Персональные данные с 1 июля 2020 новые требования: Что меняется в обработке персональных данных с 1 сентября 2022 года — Контур.Экстерн

Курс, семинар, тренинг «Персональные данные: практика выполнения новых требований законодательства в 2022 г., ответственность за нарушения»

Требования к работе с персональными данными становятся все строже.

Федеральным законом от 30 декабря 2020 г. N 519-ФЗ установлены особенности обработки персональных данных (ПД), разрешенных их владельцем для распространения. Закон вступает в силу с 1 марта 2021 г., за исключением нормы о предоставлении оператору согласия на обработку ПД, разрешенных для распространения, через информсистему уполномоченного органа. Данное положение применяется с 1 июля 2021 г.

В феврале 2021 года Госдума приняла в первом чтении поправки в закон «О персональных данных», которые позволяют гражданам давать согласие на обработку персональных данных сразу для нескольких целей и несколькими лицами. В случае принятия во втором и третьем чтениях законопроект вступит в силу через полгода после публикации.

В два раза увеличиваются штрафы за нарушение правил обработки персональных данных. В 2021 году во втором чтении был принят законопроект. Изменения предлагается внести в статью 13.11.

Шокирующие размеры штрафов заставляют задуматься о правильности работы процесса сбора, хранения и обработки ПД в организации.

Также 30 декабря 2020 года подписан Федеральный закон, направленный на комплексное урегулирование вопросов, связанных с функционированием и использованием единой биометрической системы и иных информационных систем, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц. Теперь некоторые организации наделяются правом использовать информацию, полученную из единой биометрической системы.

8 Декабря 2020 г. подписан Федеральный закон от 08.12.2020 № 407-ФЗ

«О внесении изменений в ТК РФ в части регулирования дистанционной (удаленной) работы и временного перевода работника на дистанционную (удаленную) работу по инициативе работодателя в исключительных случаях». С 1 января 2021 года кадровикам необходимо по-новому взаимодействовать с удаленщиками, что внесло значительные изменения и в работу с персональными данными.

При этом законодательство по персональным данным продолжает активно меняться и в связи с цифровой трансформацией экономики. 24 апреля 2020 г

. внесены изменения в статьи 6 и 10 Федерального закона «»О персональных данных» в связи с проведением эксперимента по разработке и внедрению систем искусственного интеллекта. В закон №152-ФЗ хотят внести порядок обезличивания информации — после этого нельзя будет определить, кому именно принадлежат данные.

Минэкономразвития России предложило не применять отдельные требования законодательства о персональных данных, если обработка таких данных производится в рамках экспериментальных правовых режимов. ФЗ от 31 июля 2020 г. № 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации» вступит в силу уже 28 января 2021 года и может повлечь за собой извлечение из законодательства целого пласта норм по персональным данным.

Семинар ориентирован на руководителей и сотрудников подразделений, в ведении которых находится организация обработки персональных данных, руководителей кадровых служб предприятий, юристов.

Выдается Свидетельство об участии в семинаре

Скидка 10% (при участии более одного слушателя от организации)

1. Персональные данные vs Big

Data vs Обезличенные данные – действующее регулирование, новые тенденции в законодательстве, интересные кейсы.

2. Персональные данные во Всемирной паутине. Обработка персональных данных со «своего» сайта и с чужих: в чём разница? Общедоступные персональные данные – что изменилось в связи с принятием ФЗ от 30.12.2020 № 519-ФЗ? Что делать операторам персональных данных?

3. Обработка персональных данных КЛИЕНТОВ И РАБОТНИКОВ

• Система организационно-распорядительной документации в области персональных данных
• Составление согласий на обработку персональных данных. Использование иных оснований для обработки персональных данных: разбор типовых ситуаций

4. Информационная система персональных данных (ИСПДн)

• Система нормативных требований по защите ИСПДн: что нужно знать юристу и кадровику?
• Как выполнить требование о локализации баз персональных данных в России (242-ФЗ)? Использование облачных и иностранных ИСПДн на территории России

5. Сделки с персональными данными. Трансграничная передача персональных данных. Персональные данные как бизнес-актив. Основные правила и способы передачи данных. Планирование международных проектов в области персональных данных. Договор на поручение обработки персональных данных: очевидные и неочевидные условия, порядок согласования с подрядчиками, практические примеры.

Передача персональных данных другому оператору для самостоятельной обработки: договорное сопровождение, сложности и типовые кейсы

6. Требования GDPR на территории РФ: кого они касаются, что делать оператору и контролеру?

7. Административная и дисциплинарная ответственность за нарушения законодательства, регламентирующего вопросы использования персональных данных.

