеры .

В отличие от GDPR, POPIA обращается только к ответственной стороне , что означает, что веб-сайты, компании и организации несут исключительную ответственность за выполнение требований POPIA по защите конечных пользователей.

Не имея совместных контролеров в соответствии с законом, таким как GDPR, POPIA создает большую ответственность для веб-сайтов и компаний, которые в конечном итоге несут ответственность за всю обработку информации своих конечных пользователей , даже если это делается компаниями adtech или платформы социальных сетей, встроенные в их веб-сайты с помощью файлов cookie и трекеров.

Сотрудник по информации в POPIA и GDPR

Ответственный за защиту данных GDPR отражается в POPIA как сотрудник по информации, которого должна назначить любая ответственная сторона. Однако роль информационного сотрудника в POPIA значительно отличается от его эквивалента GDPR.

Согласно GDPR , сотрудник по защите данных должен обладать специальными знаниями и обучением в области законодательства ЕС о конфиденциальности данных, но он не требуется автоматически в каждой компании или организации и фактически может быть внешним независимым надзорным органом.

В соответствии с POPIA сотрудник по информации является обязательным для каждой компании и организаций и автоматически назначается генеральному директору — его невозможно назначить внешней независимой стороной. От сотрудника по информации не требуется иметь какое-либо предварительное обучение или опыт работы с режимом конфиденциальности данных в Южной Африке, но он должен быть зарегистрирован в Регуляторе информации (SAIR).

POPIA также требует, чтобы компании и организации назначили заместителя сотрудника по информационным технологиям , должность, не имеющая эквивалента в GDPR.

POPIA Южной Африки и адекватность ЕС

Южная Африка сегодня не рассматривается ЕС как имеющая адекватный уровень защиты данных и поэтому считается третьей страной, требующей дополнительных уведомлений, согласия и юридических оснований для случаев, когда веб-сайты, компании и организации внутри ЕС передают данные в страну.

В связи с тем, что POPIA действует в Южной Африке, в будущем ЕС может принять решение об адекватности, которое обеспечит гораздо более легкий обмен данными между странами-членами ЕС и Южной Африкой.

Резюме: POPIA в Южной Африке

С вступлением в силу Закона о защите личной информации (POPIA) в Южной Африке появился еще один сильный закон о защите конфиденциальности данных, который присоединился к расширяющейся сети расширения прав и возможностей конечных пользователей, распространяющейся по всему миру и в Интернете.

Тесно согласованный с Общим регламентом ЕС о защите данных, POPIA обеспечивает тщательную защиту конфиденциальности данных для граждан Южной Африки и, вероятно, принимает решение ЕС об адекватности, открывая путь для беспрепятственной и безопасной передачи личных данных между ними.

Cookiebot CMP обеспечивает соблюдение большинства основных мировых законов о конфиденциальности данных, таких как GDPR ЕС, CCPA Калифорнии, LGPD Бразилии и POPIA Южной Африки.

Попробуйте Cookiebot CMP бесплатно в течение 30 дней — или навсегда, если у вас небольшой веб-сайт.

Просканируйте свой веб-сайт, чтобы узнать, какие файлы cookie и трекеры работают

Подробнее о GDPR и согласии

Начать работу с Google Consent Mode

FAQ

Закон о защите личной информации (POPIA) — это закон Южной Африки о конфиденциальности данных, который наделяет граждан законными правами на их личную информацию, требует, чтобы веб-сайты, компании и организации соблюдали минимальные условия для законной обработки, и устанавливает Регулятор информации для надзора и обеспечить соблюдение POPIA.

Попробуйте Cookiebot CMP бесплатно в течение 30 дней — или навсегда, если у вас небольшой веб-сайт.

Закон о защите личной информации (POPIA) применяется к веб-сайтам, компаниям, организациям и другим юридическим лицам, которые находятся на территории Южной Африки и обрабатывают личную информацию. Однако POPIA также применяется к ответственным сторонам, которые находятся за пределами Южной Африки, если они обрабатывают личную информацию внутри страны (а не только передают ее через нее).

Просканируйте свой веб-сайт, чтобы узнать, какие данные обрабатывает ваш веб-сайт

Соблюдение POPIA означает запрос и получение предварительного согласия конечных пользователей перед любой обработкой их личной информации. Соответствие также означает выполнение нескольких минимальных требований для законной обработки, таких как документация, безопасность и конфиденциальность, а также обеспечение того, чтобы конечные пользователи могли реализовать свое право на доступ, исправление и удаление уже собранных данных.

