Персональные данные закон: Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция)

Госдума смягчила закон «О персональных данных»

Поправки в закон № 152 «О персональных данных» приняли сегодня в третьем, окончательном, чтении депутаты Госдумы. Документ определяет случаи обработки персональных данных, а также сроки предоставления оператором информации по запросу гражданина. С текстом документа можно ознакомиться в СПС «Право.Ru» здесь.

Отметим, что закон № 152 был принят еще в 2006 году, но из-за многочисленных отсрочек все его положения вступили в силу только 1 июля 2011 года. Полное вступление в силу закона №152 неоднократно откладывалось в связи с тем, что вовремя не были подготовлены соответствующие подзаконные акты, а операторы персональных данных были не готовы к выполнению новых требований.

С 2009 года в стенах Госдумы находился законопроект, предусматривающий изменения в текст закона №152. Работа над поправками завершилась только в июне 2011 года. Как отмечал на июньском заседании думского комитета по конституционному законодательству и госстроительству его глава Владимир Плигин, это «компромиссный, выверенный вариант» законопроекта.

Однако, судя по всему, работа над  поправками в действующий закон продолжится. На заседании думского комитета представитель Роскомнадзора отмечал, что к законопроекту есть ряд замечаний. В частности, он обратил внимание на 30-дневный срок предоставления оператором информации по запросу уполномоченного органа по защите прав субъектов персональных данных. По его словам, на сегодняшний день реальный срок ответа составляет 50-60 дней. Однако по статье 13.11 КоАП РФ (Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)) срок давности составляет всего три месяца. В связи с этим чиновник предлагал либо увеличить срок давности по статье 13.11 КоАП РФ, либо передать им функции по рассмотрению этих дел. При этом представитель Роскомнадзора подчеркивал, что рассматривать такие дела будут государственные инспекторы, и дополнительное финансирование не потребуется.

Плигин предложил подготовить поправку, которая будет рассмотрена при осуждении сопутствующего, второго законопроекта.

Принятый  в третьем чтении законопроект № 282499-5 «О внесении изменений в Федеральный закон «О персональных данных», конкретизирует определения таких понятий как «персональные данные», «оператор», «обработка персональных данных»…

Кроме того, расширяется перечень случаев, когда допускается обработка персональных данных гос номера автомобиля доступна база данных гибдд. Это допустимо с согласия субъекта на обработку его персональных данных; если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.  Обработка персональных данных допускается для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве; либо когда это необходимо для предоставления государственной или муниципальной услуги.

Обработка персональных данных допускается, если она необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.

Также законопроект закрепляет обязанности оператора при запросе субъекта персональных данных предоставлять ему в течение 30 дней информацию о наличии персональных данных, относящихся к нему, а также предоставить возможность ознакомления с ними. В случае отказа оператор обязан дать в письменной форме мотивированный ответ в срок, не превышающий тридцати дней со дня обращения.

Кроме того, оператор обязан в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные.

В ходе обсуждения законопроекта депутат от фракции «Справедливая Россия» Илья Пономарев назвал действующий закон «О персональных данных» одним из самых неудачных и одиозных законов. «С 2006 года тянется водевиль на фоне нескончаемых протестов участников рынка… Сначала мы создали невыполнимые условия принятым законом в 2006 году, весь рынок испугался, напрягся, но не стал его выполнять, потому что его выполнять было нельзя. Потом мы стали переносить сроки вступления его в силу. Создается впечатление, что сейчас, когда с 1 июля 2011 года он вступил в силу, его прочли в первый раз, и регулятор схватился за голову», — говорит депутат.

Он подчеркнул, что внесение поправок в очень плохой закон еще не говорит о том, что нам надо за эти поправки голосовать. «Мы по-прежнему придерживаемся той точки зрения, что закон этот надо отменить и переписать полностью заново», — подвел итог депутат.

Закон об «общедоступных персональных данных» подписан президентом

Президент РФ подписал закон, вводящий в законодательство понятие «персональные данные, разрешённые субъектом персональных данных для распространения» и дающий гражданину возможность изъять принадлежащие ему персональные данные (ПД) из категории общедоступных.

Законопроект в первоначальном виде, напомним, оперировал термином «общедоступные персональные данные».

Закон направлен на совершенствование механизмов защиты прав и свобод субъектов персональных данных в части, касающейся персональных данных, разрешенных ими для распространения. За исключением отдельных положений закон вступит в силу с 1 марта 2021 года.

Документом устанавливается правило, согласно которому согласие на обработку персональных данных, разрешенных субъектом ПД для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его ПД. При этом оператор персональных данных обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории ПД, указанной в согласии на обработку персональных данных, разрешенных субъектом ПД для распространения.

Предусматривается, что согласие субъекта персональных данных выступает в качестве исключительного правового основания для обработки его персональных данных, ставших общедоступными.

Такое согласие должно содержать перечень информационных ресурсов оператора персональных данных, на которых планируется размещать ПД, разрешённые для распространения. Устанавливается, что молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Предусматривается право субъекта ПД установить запрет на осуществление неограниченным кругом лиц обработки его ПД, разрешённых для распространения, (кроме получения доступа) или условия их обработки, а также устанавливается обязанность оператора персональных данных публиковать информацию об имеющихся условиях и запретах в отношении ПД, разрешенных для распространения.

Кроме того, предусматривается право субъекта персональных данных обратиться к любому лицу, обрабатывающему его персональные данные, с требованием удалить их из общего доступа без дополнительных условий.

ПЛЮС | FAQ по защите персональных данных

Давайте разберем ситуацию. Перво-наперво, почему возникает такой вопрос. Дело в том, что согласно закону , если сведения, которые характеризуют физиологические и биологические особенности человека (биометрические персональные данные), используются оператором для установления личности субъекта, то обязательно требуется его согласие, выраженное в письменной форме. Поэтому, заданный вопрос трансформируется в дилемму: «Надо или не надо брать письменное согласие субъекта на обработку биометрических персональных данных, если на объекте используется система видеонаблюдения?» А это уже нетривиальная задача, особенно когда на объекте имеется большое число посетителей, а камеры видеонаблюдения установлены в коридорах организации.

Вспомним также, что из определения, данного в законе, к биометрическим персональным данным относятся сведения, которые «характеризуют физиологические особенности человека и на основе которых можно установить его личность». Таким образом, закон оговаривает возможность, а не факт установления личности субъекта, то есть это не одно и то же, что «позволяют установить личность».

Между тем, сами по себе «физиологические особенности человека» – это объективная реальность, данная нам в ощущениях и присущая именно индивиду, а не его изображению или электронной форме записи этого изображения. Следовательно, любое изображение человека (в том числе и видеозапись, сделанная системой видеонаблюдения) содержит в себе биометрические персональные данные, так как оно объективно отражает физиологические особенности человека и их можно использовать для идентификации.

Обратим также внимание на то, что закон, не исключая вообще факта обработки биометрических персональных данных, накладывает особые условия их обработки (письменное согласие субъекта) только в одном конкретном случае: когда целью обработки биометрических данных является установление личности субъекта. В остальных случаях ограничений на обработку биометрических данных закон не накладывает. То есть, основным квалификационным признаком отнесения той или иной информационной системы под юрисдикцию статьи 11 Федерального закона № 152-ФЗ «О персональных данных», будет являться не сам факт обработки биометрических персональных данных, а факт их использования для идентификации субъекта.  

Использование систем видеонаблюдения, как правило, относится к компетенции служб безопасности объектов. При этом, как правило, такие системы относятся к системам охраны объектов и предназначаются для общего наблюдения за обстановкой на объекте, обнаружения каких-либо фактов нарушения установленного на объекте режима безопасности и фиксации (в том числе автоматически, без участия оператора) таких фактов для последующего ретроспективного контроля видеообстановки на охраняемом объекте. То есть, сама по себе система видеонаблюдения не используется непосредственно для идентификации субъекта по его биометрическим данным.

Следовательно, системы видеонаблюдения, предназначенные для контроля обстановки на объекте, не подпадают под юрисдикцию статьи 11 Федерального закона № 152-ФЗ «О персональных данных», так как не используют биометрические данные для идентификации субъекта персональных данных.

Теперь предположим, что на объекте произошел факт нарушения установленного режима безопасности с участием одного или нескольких субъектов, который был зафиксирован системой видеонаблюдения. Для принятия мер к нарушителям по данному факту необходимо установить личности субъектов его совершивших, то есть необходимо идентифицировать субъектов по физиологическим особенностям, зафиксированным на видеозаписи системы видеонаблюдения. Все действия по установлению причастных к факту нарушения проводятся в рамках процедуры расследования инцидента. Примем во внимание, что факт нарушения режима безопасности является противоправным действием (иначе зачем принимать какие-то меры в отношении субъекта?), а субъект в этом случае является подозреваемым (его вину надо еще доказать!). Поэтому, такое расследование будет ни что иное, как дознание. А это уже категория Уголовно-процессуального или Административного процессуального Кодексов РФ. Именно в ходе дознания проводится сбор и проверка материалов по факту совершенного противоправного действия. Именно в ходе дознания уполномоченные лица с привлечением экспертов и, при необходимости, специального программного обеспечения и специальной техники, используя видеозапись системы видеонаблюдения, смогут идентифицировать личность субъекта-нарушителя. При этом, видеозапись факта нарушения режима безопасности переходит в категорию вещественных доказательств, точно таких же как, например, отпечаток пальца преступника.

Следовательно, идентификация субъекта проводится не в рамках процесса видеозаписи, а в рамках процедуры дознания по факту нарушения режима безопасности на основе изучения вещественных доказательств, каковыми могут выступать элементы системы видеонаблюдения, в том числе и носители видеозаписи совершенного факта. В данном случае обработка биометрических персональных данных осуществляется вне основных функций системы видеонаблюдения и регламентируется нормативными правовыми актами, определяющими порядок проведения дознания и работы с вещественными доказательствами, а также частью 2 статьи 11 Федерального закона «О персональных данных». Надо также учитывать, что носители видеозаписи могут быть изъяты из системы видеонаблюдения и изучены вне ее с использованием специальных технических средств. Уполномоченное лицо, осуществляющее дознание по факту нарушения режима безопасности, может также привлечь в качестве вспомогательных средств элементы системы видеонаблюдения для целей расследования.  

ВЫВОДЫ:
1. Необходимо разделять два процесса: процесс контроля обстановки на объекте и процесс идентификации субъекта по биометрическим персональным данным.
2. Системы видеонаблюдения предназначены именно для контроля обстановки на объекте.
3. Идентификация субъекта, при необходимости, осуществляется не в ходе процесса контроля обстановки, а в ходе процедуры дознания, проводимой при расследовании инцидента.
4. В ходе расследования инцидента, видеозапись, позволяющая ретроспективно оценить обстановку, имеет силу вещественных доказательств, оценка которых проводится с привлечением экспертов и специального оборудования.
5. Использование системы видеонаблюдения для целей контроля обстановки на объекте не подпадает под действие ст. 11 Федерального закона № 152-ФЗ «О персональных данных».
 

Политика обработки персональных данных GIGASET Russia — Официальный поставщик GIGASET в России

1 ОБЩИЕ ПОЛОЖЕНИЯ

1. 1 Назначение документа

Настоящая Политика GIGASET Russia в отношении обработки персональных данных (далее – Политика) разработана в соответствии со п. 2 статьи 18.1 Федерального закона от 27 июля 2006 года No 152 «О персональных данных» и определяет политику GIGASET Russia (далее – Оператор) в отношении обработки информации о субъектах персональных данных, которую Оператор может обрабатывать при осуществлении установленных в Уставе видов деятельности.

1.2 Нормативные ссылки

1. Федеральный закон от 27 июля 2006 года No 149 «Об информации, информационных технологиях и о защите информации».

2. Федеральный закон от 27 июля 2006 года No 152 «О персональных данных».

3. Федеральный закон от 21.07.2014 No 242-ФЗ «О внесении изменений в отдельные законодательные акты российской федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

1.3 Область действия

Действие настоящей Политики распространяется на все процессы Оператора, в рамках которых осуществляется обработка персональных данных, как с использованием средств автоматизации, в том числе в информационно- телекоммуникационных сетях, так и без использования таких средств.

Использование услуг Оператора означает согласие субъекта персональных данных с настоящей Политикой и указанными в ней условиями обработки его персональных данных.

1.4 Утверждение и пересмотр

Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором и действует бессрочно до замены ее новой Политикой. Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на сайте Оператора в сети Интернет, либо иным способом.

2 ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫЕ ОПЕРАТОРОМ

2.1 Общий порядок обработки

При организации обработки персональных данных Оператором выполняются следующие принципы и условия:

— обработка персональных данных осуществляется на законной и справедливой основе;

— обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

— не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; — обработке подлежат только персональные данные, которые отвечают

целям их обработки;
— при обработке персональных данных обеспечивается точность

персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных;

— содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.

— персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

Оператор в своей деятельности исходит из того, что субъект персональных данных предоставляет точную и достоверную информацию, во время взаимодействия с Оператором извещает представителей Оператора об изменении своих персональных данных.

3 ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ОПЕРАТОРА

Оператор производит обработку только тех персональных данных, которые необходимы для выполнения договорных обязательств (исполнения соглашений и договоров с субъектом Оператора, исполнения обязательств перед контрагентом и работниками), ведения общехозяйственной деятельности Оператора, а также в целях исполнения требований законодательства РФ.

Оператором производится обработка персональных данных следующих категорий субъектов персональных данных:

— физические лица, работники Оператора;
— физические лица, работники Лицензиата Оператора;
— физические лица, Лицензиаты Оператора;
— физические лица, работники контрагентов Оператора;
— физические лица, контрагенты Оператора
— физические лица, клиентов Лицензиата Оператора;
— иные физические лица.

Целями обработки персональных данных Оператором являются:
— осуществление документооборота Оператора;
— заключение договоров с контрагентами;
— поиск кандидатов на должность;
— взаимодействие между работниками Оператора;
— выполнение обязательств по трудовому договору;
— взаимодействие с агентами /контрагентами Оператора;
— управление взаимоотношениями с Лицензиатами;
— выполнение условий Договоров-оферты и двухсторонних договоров с

Лицензиатами и контрагентами Оператора;
— выполнение условий агентских договоров;
— бухгалтерский учет;
— кадровое делопроизводство;
— начисление заработной платы и иных выплат;
— ведение бухгалтерского и налогового учета;
— подготовка отчетности;
— публикация информации об Операторе;
— использование программного обеспечения Оператора.

4 УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ПЕРЕДАЧИ ИХ ТРЕТЬИМ ЛИЦАМ

Оператор обрабатывает и хранит персональные данные субъектов в соответствии с внутренними нормативными документами, разработанными согласно законодательству РФ.

В отношении персональных данных субъекта обеспечивается их конфиденциальность, целостность и доступность. Передача персональных данных третьим лицам для выполнения договорных обязательств осуществляется только с согласия субъекта персональных данных. В случае реорганизации, продажи или иной передачи бизнеса (полностью или части) Оператора к приобретателю переходят все обязательства по соблюдению условий настоящей Политики применительно к получаемым им персональным данным.

Оператор может поручить обработку персональных данных другому лицу при выполнении следующих условий:

— получено согласие субъекта на поручение обработки персональных данных другому лицу;

— поручение обработки персональных данных осуществляется на основании заключаемого с этим лицом договора, разработанного с учетом требований Федерального закона РФ от 27 июля 2006 года No 152 «О персональных данных».

Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных и несет ответственность перед Оператором. Оператор несет ответственность перед субъектом персональных данных за действия уполномоченного лица, которому Оператор поручил обработку персональных данных.

При обработке персональных данных субъектов Оператора руководствуется Федеральным законом РФ от 27 июля 2006 года No 152 «О персональных данных».

5 ПРАВА СУБЪЕКТА НА ДОСТУП И ИЗМЕНЕНИЕ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ

Для обеспечения соблюдения установленных законодательством прав субъектов персональных данных Оператором разработан и введен порядок работы с обращениями и запросами субъектов персональных данных, предоставления субъектам персональных данных установленной законом информации.