Типичные несоответствия и ошибки при выполнении требований законодательства. Виды ответственности за разглашение и незаконную обработку персональных данных. Наказания и увольнения работников за разглашение персональных данных.

8. Проверки Роскомнадзора: особенности организации и проведения. Мероприятия по систематическому наблюдению. Новые способы и методы проведения проверки; доведение результатов. Виды надзорных мероприятий. Порядок организации и проведения плановых и внеплановых проверок. Сопровождение плановой надзорной проверки шаг за шагом: эффективная подготовка; участие в надзорных мероприятиях; предписание об устранении выявленных нарушений; обжалование действий Роскомнадзора.

Разбор практических примеров и сложностей.

1. Персональные данные vs Big Data vs Обезличенные данные – действующее регулирование, новые тенденции в законодательстве, интересные кейсы.

2. Персональные данные во Всемирной паутине.

Обработка персональных данных со «своего» сайта и с чужих: в чём разница? Общедоступные персональные данные – что изменилось в связи с принятием ФЗ от 30.12.2020 № 519-ФЗ? Что делать операторам персональных данных?

3. Обработка персональных данных КЛИЕНТОВ И РАБОТНИКОВ

• Система организационно-распорядительной документации в области персональных данных
• Составление согласий на обработку персональных данных. Использование иных оснований для обработки персональных данных: разбор типовых ситуаций

4.

Информационная система персональных данных (ИСПДн)

• Система нормативных требований по защите ИСПДн: что нужно знать юристу и кадровику?
• Как выполнить требование о локализации баз персональных данных в России (242-ФЗ)? Использование облачных и иностранных ИСПДн на территории России

5. Сделки с персональными данными. Трансграничная передача персональных данных. Персональные данные как бизнес-актив. Основные правила и способы передачи данных. Планирование международных проектов в области персональных данных. Договор на поручение обработки персональных данных: очевидные и неочевидные условия, порядок согласования с подрядчиками, практические примеры. Передача персональных данных другому оператору для самостоятельной обработки: договорное сопровождение, сложности и типовые кейсы

6. Требования GDPR на территории РФ: кого они касаются, что делать оператору и контролеру?

7. Административная и дисциплинарная ответственность за нарушения законодательства, регламентирующего вопросы использования персональных данных. Типичные несоответствия и ошибки при выполнении требований законодательства. Виды ответственности за разглашение и незаконную обработку персональных данных. Наказания и увольнения работников за разглашение персональных данных.

8. Проверки Роскомнадзора: особенности организации и проведения. Мероприятия по систематическому наблюдению. Новые способы и методы проведения проверки; доведение результатов. Виды надзорных мероприятий. Порядок организации и проведения плановых и внеплановых проверок. Сопровождение плановой надзорной проверки шаг за шагом: эффективная подготовка; участие в надзорных мероприятиях; предписание об устранении выявленных нарушений; обжалование действий Роскомнадзора. Разбор практических примеров и сложностей.

1. Персональные данные vs Big Data vs Обезличенные данные – действующее регулирование, новые тенденции в законодательстве, интересные кейсы.

2. Персональные данные во Всемирной паутине. Обработка персональных данных со «своего» сайта и с чужих: в чём разница? Общедоступные персональные данные – что изменилось в связи с принятием ФЗ от 30.12.2020 № 519-ФЗ? Что делать операторам персональных данных?

3. Обработка персональных данных КЛИЕНТОВ И РАБОТНИКОВ

• Система организационно-распорядительной документации в области персональных данных
• Составление согласий на обработку персональных данных. Использование иных оснований для обработки персональных данных: разбор типовых ситуаций

4. Информационная система персональных данных (ИСПДн)

• Система нормативных требований по защите ИСПДн: что нужно знать юристу и кадровику?
• Как выполнить требование о локализации баз персональных данных в России (242-ФЗ)? Использование облачных и иностранных ИСПДн на территории России

5. Сделки с персональными данными. Трансграничная передача персональных данных. Персональные данные как бизнес-актив. Основные правила и способы передачи данных. Планирование международных проектов в области персональных данных. Договор на поручение обработки персональных данных: очевидные и неочевидные условия, порядок согласования с подрядчиками, практические примеры. Передача персональных данных другому оператору для самостоятельной обработки: договорное сопровождение, сложности и типовые кейсы

6. Требования GDPR на территории РФ: кого они касаются, что делать оператору и контролеру?

7. Административная и дисциплинарная ответственность за нарушения законодательства, регламентирующего вопросы использования персональных данных. Типичные несоответствия и ошибки при выполнении требований законодательства. Виды ответственности за разглашение и незаконную обработку персональных данных. Наказания и увольнения работников за разглашение персональных данных.