Зарегистрируйтесь на Cookiebot CMP бесплатно сегодня

Использование платформы управления согласием, такой как Cookiebot CMP, может помочь вам раскрыть все файлы cookie и трекеры, работающие на вашем веб-сайте, которые обрабатывают личную информацию, и увидеть, в какую точку мира ваш домен отправляет данные.

Просканируйте свой веб-сайт бесплатно, чтобы узнать, какие файлы cookie и трекеры работают

Ресурсы

POPIA объединяет Южную Африку с лучшими мировыми практиками защиты данных, IAPP

Закон ЮАР о защите личной информации (закон POPIA), официальный закон

Подробнее о GDPR и согласии на использование файлов cookie

Подробнее о рекомендациях EDPB для действительного согласия в соответствии с GDPR

Подробнее о файлах cookie, трекерах и отслеживании веб-сайтов

ЮАР POPIA вступает в силу 1 июля, The National Law Review

Сравнение POPIA и GDPR в ключевых областях, TechGDPR

POPIA 101: Основы нового закона Южной Африки о конфиденциальности данных

POPIA меняет способ обработки личных данных южноафриканскими организациями.Вот что вам нужно знать.

Ключевые точки:

• POPIA вступил в силу 1 июля 2020 г., и южноафриканские организации должны до 30 июня 2021 г. стать соответствующими.
• Постановление дает физическим лицам более строгий контроль над тем, как их личные данные собираются и используются. Это также создает новые риски для организаций, обрабатывающих персональные данные.
• Существует несколько передовых методов и ресурсов, которые организации могут использовать на пути к соблюдению нормативных требований.

Закон Южной Африки о защите конфиденциальности личных данных (POPIA) — одно из новейших дополнений в рамках растущей тенденции законодательства о конфиденциальности данных, последовавшее за Европейским Общим регламентом конфиденциальности данных (GDPR) и Законом Калифорнии о конфиденциальности потребителей (CCPA). Хотя есть ключевые различия между GDPR, CCPA и POPIA, все они построены на одних и тех же руководящих принципах подотчетности, прозрачности, безопасности, минимизации данных и прав субъектов данных. POPIA дает людям гораздо больший контроль над своими личными данными, заставляя компании обосновывать, что они с ними делают, как долго они хранят и как защищают.[1]

POPIA был введен в действие парламентом 1 июля 2020 года, и организациям был предоставлен годичный льготный период для выполнения требований до 1 июля 2021 года. Теперь, когда мы прошли более половины этого льготного периода, большинству южноафриканских организаций следует быть на пути к полному соблюдению.

ПОПИЯ 101

POPIA предоставляет гражданам юридически закрепленные права в отношении их личной информации (например, право на доступ, право на исправление, право на удаление), устанавливает восемь минимальных требований для законной обработки и дает широкое определение личной информации для комплексной защиты субъектов данных.

В отличие от GDPR, POPIA не является экстерриториальным. Это означает, что POPIA только применяется к организациям, которые находятся в Южной Африке и / или обрабатывают данные в ней. Однако внутри страны POPIA шире с точки зрения того, к кому она применяется. GDPR защищает только живых людей, тогда как POPIA также защищает компании и организации как юридических лиц.

Постановлениями также учрежден Информационный регулятор, независимый орган, который будет выполнять функции ведущего исполнителя и надзора за соблюдением закона.Для тех, кто не соблюдает POPIA, наказания могут включать штраф до 10 миллионов рандов и / или до 10 лет лишения свободы. [2]

Организации также столкнутся с риском коллективных исков по POPIA. Хотя коллективные иски относительно новы в Южной Африке, POPIA предлагает субъектам данных возможность возбуждать гражданские иски о возмещении ущерба против организаций, независимо от намерений организаций [3]. Эти групповые иски могут быть облегчены регулятором информации без обычной юридической тяжелой работы типичного группового иска, которая, вероятно, сделает их более вероятными.Не говоря уже о риске серьезного ущерба репутации компаний, которые не соблюдают правила.

Определение ключевых терминов POPIA

Те, кто знаком с GDPR, могут узнать термины «контролер данных», «обработчик данных» и «субъект данных». POPIA строится вокруг тех же ролей, но с немного другой терминологией: [4]

• Ответственная сторона: Государственный или частный орган, определяющий цель и средства обработки личной информации субъекта данных.
• Оператор : Сторона, которая обрабатывает личную информацию от имени ответственной стороны. Mimecast — это пример оператора.
• Субъект данных: Любая сторона, к которой относится личная информация.