Данный порядок обеспечивает соблюдение следующих прав субъектов Оператора:

— право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

— подтверждение факта обработки персональных данных;
— правовые основания и цели обработки персональных данных;
— цели и применяемые Оператором способы обработки персональных данных;
— наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона;
— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
— сроки обработки персональных данных, в том числе сроки их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
— информацию об осуществленной или о предполагаемой трансграничной передаче данных;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
— иные сведения, предусмотренные Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных» или другими Федеральными законами.

— право на уточнение, блокирование или уничтожение своих персональных данных, которые являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки.

6 ОБЯЗАННОСТИ ОПЕРАТОРА

В соответствии с требованиями Федерального закона No 152-ФЗ «О персональных данных» Оператор обязан:

— осуществлять обработку персональных данных с соблюдением принципов и правил, предусмотренных Федеральным законом No 152-ФЗ «О персональных данных»;

— не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом No 152-ФЗ «О персональных данных»;

— предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, в соответствии с которыми такое согласие не требуется;

— в случаях, предусмотренных Федеральным законом No 152-ФЗ «О персональных данных» осуществлять обработку персональных данных только с согласия в письменной форме субъекта персональных данных;

— предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ в предоставлении указанной информации и дать в письменной форме мотивированный ответ, содержащий ссылку на положения Федерального закона No 152-ФЗ «О персональных данных», являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. При обращении либо при получении запроса субъекта персональных данных или его представителя предоставить субъекту персональных данных или его представителю информацию, касающуюся обработки его персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

— если предоставление персональных данных является обязательным в соответствии с Федеральным законом, разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные;

— принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Описание принимаемых мер приведено в п. 7 настоящей Политики;

— по требованию субъекта персональных данных внести изменения в обрабатываемые персональные данные, или уничтожить их, если персональные данные являются неполными, неточными, неактуальными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих указанные факты, а также уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерахи принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы. Вести Журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам.

— уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных. Исключение составляют следующие случаи:

— субъект персональных данных уведомлен об осуществлении обработки его персональных данных Оператором;
— персональные данные получены Оператором на основании Федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
— персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
— Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
— предоставление субъекту персональных данных сведений, содержащихся в Уведомлении об обработке персональных данных, нарушает права и законные интересы третьих лиц.

— в случае выявления непровомерной обработки персональных данных или неточных персональных данных, устранить выявленные нарушения в соответствии с порядком и сроками, установленными частями 1-3 и 6 Федерального закона No 152-ФЗ «О персональных данных»;

— в случае достижения целей обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных No152-ФЗ «О персональных данных» или другими Федеральными законами.

— в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных. Об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных.

— в случае поступления требования субъекта о прекращении обработки персональных данных в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку персональных данных.

7 МЕРЫ, ПРИМЕНЯЕМЫЕ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ

Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных субъектов от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.

Оператором применяются следующие методы и способы обеспечения безопасности персональных данных:

— определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

— применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

— применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;

— проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

— ведется учет машинных носителей персональных данных;

— организовано обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по выявленным нарушениям;

— производится восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— установлены правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационных системах персональных действий;

— производится контроль за принимаемыми мерами по обеспечению безопасности персональных данных и контроль уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных.

Обработка персональных данных

ПОЛОЖЕНИЕ

о порядке хранения и защиты персональных данных пользователей

 

1. Термины и определения

Сайт – совокупность программных и аппаратных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ в сети Интернет. Под Сайтом в Соглашении понимается Сайт, расположенный в сети Интернет по адресу: www.delivery.restostar.com

 

Пользователь – пользователь сети Интернет и, в частности, Сайта, имеющий свою личную страницу (профиль/аккаунт).

Федеральный закон (ФЗ) – Федеральный закон от 27.07.2006 № 152 ФЗ «О персональных данных» (далее – Закон о персональных данных).

 

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

 

Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является общество с ограниченной ответственностью «Эффективное управление бизнессом», расположенное по адресу: 454004, г. Челябинск, ул. Братьев Кашириных, 163, пом.3. ИНН 7448159300, ОГРН 1137448005771. 

 

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

 

Распространение персональных данных – действие, направленное на раскрытие персональных данных определенному кругу лиц по предварительному согласию, в случаях, предусмотренных законом.

 

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

 

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

 

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.

 

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных.

 

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

 

2. Общие положения

2.1. Положение о порядке хранения и защиты персональных данных Пользователей Сайта (далее — Положение) разработано с целью соблюдения требований законодательства РФ, содержащих персональные данные и идентификации Пользователей, находящихся на Сайте.

2.2. Положение разработано в соответствии с Конституцией РФ, Гражданским кодексом РФ, действующим законодательством РФ в области защиты персональных данных.

2.3. Положение устанавливает порядок обработки персональных данных Пользователей Сайта: действия по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению), уничтожению персональных данных.

2.4. Положение устанавливает обязательные для сотрудников Оператора, задействованных в обслуживании Сайта, общие требования и правила по работе со всеми видами носителей информации, содержащими персональные данные Пользователей Сайта.

2.5. В Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну Российской Федерации.

2.6. Целями Положения являются:

– обеспечение требований защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;

– исключение несанкционированных действий сотрудников Оператора и любых третьих лиц по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению) персональных данных, иных форм незаконного вмешательства в информационные ресурсы и локальную вычислительную сеть Оператора, обеспечение правового и нормативного режима конфиденциальности недокументированной информации Пользователей Сайта; защита конституционных прав граждан на личную тайну, конфиденциальность сведений, составляющих персональные данные, и предотвращение возникновения возможной угрозы безопасности Пользователей Сайта.

2.7. Принципы обработки персональных данных:

– обработка персональных данных должна осуществляться на законной и справедливой основе;

– обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

– не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

– обработке подлежат только персональные данные, которые отвечают целям их обработки;

– содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

– при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;

– хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором, стороной которого является Пользователь;

– обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.

2.8. Условия обработки персональных данных.

2.8.1. Обработка персональных данных Пользователей Сайта осуществляется на основании Гражданского кодекса РФ, Конституции РФ, действующего законодательства РФ в области защиты персональных данных.

2.8.2. Обработка персональных данных на Сайте осуществляется с соблюдением принципов и правил, предусмотренных Положением и законодательством РФ.

Обработка персональных данных допускается в следующих случаях:

– обработка персональных данных необходима для использования Сайта, стороной которого является Пользователь;

– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Пользователя Сайта, если получение согласия невозможно;

– обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Пользователей Сайта;

– обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением обработки персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальными потребителями с помощью средств связи, а также в целях политической агитации, при условии обязательного обезличивания персональных данных.

 

2.9. Цели обработки персональных данных.

2.9.1. Обработка персональных данных Пользователей Сайта осуществляется исключительно в целях предоставления Пользователю возможности взаимодействовать с Сайтом.

2.9.2. Сведениями, составляющими персональные данные на Сайте, является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

2.10. Источники получения персональных данных Пользователей.

2.10.1. Источником информации обо всех персональных данных Пользователя является непосредственно сам Пользователь.

2.10.2. Источником информации о персональных данных Пользователя являются сведения, полученные вследствие предоставления Оператором Пользователю прав пользования Сайтом.

2.10.3. Персональные данные Пользователей относятся к конфиденциальной информации ограниченного доступа.

2.10.4. Обеспечения конфиденциальности персональных данных не требуется в случае их обезличивания, а также в отношении общедоступных персональных данных.

2.10.5. Оператор не имеет права собирать и обрабатывать персональные данные Пользователя о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, частной жизни, за исключением случаев, предусмотренных действующим законодательством.

2.10.6. Оператор не имеет права получать и обрабатывать персональные данные Пользователя о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Федеральным законом.

2.11. Способы обработки персональных данных.

2.11.1. Персональные данные Пользователей Сайта обрабатываются исключительно с использованием средств автоматизации.

2.12. Права субъектов (Пользователей) персональных данных.

2.12.1. Пользователь имеет право на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к конкретному субъекту персональных данных (Пользователю), а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 8 статьи 14 Закона о персональных данных.

2.12.2. Пользователь имеет право на получение от Оператора при личном обращении к нему либо при получении Оператором письменного запроса от Пользователя следующей информации, касающейся обработки его персональных данных, в том числе содержащей:

– подтверждение факта обработки персональных данных Оператором, а также цель такой обработки;

– правовые основания и цели обработки персональных данных;

– цели и применяемые Оператором способы обработки персональных данных;

– наименование и место нахождения Оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона;

– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен Федеральным законом;

– сроки обработки персональных данных, в том числе сроки их хранения;

– порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;

– информацию об осуществленной или о предполагаемой трансграничной передаче данных;

– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

– иные сведения, предусмотренные Федеральным законом или другими федеральными законами;

– требовать изменения, уточнения, уничтожения информации о самом себе;

– обжаловать неправомерные действия или бездействие по обработке персональных данных и требовать соответствующей компенсации в суде;

– на дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения;

– определять представителей для защиты своих персональных данных;

– требовать от Оператора уведомления обо всех произведенных в них изменениях или исключениях из них.

2.12.3. Пользователь имеет право обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке действия или бездействие Оператора, если считает, что последний осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы.

2.12.4. Пользователь персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

2.13. Обязанности Оператора.

2.13.1. По факту личного обращения либо при получении письменного запроса субъекта персональных данных или его представителя Оператор, при наличии оснований, обязан в течение 30 дней с даты обращения либо получения запроса субъекта персональных данных или его представителя предоставить сведения в объеме, установленном Федеральным законом. Такие сведения должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

2.13.2. Все обращения субъектов персональных данных или их представителей регистрируются в Журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.

2.13.3. В случае отказа в предоставлении субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя информации о наличии персональных данных о соответствующем субъекте персональных данных Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Закона о персональных данных или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта персональных данных или его представителя, либо с даты получения запроса субъекта персональных данных или его представителя.

2.13.4. В случае получения запроса от уполномоченного органа по защите прав субъектов персональных данных о предоставлении информации, необходимой для осуществления деятельности указанного органа, Оператор обязан сообщить такую информацию в уполномоченный орган в течение 30 дней с даты получения такого запроса.

2.13.5. В случае выявления неправомерной обработки персональных данных при обращении или по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.

2.13.6. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, последний в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных. Об устранении допущенных нарушений Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

2.13.7. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных.

2.13.8. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

2.14. Режим конфиденциальности персональных данных.

2.14.1. Оператор обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями законодательства РФ.

2.14.2. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия на это субъекта персональных данных, если иное не предусмотрено Федеральным законом.

2.14.3. В соответствии с перечнем персональных данных, обрабатываемых на сайте, персональные данные Пользователей Сайта являются конфиденциальной информацией.

2.14.4. Лица, осуществляющие обработку персональных данных, обязаны соблюдать требования регламентирующих документов Оператора в части обеспечения конфиденциальности и безопасности персональных данных.

3. Обработка персональных данных

3.1. Перечень обрабатываемых персональных данных Пользователей:

– имя;

– номер мобильного телефона.

3.2. Лица, имеющие право доступа к персональным данным.

3.2.1. Правом доступа к персональным данным субъектов обладают лица, наделенные соответствующими полномочиями в соответствии со своими служебными обязанностями.

3.2.2. Перечень лиц, имеющих доступ к персональным данным, утверждается директором Оператора.

3.3. Порядок и сроки хранения персональных данных на Сайте.

3.3.1. Оператор осуществляет только хранение персональных данных Пользователей на Сайте.

3.3.2. Сроки хранения персональных данных Пользователей на Сайте определены условиями Пользовательского соглашения, вводятся в действие с момента принятия (акцепта) Пользователем данного соглашения на Сайте и действуют до тех пор, пока Пользователь не заявит о своем желании удалить свои персональные данные с Сайта.

3.3.3. В случае удаления данных с Сайта по инициативе одной из сторон, а именно прекращения использования Сайта, персональные данные Пользователя хранятся в базах данных Оператора пять лет в соответствии с законодательством РФ.

3.3.4. По истечении вышеуказанного срока хранения персональных данных Пользователя персональные данные Пользователя удаляются автоматически заданным алгоритмом, который задает Оператор.

3.3.5. Оператором не ведется обработка персональных данных Пользователей на бумажных носителях информации.

3.4. Блокирование персональных данных.

3.4.1. Под блокированием персональных данных понимается временное прекращение Оператором операций по их обработке по требованию Пользователя при выявлении им недостоверности обрабатываемых сведений или неправомерных, по мнению субъекта персональных данных, действий в отношении его данных.

3.4.2. Оператор не передает персональные данные третьим лицам и не поручает обработку персональных данных сторонним лицам и организациям. Персональные данные Пользователей Сайта обрабатывают только сотрудники Оператора (администраторы баз данных и т. д.), допущенные установленным порядком к обработке персональных данных Пользователей.

3.4.3. Блокирование персональных данных на Сайте осуществляется на основании письменного заявления от субъекта персональных данных.

3.5. Уничтожение персональных данных.

3.5.1. Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных на Сайте и/или в результате которых уничтожаются материальные носители персональных данных.

3.5.2. Субъект персональных данных вправе в письменной форме требовать уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

3.5.3. В случае отсутствия возможности уничтожения персональных данных Оператор осуществляет блокирование таких персональных данных.

3.5.4. Уничтожение персональных данных осуществляется путем стирания информации с использованием сертифицированного программного обеспечения с гарантированным уничтожением (в соответствии с заданными характеристиками для установленного программного обеспечения с гарантированным уничтожением).

4. Система защиты персональных данных

4.1. Меры по обеспечению безопасности персональных данных при их обработке.

4.1.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

4.1.2. Обеспечение безопасности персональных данных достигается, в частности:

– определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

– применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;

– применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

– оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

Братьев Кашириных Челябинск Челябинская

Время работы сегодня:
8:00 — 17:35

Работает на платформе Всем еды
2018 — 2021 Продолжая использовать этот ресурс, Вы соглашаетесь с тем, что мы используем cookies-файлы. Подробнее

Хорошо

Порядок обработки персональных данных, разрешённых для распространения

Персональные данные, разрешённые для распространения, появились в российском правовом поле весной 2021 года. Они значительно отличаются от общедоступных персональных данных — их обработка регламентирована иначе. Новые правила обработки порождают ряд проблем, с которыми могут столкнуться операторы. Официальные разъяснения по этим проблемам можно ожидать с введением в действие новой информационной системы Роскомнадзора. Рассмотрим изменения в 152-ФЗ «О персональных данных» после вступления в силу закона № 519-ФЗ от 30.12.2020.

 

 

 

 

1. Введение
2. Отличия от персональных данных, ставших общедоступными
3. Проблемы обработки персональных данных, разрешённых для распространения
4. Выводы

Введение

Персональные данные, разрешённые для распространения, — это новая разновидность персональных данных в российском праве, которая была введена в марте 2021 года законом № 519-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”». К ним могут иметь доступ любые лица, если субъект, которому принадлежат эти данные, дал специальное согласие — об этом говорится в п. 1.1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 30.12.2020) «О персональных данных». Рекомендуемая форма согласия обозначена приказом Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения». Формы согласий уже можно разрабатывать с учётом формы регулятора на уровне организаций, а применять их можно будет официально только с 1 сентября 2021 года. Разберёмся подробнее с природой персональных данных, разрешённых для распространения, и способами регулирования их обработки.

Отличия от персональных данных, ставших общедоступными

До вступления в силу 1 марта 2021 года закона № 519-ФЗ в 152-ФЗ существовал такой вид данных, как «персональные данные, сделанные общедоступными субъектом персональных данных». К ним могли иметь доступ вообще все люди. Такой доступ предоставлялся по просьбе субъекта. Также они могли содержаться в общедоступных источниках персональных данных.