8. Проверки Роскомнадзора: особенности организации и проведения. Мероприятия по систематическому наблюдению. Новые способы и методы проведения проверки; доведение результатов. Виды надзорных мероприятий. Порядок организации и проведения плановых и внеплановых проверок. Сопровождение плановой надзорной проверки шаг за шагом: эффективная подготовка; участие в надзорных мероприятиях; предписание об устранении выявленных нарушений; обжалование действий Роскомнадзора. Разбор практических примеров и сложностей.

Соглашение на обработку персональных данных

Утверждено Решением № 2/П от «17» марта 2020 г. ООО «Центр Света»

Общие положения

1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 года, а также иных нормативно-правовых актов Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Данные), которые Общество с ограниченной ответственностью «Центр Света» (далее по тексту — Оператор) может получить от субъекта персональных данных.
2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных документов уполномоченных органов.
3. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
4. В целях реализации настоящей Политики Оператор разрабатывает соответствующие локальные нормативные акта и иные документы. Настоящая Политика является основой для разработки Оператором локальных нормативных актов.

Принципы и цели разработки персональных данных

1. Обработка персональных данных Оператор осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основании следующих принципов:

— обработка персональных данных осуществляется на законной и справедливой основе;

— обработка персональных данных ограничивается достижением конкретных, заранее определенных целей;

— не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

— не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

— обработке подлежат только персональные данные, которые отвечают целям их обработки;

— содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность персональных данных по отношению к заявленным целям их обработки;

— при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность к целям обработки персональных данных;

— обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральных законом.

2. Персональные данные обрабатываются в целях:

— осуществления клиентской поддержки, осуществления обратной связи с клиентами, получение отзывов и предложений о функционировании сайта, работе Оператора и его партнеров, а также участия субъекта персональных данных в проводимых Оператором рекламных, маркетинговых и иных программах и акциях;

— осуществления исследований, направленных на улучшение качества предоставляемых Оператором и партнерами Оператора услуг и/или реализуемых Оператором и партнерами Оператора товаров, проведения маркетинговых и/или статистических и/или иных исследований, продвижения товаров, работ, услуг;

— информирования субъекта персональных данных о новых товарах, специальных предложениях и рекламных акциях, системах скидок и бонусов, проведения новостной рассылки, информирования о статусе исполнения заказа с помощью различных средств связи, включая (без ограничений) почтовую рассылку, сеть Интернет, рассылку на адрес электронной почты субъекта персональных данных, мобильный и (если применимо) стационарный телефон субъекта персональных данных соответствующей информации, в том числе информации, соответствующей понятию рекламы в смысле ст. 3 ФЗ № 38-ФЗ «О рекламе»;

— заключения и исполнения договоров розничной купли-продажи;

— обработка размещенных субъектом (в том числе в рамках осуществления Оператором, партнерами Оператора дистанционной торговли) заказов на приобретение товаров, а также доставка товаров и грузов субъекту персональных данных.

3. Перечень персональных данных, обрабатываемых Оператором, включает в себя:

— фамилию, имя, отчество субъекта персональных данных;

— номер мобильного и (если применимо) стационарного телефона субъекта персональных данных;

— адрес электронной почты субъекта персональных данных;

— место проживания субъекта персональных данных.

Условия обработки персональных данных

1. Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством РФ в области персональных данных;
2. Все персональные данные Оператор получает от самого субъекта. Если персональные данные субъекта можно получить только у третьей стороны, то Субъект должен быть уведомлен об этом и от него должно быть получено согласие.
3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при из обработке, а также требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
4. Оператор вправе передавать персональные данные, полученные от субъекта персональных данных, исключительно для реализации целей, установленных п. 2. 2. настоящей Политики следующим третьим лицами: ООО «Центр Света» (ИНН 6950139065), ООО «Эдисон» (ИНН 3123176962), ООО «Эдисон» (ИНН 3327115090), ООО «Эдисон» (ИНН 3525164036), ООО «Эдисон» (ИНН 6234041074), ООО «Эдисон» (ИНН 6950123280), ООО «Эдисон» (ИНН 7107531350). Передача персональных данных иным лицам возможна только на основании дополнительного согласия субъекта персональных данных.