POPIA относится к «личной информации» субъекта данных, тогда как GDPR относится к «информации, позволяющей установить личность». Эти два понятия похожи, хотя личная информация в более широком смысле включает любых личных данных, касающихся физического или юридического лица.

Сюда входит, помимо прочего, информация о расе, поле, образовании, семейном положении, криминальном прошлом, трудовой книжке, медицинских данных и политической принадлежности. POPIA выделяет отдельную категорию для «специальной личной информации», такой как религиозные убеждения, членство в профсоюзах или сексуальная ориентация, и имеет особые правила обработки личной информации ребенка. [5]

В соответствии с POPIA субъектам данных предоставляется девять прав, касающихся обработки их данных.Это включает право получать уведомления о том, когда и как собираются данные, право на доступ к указанным данным, а также право исправлять или удалять информацию. [6]

Участие субъекта данных — лишь одно из восьми условий [7] законной обработки данных POPIA, перечисленных ниже:

1. Подотчетность
2. Ограничение обработки
3. Спецификация назначения
4. Дальнейшее ограничение обработки
5. Качество информации
6. Открытость
7. Меры безопасности
8. Участие субъекта данных

Из этих восьми условий важно выделить обеспечение безопасности как, возможно, наиболее рискованное для организаций, поскольку оно говорит об их способности защищаться от утечки данных.В соответствии с разделом 19 главы 3 POPIA ответственные стороны должны принять соответствующие меры для предотвращения «(а) потери, повреждения или несанкционированного уничтожения личной информации; и (b) незаконный доступ к личной информации или ее обработка ». [8]

Важно отметить, что пункт (b) расширяет традиционную концепцию утечки данных за пределы простого кражи данных. Любой несанкционированный доступ к личной информации является нарушением, даже если киберпреступник или сотрудник ничего не делает с этими данными.

Если есть «разумные основания полагать, что личная информация субъекта данных была доступна или получена каким-либо неуполномоченным лицом», ответственные стороны должны уведомить Регулятор информации и субъектов данных «как можно скорее после обнаружения компромисс ». [9]

Становление соответствия POPIA

В соответствии с POPIA ответственные стороны могут по-прежнему считаться соответствующими, если они становятся жертвами утечки данных — при условии, что они могут доказать, что выполнили все правильные шаги в соответствии с POPIA для предотвращения этого.Поэтому важно не срезать углы на пути вашей организации к соблюдению нормативных требований, поскольку успешное соблюдение требований поможет предотвратить как потерю данных, так и юридические последствия.

означает, что ответственные стороны должны соответствовать нескольким минимальным требованиям для законной обработки данных, таким как документация, безопасность и конфиденциальность, и гарантировать, что конечные пользователи могут реализовать свое право на доступ, обновление и удаление ранее собранных данных.

«Самым большим препятствием является то, что люди надеются на кратчайшие пути, а на самом деле сокращений нет», — говорит Брайан Пиннок, старший директор по продажам MEA в Mimecast.«Вы должны пройти многоэтапный процесс, и первый шаг — выяснить, какая информация у вас есть и как вы ее обрабатываете. Это само по себе огромная проблема ».

Итак, что является хорошей отправной точкой для организаций?

«Обязательно попробуйте получить некоторую помощь», — рекомендует Пиннок. «Вы можете оптимизировать некоторые процессы, используя авторитетных поставщиков, таких как Mimecast или аналогичных поставщиков, для управления аспектами ваших данных. Не создавайте свой технологический стек с нуля — используйте компании, которые уже соответствуют определенным стандартам.«Помимо привлечения поставщиков средств кибербезопасности, организации могут привлекать специалистов по правовым вопросам с программами соблюдения нормативных требований, которые помогут направить этот процесс.

Итог

POPIA расширяет права субъектов данных, привлекая организации к ответственности за ответственное хранение их личной информации. Регламент также создает новые риски для организаций, о которых они должны постоянно помнить, чтобы избежать компрометации данных или юридических санкций, поэтому крайне важно, чтобы ответственные стороны соблюдали правила правильно .В течение следующих нескольких месяцев мы углубимся в POPIA в этом блоге, чтобы развенчать распространенные заблуждения, изучить нюансы закона, дать советы организациям и многое другое.