Термин «общедоступные персональные данные» и категория «просьба субъекта» вводили физических и юридических лиц в заблуждение. Складывалось ошибочное мнение, что раз персональные данные стали общедоступными, да ещё и по просьбе субъекта, к которой не было установлено каких-либо формальных требований, то можно было брать такие персональные данные и обрабатывать их любыми способами без согласия субъекта.

Суды неоднократно сталкивались с этой проблемой и критиковали истцов и ответчиков за доводы, будто данные о субъекте, ставшие общедоступными, могут свободно использоваться и их распространение законодателем не ограничивается, а следовательно, не является нарушением 152-ФЗ. Суды указывали, что такая позиция необоснованна и не даёт права использовать сделанные общедоступными сведения в своих целях и без согласия субъекта. Например, нельзя публиковать на сторонних ресурсах выписки из ЕГРЮЛ в отношении организации с персональными данными генерального директора и учредителей, размещёнными в общедоступном источнике (на сайте ЕГРЮЛ) согласно п. «д» ч. 1 ст. 5 закона № 129-ФЗ от 08.08.2001 (ред. от 27.10.2020) «О государственной регистрации юридических лиц и индивидуальных предпринимателей» (см. решение привокзального районного суда г. Тулы № 2-997/2020 М-938/2020 от 28 июля 2020 г. по делу № 2-997/2020). Такая публикация будет считаться распространением — обработкой — персональных данных. А распространение возможно только при наличии согласия субъекта.

Для того чтобы гармонизировать правоприменительную практику, законодатель убрал из 152-ФЗ упоминания общедоступных персональных данных и ввёл новый термин — «персональные данные, разрешённые для распространения». Этот вид данных отрегулирован так, что субъект получает широкую легитимную возможность контролировать распространение своих данных в информационном пространстве. Делается это за счёт того, что субъект указывает в согласии условия и запреты на распространение данных. Оператор в свою очередь обеспечивает опубликование таких условий и запретов на странице, где размещены персональные данные субъекта, разрешённые для распространения. Так, оператор берёт на себя обязанность оповестить всех посетителей информационного ресурса о том, как следует работать с опубликованными данными и можно ли их распространять далее.

При этом стоит отметить, что хотя из закона убран термин «общедоступные персональные данные», само это явление продолжает существовать. В ч. 2 ст. 10.1 закона № 152-ФЗ закреплено, что если субъект сам раскрыл свои персональные данные неопределённому кругу и не предоставлял оператору специального согласия, то любые третьи лица, которые распространили такие персональные данные, должны доказать законность их обработки. Такие данные, опубликованные без специального согласия, но по воле самого субъекта, — это персональные данные, сделанные общедоступными самим субъектом.

Проблемы обработки персональных данных, разрешённых для распространения

Правоприменительной практики по обработке персональных данных, разрешённых для распространения, ещё не сложилось. Однако при анализе ст. 10.1 закона № 152-ФЗ можно выделить ряд проблем, с которыми столкнутся операторы при работе с новым видом персональных данных:

1. Проблема организационного исполнения установленных субъектом условий и запретов по обработке персональных данных, разрешённых для распространения. Каждый субъект может установить свои особенные условия и запреты. Такие условия и запреты должны соблюдаться оператором и публиковаться в явной и понятной форме рядом с данными, к которым они относятся.
2. Проблема выстраивания взаимодействия с контрагентами и иными лицами, обрабатывающими персональные данные, разрешённые для распространения. В ч. 14 ст. 10.1 закона № 152-ФЗ установлено, что субъект персональных данных вправе обратиться с требованием прекратить передачу своих персональных данных, ранее разрешённых им для распространения, к любому лицу, обрабатывающему его персональные данные. Таким образом, каждому оператору при заключении соглашений о защите персональных данных с контрагентами нужно дополнительно урегулировать порядок взаимодействия двух операторов в случае получения одним из них такого требования.
3. Проблема выстраивания процессов по сбору согласий на обработку персональных данных, разрешённых для распространения, посредством информационной системы Роскомнадзора. В соответствии с ч. 6 ст. 10.1 закона № 152-ФЗ согласие можно принимать непосредственно от субъекта либо с 1 июля 2021 года через информационную систему Роскомнадзора. Проект приказа Роскомнадзора об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций сейчас находится на стадии оценки регулирующего воздействия (см. Федеральный закон от 31.07.2020 № 247-ФЗ «Об обязательных требованиях в Российской Федерации»). Порядок взаимодействия с субъектом персональных данных в новой системе нужно будет учитывать, когда оператор станет разрабатывать локальные нормативные акты в сфере защиты персональных данных.

Этот небольшой перечень проблем, с которыми могут столкнуться операторы при обработке персональных данных, разрешённых для распространения, выявлен на момент вступления в силу закона № 519-ФЗ и носит прогностический характер. С развитием правоприменительной практики список может быть скорректирован.

Компании-операторы уже начали выстраивать систему работы с новым видом персональных данных. Наиболее частые вопросы, которые возникают у операторов:

• Как грамотно обеспечить публикацию условий и запретов, установленных субъектом?
• Как обеспечить публикацию условий и запретов в отношении персональных данных, разрешённых для распространения, если такие данные публикуются в закрытых или открытых группах в социальных сетях?
• Будут ли являться персональными данными, разрешёнными для распространения, Ф. И. О. и фотографии, используемые в новостных публикациях, и нужно ли брать согласия субъектов для таких публикаций?

Предполагается, что с момента запуска новой информационной системы Роскомнадзор представит бизнес-сообществу разъяснения по вопросам связанным с соблюдением новых требований 152-ФЗ. Такие разъяснения вкупе с судебной практикой позволят сформировать более целостное представление о том, как обрабатывать персональные данные, разрешённые для распространения.

Выводы

По нашему мнению, правовое регулирование нового вида персональных данных устанавливает для операторов немало организационно-административных барьеров. Новые требования распространяются на каждого оператора, в том числе на медицинские и образовательные организации, которые, казалось бы, обязаны публиковать персональные данные своих работников в открытом доступе на основании законов (см. п. 7 ч. 1 ст. 79 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и п. «з» ч. 2 ст. 29 Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» соответственно).

С 1 сентября 2021 года начнёт складываться практика их обработки и практика проверок такой обработки регулятором. Первые кейсы станут более чётким ориентиром для выстраивания в компаниях модели работы с персональными данными, разрешёнными для распространения. Сейчас рекомендуем ориентироваться на ст. 10.1 закона № 152-ФЗ и приказы Роскомнадзора, а также отслеживать позицию регуляторов на семинарах и конференциях.

что нового в 2017 году.

Выбрать журналАктуальные вопросы бухгалтерского учета и налогообложенияАктуальные вопросы бухгалтерского учета и налогообложения: учет в сельском хозяйствеБухгалтер Крыма: учет в унитарных предприятияхБухгалтер Крыма: учет в сельском хозяйствеБухгалтер КрымаАптека: бухгалтерский учет и налогообложениеЖилищно-коммунальное хозяйство: бухгалтерский учет и налогообложениеНалог на прибыльНДС: проблемы и решенияОплата труда: бухгалтерский учет и налогообложениеСтроительство: акты и комментарии для бухгалтераСтроительство: бухгалтерский учет и налогообложениеТуристические и гостиничные услуги: бухгалтерский учет и налогообложениеУпрощенная система налогообложения: бухгалтерский учет и налогообложениеУслуги связи: бухгалтерский учет и налогообложениеОплата труда в государственном (муниципальном) учреждении: бухгалтерский учет и налогообложениеАвтономные учреждения: акты и комментарии для бухгалтераАвтономные учреждения: бухгалтерский учет и налогообложениеБюджетные организации: акты и комментарии для бухгалтераБюджетные организации: бухгалтерский учет и налогообложениеКазенные учреждения: акты и комментарии для бухгалтераКазенные учреждения: бухгалтерский учет и налогообложениеОплата труда в государственном (муниципальном) учреждении: акты и комментарии для бухгалтераОтдел кадров государственного (муниципального) учрежденияРазъяснения органов исполнительной власти по ведению финансово-хозяйственной деятельности в бюджетной сфереРевизии и проверки финансово-хозяйственной деятельности государственных (муниципальных) учрежденийРуководитель автономного учрежденияРуководитель бюджетной организацииСиловые министерства и ведомства: бухгалтерский учет и налогообложениеУчреждения здравоохранения: бухгалтерский учет и налогообложениеУчреждения культуры и искусства: бухгалтерский учет и налогообложениеУчреждения образования: бухгалтерский учет и налогообложениеУчреждения физической культуры и спорта: бухгалтерский учет и налогообложение

20192020

НомерЛюбой

Электронная версия

Что в идеале должно включать федеральный закон США о конфиденциальности данных? — Malwarebytes Labs

Что небольшие компании по защите конфиденциальности думают о федеральном законе о конфиденциальности данных в США? Оказывается, они все за. Вот некоторые из их идей относительно законодательства США о конфиденциальности данных.

В постоянной борьбе Давида и Голиафа между защитниками цифровой конфиденциальности и захватчиками корпоративной конфиденциальности вопрос о том, как юридически защитить американцев с помощью всеобъемлющего федерального закона о конфиденциальности данных, дает противоречивые ответы.Защитники хотят защиты, которую Big Tech интерпретирует как ограничения.

На сегодняшний день не существует единого закона о цифровой конфиденциальности, который бы управлял всеми ими. Хотя существует несколько законов штатов, которые защищают конфиденциальность потребителей здесь, в США, общее федеральное законодательство, такое как Глобальное положение о конфиденциальности данных (GDPR) в Европе, еще не вошло на рынок.

Корпорации, расположенные в США, должны соблюдать GDPR, если они имеют глобальное присутствие, но это касается только их европейских клиентов, и многие нашли удобные обходные пути.Кто защитит американского пользователя? Меньшая технология? Технология обеспечения конфиденциальности? А как насчет технологии «у нас нет лоббистской войны»? Как они относятся к федеральному закону о конфиденциальности?

В течение нескольких месяцев Malwarebytes Labs сообщала о законах о конфиденциальности данных в США и за рубежом. Но вопрос о федеральном законодательстве, применимом ко всей стране, остался без ответа, поскольку несколько предложений Сената еще не продвинулись.

Кроме того, несмотря на недавно заявленную приверженность Big Tech регулированию, те же самые компании, как сообщается, финансируют усилия по демонтажу недавно введенных в действие мер защиты конфиденциальности данных в США.

Но в начале этого года группа технологических компаний выступила против. Они хотели усилить одну из тех же мер защиты конфиденциальности. В эту техническую группу вошли некоторые из самых узнаваемых компаний в сфере конфиденциальности пользователей: DuckDuckGo, Ghostery, ProtonMail, Lavabit, Brave, Vivaldi, Purism и Disconnect.

Мы попросили эти компании расширить свой кругозор за пределы законодательства штата. Чего они хотели от федерального закона о конфиденциальности данных в США?

Какова цель?

Для многих из этих компаний, выступающих за конфиденциальность, федеральный закон о конфиденциальности данных далеко не ограничительный.Вместо этого это считается необходимым.

Тодд Уивер — основатель и исполнительный директор Purism. Он поддерживает федеральный закон о конфиденциальности данных, если он не лишен значимой защиты пользователей и не создает препятствий на пути к успеху стартапов и средних компаний. По словам Уивера, федеральное законодательство могло бы стать единственным способом, наконец, защитить общественность от продолжающегося кризиса цифровой конфиденциальности.

«Мы говорим об эксплуатации людей в цифровом мире, и это огромная проблема », — сказал Уивер.Он продолжил:

«Проблема сводится к вещам, о которых никто никогда не должен знать. Это где люди, что люди делают и кто с кем разговаривает ».

Однако в США эта информация далеко не защищена. То, где мы находимся, чем мы занимаемся и с кем разговариваем, питает мощную корпоративную машину наблюдения, управляемую гигантами социальных сетей, агрессивным онлайн-отслеживанием и невидимыми брокерами данных, и все это мотивировано постоянно растущими доходами от рекламы.Ни один действующий закон не запрещает многое из этого.

Так как же это исправить? Вот несколько идей от защитников конфиденциальности.

Как CCPA … но лучше

В прошлом году тогдашний губернатор Калифорнии Джерри Браун подписал Калифорнийский закон о защите прав потребителей (CCPA). Начиная с 1 января 2020 года CCPA предоставляет жителям Калифорнии право знать, какие данные о них собираются, продаются ли эти данные, возможность отказаться от этих продаж и право доступа к этим данным.

В апреле поисковая система по вопросам конфиденциальности DuckDuckGo, к которой присоединились еще 23 технологические компании, направила письмо в Комитет по конфиденциальности Калифорнийской ассамблеи с просьбой укрепить закон.Запрошенные улучшения, как пишет DuckDuckGo, будут включать право отказаться от обмена информацией, а не просто ее продажи, а также право подавать в суд на компании, которые нарушили любое положение о конфиденциальности CCPA.

Хелен Хорстманн-Аллен, главный операционный директор по электронной почте провайдер Fastmail (который подписался на письмо DuckDuckGo) сказал, что она была бы признательна видеть, что законодательство, подобное CCPA, становится национальным.

«Мы были рады видеть, что Калифорния возглавила свои законы о конфиденциальности, чтобы отразить то, как компании ведут бизнес сегодня.Расширение сферы действия законодательства о конфиденциальности признает, что компаниям не нужно продавать данные для нарушения конфиденциальности потребителей », — сказал Хорстманн-Аллен. «Нам бы очень хотелось, чтобы этот тип законодательства также был принят на национальном уровне. Права на конфиденциальность не должны заканчиваться на государственной линии ».

Джереми Тиллман, директор по продукту расширения Ghostery для браузера, блокирующего рекламу, сделал аналогичные комментарии в своем обзоре The Hill за 2018 год:

«Если есть серьезная тяга к федеральному законодательству о конфиденциальности потребителей, которое абсолютно должно быть, закон Калифорнии о защите прав потребителей может служить твердый шаблон для моделирования будущих законов после.”

Право потребителя подать в суд за нарушение конфиденциальности

Закон о конфиденциальности штата Калифорния потерпел серьезную неудачу в этом году, когда предложенная поправка не прошла через один из комитетов Сената штата. Поправка, SB 561, дала бы калифорнийцам право подать в суд на компанию, нарушившую любые права на неприкосновенность частной жизни, описанные в CCPA.

В настоящее время CCPA дает только калифорнийцам право подавать в суд на компанию за ущерб, нанесенный утечкой данных. Хотя это нововведение по сравнению с отсутствием защиты конфиденциальности по всей стране, некоторые утверждают, что необходимы более широкие возможности для обращения в суд.

«Если вы не можете подать в суд или предпринять какие-либо действия, чтобы преследовать эти компании, совершают эти зверства, что же нам остается? » — сказал Уивер. «Мы уже видел это с CCPA в Калифорнии ».

По крайней мере, 40 законопроектов были внесены в Калифорнию с почти единообразной целью внести поправки в CCPA в его более слабую версию. AB 846, например, ограничил бы запрет дискриминации CCPA. AB 873 сократил бы определение личной информации физических лиц.

Продолжаются попытки ослабить CCPA, сказал Уивер.

«Один из этих законопроектов как раз об отмене всех правил», — сказал Уивер. «Если вы сделаете это, если вы откажетесь, [закон] останется на бумаге».

Прозрачные методы сбора данных

Тиллман из Ghostery повторил вышеупомянутые настроения, которые Законодательство о конфиденциальности данных должно «требовать от крупных технических специалистов ответственности за свои методы сбора обманчивых данных », но добавил:

«[Он] должен требовать, чтобы любой сбор данных происходил как часть прозрачной, простой для понимания транзакции, стоимость которой для потребителей ясными, что позволяет им быть знающими и добровольными участниками экономика, основанная на рекламе и данных.”

Дизайн для взаимодействия с GDPR

Джонни Райан, директор по политике веб-браузера Brave, ориентированного на конфиденциальность, ранее в этом году дал показания в Судебном комитете Сената США о потенциальном федеральном законе о конфиденциальности данных. По словам Райана, такой закон должен строго соответствовать стандартам популярной универсальной системы: Общему регламенту Европейского Союза по защите данных (GDPR).