Права субъектов персональных данных

4.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

— подтверждение факта обработки персональных данных Оператором;

— правовые основания и цели обработки персональных данных;

— цели и применяемые Оператором способы обработки персональных данных;

— наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

— сроки обработки персональных данных, в том числе сроки их хранения;

— порядок осуществления субъектом персональных данных прав, предусмотренных Федерального закона от 27. 07.2006 N 152-ФЗ «О персональных данных»;

— информацию об осуществленной или о предполагаемой трансграничной передаче данных;

— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

— иные сведения, предусмотренные законодательством РФ.

4.2. Субъект персональных данных вправе требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; отозвать свое согласие на обработку персональных данных; требовать устранения неправомерных действий Оператора в отношении его персональных данных, защищать свои права и законные интересы, в том числе на возмещение убытков и/или компенсацию морального вреда в установленном законом порядке.

Обеспечение безопасности персональных данных

1. В соответствии с требования законодательства РФ Оператором создана система защиты персональных данных.

2. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. К таким мерам по обеспечению безопасности персональных данных в соответствии с Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», в частности, относятся:

— назначение Оператором лица из числа сотрудников Оператора, ответственного за организацию обработки персональных данных;

— обучение сотрудников Оператора непосредственно осуществляющих обработку персональных данных, положениям законодательства Российской Федерации о персональных данных, в том числе требованиям к защите персональных данных, ознакомление с документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;

— определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

— применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

— осуществление антивирусного контроля, предотвращение внедрения вредоносных программ (программ-вирусов) и программных закладок;

— применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

— оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

— обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по недопущению подобных инцидентов в дальнейшем;

— восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— установление правил доступа к персональным данным, обрабатываемым в информационной систем персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

— контроль над принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

Заключительные положения

1. Оператор, а также его должностные лица и сотрудники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.
2. Действующая редакция хранится в электронном виде на сайте по адресу: https://www.edisonlight.ru/, https://эдисонсвет.рф.

Блог | Вне ГК | персональные данные

Многие штаты борются с проблемами конфиденциальности и рассматривают возможность принятия законодательства о конфиденциальности данных из-за отсутствия всеобъемлющего федерального закона о защите данных. Эти усилия в значительной степени подпитываются потребителями, настаивающими на защите конфиденциальности данных перед лицом расширенного использования и продажи личных данных предприятиями. После недавнего принятия закона о конфиденциальности в Коннектикуте 5 штатов (Калифорния, Колорадо, Коннектикут, Юта и Вирджиния) теперь имеют законы о конфиденциальности. По меньшей мере 13 штатов и округ Колумбия в настоящее время рассматривают законодательство о конфиденциальности, а еще 15 штатов рассматривали, но не приняли законодательство о конфиденциальности в прошлом году.

Продолжить чтение

Новый коронавирус перевернул бизнес-операции в глобальном масштабе, и продолжают предприниматься усилия по смягчению последствий, чтобы помочь организациям остаться на плаву во время этой беспрецедентной пандемии. 19 марта Европейский совет по защите данных (EDPB), неофициальная рабочая группа, состоящая из представителей каждого из национальных органов по защите данных в ЕС, опубликовала заявление о деятельности по обработке данных во время этого кризиса в области общественного здравоохранения, подчеркнув, что, хотя защита данных правила не должны мешать борьбе с COVID-19, по-прежнему крайне важно, чтобы были предприняты определенные предписанные шаги для обеспечения защиты персональных данных.

Продолжить чтение

Первый в своем роде в США Калифорнийский закон о конфиденциальности потребителей от 2018 года (CCPA) обещает стать одним из самых амбициозных законов о конфиденциальности в мире; и с 17 дополнительными штатами, которые до сих пор следуют его примеру, защита конфиденциальности данных, наконец, достигает своего дня в Соединенных Штатах. С 1 января 2020 года CCPA вступит в силу уже следующей весной. В частности, закон вступит в силу либо 1 июля 2020 года, либо через 6 месяцев с даты выпуска окончательных постановлений, в соответствии с руководящими указаниями генерального прокурора Калифорнии (ожидается, что в середине сентября).

Продолжить чтение

Другим штатам не потребовалось много времени, чтобы последовать примеру Калифорнии в обеспечении строгой защиты конфиденциальности данных для своих жителей. Хотя в этом году штату Нью-Йорк не удалось принять собственную версию Калифорнийского закона о защите прав потребителей (CCPA), закон, расширяющий протоколы уведомления об утечке данных, был подписан губернатором Эндрю Куомо 25 июля 2019 г. ¹. Закон SHIELD (Закон о прекращении взломов и повышении безопасности электронных данных) сигнализирует о растущей тенденции в США к усилению защиты конфиденциальности данных после громких утечек данных путем принятия более всеобъемлющих и обязательных к исполнению правил.