[1] «Соответствие POPIA: версия GDPR для Южной Африки», NetApp

[2] «Глава 11, статья 107: Штрафы», POPIA

[3] «Компании, неспособные защитить данные клиентов, могут столкнуться с гражданским ущербом даже в результате коллективных исков», Independent Online

[4] «Глава 1, Раздел 1: Определения», POPIA

[5] «Что означает личная информация?» Михалсонс

[6] «Глава 2, раздел 5: Права субъектов данных», POPIA

[7] «Закон Южной Африки о защите личной информации, 2013 г., вступает в силу 1 июля», National Law Review

[8] «Глава 3, раздел 17: Меры безопасности по обеспечению целостности и конфиденциальности личной информации», POPIA

[9] «Глава 3, раздел 22: Уведомления о нарушениях безопасности», POPIA

Хотите еще больше подобных замечательных статей? Подпишитесь на наш блог.

Получайте все последние новости, советы и статьи прямо на ваш почтовый ящик

Спасибо за подписку

Вскоре вы получите электронное письмо

Вернитесь к статье, пожалуйста

данных о коронавирусе на 1 июля 2020 года

(Вашингтон, округ Колумбия) — отчетные данные округа за среду, 1 июля 2020 года, включают 25 новых положительных случаев коронавируса (COVID-19), в результате чего общее число положительных случаев в округе достигло 10390.

Округ сообщил об одной дополнительной смерти, связанной с COVID-19.

К сожалению, 554 жителя района погибли из-за COVID-19.

Посетите coronavirus.dc.gov/data, чтобы получить интерактивные панели данных или загрузить данные о COVID-19.

В течение второй фазы в округе в течение пяти дней наблюдалось устойчивое снижение распространения COVID-19 среди населения. Эти данные представлены в таблице ниже.

Округ имеет возможность связаться со службой след 98.3% новых случаев в день сообщения. Эти данные представлены в таблице ниже.

Округ имеет возможность отслеживать 96,1% близких контактов с положительными случаями в течение двух дней. Эти данные представлены в таблице ниже.

Данные округа показывают устойчивую скорость передачи 0,78. Эти данные представлены в таблице ниже.

Данные округа показывают, что уровень позитивных настроений среди жителей составляет 2,3%.Эти данные представлены в таблице ниже.

Уровень загрузки коек в больницах неотложной помощи округа составляет 77,4%. Эти данные представлены в таблице ниже.

Ниже приведено общее количество положительных случаев COVID-19 в округе, отсортированное по возрасту и полу.

Ниже приводится совокупное количество положительных случаев COVID-19 в округе, отсортированное по месту жительства.

Ниже представлено общее количество положительных случаев COVID-19 в округе, отсортированное по районам проживания.

Ниже приведено общее количество положительных случаев COVID-19 в округе, отсортированное по расе.

Ниже приводится перепись районных больниц и наличие больничных коек в районных больницах.

Ниже показано использование и наличие аппаратов ИВЛ в районных больницах.

В настоящее время в округе имеется 83 койки отделений интенсивной терапии (ОИТ) в больницах из 345 коек ОИТ.

• 262 всего стационарных больных ОИТ
• 33 пациента ОИТ с положительным результатом на COVID-19

Ниже приведено общее количество жизней, погибших в округе из-за COVID-19, с разбивкой по расам.

Ниже приведено общее количество жизней, погибших в округе из-за COVID-19, с разбивкой по полу.

Ниже приведено общее количество жизней, погибших в округе из-за COVID-19, с разбивкой по возрасту.

Ниже приведено общее количество жизней, погибших в округе из-за COVID-19, с разбивкой по месту жительства.

было опубликовано для поставщиков медицинских услуг, работодателей и общественности, чтобы предоставить информацию о том, что делать, если вам поставили диагноз или вы контактируете с кем-то, кто болен COVID-19.

Жители должны предпринять следующие действия, чтобы помочь предотвратить распространение COVID-19:

• Избегайте тесного контакта с больными людьми
• Вымойте руки водой с мылом не менее 20 секунд. При отсутствии мыла и воды можно использовать дезинфицирующее средство для рук на спиртовой основе
• Не прикасайтесь к глазам, носу и рту немытыми руками
• При кашле или чихании накройте салфеткой, а затем выбросьте салфетку в мусор
• Очищайте и дезинфицируйте предметы и поверхности, к которым часто прикасаются

Если вы выходите из дома, практикуйте социальное дистанцирование и держитесь на расстоянии шести футов от других.Дополнительную информацию о реакции округа можно найти на сайте coronavirus.dc.gov.