«Мы считаем GDPR важным», — сказал Райан в электронном письме в Malwarebytes Labs.«Он может создать условия для позволяют молодым инновационным компаниям, таким как наша, процветать ».

Райан сообщил комитету, что два элементы GDPR могут помочь как защитить данные американцев, так и дать возможности для небольших компаний значимо конкурировать с Силиконовой долиной крупнейшие, наиболее устойчивые предприятия. Эти два положения являются «ограничением цели». принцип — который защищает данные людей от использования способами, которые они не могут предвидеть — и возможность легко отказаться от сбора данных компании.

«Эти два инструмента GDPR,« цель принцип ограничения », плюс легкость отзыва согласия, обеспечивают свободу», Райан сообщил комитету. «Свобода для рынка пользователей мягко« распадаться »- и «Un-break-up» — крупные технологические компании, решающие, какие личные данные могут быть использованы. для.»

Кроме того, Райан сказал Malwarebytes Labs, федеральный закон США о конфиденциальности данных, основанный на GDPR, в частности, в определении таких понятий, как личные данные, согласие на подписку и профилирование, предоставит технологическим компаниям удобный путь к соблюдению нормативных требований, поскольку многие из них уже сделали это. работал над соблюдением GDPR.

«Стандарт защиты в федеральный закон о конфиденциальности и определение в нем ключевых понятий и инструментов должны поэтому быть совместимым и функционально совместимым с формирующимся GDPR de facto стандарт, который принимается во всем мире », — сказал Райан.

Не нарушайте законы штата о конфиденциальности личных данных

С тех пор, как американцы узнали об усилиях европейского консалтингового агентства повлиять на президентские выборы в США в 2016 году путем сбора данных Facebook о десятках миллионов пользователей, не дававших согласия, отдельные штаты США жестко ограничили использование данных в отношении своих жителей.

Калифорния прошла CCPA. Вермонт принял закон, регулирующий брокеров данных. Мэн принял закон, устанавливающий ограничения на то, как интернет-провайдеры обмениваются личной информацией Майнеров.

Но с этими законами штата могут возникнуть проблемы, если федеральная закон требует их отмены. Такое положение существует как у сенатора Марко, так и у сенатора Марко. Законопроект о конфиденциальности данных Рубио и законопроект о конфиденциальности, написанный Центр демократии и технологий.

Это заменяющее положение, называемое «преимущественной покупкой», неприемлемо для Храбрый.

«Федеральный закон должен соответствовать стандартам штата или превышать его. законы, и не должны подрывать законы штата », — сказал Райан.

«Цифровой билль о правах»

Объясняя, что он хотел бы видеть в федеральном законопроекте о конфиденциальности, Уивер неоднократно возвращался к идее «цифрового билля о правах». Его компания уже реализовала эту идею, выписав и реализовав несколько принципов.

В Цифровой билль о правах компании включены:

• Право на смену провайдера
  • Пользователи могут взять все свои данные и переместить их на другая услуга
• Право на защиту личных данных
  • Пользователи «владеют и контролируют» мастер-ключи к шифровать свои данные
• Право на проверку
  • Пользователи могут анализировать исходный код программного обеспечения работают локально на своих машинах
• Право на отсутствие отслеживания
  • Пользователи знают и имеют доступ ко всем сбор и использование своих данных
  • Пользователи могут «получать, исправлять или постоянно удалить личные данные »
  • Пользовательские данные, собираемые с определенной целью, удаляется после выполнения этой цели
• Право на доступ
  • Пользователи не будут «ни дискриминироваться, ни эксплуатируется на основе личных данных »

Цифровой билль о правах — редкая находка для любой технологической компании, но Уивер объяснил, что Пуризм не руководствуется теми же правилами, что и Big Tech.Вместо этого, поскольку Purism инкорпорировалась как «компания с социальными целями», это не обязаны максимизировать акционерную стоимость. Вместо этого он обязан выполнить принципы, изложенные в ее учредительных документах.

Эти «принципы пуриста», — объяснил Уивер, — руководят компанией каждый день.

«Это позволяет каждому, включая меня, наших сотрудников, продвигать наши причин, прежде чем заботиться о прибыли или максимальном увеличении акционерной стоимости », — сказал Уивер сказал.

Последний важный аспект прав, описанных в Purist. Принцип заключается в том, что ни один из них не может быть удален условиями обслуживания компании.

«Если бы это было установлено на федеральном уровне, — сказал Уивер, — то это говорит: «Это ваши права, и никто не может отменить эти права внутри Условия использования [соглашение], которые никто не читает ».

Связанные

Полное руководство по законам о конфиденциальности в США

Вопреки расхожему мнению, в США действительно есть законы о конфиденциальности данных. Действительно, нет центрального закона о конфиденциальности на федеральном уровне, такого как GDPR ЕС. Вместо этого есть несколько вертикально ориентированных федеральных законов о конфиденциальности, а также новое поколение законов о конфиденциальности, ориентированных на потребителя, исходящих из штатов.

Давайте познакомимся с законами США о конфиденциальности и познакомимся с окружающей средой. Если вы хотите узнать больше о правовом ландшафте США, загрузите наше замечательное The Essential Guide to US Data Protection Compliance and Rules.

Получите бесплатное основное руководство по соответствию и нормативным требованиям США по защите данных

Вертикально ориентированные законы США о конфиденциальности данных

Закон США о конфиденциальности 1974 г.

Еще в прошлом веке, когда базы данных были на пике компьютерных технологий, Конгресс и другие (справедливо) были обеспокоены потенциальным неправомерным использованием личных данных, находящихся в ведении правительства.Конгресс принял знаковый Закон США о конфиденциальности 1974 года, который содержал важные права и ограничения на данные, хранящиеся в правительственных учреждениях США, и должен быть хорошо знаком специалистам по данным в 2019 году. Я перечислю их здесь, потому что они являются первыми ссылками. что я знаю на все последующее:

• Право граждан США на доступ к любым данным государственных органов. И право копировать эти данные.
• Право граждан на исправление информационных ошибок
• Агентства должны следовать принципам минимизации данных при сборе данных — минимум информации, «актуальной и необходимой» для достижения своих целей.
• Доступ к данным ограничен по принципу служебной необходимости — например, для сотрудников, которым нужны записи для выполнения их должностных обязанностей.
• Обмен информацией между другими федеральными (и нефедеральными) агентствами ограничен и разрешен только при определенных условиях

Дополнительные баллы, если вы обратили внимание на принципы конфиденциальности, заложенные в этом новаторском законе о конфиденциальности 70-х годов!

HIPAA

Принятый в 1996 году Закон о переносимости и подотчетности медицинского страхования (HIPAA) стал важным законодательным актом, регулирующим медицинское страхование.Это очень сложный закон с множеством движущихся частей, но он включает разделы о конфиденциальности и безопасности. Часть защиты данных HIPAA находится в Правиле безопасности. HIPAA также установил требования к конфиденциальности данных, которые можно найти в Правиле конфиденциальности.

Если вы когда-либо заполняли форму в кабинете врача, позволяющую супругам и другим членам семьи просматривать или просматривать вашу медицинскую информацию — то, что HIPAA называет защищенной медицинской информацией (PHI), — вы видели правило конфиденциальности в действии. .

Правило конфиденциальности содержит запутанный список правил о том, кто имеет право видеть PHI. Но вкратце, поставщик медицинских услуг или «покрываемая организация» более или менее имеет разрешение на использование данных пациента, если это связано с «лечением, оплатой и медицинскими операциями». Однако для использования данных в маркетинговых целях или продажи PHI требуется явное разрешение.

Минимальные необходимые требования

HIPAA являются хорошим примером принципов PbD, применяемых к совместному использованию PHI. В нем говорится, что подпадающие под действие организации, которые делятся данными в маркетинговых целях, отличных от упомянутых выше, должны ограничивать круг лиц, которые могут их увидеть.Предполагается, что медицинские организации оценивают свои данные и практику и принимают меры для ограничения «ненужного или несоответствующего» доступа к ЗМИ. Фактически, доступ к PHI на основе ролей.

COPPA

Еще на заре развития Интернета, примерно в 2000 году, Закон о защите конфиденциальности детей в Интернете (COPPA) сделал первый шаг в регулировании личной информации, собираемой от несовершеннолетних. Закон прямо запрещает онлайн-компаниям запрашивать PII у детей в возрасте 12 лет и младше, если нет поддающегося проверке согласия родителей.

Обновления нормативных правил COPPA несколько лет назад эффективно расширили сферу действия закона и расширили тип личной информации, которая должна быть защищена, включая псевдонимы, адреса электронной почты, имена в видеочатах, а также фотографии, аудиофайлы и улицу. выровняйте географические координаты.

Эти обновления также распространяют защиту конфиденциальности и безопасности на третьи стороны, использующие данные детей. Оператор исходного веб-сайта должен принимать «разумные меры для раскрытия личной информации детей только компаниям, которые способны обеспечить ее безопасность и конфиденциальность.”

GLBA

Еще один закон конца 90-х, Закон Грэмма-Лича-Блайли (GLBA) — это огромный кусок банковского и финансового права, который похоронил в себе важные требования к конфиденциальности и безопасности данных. Его защита личной информации является значительным улучшением по сравнению с предыдущими законами о финансовых данных о потребителях — см. Закон о справедливой кредитной отчетности (FCRA).

В целом, Закон Грэмма-Лича-Блайли защищает непубличную личную информацию (NPI), которая определяется как любая «информация, собранная о физическом лице в связи с предоставлением финансового продукта или услуги, если эта информация не является общедоступной иным образом» — по сути, PII с исключение для любой широко доступной финансовой информации — например, записей об имуществе или определенной информации об ипотеке.

Возможно, вы заметили, что банки периодически рассылают по почте уведомления о конфиденциальности данных, в которых объясняются категории собираемых и передаваемых NPI, а также специальные инструкции по отказу от рассылки. Это связано с несколько ограниченной защитой конфиденциальности GLBA. Потребители могут отказаться, если они не хотят, чтобы эта информация была отправлена ​​«неаффилированной» третьей стороне.

Однако для сторонних компаний, аффилированных с банком или страховой компанией, которые являются частью «корпоративной семьи», потребители не имеют правового контроля конфиденциальности в соответствии с GLBA, чтобы ограничить совместное использование NPI.Это довольно большая лазейка, и GLBA ни в коем случае не является моделью закона о конфиденциальности эпохи Интернета.

Как обеспечивается конфиденциальность в Интернете?

Короткий ответ — нет! За пределами отраслевых федеральных законов США, описанных выше, Интернет — это дерегулируемая территория, где, в частности, технологические компании и компании, занимающиеся социальными сетями, придерживаются философии «все идет вперед». Однако штаты США, наконец, вступают (см. Ниже) со своими собственными законами о конфиденциальности данных, и Калифорния играет ведущую роль.

Вам может быть интересно узнать, в соответствии с каким законодательством, если нет общих законов о конфиденциальности (и безопасности) потребителей, правительство США могло наложить огромные штрафы на Facebook, Uber и PayPal?

Отличный вопрос!

И ответ приведет нас, барабанной дроби, пожалуйста, в Федеральную торговую комиссию или Федеральную торговую комиссию США. Короче говоря, в соответствии с Законом о Федеральной торговой комиссии 1914 года, положившим начало этому государственному учреждению, компаниям запрещено совершать «несправедливые или вводящие в заблуждение действия или методы» в соответствии с его полномочиями по Разделу 5.Давным-давно, в Америке середины века, FTC начала принимать — и это может шокировать некоторых — откровенно ложную или вводящую в заблуждение рекламу некоторых ведущих американских потребительских брендов.

Отсюда совсем немного до Федеральной торговой комиссии, которая рассматривает вводящие в заблуждение «заявления» ведущих технологических компаний и компаний в социальных сетях о конфиденциальности собираемых ею данных о потребителях. Как, например, Facebook, и очень смелым образом он сообщал пользователям в своих приложениях и уведомлениях о конфиденциальности, что не будет продавать их данные или что пользователи могут ограничить доступ к данным, если будут нажимать на определенные поля.

На самом деле, все было наоборот, и в 2012 году FTC подала жалобу по восьми пунктам против Facebook, которую согласилась урегулировать. За этой жалобой последовала более свежая и широко разрекламированная жалоба FTC — по некоторым из тех же самых нарушений — в которой Facebook согласился на компенсацию в размере 5 миллиардов долларов. Вы не можете придумать это.

Facebook не нарушал особый закон о конфиденциальности в Интернете, поскольку… его нет! Вместо этого он нарушил закон начала 20-го века, призванный помешать компаниям торговать продуктами из змеиного масла.Разве история не прекрасна?

Внимательный читатель мог понять, что, если компания ничего не упоминает о конфиденциальности данных на своем веб-сайте, в своих продуктах или в рекламе, то FTC ничего не может сделать, по крайней мере, в соответствии с ее «обманом или практикой». акты »полномочия. И это было бы правильно!

Это еще один способ сказать, что общий федеральный закон о конфиденциальности, подобный тому, что рассматривается здесь, заставит компании иметь политики конфиденциальности и соблюдать их, вместо того, чтобы проходить через косвенный (и несовершенный) механизм обеспечения конфиденциальности FTC.

Законы ЕС и США о конфиденциальности

Напомним, что в США (пока) нет общего закона о конфиденциальности данных потребителей на федеральном уровне, не говоря уже о законе о безопасности данных. В ЕС с его Общим регламентом по защите данных (GDPR) есть и то, и другое! Так что мы не можем сравнивать их.

Однако Калифорнийский закон о конфиденциальности потребителей (CCPA) действительно вплотную подошел к решению проблемы конфиденциальности данных потребителей, по крайней мере, для жителей Калифорнии, и это отличное упражнение для сравнения и сопоставления с GDPR, как то, что мы делаем ниже.

Короче говоря, и CCPA, и GDPR предоставляют потребителям право доступа, право на удаление и право отказаться от обработки в любое время. Они отличаются тем, что GDPR предоставляет потребителям право исправлять или исправлять неверные личные данные, в то время как CCPA этого не делает. GDPR также требует явного согласия — см. «Условие согласия» статьи 7 GDPR — в момент, когда потребители передают свои данные. Напротив, CCPA только просит, чтобы на веб-сайте было размещено уведомление о конфиденциальности, информирующее потребителей, что они имеют право отказаться от сбора определенных данных.

Если вышеперечисленное пощекотает вашего внутреннего законного орла, непременно обратитесь к этой всеобъемлющей сравнительной таблице GDPR и CCPA, составленной юридической фирмой BakerHostetler. Или посмотрите нашу собственную прогулку по различиям, увиденными удивительной Сарой Хоспельхорн из Варониса!

Новый закон штата США о конфиденциальности данных

Учитывая отсутствие руководства в Вашингтоне, неудивительно, что другие штаты последовали примеру Калифорнии и разработали свои собственные законы о конфиденциальности. Прежде чем мы рассмотрим отдельные законы CCPA о «подражании» из Нью-Йорка, Массачусетса и других штатов, давайте сначала рассмотрим закон Калифорнии о конфиденциальности, которому позавидует вся нация.

Закон штата Калифорния о защите прав потребителей

В 2018 году был подписан Закон Калифорнии о конфиденциальности потребителей (CCPA). Его цель — распространить защиту конфиденциальности потребителей на Интернет. Не будет преувеличением сказать, что CCPA является наиболее всеобъемлющим законодательством США о конфиденциальности данных в Интернете, не имеющим аналогов на федеральном уровне.

Согласно CCPA, потребители имеют право через запрос доступа к данным (DSAR) получать доступ к категориям и конкретным частям личной информации, хранящейся в покрываемых компаниях.Компании не могут продавать личную информацию потребителей, не предоставив веб-уведомление («четкую и заметную ссылку») и предоставив им возможность отказаться.