Продолжить чтение

Несмотря на глобальную тревогу, предшествовавшую дате вступления GDPR в силу, по-видимому, было мало новостей о мерах по обеспечению соблюдения требований в отношении предприятий, не соблюдающих требования. Но реальность такова, что регулирующие органы ЕС были очень заняты работой за кулисами. По состоянию на февраль 2019 года в национальные органы ЕС по защите данных («DPA») было подано около 100 000 претензий в соответствии с GDPR, многие из которых касались телемаркетинга и рекламных электронных писем. Точно так же DPA было сообщено о чуть более 40 000 утечек данных; и было инициировано 255 расследований трансграничной обработки данных в ЕС, в основном в результате жалоб, поданных отдельными лицами.

Продолжить чтение

Американские компании, обрабатывающие персональные данные резидентов ЕС, теперь должны быть ознакомлены с требованиями Общего регламента по защите данных (GDPR), нового закона о защите данных, охватывающего все страны ЕС, который вступил в силу 25 мая 2018 года. Новости о GDPR было много, включая собственные оповещения Outside GC. Однако соблюдение законов ЕС о конфиденциальности не заканчивается этим положением. Существуют и другие законы ЕС, охватывающие вопросы конфиденциальности за пределами GDPR, такие как Директива о конфиденциальности в Интернете 2002/58/EC от 2002 г. (также известная как «Директива о файлах cookie») и «национальные отступления» отдельных государств-членов ЕС. законы, которые налагают дополнительные обязанности на компании США, которые используют персональные данные своих резидентов в рамках своей коммерческой деятельности.

Продолжить чтение

Будущее ЕС-США. Механизм обмена данными Privacy Shield в лучшем случае шаткий. 12 июня 2018 г. Комитет Европейского парламента по гражданским свободам, правосудию и внутренним делам (LIBE) принял резолюцию, призывающую к приостановке действия Privacy Shield, , если только США не продемонстрируют полное соблюдение требований программы. к 1 сентября 2018 года. А сегодня по рекомендации LIBE сам парламент проголосовал 303 против 223 (при 29воздержавшихся) в пользу приостановки, «если только США не будут полностью соблюдать» до 1 сентября.

Европейский парламент предпринял это действие в ответ на ряд недавних утечек данных, затронувших Privacy Shield Certified-U.S. компаний, вызывая опасения по поводу эффективности регуляторного надзора за системой, а также достаточности сертификационных требований Shield, которые призваны защищать персональные данные резидентов ЕС. В случае приостановки сертифицированные американские компании больше не смогут использовать преимущества, предоставляемые им Privacy Shield, что заставит их искать новые механизмы соответствия, с помощью которых можно передавать данные из ЕС, чтобы удовлетворить требования GDPR.

Продолжить чтение

работников Калифорнии получат новые права на конфиденциальность данных в 2023 году: готов ли ваш бизнес?

29 ноября 2022 г.

В преддверии Нового года для предприятий, в которых работают жители Калифорнии, будут приняты новые важные обязательства по обеспечению конфиденциальности данных. Хотя регулирующие органы штатов начнут применять его с 1 июля 2023 года, новый Калифорнийский закон о правах на конфиденциальность (CPRA) вносит поправки в Калифорнийский закон о конфиденциальности потребителей (CCPA), вступающие в силу 1 января 2023 года, требуя от компаний, подпадающих под действие CCPA, расширять права на конфиденциальность личной информации. своим работникам (прошлым и настоящим), офицерам, директорам, медицинскому персоналу, независимым подрядчикам и соискателям. ¹ Это означает, что предприятия должны будут предоставить уведомление и политику конфиденциальности, касающиеся сбора, использования и передачи личной информации, а также предоставить этим лицам право запрашивать копии, исправление и удаление их личной информации, среди прочих прав. Это изменение значительно расширяет права работников на неприкосновенность частной жизни и увеличивает обязанности компаний, в которых работают работники из Калифорнии. С этим изменением Калифорния станет первым штатом, который распространит права на конфиденциальность данных потребителей на работников, в отличие от законов о конфиденциальности данных, принятых в прошлом году в Колорадо, Коннектикуте, Юте и Вирджинии, каждый из которых навсегда освобождает личную информацию работников от их требования.