В эмирате Дубай принят новый закон о защите данных

Франсуаза Жильбер, эксперт по кибербезопасности и конфиденциальности, Cloud Security Alliance

Дубай принял новый закон о защите данных, который заменяет действующий закон о конфиденциальности, закон № 1 от 2007 года. новый 50-страничный закон, модернизирующий действующий закон о защите данных, вступит в силу 1 июля 2020 года, когда ранее существовавший закон и все соответствующие постановления будут отменены.

Закон о защите данных Дубайского международного финансового центра (DIFC) № 5 от 2020 года (Закон DIFC № 5 от 2020 года) был принят 1 июня 2020 года Его Высочеством шейхом Мохаммедом бен Рашидом Аль Мактумом, вице-президентом и премьер-министром. ОАЭ в качестве правителя Дубая. Как и его предшественник, географическая сфера действия закона ограничивается Дубайским международным финансовым центром (DIFC), а не всей территорией эмирата Дубай. Новый 50-страничный закон, модернизирующий действующий закон о защите данных, закон N.1 2007 г., вступит в силу 1 июля 2020 г., когда ранее существовавший закон 2007 г. и все соответствующие постановления будут отменены.

Закон DIFC № 5 от 2020 года — третий закон, принятый DIFC для защиты личных данных. Первый закон о защите данных DIFC был принят в 2004 году, а второй — в 2007 году. С принятием Закона № 5 от 2020 года DIFC реагирует на принятие Общего регламента ЕС по защите данных (GDPR) и Закона о защите прав потребителей Калифорнии. (CCPA), вводя концепции подотчетности, усиливая контроль отдельных лиц над своими личными данными и запрещая дискриминацию лиц, решивших ограничить использование своих личных данных контроллером данных.

Цель

Согласно статье 5, цель Закона № 5 от 2020 года — обеспечить стандарты и средства контроля для обработки и свободного перемещения персональных данных, а также защитить основные права субъектов данных. Интересно, что в статье 5 также указывается, что целью закона является защита основных прав субъекта данных, «включая то, как такие права применяются к защите личных данных в новых технологиях».

Географический охват

Закон о защите данных DIFC применяется к обработке персональных данных контроллером или процессором, включенным в DIFC, независимо от того, происходит ли обработка в DIFC или нет.Это также относится к контроллеру или процессору, независимо от места его регистрации, который обрабатывает персональные данные в DIFC в рамках стабильных договоренностей, за исключением периодических. Закон применяется к такому контроллеру или процессору в контексте его обработки в DIFC, включая передачу Персональных данных из DIFC.

Девять принципов защиты данных

Закон устанавливает девять принципов защиты данных, которые изложены так же, как и в GDPR ЕС.Также, как и в GDPR, требования включают отдельное обязательство по подотчетности, в соответствии с которым контроллер данных или обработчик данных несет ответственность и должен иметь возможность продемонстрировать свое соответствие этим девяти принципам.

Законность обработки

Закон № 5 от 2020 года определяет шесть оснований для того, что составляет «законную обработку». Эти основания включают согласие, необходимость (обработка необходима для выполнения определенных заданных задач) и законный интерес.Таким же образом, как предусмотрено в GDPR, обработка может быть оправдана «законным интересом» только в том случае, если интересы контроллера данных не перекрываются правами или интересами субъекта данных. Статья 13 закона определяет обстоятельства, которые будут считаться «законными интересами», включая предотвращение мошенничества или обеспечение безопасности.

Подотчетность

В законе подробно описаны обязанности по подотчетности для контроллеров и процессоров, включая требования к разработке программы для демонстрации соблюдения закона и реализации соответствующих технических и организационных мер для демонстрации того, что обработка выполняется в соответствии с закон.

Письменная «политика защиты данных», а контроллеры и процессоры должны следовать принципу защиты данных при разработке и по умолчанию. Существуют также требования к составлению записей о деятельности по обработке, назначению сотрудников по защите данных (в определенных обстоятельствах, включая, например, «действия по обработке с высоким риском»), проведению оценок воздействия защиты данных и наложению договорных обязательств, которые защищают людей и их личные данные.

Уведомление уполномоченного по защите данных

В отличие от GDPR ЕС, который устранил обязательство в соответствии с предыдущим законодательством уведомлять орган по надзору за данными страны, новый закон DIFC о защите данных сохраняет существующее обязательство для контроллеров данных регистрировать свою деятельность по обработке с уполномоченным DIFC по защите данных, подав «уведомление об операциях по обработке», и он распространяет это обязательство на обработчиков данных.Уведомление необходимо обновлять с помощью исправленных уведомлений.