Как и GDPR, существует также «право удалять» — с некоторыми исключениями — личную информацию потребителей по запросу. CCPA также дает потребителям ограниченное право на подачу иска, если они стали жертвой утечки данных. У генерального прокурора штата есть более общая возможность подавать иски от имени жителей. Законодательство находится в разработке, чтобы расширить частное право потребителей предъявлять иски по другим основаниям.

Еще одним ярким нововведением в CCPA является очень широкое определение личной информации: «информация, которая идентифицирует, относится к, описывает, может быть связана или может быть разумно связана, прямо или косвенно, с конкретным потребителем или домохозяйством. ” Это охватывает множество вопросов и похоже на собственное расширенное представление GDPR о личных данных.

Чтобы вернуть его к «закону о черной букве», CCPA также содержит длинный список идентификаторов, которые он считает личной информацией, включая биометрические данные, геолокацию, электронную почту, историю просмотров, данные сотрудников и многое другое.

CCPA также вводит «вероятностные идентификаторы». Адвокаты будут обсуждать, что это означает, но похоже, что данные, дающие более 50% шансов идентифицировать кого-либо, будут рассматриваться так же, как детерминированный идентификатор. Возможно, комбинации, скажем, истории просмотров Netflix и данных геолокации может оказаться достаточным, чтобы склонить чашу весов. Кстати, другие государства подобрали вероятностный член в своих законах (см. Ниже).

Калифорния идет «мета» со своими вероятностными идентификаторами.

Несмотря на то, что основное внимание — и это справедливо — было уделено новым обширным правам потребителей на конфиденциальность, в CCPA также есть компонент безопасности данных. Закон призывает компании «внедрять и поддерживать разумные процедуры безопасности». Что это обозначает? Никто не уверен, хотя есть серьезные намеки на то, что правительство Калифорнии рассматривает 20 основных средств контроля Центра интернет-безопасности и структуру безопасности критической инфраструктуры (CIS) NIST в качестве основы.

Поскольку на горизонте нет федерального ответа на GDPR, несколько других штатов взяли страницу из книги Калифорнии, разработав свои собственные правила, чтобы предоставить гражданам больший контроль над своими личными данными.Хотя в большинстве этих законопроектов в качестве основы используется CCPA, между ними есть различия. В конце мы даже составили шпаргалку, чтобы сравнить различные предлагаемые законы штата. Давайте сначала посмотрим на два жестких предложения о конфиденциальности, исходящие от

Нью-Йорка и Массачусетса.

Закон штата Массачусетс о конфиденциальности данных

Предлагаемый Закон о конфиденциальности данных (S-120) во многом повторяет формулировки CCPA. Доступ потребителей к личной информации? Проверять. Право на удаление? Проверять. Явное уведомление о правах на конфиденциальность и возможность отказаться от продажи данных третьим лицам? Проверять.Широкое определение личной информации, включая вероятностные идентификаторы? Проверять.

Есть несколько важных отклонений от CCPA, которые включают право потребителей подавать в суд за любое нарушение предложенного закона штата Массачусетс. Потребители «не обязаны нести потерю денег или имущества в результате нарушения» для подачи иска.

Адвокаты

отмечают, что компании из Массачусетса могут столкнуться с колоссальными последствиями коллективных исков: истцы могут взыскать до 750 долларов на одного потребителя.Например, в 2017 году почти 400000 жителей Массачусетса пострадали от утечки данных, что, в случае если закон действовал, может привести к разложению почти 300 миллионов долларов за этот год.

Закон штата Нью-Йорк о конфиденциальности

Предложенный

Нью-Йорк S5642 (в настоящее время приостановлен) содержит некоторые отличительные черты CCPA. Есть право удалять и запрашивать личную информацию. Определение личной информации — «любая информация, относящаяся к идентифицированному или идентифицируемому лицу» — включает очень обширный список идентификаторов: биометрические, адреса электронной почты, сетевую информацию и многое другое.

В отличие от Калифорнии и аналогично Массачусетсу, закон Нью-Йорка имеет частное право на иск за любое нарушение закона! И закон применяется ко всем предприятиям без какого-либо порога дохода, который отличается от Калифорнии и других штатов. Это делает предлагаемый закон штата Нью-Йорк довольно строгим.

Нью-йоркский законопроект, однако, требует, чтобы компании раскрывали потребителям только широкие категории информации, передаваемой третьим сторонам. При некоторых обстоятельствах потребители будут иметь право запрашивать копии определенной информации, которой они делятся.

Еще одно ключевое отличие заключается в том, что предлагаемый закон штата Нью-Йорк налагает роль фидуциара данных », вынуждая все предприятия штата Нью-Йорк нести юридическую ответственность за хранящиеся у них данные о потребителях. Закон штата Нью-Йорк придерживается очень широкого взгляда: «выполнять обязанность заботы, лояльности и конфиденциальности, ожидаемую от доверенного лица, в отношении защиты личных данных потребителя от риска нарушения конфиденциальности; и должен действовать в лучших интересах потребителя, без учета интересов юридического лица, контроллера или брокера данных ».Вкратце: данные принадлежат потребителям.

Закон штата Нью-Йорк также дает потребителям возможность исправлять неточную информацию, приближая его по духу к GPDR ЕС. Ни один из других клонов, включая Калифорнию, не зашел так далеко!

Закон о защите конфиденциальности потребителей, Гавайи

SB 418

Hawaii аналогичен CCPA, предлагая все те же основные права и защиту (потенциально больше, исходя из текущей формулировки законопроекта). В то время как CCPA прямо применяется к веб-сайтам, ведущим свою деятельность в штате Калифорния, в законопроекте Гавайских островов SB 418 нет аналогичной статьи.Теоретически веб-сайты, расположенные в любой точке мира, могут нарушить закон, если они не обеспечат адекватную защиту, как указано в законопроекте. Однако законопроект, вероятно, будет изменен в более позднем проекте, чтобы сосредоточить внимание исключительно на гавайских веб-сайтах.

Закон штата Мэриленд о защите прав потребителей в Интернете

SB 613 штата Мэриленд

— еще один законопроект, который может расширить сферу действия CCPA в некоторых областях. Компании будут иметь аналогичные обязательства по раскрытию информации об использовании, но в меньшей степени, чем в соответствии с CCPA.И, как в Калифорнии и Массачусетсе, существует также использование «вероятностного идентификатора» для обозначения определенного типа личной информации. Вперед, Мэриленд!

Однако этот законопроект выходит за рамки CCPA, когда дело доходит до раскрытия информации о причастности третьих лиц. Согласно CCPA компании должны раскрывать информацию только в том случае, если потребительская информация продается третьей стороне, но в соответствии с SB 613 Мэриленда компании должны будут раскрывать любую информацию, которая передается третьим сторонам, даже если эти данные передаются бесплатно. .Этот закон также запрещает веб-сайтам сознательно раскрывать любую личную информацию, собранную о детях.

Северная Дакота

HB 1485

Северной Дакоты, который в настоящее время находится в Палате представителей штата, является самым легким законопроектом в этом списке. Единственный существенный пункт HB 1485 полностью запрещает веб-сайтам передавать любую информацию третьим лицам без согласия пользователей. Нет права на удаление или удаление информации после получения согласия.

Сравнение законов штата США о конфиденциальности

Государство	Право на удаление?	Право на доступ?	Право на исправление?	Частное право частного иска?	Широкое определение PII?	Покрытые предприятия	Статус
Калифорния	Есть	Есть	№	750 долл. США / потребитель (нарушения)	Да (вероятностный)	Выручка более 25 миллионов долларов	Действует: 01.01.2020
Нью-Йорк	Есть	Есть	Есть	750 долл. США / потребитель	Есть	Все	На рассмотрении
Мэриленд	Есть	Есть	№	№(Только через AG.)	Да (вероятностный)	Более 25 миллионов долларов	На рассмотрении
Массачусетс	Есть	Есть	№	750 долл. США / потребитель	Да (вероятностный)	Более 10 миллионов долларов США	На рассмотрении
Гавайи	Есть	Есть	№	№	Есть	Все	На рассмотрении
Северная Дакота	№	Есть	№	Limited	№	Более 25 миллионов долларов	На рассмотрении

Часто задаваемые вопросы и шпаргалка по конфиденциальности микроданных

Самая достойная коктейля болтовня о конфиденциальности из этого поста, сжатая в четыре вопроса!

Q: Есть ли в США единый закон о конфиденциальности потребителей в стиле GDPR?

А: Нет.Вместо этого в США действуют федеральные законы о конфиденциальности данных для финансов (GLBA), здравоохранения (GLBA), данные о детях (COPPA), а также новая волна государственных законов о конфиденциальности, среди которых наиболее важным является Закон Калифорнии о конфиденциальности потребителей (CCPA).

Причины этого лоскутного одеяла кроются в политических решениях США по стимулированию инноваций — «сломайте и посмотрите, что произойдет» — в технологиях, а не в других соображениях. Но в «наших лабораториях демократии» законы штатов наконец-то догоняют реальность и, в конечном итоге, будут вилять федеральной собакой.

Q: В каких штатах действуют законы о конфиденциальности?

A: Очень мало — всего три! Конечно, во всех 50 штатах теперь есть правило уведомления об утечке данных, которое обычно также требует разумной безопасности данных. Но на момент написания этой статьи законы о конфиденциальности действуют только в Калифорнии, Неваде и Мэн. В некоторых штатах (см. Выше) законы о конфиденциальности проходят через законодательные органы. Для получения текущего снимка статуса этих предлагаемых законов штата Международная ассоциация профессионалов в области конфиденциальности (IAPP) постоянно обновляет систему показателей.

Q: Что защищает Закон о конфиденциальности 1974 года?

A: Многие люди предполагают, что когда в 1970-х годах был принят Закон о конфиденциальности, он защищал данные потребителей в США. Ничто не может быть дальше от истины! Хотя Закон США о конфиденциальности был новаторским законодательством, включающим такие идеи, как минимизация данных, право на доступ и право на исправление, он ограничен данными, собранными правительством США от своих граждан. Это не влияет на частный сектор или, в частности, на данные, собираемые компаниями в Интернете.

В. Влияют ли федеральные законы США и законы штата о конфиденциальности на иностранные компании?

A: Если иностранные компании имеют дочерние компании в США, они будут подпадать под действие всех законов США, включая, конечно, наши законы о безопасности данных и конфиденциальности. Настоящий вопрос заключается в том, есть ли в США экстерриториальный аспект своих законов о безопасности и конфиденциальности, таких как GDPR ЕС, который распространяется на организации за пределами его границ. И ответ на это нет.

Заключение мыслей о конфиденциальности и будущее законов о конфиденциальности данных

Поскольку штаты берут на себя инновации в этой области, возможно, принятие федерального закона, создающего равные условия игры, — это лишь вопрос времени.

А пока из государственных экспериментов можно извлечь три урока:

• PII будет определен как выходящий за рамки обычных идентификаторов, чтобы охватывать вероятностные идентификаторы (или квази-PII), которые могут использоваться для косвенной идентификации потребителей.
• Право на удаление станет важной частью законов о конфиденциальности. Будет ли это распространяться на более широкое «право на забвение», маловероятно
• В настоящее время регулирующие органы понимают, что потребители хотят знать всю информацию о них, имеющуюся у компаний, с правом просмотра и, возможно, исправления этих данных.

Законодательство о конфиденциальности, предложенное конгрессменом Эшу.

Куда все это идет? Если бы я мог прогнозировать, я бы сказал, что что-то близкое к недавно предложенным законам о конфиденциальности, предложенным конгрессменом Эшу или сенатором Кэнтуэлл, станет законом страны.

Иными словами, будущий закон США о конфиденциальности будет отражать некоторые ключевые идеи CCPA. Но, как мы видели в Калифорнии, скорее всего, будут исключения и смягчены требования, касающиеся прав сотрудников на конфиденциальность, запросов на доступ и удаление и, наконец, штрафов и штрафов.

Заинтригованы, обеспокоены или прямо напуганы тем, что происходит на пути к уединению? Запросите демонстрацию наших решений по обеспечению конфиденциальности и безопасности данных, чтобы узнать, чем мы можем помочь!

Личная информация | Wex | Закон США

право на неприкосновенность частной жизни: доступ к личной информации

Право на неприкосновенность частной жизни эволюционировало, чтобы защитить способность людей определять, какая информация о себе собирается и как эта информация используется. Большинство коммерческих веб-сайтов используют файлы cookie, а также формы для сбора информации от посетителей, такой как имя, адрес, адрес электронной почты, демографические данные, номер социального страхования, IP-адрес и финансовая информация.Во многих случаях эта информация затем предоставляется третьим лицам в маркетинговых целях. Другие организации, такие как федеральное правительство и финансовые учреждения, также собирают личную информацию. Угрозы мошенничества и кражи личных данных, создаваемые этим потоком личной информации, стали стимулом для законодательства о праве на конфиденциальность, требующего раскрытия методов сбора информации, возможностей отказа, а также внутренней защиты собранной информации. Однако такие требования еще не достигли всех сегментов рынка.

15 U.S.C. В § 45 Федеральная торговая комиссия (FTC) обвиняется в предотвращении «недобросовестных методов конкуренции в сфере торговли или воздействия на нее, а также недобросовестных или обманных действий или практик в торговле или влияющих на нее». В вопросах конфиденциальности роль FTC заключается в обеспечении выполнения обещаний о конфиденциальности, данных на рынке. Несколько дополнительных законов образуют основу, на которой FTC выполняет это обвинение: Закон о конфиденциальности 1974 года (5 USC § 552a), Закон Грэмма-Лича-Блили (15 USC §§ 6801-6809), Закон о справедливой кредитной отчетности ( 15 U.S.C. § 1681 и последующие) и Закон о защите конфиденциальности детей в Интернете (15 U.S.C. §§ 6501-6506).

Закон о конфиденциальности 1974 года (5 U.S.C. § 552a) защищает личную информацию, находящуюся в распоряжении федерального правительства, предотвращая несанкционированное раскрытие такой информации. Частные лица также имеют право просматривать такую ​​информацию, запрашивать исправления и получать информацию о любых раскрытиях. Закон о свободе информации облегчает эти процессы.

Закон Грэмма-Лича Блайли (также известный как Закон о финансовой модернизации 1999 г.) устанавливает руководящие принципы защиты личной финансовой информации.По закону (15 U.S.C. § 6803) финансовые учреждения обязаны предоставлять клиентам политику конфиденциальности, в которой объясняется, какие виды информации собираются и как эта информация используется. От таких организаций также требуется разработать меры безопасности для защиты информации, которую они собирают от клиентов.

Закон о справедливой кредитной отчетности (15 U.S.C. § 1681 и последующие) защищает личную финансовую информацию, собранную агентствами по предоставлению отчетов о потребителях. Закон ограничивает круг лиц, имеющих доступ к такой информации, а последующие поправки упростили процесс, с помощью которого потребители могут получать и исправлять собранную информацию о себе.FTC также активно применяет запреты на получение личной финансовой информации обманным путем — преступление, известное как «предлог».

Закон о защите конфиденциальности детей в Интернете (15 USC §§ 6501-6506) позволяет родителям контролировать, какая информация собирается об их ребенке (младше 13 лет) в Интернете. Операторы веб-сайтов, которые либо нацелены на детей, либо сознательно собирают личную информацию от детей, должны публиковать политики конфиденциальности, получать согласие родителей перед сбором информации от детей, позволять родителям определять, как такая информация используется, и предоставлять родителям возможность отказаться будущей коллекции от их ребенка.

Однако, несмотря на права, описанные выше, другие участники рынка не обязаны по закону разрабатывать аналогичные методы защиты и раскрытия информации. Скорее, в остальной части рынка FTC поощряет добровольный режим защиты конфиденциальности потребителей. Тем не менее, в двух отчетах Конгрессу (1998, 2000) FTC обнаружила, что большинство сайтов, не подпадающих под юрисдикцию установленных законов о праве на неприкосновенность частной жизни, не информируют потребителей надлежащим образом о методах сбора, а большинство сайтов не обеспечивают адекватной защиты конфиденциальности личная информация посетителей.Похоже, что добровольный режим недостаточен, и перспектива дальнейшего принятия законодательства о праве на неприкосновенность частной жизни в области доступа к личной информации вполне реальна.