Компании, сотрудники которых являются резидентами Калифорнии, должны подготовиться к вступлению этих изменений в силу, приняв меры для определения, организации и установления процессов ответа на запросы относительно личной информации их работников и соискателей, пересмотра своих соглашений с третьими сторонами и пересмотреть уведомления о сборе данных и политику конфиденциальности, чтобы обеспечить их соответствие к 1 января. кандидаты на работу, рабочие, должностные лица, директора, независимые подрядчики и медицинские работники в той степени, в которой личная информация собирается и используется бизнесом исключительно в контексте текущей или прежней деловой роли человека. Единственным положением, которое конкретно применялось к личной информации работника, было обязательство предоставить «уведомление о сборе», в котором перечислялись категории собираемой личной информации, цель сбора и источник собираемой личной информации. Первоначально предполагалось, что срок действия исключения истечет 1 января 2022 года. Однако в 2021 году избиратели Калифорнии одобрили Предложение 24, в соответствии с которым был принят Калифорнийский закон о правах на неприкосновенность частной жизни (CPRA) и продлено действие освобождения работников до 1 января 2023 года. Хотя был внесен законопроект 1102 Ассамблеи в Законодательном собрании Калифорнии в начале этого года о продлении действия исключения до 1 января 2025 года законопроект так и не был представлен на голосование во время очередной сессии Законодательного собрания, а это означает, что срок действия исключения истекает в конце этого года. Следовательно, начиная с 1 января 2023 г. предприятия с работниками из Калифорнии должны будут отвечать на запросы своих работников о конфиденциальности данных, ссылаясь на одно или несколько прав, описанных ниже.

Кто должен соблюдать права на конфиденциальность данных работников

Предприятие должно выполнять требования о конфиденциальности данных работников, начиная с января, если компания является коммерческой организацией, которая ведет бизнес в Калифорнии, собирает и определяет цель и средства обработки личных данных работников информацию и отвечает одному из следующих пороговых значений для применения CCPA: (a) валовой годовой доход предприятия за предыдущий календарный год превышает 25 миллионов долларов США (с поправкой на инфляцию), (b) предприятие ежегодно покупает, получает, делится, или продает личную информацию более чем 100 000 потребителей или домохозяйств Калифорнии, или (c) бизнес получает не менее 50 процентов своего годового дохода от продажи или обмена личной информацией жителей Калифорнии. Если бизнес не подпадает под существующие требования CCPA, он также не подпадает под действие CPRA.

Новые права работников на конфиденциальность данных

В соответствии с CCPA с изменениями, внесенными CPRA, работники будут иметь расширенные права в отношении сбора, использования и раскрытия их личной информации (перечисленной ниже). Предприятия должны ответить на следующие запросы о конфиденциальности данных работников в течение 45 дней (этот срок может быть продлен до 90 дней «с учетом сложности и количества запросов»). Для бизнеса будет важно оценить, в какой степени у него есть основания для отказа или ограничения своего ответа на эти запросы. Предприятия могут отклонить запрос работника, если ответ «окажется невозможным или повлечет за собой несоразмерные усилия», но предприятие, которое не внедрило адекватные процессы и процедуры для получения и обработки запросов, не может утверждать, что ответ на запрос потребителя требует несоразмерных усилий, поскольку определены в нормативных актах. Отказ также может быть оправдан в той мере, в какой это необходимо для выполнения юридических обязательств, осуществления или защиты правовых требований или сотрудничества с правоохранительным органом.