Прекращение обработки

В статье 22 подробно описаны процедуры, которым должен следовать оператор данных, когда он должен прекратить обработку данных. «Прекращение обработки» может произойти, когда основание для обработки изменяется или перестает существовать, или когда контролер должен прекратить обработку в связи с осуществлением прав субъекта данных. Обязательство также распространяется на обеспечение того, чтобы все обработчики данных выполняли аналогичные действия с данными, хранящимися у них.Это полезное и практическое положение не похоже ни на одно другое положение в других аналогичных законах других стран.

Содержание политики конфиденциальности

Подобно статьям 13 и 14 GDPR, в статьях 29 и 30 излагается необходимое содержание политики конфиденциальности.

Права физических лиц

Статьи 32–38 Закона DIFC № 5 от 2020 года предоставляют расширенные права физическим лицам. Эти права включают, например, право отозвать согласие, право на доступ, исправление и удаление личных данных, право возражать против обработки, право ограничивать обработку, право на переносимость данных, право возражать против любого решения, основанного исключительно на автоматизированная обработка, включая профилирование.Эти права в целом сопоставимы с правами, изложенными, например, в GDPR ЕС или LGPD Бразилии.

Право на недискриминацию

Статья 39 предусматривает право на «недискриминацию», что напоминает некоторые аспекты CCPA Калифорнии. Он запрещает дискриминацию в отношении человека, который воспользовался своими правами (например, правом ограничивать обработку своих данных), отказав этому человеку в каких-либо товарах или услугах, установив другие цены или предоставив товары более низкого качества.Как и Калифорнийский CCPA, этот пункт позволяет контролерам предлагать финансовые и другие стимулы для субъектов данных за их готовность разрешить контроллеру использовать личную информацию о них.

Трансграничная передача данных

Новый закон содержит обычные ограничения на передачу персональных данных за пределы территории и требует, чтобы страна получателя обеспечивала «адекватную защиту» или в отсутствие таких законов, чтобы данные экспортер и импортер данных обеспечивают адекватные гарантии, такие как те, которые вытекают из обязательных корпоративных правил, стандартных договорных положений и т. д., если не применяется отступление.

Нарушения данных

Новый закон о защите данных DIFC вводит исчерпывающие положения, касающиеся уведомления о нарушениях данных. Как и GDPR, закон различает уведомление, которое должно быть предоставлено уполномоченному по данным, от уведомления, которое должно быть предоставлено субъектам данных. В отличие от GDPR или некоторых законов США, не установлено максимальное количество дней для отправки уведомления Уполномоченному. Временные рамки для направления первоначального уведомления — «как можно скорее», и инициирующее событие измеряется тем, как или действительно ли инцидент «ставит под угрозу конфиденциальность, безопасность или неприкосновенность частной жизни».

Уведомление субъектов данных инициируется только тогда, когда нарушение «может привести к высокому риску для безопасности или прав субъекта данных». В этом случае также не установлен максимальный срок для отправки уведомления. Это будет «как можно скорее» в большинстве случаев или «незамедлительно», когда существует «непосредственный риск повреждения».

Средства правовой защиты, ответственность и санкции

Часть 9 Закона DIFC № 5 от 2020 года касается средств правовой защиты, ответственности и санкций.Предусмотрен широкий спектр санкций, начиная от предупреждений и заканчивая выдачей «распоряжения», требующего от контролера или процессора выполнить определенные действия или воздерживаться от их совершения, до штрафов, выплаты убытков и компенсации субъекту данных или выплаты расходы, понесенные уполномоченным по данным или другим лицом. Новый закон оставляет на усмотрение Совета директоров DIFCA разработку положений по этому вопросу.

Обмен данными; Ответ на запрос органов государственной власти

Статья 28 Закона №5 от 2020 года содержит руководство по процедурам, которым необходимо следовать, когда контроллер данных или обработчик данных получает запрос от государственного органа относительно раскрытия и / или передачи персональных данных. Предлагаемое руководство практично и подробно. Согласно пресс-релизу, выпущенному DIFC, эти положения могут стать первым шагом к стандартам обмена данными в ОАЭ и в регионе.

Кодекс поведения и сертификации

Статья 48 закона предусматривает использование «кодексов поведения», а статья 49 предусматривает «схемы сертификации».