Отслеживание законодательства штата США о конфиденциальности

Последнее обновление: 16 сентября 2021 г.

На государственном уровне импульс всесторонних законопроектов о конфиденциальности находится на рекордно высоком уровне. После того, как в 2018 году был принят Закон Калифорнии о конфиденциальности потребителей, несколько штатов предложили аналогичный закон для защиты потребителей в своих штатах.Исследовательский центр IAPP Westin составил нижеприведенный список предлагаемых и введенных в действие всеобъемлющих законопроектов о конфиденциальности со всей страны, чтобы помочь нашим членам не отставать от меняющегося ландшафта конфиденциальности штата.

В Центре ресурсов IAPP размещена тематическая страница «Конфиденциальность штата США», на которой представлена ​​тщательно подобранная коллекция новостей и ресурсов, касающихся конфиденциальности в штатах США, а также отслеживание федерального законодательства США о конфиденциальности, которое включает список законопроектов, связанных с конфиденциальностью, предложенных в Конгресс, чтобы держать наших членов в курсе событий в федеральном ландшафте конфиденциальности.

---

Хотя многие законопроекты, включенные в таблицу, не станут законом, сравнение ключевых положений каждого законопроекта может помочь понять, как конфиденциальность развивается в Соединенных Штатах. Законопроекты, которые проголосовали против или умерли в комитете, не будут немедленно удалены, потому что их включение помогает проиллюстрировать, как государства думают о конфиденциальности. Мы определили 13 положений, которые обычно встречаются во всеобъемлющих законах о конфиденциальности, и поместили «x» в соответствующий столбец, если это положение включено в конкретный законопроект.13 общих положений о конфиденциальности разбиты на две категории — права потребителей и деловые обязанности — и описаны под таблицей.

В таблицу включены законопроекты, предназначенные для комплексных подходов к регулированию использования личной информации в штате — отраслевые, информационные или узконаправленные счета (например, счета за безопасность данных) не включаются, если они не имеют сопутствующего законодательного акта. которые в совокупности создают комплексную структуру, применимую к отрасли, занимающей центральное место в экономике совместного использования данных (например,g., провайдеры интернет-услуг или технологические компании).

Исследовательский центр Westin будет периодически обновлять эту таблицу. Если вам известно о предложенном государственном законопроекте (с официально представленной формулировкой), которого нет в нашем списке, сообщите об этом исследовательскому центру Westin, [email protected].

Примечание относительно упущения Nevada SB 220 и Maine LD 946:
Когда этот трекер был запущен в 2018 году, по всей стране было введено несколько всеобъемлющих законопроектов о конфиденциальности.В то время мы решили включить законы, которые были законопроектами о конфиденциальности, но не обязательно всеобъемлющими. Однако законодательный ландшафт изменился. В этом году, когда мы переоценили счета штата Мэн и Невада, мы решили, что они больше не соответствуют нашим требованиям, чтобы оставаться на графике, и намеренно удалили эти два счета из графика.

---

Элементы стола

• Законодательный процесс — Законодательный орган каждого штата имеет уникальный законодательный календарь и различные законодательные процедуры; этот набор столбцов обобщает эти различные законодательные процедуры на шесть категорий:
  • Внесено — законопроект внесен на рассмотрение законодательной палаты, но еще не внесен в комитет.
  • In Committee — Законопроект проходит через различные комитеты в палате его происхождения.
  • Пересеченная палата — Законопроект прошел голосование в своей исходной палате и перемещен в противоположную палату законодательного органа (например, палата представителей штата приняла закон, и он перешел в сенат штата).
  • Cross Committee — Законопроект проходит через различные комитеты в палате, не являющейся исходной.
  • Принято — Обе палаты законодательного органа приняли закон.
  • Подпись — губернатор подписал законопроект, и теперь он является законом.
• На заседании — Список законодательных собраний штата, которые в настоящее время заседают или находятся только на временном (по сравнению с расширенным) перерывом.

---

Резервы в таблице

Права потребителей

• Право доступа к личной информации, собранной или переданной — Право потребителя на доступ от бизнес-контроллера / контроллера данных к информации или категориям собранной информации о потребителе, информации или категориям информации, переданной третьим сторонам, или конкретные третьи стороны или категории третьих лиц, которым была предоставлена ​​информация; или некоторая комбинация аналогичной информации.
• Право на исправление — Право потребителя требовать исправления неверной или устаревшей личной информации, но не удаления.
• Право на удаление — Право потребителя требовать удаления личной информации о потребителе при определенных условиях.
• Право на ограничение обработки — Право потребителя ограничивать способность бизнеса обрабатывать личную информацию о потребителе.
• Право на переносимость данных — Право потребителя запрашивать раскрытие личной информации о потребителе в общем формате файла.
• Право отказаться от продажи личной информации — Право потребителя отказаться от продажи личной информации о потребителе третьим лицам.
• Право против автоматизированного принятия решений — Запрет бизнесу принимать решения в отношении потребителя исключительно на основе автоматизированного процесса без участия человека.
• Частное право потребителя на предъявление иска — Право потребителя требовать от компании возмещения гражданского ущерба за нарушение закона.

---

Деловые обязательства

• Строгое согласие на продажу личной информации потребителя младше определенного возраста — Ограничение, наложенное на бизнес, чтобы обращаться с потребителями младше определенного возраста с отказом от подписки на продажу их личной информации .
• Уведомление / требования к прозрачности — Обязательство, возложенное на бизнес, по уведомлению потребителей об определенных методах обработки данных, операциях по обеспечению конфиденциальности и / или программах обеспечения конфиденциальности.
• Обязательная оценка рисков — Обязательство, возложенное на бизнес, проводить официальную оценку рисков проектов или процедур конфиденциальности и / или безопасности.
• Запрет на дискриминацию потребителя при реализации права — Запрет бизнесу, который обращается с потребителем, который реализует право потребителя, иначе, чем с потребителем, который не пользуется правом.
• Ограничение цели / обработки — Ограничительная структура в стиле Общего регламента ЕС по защите данных, запрещающая сбор / обработку личной информации, за исключением определенных целей.

Просмотр элементов таблицы

---

Предыдущие издания

Здесь вы можете найти архивные выпуски отслеживания законодательства штата США в области конфиденциальности, с документами, упорядоченными по годам внесения законопроектов.

---

Рост государственного законодательства о конфиденциальности

Здесь вы можете найти инфографику, отражающую быстрый рост инициатив по обеспечению конфиденциальности на уровне штата, а также одностраничную диаграмму со ссылками на счета по годам, чтобы предоставить исторический контекст.

---

Состояние законов о конфиденциальности данных потребителей в США (и почему это имеет значение)

Поскольку все больше вещей, которые люди покупают, подключены к Интернету, больше наших обзоров и рекомендаций на Wirecutter включают в себя длинные разделы с подробным описанием функций конфиденциальности и безопасности такие продукты, все, от умных термостатов до фитнес-трекеров. По мере того, как данные, которые собирают эти устройства, продаются, передаются и взламываются, определение того, какие риски вам подходят, является необходимой частью осознанного выбора.И эти риски сильно различаются, отчасти потому, что нет единого всеобъемлющего федерального закона, регулирующего порядок сбора, хранения или обмена данными о клиентах большинством компаний.

Большая часть экономики данных, лежащей в основе обычных продуктов и услуг, невидима для покупателей. По мере того, как ваши данные передаются между бесчисленными третьими сторонами, появляется не только больше компаний, получающих прибыль от ваших данных, но и больше возможностей для утечки или взлома ваших данных таким образом, который может причинить реальный вред. Только за последний год мы стали свидетелями того, как новостное агентство использовало данные приложения под псевдонимом, предположительно просочившиеся от рекламодателя, связанного с приложением для знакомств Grindr, для священника.Мы читали о том, что правительство США покупает данные о местоположении из молитвенного приложения. Исследователи обнаружили, что приложения для лечения опиоидной зависимости обмениваются конфиденциальными данными. А недавно T-Mobile пострадала от утечки данных, от которой пострадали по меньшей мере 40 миллионов человек, некоторые из которых даже не имели учетной записи T-Mobile.

«У нас есть компании, которые накапливают просто гигантские объемы данных о каждом из нас в течение всего дня, каждый день», — сказала Кейт Руан, старший советник по вопросам законодательства о Первой поправке и конфиденциальности потребителей в Американском союзе за гражданские свободы. .Руан также указал на то, что данные в конечном итоге используются неожиданным образом — намеренно или нет — например, для таргетинга рекламы или корректировки процентных ставок в зависимости от расы. «Ваши данные изымаются и используются во вредных целях».

Законы о конфиденциальности данных потребителей могут дать людям право контролировать свои данные, но при плохом исполнении такие законы также могут сохранить статус-кво. «Мы можем остановить это», — продолжил Руан. «Мы можем создать лучший Интернет, лучший мир, в котором будет больше защиты конфиденциальности.

Что (не делают) действующие национальные законы о конфиденциальности

В настоящее время законы о конфиденциальности представляют собой беспорядок из различных отраслевых правил. «Исторически сложилось так, что в США существует множество несопоставимых федеральных [и государственных] законов», — сказала Эми Степанович, исполнительный директор Silicon Flatirons Center в Colorado Law. «[Они] либо смотрят на конкретные типы данных, такие как кредитные данные или медицинская информация, — сказал Степанович, — либо смотрят на определенные группы населения, такие как дети, и регулируют в этих сферах.”

В Соединенных Штатах нет единого закона, регулирующего конфиденциальность всех типов данных. Вместо этого у него есть смесь законов, которые называются акронимами, такими как HIPAA, FCRA, FERPA, GLBA, ECPA, COPPA и VPPA.

Данные, собираемые по подавляющему большинству продуктов, которые люди используют каждый день, не регулируются. Поскольку нет федеральных законов о конфиденциальности, регулирующих многие компании, они в значительной степени свободны делать с данными все, что захотят, если только в штате не действует собственный закон о конфиденциальности данных (подробнее об этом ниже).

• В большинстве штатов компании могут использовать, передавать или продавать любые данные, которые они собирают о вас, без уведомления вас об этом.
• Ни один национальный закон не устанавливает стандартов, когда (или если) компания должна уведомить вас, если ваши данные были взломаны или раскрыты неавторизованным сторонам.
• Если компания передает ваши данные, включая конфиденциальную информацию, такую ​​как ваше здоровье или местонахождение, третьим лицам (например, брокерам данных), эти третьи стороны могут в дальнейшем продать или поделиться ими без уведомления вас.

«Большинство людей считают, что они защищены, до тех пор, пока они не защищены», — сказал Ашкан Солтани, независимый исследователь и бывший главный технолог Федеральной торговой комиссии. «К сожалению, поскольку эта экосистема в основном скрыта от глаз и непрозрачна, потребители не могут видеть и понимать поток информации».

Всеобъемлющий европейский закон о конфиденциальности, Общий регламент по защите данных (GDPR), требует от компаний запрашивать некоторые разрешения на совместное использование данных и дает отдельным лицам права доступа, удаления или контроля использования этих данных.В Соединенных Штатах, напротив, нет единого закона, регулирующего конфиденциальность всех типов данных. Вместо этого в нем есть набор законов, именуемых такими аббревиатурами, как HIPAA, FCRA, FERPA, GLBA, ECPA, COPPA и VPPA, предназначенных для нацеливания только на определенные типы данных в особых (часто устаревших) обстоятельствах.

• Закон о переносимости и подотчетности медицинского страхования (HIPAA) не имеет ничего общего с конфиденциальностью и касается только общения между вами и «покрываемыми организациями», в том числе врачами, больницами, аптеками, страховщиками и другими подобными предприятиями.Люди склонны думать, что HIPAA охватывает все данные о здоровье, но это не так. Например, ваши данные Fitbit не защищены, и закон не ограничивает тех, кто может запрашивать ваш статус вакцинации COVID-19.
• Закон о справедливой кредитной отчетности (FCRA) охватывает информацию в вашем кредитном отчете. Он ограничивает круг лиц, которым разрешено просматривать кредитный отчет, то, что кредитные бюро могут собирать, и способы получения информации.
• В Законе о правах семьи на образование и неприкосновенность частной жизни (FERPA) указано, кто может запрашивать записи об образовании учащихся.Это включает в себя предоставление родителям, учащимся, имеющим на это право, и другим школам право просматривать записи об образовании, которые ведет школа.
• Закон Грэмма-Лича-Блайли (GLBA) требует, чтобы потребительские финансовые продукты, такие как услуги по ссуде или консультации по инвестициям, объясняли, как они делятся данными, а также право клиента на отказ. Закон не ограничивает способы использования компаниями собираемых данных, если они заранее раскрывают такое использование. Он, по крайней мере, пытается поставить ограждение на безопасность некоторых личных данных.
• Закон о конфиденциальности электронных коммуникаций (ECPA) ограничивает правительственное прослушивание телефонных разговоров и других электронных сигналов (хотя Закон о патриотизме США изменил многое из этого). Он также устанавливает общие правила, касающиеся того, как работодатели могут контролировать общение сотрудников. Критики часто указывают на то, что ECPA, принятый в 1986 году, устарел. Поскольку ECPA был написан задолго до появления современного Интернета, он не защищает от современных тактик наблюдения, таких как доступ правоохранительных органов к более старым данным, хранящимся на серверах, в документах облачных хранилищ и в поисковых запросах.
• Правило защиты конфиденциальности детей в Интернете (COPPA) налагает определенные ограничения на сбор данных компанией для детей младше 13 лет.
• Закон о защите конфиденциальности видео (VPPA) запрещает разглашение данных об аренде видеокассет. Этот закон сейчас может показаться глупым, но он появился после того, как журналист вытащил историю проката видео кандидата в Верховный суд Роберта Борка. Однако VPPA не выступила против стриминговых компаний.
• Закон о Федеральной торговой комиссии (Закон FTC) дает право FTC преследовать приложение или веб-сайт, нарушающие его собственную политику конфиденциальности.FTC также может расследовать нарушения маркетинговых формулировок, связанных с конфиденциальностью, как это было, когда она подала жалобу на Zoom за обман пользователей, заявив, что видеочаты были зашифрованы из конца в конец. Некоторые группы также недавно призвали Федеральную торговую комиссию распространить эту власть на неправомерные методы обработки данных.

При большом количестве различных законов легко увидеть, как люди не понимают, какие права у них есть, а какие нет. Вдобавок к этим федеральным законам существует еще несколько законов штатов.

Только три штата имеют всеобъемлющие законы о конфиденциальности данных

Изображение: IAPP

В настоящее время в трех штатах США действуют три различных всеобъемлющих закона о конфиденциальности потребителей: Калифорния (CCPA и поправка к нему, CPRA), Вирджиния (VCDPA) и Колорадо (ColoPA) . Независимо от того, в каком штате находится компания, права, предоставляемые законодательством, распространяются только на людей, проживающих в этих штатах.

«Многие положения подтверждают бизнес-модель. [VCDPA] по сути позволяет компаниям, занимающимся сбором больших данных, продолжать делать то, что они делали.- Кейт Руан, старший советник по правовым вопросам, Американский союз защиты гражданских свобод

В этих законах есть аналогичные положения, которые, как правило, дают вам уведомление и возможность выбора в отношении контроля ваших данных. По сути, компания, работающая в соответствии с этими правилами, должна сообщить вам, продает ли она ваши данные; вы также можете выбрать, согласны вы с этим или нет, и имеете право на доступ, удаление, исправление или перемещение ваших данных. Эти законы немного отличаются друг от друга, например, в разрешенных периодах исправления (количество времени, которое компания имеет для исправления ошибки), размере или уровне дохода предприятий, к которым применяется закон, а также в том, можете ли вы использовать инструменты или «авторизованные» агенты »для запросов на отказ (например, настройка в вашем веб-браузере, которая автоматически отключает вас от продажи данных на веб-странице, или услуги, в которой другое лицо отправляет запросы на отказ от вас).