• Право знать, какая личная информация собирается, продается и передается: Работники могут запрашивать как категории, так и конкретные части личной информации, которую компания собирает о работнике, а также цель сбора и продажи, если применимый. Предприятие может отклонить или ограничить объем запроса в той мере, в какой он ищет эту информацию, собранную и хранимую до 1 января 2022 года, или если она «явно необоснованна или чрезмерна, в частности, из-за их повторяющегося характера». Но если бизнес отклоняет запрос, бизнес должен предоставить работнику подробное объяснение своего отказа. Право на информацию более обширно, чем право на удаление, оно распространяется на всю личную информацию, хранящуюся в компании, а не только на информацию, полученную от работника. Это означает, что бизнес должен быть готов к сбору самой разнообразной информации, если работник запрашивает всю свою личную информацию.
• Право на удаление личной информации: Работник может потребовать, чтобы компания удалила личную информацию, «полученную от» работника, за некоторыми исключениями. Предприятиям не нужно удалять личную информацию о работниках, собранную из источников, отличных от работника, или сгенерированную предприятием. Предприятия могут отклонить запрос, если личная информация необходима в контексте трудовых отношений или необходима для выполнения юридических обязательств предприятия. Например, Трудовой кодекс Калифорнии, § 119.8.5 требует, чтобы предприятия сохраняли определенные записи в течение трех лет после увольнения работника. Аналогичное требование применяется к платежным ведомостям в соответствии с §226(a) Трудового кодекса штата Калифорния. Таким образом, для соблюдения этих и любых других применимых положений бизнесу не нужно удалять такие записи по запросу работника.
• Право на исправление неточной личной информации: Работники могут потребовать от предприятия исправить неверную личную информацию. При оценке точности рассматриваемой личной информации компания должна учитывать «совокупность обстоятельств», связанных с оспариваемой личной информацией, и прикладывать «коммерчески разумные усилия», если необходимы исправления. Предприятие может потребовать от работника предоставить документацию, подтверждающую запрошенное исправление, и может удалить информацию вместо ее исправления, если удаление не повлияет негативно на работника.
• Право отказаться от продажи или обмена личной информацией: Работники могут потребовать, чтобы компания не продавала или не раскрывала личную информацию работника. Продажа личной информации в широком смысле включает практически любую передачу личной информации третьей стороне за денежное или иное ценное вознаграждение. Обмен информацией определяется как передача личной информации третьей стороне для кросс-контекстной поведенческой рекламы, независимо от того, за денежное или другое ценное вознаграждение. Предприятиям следует оценить, может ли их передача информации о работниках поставщикам кадровых ресурсов и другим организациям считаться продажей. Кроме того, предприятия должны оценить свои текущие соглашения с такими поставщиками, чтобы убедиться, что они соответствуют предлагаемым правилам в соответствии с CPRA, требующим, чтобы такие контракты имели определенную защиту.
• Право на ограничение использования и раскрытия конфиденциальной личной информации: Работники могут потребовать, чтобы компания ограничила раскрытие и использование их конфиденциальной личной информации теми видами использования, которые, по мнению среднего работника, разумно необходимы для поддержания трудовых отношений. Конфиденциальная личная информация — это новая категория информации в CPRA, которая включает обработку биометрической информации с целью однозначной идентификации работника, личную информацию, собранную и проанализированную в отношении здоровья, сексуальной жизни или сексуальной ориентации работника, а также любую личную информацию, которая может раскрывает определенную личную информацию, включая социальное обеспечение работника, водительские права, государственное удостоверение личности или номер паспорта; информация о финансовом счете и учетные данные доступа, точная геолокация, расовое или этническое происхождение, религиозные или философские убеждения, членство в профсоюзе, содержание сообщений работника или генетические данные. Это ограничение применяется только к предприятиям, которые собирают и используют конфиденциальную личную информацию для определения характеристик сотрудников.
• Право на защиту от дискриминации или репрессалий: Работники имеют право пользоваться перечисленными выше правами на конфиденциальность данных без дискриминации или репрессалий со стороны бизнеса. Например, компания не может наказать или уволить работника за законный запрос CCPA.

Новые требования к уведомлению о сборе и политике конфиденциальности

В соответствии с CPRA предприятия должны предоставлять своим работникам как (a) уведомление о сборе в момент или до момента сбора их личной информации; и (b) политика конфиденциальности, описывающая личную информацию, собранную за последние 12 месяцев, объясняющая права работников в соответствии с CCPA и способы их реализации. CPRA требует, чтобы уведомление о сборе содержало больше, чем его предшественник CCPA. А именно, бизнес должен информировать работников о (1) категории личной информации, собираемой или используемой, цели, для которых они собираются, и продается ли эта информация или передается; (2) категорий конфиденциальной личной информации, собранной , цели, для которых эта информация собирается или используется, и продается ли эта информация или передается; и (3) период времени, в течение которого компания намерена хранить каждую категорию личной информации, или, если это невозможно, критерии, используемые для определения этого периода. Компании не могут хранить личную информацию дольше, чем это разумно необходимо для достижения раскрытой цели, для которой она была собрана.

Соглашения об обработке данных

CPRA расширяет требования к соглашениям об обработке данных (DPA), заключенным между бизнесом и третьими сторонами, включая поставщиков, которые обрабатывают персональные данные работников и соискателей. В соответствии с CPRA бизнес, который продает или передает личную информацию потребителя (или работника) поставщику услуг, подрядчику или третьей стороне (любой другой организации, которой бизнес передает личную информацию), должен заключить соглашение с этой организацией « для деловых целей», который включает следующие требования:

• Указывает, что личная информация продается или раскрывается компанией только для ограниченных и определенных целей.
• Обязывает третью сторону, поставщика услуг или подрядчика соблюдать применимые обязательства по этому разделу и обязывает этих лиц обеспечивать такой же уровень защиты конфиденциальности, как требуется по этому разделу.
• Предоставляет бизнес-права предпринимать разумные и надлежащие шаги для обеспечения того, чтобы третья сторона, поставщик услуг или подрядчик использовали переданную личную информацию в соответствии с обязательствами бизнеса в соответствии с этим заголовком.
• Требует, чтобы третья сторона, поставщик услуг или подрядчик уведомляли компанию, если она определила, что больше не может выполнять свои обязательства по этому разделу.
• Предоставляет компании право после уведомления предпринимать разумные и надлежащие меры для прекращения и устранения несанкционированного использования личной информации.

Правоприменение

Генеральный прокурор Калифорнии и Калифорнийское агентство по защите конфиденциальности (CPPA) обладают совместными полномочиями по обеспечению соблюдения CCPA с поправками, внесенными CPRA. CPRA не вносит изменений в ограниченное частное право действовать, доступное потребителям (включая работников), чья личная информация является предметом нарушения безопасности. Помимо этого ограниченного частного средства правовой защиты, либо Генеральный прокурор, либо CPPA могут возбудить административные иски о взыскании административных штрафов в размере 2500 долларов США за нарушение или 7500 долларов США за преднамеренное нарушение, связанное с личной информацией потребителя, которому, как известно бизнесу, не исполнилось 16 лет. Генеральный прокурор дал понять, что его офис намерен продолжать активно применять CCPA. 24 августа 2022 года Генеральная прокуратура объявила о первом урегулировании принудительных действий CCPA, требуя от розничной косметической компании выплатить штраф в размере 1,2 миллиона долларов для устранения обвинений в нарушении требования CCPA о раскрытии продажи личной информации и требования о разрешении. потребителям отказаться от продажи их личной информации.

Правоприменительные возможности Генерального прокурора будут усилены после истечения срока действия положений закона об уведомлении и исправлении. CCPA требует, чтобы бизнес, предположительно нарушающий CCPA, был уведомлен о предполагаемом нарушении и имел 30 дней на его устранение. Срок действия этого положения об уведомлении и исправлении истекает 1 января 2023 года. Хотя применение положений CPRA не начнется до 1 июля 2023 года, генеральный прокурор и CPPA будут уполномочены возбуждать гражданские иски для обеспечения соблюдения мандатов статута, не давая предприятиям времени на исправление. предполагаемые нарушения. По этой причине предприятия должны убедиться, что они соблюдают требования к 1 января 2023 года, если это возможно, и, конечно же, не позднее 1 июля 2023 года, когда вступит в силу правоприменение.

Практические шаги по подготовке

Предприятиям следует предпринять несколько шагов, чтобы подготовиться к изменениям, которые вступят в силу в январе.

• Предприятия должны провести инвентаризацию своих данных о найме и работниках, чтобы определить, какие типы информации будут подпадать под действие расширенных требований к уведомлению и прав на конфиденциальность. Идентификация любой личной информации, считающейся конфиденциальной личной информацией, особенно важна. Процесс инвентаризации может потребовать рассмотрения данных, хранящихся в системах отдельно от тех, которые хранят данные о продажах и клиентах, а также информацию, хранящуюся и собираемую поставщиками услуг.
• Предприятиям следует пересмотреть свою политику на предмет соответствия CPRA и требованиям проекта правил CPPA, который, скорее всего, будет готов к концу года.
• Предприятия должны установить или пересмотреть письменные политики и процедуры для управления запросами информации от кандидатов на работу и работников и оценить юридические и другие обязательства, которые оправдывают отказ или ограниченный ответ на эти запросы. Это может включать разработку стандартной формы, веб-формы или создание других каналов для запросов работников и заявителей и ответов бизнеса.
• Предприятиям следует проверить, продаются ли, передаются или раскрываются данные о найме и работниках сторонним организациям и каким образом, и понимать роль, которую соглашения о защите данных играют в регулировании этих передач.
• При необходимости компаниям следует уточнить обязанности поставщиков в рамках DPA, чтобы требовать быстрой, точной и тщательной помощи с запросами прав на данные в отношении личной информации, хранящейся или обрабатываемой поставщиком.

---

¹  Для простоты мы обозначаем все эти категории термином «работник». Хотя мы сосредоточены на том, как эти изменения CCPA применяются в контексте бизнес-работников, права на конфиденциальность данных, которые мы здесь обсуждаем, могут осуществляться всеми потребителями в Калифорнии.

---

Этот меморандум является кратким изложением только для общей информации и обсуждения и может рассматриваться как реклама в определенных целях. Это не полный анализ представленных вопросов, на него нельзя полагаться в качестве юридической консультации, и он не претендует на то, чтобы представлять точку зрения наших клиентов или Фирмы. Рэндалл В. Эдвардс, партнер О’Мелвени, имеющий лицензию на юридическую практику в Калифорнии, Скотт У.