Эксперты, с которыми мы разговаривали, назвали защиту конфиденциальности Калифорнии самой сильной в США, поскольку правила включают ограниченное «частное право на иск» — возможность предъявить иск компании — против определенных типов утечки данных. В Калифорнии также требуется «глобальный отказ», чтобы исключить возможность совместного использования данных с помощью устройства или браузера, вместо принудительного отказа на каждом сайте в отдельности. Напротив, некоторые из экспертов, с которыми мы говорили, скептически относились к Закону Вирджинии о защите данных потребителей.«Я считаю [VCDPA] довольно слабым законопроектом», — сказал Руан из ACLU. «Это основано на согласии отказа. Защиты гражданских прав нет. Нет частного права на предъявление иска. Многие положения подтверждают бизнес-модель. По сути, это позволяет компаниям, занимающимся сбором больших данных, продолжать делать то, что они делали раньше ». Ничего из этого не должно вызывать удивления, учитывая, что закон Вирджинии был написан при активном участии Amazon.

По крайней мере четыре других штата, Массачусетс, Нью-Йорк, Северная Каролина и Пенсильвания, в настоящее время имеют серьезные всесторонние предложения по конфиденциальности данных потребителей в комитете.В других штатах на ранних стадиях действуют другие законы. Может быть сложно отслеживать статус всех этих предложений, но у Международной ассоциации профессионалов конфиденциальности есть трекер, который показывает, в каких штатах действует законодательство о конфиденциальности и где эти законопроекты находятся в процессе. Согласно исследованию The Markup, по крайней мере 14 предложений аналогичны более слабому закону Вирджинии.

Как и в случае с национальными законами, существуют законы на уровне штата, которые регулируют отдельные аспекты конфиденциальности данных.В Миссури действуют правила конфиденциальности электронных книг. Закон Иллинойса о конфиденциальности биометрической информации (BIPA) дает людям право на конфиденциальность их биометрических данных, таких как их отпечатки пальцев или сканирование лица. Когда дело доходит до уведомлений об утечке данных, особенно сложно узнать ваши права, поскольку существует как минимум 54 различных закона, которые различаются в зависимости от региона.

Эми Степанович из Центра кремниевых утюгов отметила, что такие государственные законы все еще полезны, даже если они могут сбивать с толку. «Вы можете думать о них как о повышении уровня воды», — сказала она, добавив, что компании часто предпочитают «применять более строгие и более защитные стандарты повсеместно для всех», когда юридические стандарты повышаются.

Существует также риск того, что слишком большое количество государственных законов вызовет путаницу как в операционном плане для компаний, так и практически для потребителей. Уитни Меррилл, поверенный по вопросам конфиденциальности и сотрудник по защите данных, сказала, что федеральный закон облегчит жизнь всем. «Нам нужен федеральный закон, который рассматривает вещи в гораздо более последовательном подходе, — сказал Меррилл, — чтобы потребители понимали и имели правильные ожидания в отношении прав, которыми они обладают в отношении своих данных».

Четыре области, которые, по мнению экспертов по конфиденциальности, заслуживают базовой защиты.

Все, с кем мы беседовали, описывали потенциальные законы о конфиденциальности данных потребителей как «пол», где их можно будет использовать в будущем по мере появления новых технологий.Этот этаж обычно включает в себя несколько основных средств защиты:

• Права на сбор и совместное использование данных : Законы должны давать людям право видеть, какие данные о них собраны различными компаниями, требовать от компаний удаления любых собранных ими данных и легко переносить данные из одной службы в другую. Это также включает право указывать компаниям не продавать (и не передавать) ваши данные третьим лицам. Чтобы получить представление о том, как этот вид регулирования работает на практике, мы рассмотрели, каково это запрашивать информацию в Калифорнии в соответствии с CCPA, который, как правило, требует, чтобы вы нажимали хотя бы одну форму на каждом веб-сайте, с которым вы взаимодействуете (и для некоторых третьих лиц, о существовании которых вы можете даже не подозревать).
• Согласие на подписку: Компания должна спросить вас, может ли она передавать или продавать ваши данные третьим лицам. Вам не придется часами отказываться от сбора ваших личных данных через каждую службу, которую вы используете.
• Минимизация данных: Компания должна собирать только то, что необходимо для предоставления услуги, которую вы используете.
• Недискриминация и запрет на использование данных: Компания не должна дискриминировать людей, которые реализуют свои права на неприкосновенность частной жизни; например, компания не может взимать с кого-либо дополнительную плату за защиту их конфиденциальности, и компания не может предлагать клиентам скидки в обмен на то, что они откажутся от дополнительных данных.Это положение также должно включать разъяснения относительно защиты гражданских прав, таких как предотвращение дискриминации рекламодателями определенных характеристик.

Merrill также хотела бы видеть более полный закон об уведомлении о взломе данных, возможно, в виде отдельного счета. «Я думаю, это было бы довольно легко пройти», — сказала она. «Кто получает уведомление? Какие общие стандарты? Давайте упростим задачу, чтобы все были на одной странице «.

«Особенно в тех штатах, где не допускается частное право [подавать в суд], а затем также недофинансировать государственное правоприменение — это просто оскорбление.”- Хейли Цукаяма, активист законодательной власти, Electronic Frontier Foundation

Никакое регулирование ничего не значит без механизма принуждения. И лоббисты оспаривают «частное право на иск» — разрешение частному лицу подать иск на компанию за нарушение конфиденциальности — как один из таких механизмов. Закон штата Калифорния имеет ограниченное частное право на предъявление иска, связанного с небрежностью в отношении утечки данных. В законах Колорадо и Вирджинии этого даже нет. Несколько законопроектов, в том числе законопроекты в Коннектикуте, Флориде, Оклахоме и Вашингтоне, не стали законами, потому что они включали частное право на иск.В начале 2021 года законодатели Северной Дакоты представили законопроект, который включал частное право действий и согласие на подписку, и в ответ группа рекламных компаний (PDF) заявила: «Такой подход создаст самый ограничительный закон о конфиденциальности в мире». Соединенные Штаты.» Законопроект провалился в казенном доме.

Хейли Цукаяма, активистка законодательных органов из Electronic Frontier Foundation, прямо описала ситуацию. «Мы хотели бы, чтобы в законодательстве о конфиденциальности были полные права на частные действия», — сказала она.«Мы просто думаем, что если компания нарушает вашу конфиденциальность, вы можете подать на нее в суд».

«Исторически маргинализированные сообщества не могли полагаться на государственные учреждения для защиты своих прав», — сказал Степанович. «Таким образом, наличие чего-то вроде частного права на иск для сообществ чернокожих и других сообществ, которые не являются белыми, гарантирует, что они могут отстаивать свои права или обращаться в суд, когда что-то пойдет не так».

Солтани, напротив, увидел путь вперед без частного права иска: «Я думаю, что принудительное исполнение является действительно важным аспектом.При наличии адекватного правоприменения — правовой защиты и регулирующих ресурсов — я не думаю, что отказ от частного права на иск — это нарушение сделки ».

Эти ресурсы важны. «Особенно в тех штатах, где не допускается частное право [действий], а также недостаточное финансирование государственного правоприменения — это просто оскорбление причинения вреда», — сказал Цукаяма. Калифорния создала правоприменительную группу специально для этой цели под названием California Privacy Protection Agency, которая будет получать 10 миллионов долларов в год.Управление генерального прокурора штата Вирджиния осуществляет там правоприменение с финансированием в размере 400 000 долларов США, дополненным штрафами и пени.

Тратить деньги на обеспечение соблюдения или требовать от компаний адаптации к новым правилам также требует, чтобы люди выполняли работу, а эти люди не всегда доступны. «Одна из моих проблем с законами штата состоит в том, что им нужно учиться все больше и больше, — отметил Меррилл, — и я боюсь выгорания в сообществе конфиденциальности, потому что за этим невозможно угнаться, а ставки так высоки.

Интернет-ассоциация, отраслевая группа, представляющая несколько крупных технологических компаний, включая Amazon, Facebook и Google, указала нам на письмо и свидетельские показания, отправленные в законодательный орган Нью-Джерси, в которых основное внимание уделяется двум пунктам: согласие и частное право на иск. . Ассоциация настаивает на том, чтобы текущая модель отказа от участия поддерживала статус-кво, при котором потребители должны изо всех сил стараться изо всех сил, чтобы получить защиту конфиденциальности, изложенную в законе. Ассоциация также включила документ Института правовой реформы, филиала Торговой палаты США, который выступает за правовые реформы, благоприятные для бизнеса, в котором утверждается, что частные судебные процессы будут препятствовать инновациям, будут стоить слишком много денег и привести к непоследовательным решениям.

Как более строгие законы о конфиденциальности повлияют на вашу повседневную жизнь

Если вы когда-либо просматривали одно из этих раздражающих уведомлений о файлах cookie или были вынуждены прокрутить до конца политики конфиденциальности, прежде чем вы сможете использовать программное обеспечение, вы получили представление о том, как такие законы могут иметь пагубное влияние на вашу повседневную жизнь.

Так не должно быть. Степанович сказал, что если закон о конфиденциальности написан хорошо, жизнь большинства людей не должна измениться. «Конфиденциальность — это не в том, чтобы не использовать технологии, а в том, чтобы иметь возможность участвовать в жизни общества и знать, что вашими данными не будут злоупотреблять, или вам не будет причинен вред в будущем из-за этого», — сказала она. .Если все сделать правильно, то последствия скандалов, подобных скандалам, связанным с Cambridge Analytica или Grindr, можно будет минимизировать. И вы увидите меньше персонализированной рекламы и больше контекстной, которые, возможно, менее неприятны (для чтения статьи требуется подписка).

Хорошо составленный закон о конфиденциальности данных упростит вам покупку многих продуктов, которые вам интересны, не беспокоясь о проблемах конфиденциальности, связанных с этим. Возможно, обзорам и руководствам Wirecutter не потребуются подробные сравнения политик конфиденциальности для бегущих часов, умных весов или роботов-пылесосов, потому что все они будут иметь базовый уровень конфиденциальности, а также четкую и понятную опцию. -в правилах обмена данными.И если компания совершит ошибку и нарушит эти права на конфиденциальность, эта компания будет нести ответственность за изменение.

Даже самые последние законы не учитывают всевозможные проблемы с данными, такие как прозрачность алгоритмов или использование распознавания лиц правительством.

Камнем преткновения нынешней системы отказа является усталость от уведомлений. Когда каждое приложение и веб-сайт запрашивают у вас десятки разрешений, становится легче принять статус-кво, чем вручную отказаться от каждой технологии отслеживания.В обзорной статье в Science (PDF) в 2015 году подчеркивается, насколько плохо большинство людей справляется с рисками, связанными с конфиденциальностью, а в документе 2019 года описывается вид согласия «уведомление и выбор», к которому все привыкли, как «метод регулирования конфиденциальности, который обещает прозрачность и свободу действий, но не обеспечивает ни того, ни другого ».

Все эксперты, с которыми мы беседовали, отдали предпочтение модели согласия и концепции «конфиденциальность по умолчанию». При таком расположении учетные записи изначально делались бы частными, а у приложений не было бы никаких разрешений.Вы должны выбрать эти настройки. Наряду с правом подавать в суд на компании, согласие на подписку оказывается одним из самых трудных моментов, которые сложно ввести в законы о конфиденциальности. Вместо этого эксперты настаивают на возможности использовать расширения браузера или другие инструменты, которые автоматически отключаются.

Ашкан Солтани, бывший главный технолог FTC, предложил техническое решение с помощью Global Privacy Control (GPC), которое дает возможность отказаться от продажи данных на уровне браузера или устройства — улучшение по сравнению с необходимостью отказаться от использования на каждом сайте или в каждой службе.GPC в настоящее время включен в несколько браузеров и признан несколькими изданиями, в том числе The New York Times. Калифорния будет более четко требовать от компаний соблюдения GPC после того, как в 2023 году вступят в силу его правила «глобального отказа». — отметила Эми Степанович. «Вы хотите, чтобы эта безнадежность исчезла, и чтобы люди знали: вас защищают, пока вы занимаетесь этим.

Основные законы о конфиденциальности, которые пропагандируются, предлагаются и иногда принимаются, не могут и не исправят всего. Учитывая сложность существующей сейчас экономики данных, можно и, возможно, нужно сделать гораздо больше. Даже в последних законах не учитываются всевозможные проблемы с данными, такие как прозрачность алгоритмов или использование распознавания лиц правительством. На разных этапах принятия находится несколько национальных законов о конфиденциальности, но ни один из них не имеет серьезных шансов быть принятым в ближайшее время.

Но новые законы могли бы, по крайней мере, поощрять продукты и услуги, менее опасные для конфиденциальности, и они могли бы обеспечить базовую защиту (и обеспечение соблюдения) от наиболее вредоносных типов интеллектуального анализа данных, а также сформировать основу для большей защиты конфиденциальности в будущем. В лучшем случае закон о конфиденциальности данных может сделать так, чтобы вы могли покупать новейшие штуковины с интересными новыми функциями, не беспокоясь о том, что компания собирает больше данных, чем вы думаете, и продает их компаниям, о которых вы никогда не слышали. для использования рекламодателями для продвижения к вам.

Источники

1. Уитни Меррилл, поверенный по вопросам конфиденциальности и сотрудник по защите данных, телефонное интервью, 26 июля 2021 г.

2. Ашкан Солтани, независимый исследователь и бывший главный технолог Федеральной торговой комиссии, телефонное интервью, 21 июля 2021 г.

3. Кейт Руан, старший юрисконсульт по вопросам Первой поправки и конфиденциальности потребителей в Американском союзе гражданских свобод, телефонное интервью, 21 июля 2021 г.

4. Эми Степанович, исполнительный директор Silicon Flatirons Center в Colorado Law, телефон интервью, 15 июля 2021 г.

5.Хейли Цукаяма, активист законодательной власти Electronic Frontier Foundation, телефонное интервью, 14 июля 2021 г.

Законы штатов, касающиеся конфиденциальности цифровых данных

Содержание

Контакт

Обзор

Интернет и новые технологии постоянно поднимают новые политические вопросы о конфиденциальности, и законодатели штата продолжают решать множество проблем конфиденциальности, возникающих в результате онлайн-активности.

Эта веб-страница документирует законы штата в ограниченном количестве областей : всеобъемлющая конфиденциальность данных потребителей, политика конфиденциальности веб-сайтов, конфиденциальность загрузки онлайн-книг и информации о просмотре читателями, личная информация, хранящаяся у поставщиков Интернет-услуг, онлайн-маркетинг определенных продуктов, направленных на несовершеннолетние и мониторинг электронной почты сотрудников.Другие типы законов штата касаются конфиденциальности и могут также применяться к онлайн-деятельности.

ОБРАТИТЕ ВНИМАНИЕ: NCSL обслуживает законодателей штата и их сотрудников. Этот сайт предоставляет только общую сравнительную информацию и не должен рассматриваться или толковаться как юридическая консультация. Кроме того, NCSL не защищает и не занимает позицию в отношении законодательства, законов или политики штата. Любые внешние ресурсы, представленные ниже, предназначены только для информационных целей.

Законодательство о конфиденциальности данных потребителей

Всеобъемлющие законы о конфиденциальности данных потребителей

Три штата — Калифорния, Колорадо и Вирджиния — приняли всеобъемлющие законы о конфиденциальности данных потребителей.У этих трех законов есть несколько общих положений, таких как право доступа и удаления личной информации и отказ от продажи личной информации, среди прочего. Другие положения требуют, чтобы коммерческие веб-сайты или онлайн-сервисы публиковали политику конфиденциальности, в которой описываются типы собираемой личной информации, какая информация передается третьим сторонам и как потребители могут запрашивать изменения в определенной информации. Кроме того, Комиссия по единому праву одобрила Единый закон о защите личных данных — типовой закон, призванный служить образцом для единого государственного законодательства о конфиденциальности.

Калифорния

Cal. Civ. Кодекс §§ 1798.100 и след. (Закон Калифорнии о защите прав потребителей от 2018 г. (CCPA))
Позволяет потребителям иметь право запрашивать у компании раскрытие категорий и конкретных частей личной информации, собранной компанией о потребителях, а также источника этой информации и бизнес-целей. для сбора информации. Предоставляет возможность потребителям потребовать от компании удалить личную информацию, полученную от потребителей.Обеспечивает, что потребители имеют право отказаться от продажи компанией своей личной информации, и компания не может дискриминировать потребителей, которые отказываются. Относится к жителям Калифорнии. (A.B.375, вступает в силу 1 января 2020 г., с изменениями, внесенными S.B. 1121 2018 г.)

Связанная информация CCPA:

Закон о правах потребителей в Калифорнии (CPRA)
Предложение 24, утверждено в ноябре 2020 г., вступает в силу 1 января 2023 г.
Расширяет законы о конфиденциальности данных потребителей.Позволяет потребителям: (1) запрещать предприятиям делиться личной информацией; (2) исправить неточную личную информацию; и (3) ограничить использование компаниями «конфиденциальной личной информации», включая точную геолокацию; гонка; этническая принадлежность; религия; генетические данные; частные коммуникации; сексуальная ориентация; и уточненная информация о здоровье. Учреждает Калифорнийское агентство по защите конфиденциальности, которое дополнительно обеспечивает соблюдение законов о конфиденциальности потребителей и налагает штрафы. Изменяет критерии, по которым предприятия должны соблюдать законы.Запрещает компаниям хранить личную информацию дольше, чем это необходимо. Увеличивает втрое максимальные штрафы за нарушения, касающиеся потребителей младше 16 лет. Утверждает гражданские штрафы за кражу данных для входа в систему, как указано. (С изменениями, внесенными 2021 г. А.Б. 1490)

Колорадо

Colo. Rev. Stat. § 6-1-1301 и след. (2021 HS.B.190)
Создает Закон штата Колорадо о конфиденциальности в рамках Закона штата Колорадо о защите прав потребителей. Учитываются права потребителей на неприкосновенность частной жизни, ответственность компаний за защиту личных данных и уполномочивает генерального прокурора и окружных прокуроров принимать принудительные меры в случае нарушений.Определяет различные термины, относящиеся к охватываемым компаниям, потребителям и данным, включая определение термина «контролер» как человека или группы людей, которые определяют, как данные используются и обрабатываются. Дата вступления в силу — 1 июля 2023 г.

Вирджиния

2021 H.B. 2307/2021 С.Б. 1392 (Закон о защите данных потребителей)
Устанавливает основу для контроля и обработки персональных данных в Содружестве. Закон применяется ко всем лицам, которые ведут бизнес в Содружестве и либо (i) контролируют или обрабатывают персональные данные не менее 100 000 потребителей, либо (ii) получают более 50 процентов валового дохода от продажи персональных данных и контролируют или обрабатывают персональные данные. не менее 25 000 потребителей.В законе изложены обязанности и стандарты защиты конфиденциальности для контроллеров и обработчиков данных. Законопроект не распространяется на государственные или местные органы власти и содержит исключения для определенных типов данных и информации, регулируемых федеральным законом. Закон предоставляет потребителям права на доступ, исправление, удаление, получение копии личных данных и отказ от обработки личных данных в целях целевой рекламы. Закон предусматривает, что Генеральный прокурор обладает исключительными полномочиями по обеспечению соблюдения закона, и для поддержки этих усилий создается Фонд защиты конфиденциальности потребителей.Закон предписывает Совместной комиссии по технологиям и науке создать рабочую группу для рассмотрения положений этого закона и вопросов, связанных с его реализацией, и отчитаться о своих выводах к 1 ноября 2021 года. Дата вступления в силу — 1 января 2023 года.

Другие законы о конфиденциальности ключевых данных потребителей

Калифорния

Cal. Civ. Кодекс §§ 1798.99.80 и след. (Регистрация брокера данных)
Требует, чтобы брокеры данных регистрировались и предоставляли определенную информацию Генеральному прокурору.Определяет брокера данных как бизнес, который сознательно собирает и продает третьим сторонам личную информацию потребителя, с которым компания не имеет прямых отношений, за некоторыми исключениями. Требует от генерального прокурора сделать информацию, предоставленную брокерами данных, доступной на своем веб-сайте. Брокеры данных, не прошедшие регистрацию, подлежат судебному запрету и несут ответственность за гражданско-правовые штрафы, сборы и расходы по иску, возбужденному Генеральным прокурором, с любым возмещением, которое должно быть депонировано в Фонд защиты конфиденциальности потребителей, как указано.Законопроект будет содержать заявления о законодательных выводах и декларациях, а также о законодательных намерениях.

Невада

NRS § 603A.300 (Требуются веб-сайты в Неваде, позволяющие пользователям отказаться от продажи их личных данных третьим лицам.)
Требуется оператор (например, лицо, которое владеет или управляет Интернет-сайтом или онлайн-службой для коммерческих целей. цели или собирает и поддерживает указанную информацию от жителей Невады) для установления указанного адреса запроса, через который потребитель может подать проверенный запрос, предписывающий оператору не продавать закрытую информацию, собранную о потребителе.Термин «продажа» означает обмен покрываемой информацией за денежное вознаграждение оператором с лицом, чтобы это лицо лицензировало или продавало покрываемую информацию дополнительным лицам. Закон также запрещает оператору, получившему такой запрос, продавать любую закрытую информацию, собранную о потребителе. Генеральный прокурор может потребовать судебного запрета или гражданского наказания за нарушения.

Невада 2021 S.B. 260
Относится к конфиденциальности в Интернете; освобождает определенных лиц и информацию, собранную о потребителе в этом состоянии, от требований, предъявляемых к операторам, брокерам данных и защищенной информации; запрещает брокеру данных продавать определенную информацию, собранную о потребителе, в штате, если это предписано потребителем; пересматривает положения, касающиеся продажи определенной информации, собранной о потребителе в государстве.

Вермонт

9 VSA § 2446-2447 (Защита личной информации: брокеры данных)
Требует, чтобы брокеры данных — предприятия, которые сознательно собирают и лицензируют личную информацию потребителей, с которыми такие предприятия не имеют прямых отношений, — ежегодно регистрироваться у секретаря. государства. Брокеры данных также должны предоставлять потребителям указанную информацию, включая имя, адрес электронной почты и Интернет-адреса брокера данных; разрешает ли брокер данных потребителю отказаться от сбора личной информации или продажи данных; способ запроса отказа; действия или продажи, к которым относится отказ; и разрешает ли брокер данных потребителю разрешить третьей стороне выполнить отказ от имени потребителя.Заявление, определяющее сбор данных, базы данных или деятельность по продажам, от которых потребитель не может отказаться, а также заявление о том, реализует ли брокер данных процесс аутентификации покупателя, также должно быть раскрыто среди других раскрытий. Брокеры данных также должны внедрять и поддерживать письменную программу информационной безопасности, содержащую административные, технические и физические меры безопасности для защиты информации, позволяющей установить личность.

Конфиденциальность личной информации, хранящейся у интернет-провайдеров (ISP)

См. Также 2017-2020 Законодательство о конфиденциальности в отношении интернет-провайдеров

Невада и Миннесота требуют, чтобы поставщики интернет-услуг хранили в тайне определенную информацию о своих клиентах, если только клиент не дает разрешения на раскрытие информации.Миннесота также требует, чтобы интернет-провайдеры получали разрешение от подписчиков, прежде чем раскрывать информацию о привычках их просмотра в Интернете и посещенных Интернет-сайтах. Мэн запрещает использование, раскрытие, продажу или разрешение доступа к личной информации клиента, если клиент явно не дает на это согласия. Мэн также запрещает поставщику услуг отказывать в обслуживании клиента, взимать с него штраф или предлагать покупателю скидку.

Конфиденциальность детей в Интернете

Калифорния
Калифорния.Автобус. & Проф. Кодекс §§ 22580-22582
Права Калифорнии на неприкосновенность частной жизни несовершеннолетних в Калифорнии в цифровом мире Закон, также называемый законопроектом о стирании, разрешает несовершеннолетним удалять или запрашивать и добиваться удаления содержимого или информации, размещенных в Интернете. Веб-сайт, онлайн-сервис, онлайн-приложение или мобильное приложение. Он также запрещает оператору веб-сайта или онлайн-службы, ориентированной на несовершеннолетних, осуществлять маркетинг или рекламу определенных продуктов или услуг, которые несовершеннолетним запрещено покупать по закону.Закон также запрещает маркетинг или рекламу определенных продуктов на основе личной информации, относящейся к несовершеннолетнему, или сознательное использование, раскрытие, компиляцию или разрешение делать это третьей стороне.

Делавэр
Код Делавэра § 1204C
Запрещает операторам веб-сайтов, онлайн-сервисов или облачных вычислений, онлайн-приложений или мобильных приложений, ориентированных на детей, рекламировать или рекламировать в своей интернет-службе определенные продукты или услуги, не предназначенные для просмотра детьми, например, алкоголь, табак, огнестрельное оружие или порнография.Когда маркетинг или реклама в Интернет-сервисе, ориентированном на детей, предоставляется рекламной службой, оператор Интернет-службы должен уведомить рекламную службу, после чего действует запрет на маркетинг и рекламу указанных продуктов или услуг. напрямую в рекламную службу. Закон также запрещает оператору интернет-сервиса, который действительно знает, что ребенок использует интернет-сервис, использовать личную информацию ребенка для маркетинга или рекламы продуктов или услуг для ребенка, а также запрещает раскрывать личную информацию ребенка. если известно, что личная информация ребенка будет использоваться в целях маркетинга или рекламы этих продуктов или услуг для ребенка.

Конфиденциальность электронных книг

Аризона
Ariz. Rev. Stat. § 41-151.22
Предусматривает, что библиотека или библиотечная система, поддерживаемая общедоступными деньгами, не должна допускать раскрытия каких-либо записей или другой информации, включая электронные книги, которая идентифицирует пользователя библиотечных услуг как запрашивающего или получающего определенные материалы или услуги или как иным образом. используя библиотеку.

Калифорния
Кал. Govt. §§ 6254, 6267 и 6276.28
Кодекса §§ 6254, 6267 и 6276.28
Защищает записи об использовании патроном библиотеки, такие как письменные записи или электронные транзакции, которые идентифицируют информацию о заимствовании или использовании библиотечных информационных ресурсов, включая, помимо прочего, записи поиска в базе данных, записи заимствований, записи классов и любое другое использование, позволяющее установить личность, при запросах или запросах информации о библиотечных ресурсах.

Cal. Гражданский кодекс, § 1798.90
Закон о конфиденциальности читателей Калифорнии защищает информацию о книгах, которые калифорнийцы просматривают, читают или покупают в электронных службах и у онлайн-продавцов книг, которые могут иметь доступ к подробной информации о читателях, например, к конкретным просмотренным страницам. Требуется ордер на обыск, постановление суда или положительное согласие пользователя, прежде чем такая компания сможет раскрыть личную информацию своих пользователей, связанную с использованием ими книги, с указанными исключениями, включая неминуемую опасность смерти или серьезной травмы.

Делавэр
Del. Код тит. 6, § 1206C
Защищает личную информацию пользователей цифровых книжных услуг и технологий, запрещая коммерческой организации, которая предоставляет книжную услугу общественности, раскрывать личную информацию о пользователях книжной услуги правоохранительным органам, государственным учреждениям или другим лицам. лица, за исключением определенных обстоятельств. Позволяет немедленно раскрывать информацию о книжных услугах пользователя правоохранительным органам, когда существует неминуемая опасность смерти или серьезной физической травмы, требующей раскрытия информации о книжных услугах, и требует, чтобы поставщик книжных услуг сохранял информацию о книжных услугах пользователя в течение определенного периода времени по запросу правоохранительных органов.Требует, чтобы поставщик книжных услуг готовил и размещал в Интернете годовой отчет о раскрытии личной информации, если он не освобожден от этого. Подразделение по защите прав потребителей Министерства юстиции уполномочено расследовать и преследовать в судебном порядке нарушения этих актов.

Миссури
Mo. Rev. Stat. §§ 182.815, 182.817
Определяет «электронную книгу» и «цифровой ресурс или материал» и добавляет их к элементам, указанным в определении «библиотечных материалов», которые патрон библиотеки может использовать, брать или запрашивать.Обеспечивает, что любая третья сторона, заключившая контракт с библиотекой, которая получает, передает, обслуживает или хранит библиотечную запись, не может передавать или раскрывать всю или часть библиотечной записи кому-либо, кроме лица, указанного в записи или постановлении суда.

Политика и практика конфиденциальности для веб-сайтов или онлайн-служб

Калифорния
Калифорния Автобус. § 22575
Кодекса проф. отслеживание их личной информации на сайтах или в сервисах и с течением времени.Это также требует от оператора раскрытия информации о том, проводят или могут осуществлять такое отслеживание на сайте или в службе оператора третьи стороны.

Калифорния Автобус. & Prof. Code § 22575-22578 (CalOPPA)
Закон Калифорнии о защите конфиденциальности в Интернете требует, чтобы оператор, определяемый как физическое или юридическое лицо, собирающий личную информацию от жителей Калифорнии через веб-сайт или онлайн-службу в Интернете для коммерческих целей, опубликовал заметная политика конфиденциальности на своем веб-сайте или в онлайн-сервисе (который может включать мобильные приложения) и соблюдение этой политики.Закон, среди прочего, требует, чтобы политика конфиденциальности определяла категории личной информации, которую оператор собирает об отдельных потребителях, которые используют или посещают его веб-сайт или онлайн-службу, и третьих лиц, с которыми оператор может делиться информацией.

Cal. Civ. §§ 1798.130 (5), 1798.135 (a) (2) (A)
Кодекс §§ 1798.130 (5), 1798.135 (a) (2) (A)
Требует от определенных компаний раскрытия определенной информации в политике или политиках конфиденциальности в Интернете, если у компании есть политика или политики конфиденциальности в Интернете и в любом описании, характерном для Калифорнии. прав потребителей на конфиденциальность или, если компания не поддерживает эту политику, на своем веб-сайте и обновлять эту информацию не реже одного раза в 12 месяцев.Требует, чтобы определенные компании включали описание прав потребителя в соответствии с Разделом 1798.120 вместе с отдельной ссылкой на веб-страницу «Не продавать мою личную информацию» в политике конфиденциальности в Интернете.

Cal. Эд. Кодекс § 99122
Требует, чтобы частные некоммерческие или коммерческие учреждения высшего образования опубликовали политику конфиденциальности в социальных сетях на веб-сайте учреждения.

Коннектикут
Conn. Gen. Stat. § 42-471
Требует, чтобы любое лицо, собирающее номера социального страхования в ходе своей деятельности, разработало политику защиты конфиденциальности.Политика должна быть «публично отображена» путем размещения на веб-странице, и политика должна (1) защищать конфиденциальность номеров социального страхования, (2) запрещать незаконное разглашение номеров социального страхования и (3) ограничивать доступ к номерам социального страхования. .

Delaware
Del. Code Tit. 6 § 205C
Требуется наличие оператора коммерческого интернет-сайта, онлайн-сервиса или службы облачных вычислений, онлайн-приложения или мобильного приложения, которое собирает через Интернет личную информацию об отдельных пользователях, проживающих в Делавэре, которые используют или посещают коммерческий интернет-сайт оператора в режиме онлайн. или службу облачных вычислений, онлайн-приложение или мобильное приложение, чтобы сделать свою политику конфиденциальности заметным образом доступной на своем веб-сайте в Интернете, онлайн-службе или службе облачных вычислений, онлайн-приложении или мобильном приложении.Оператор нарушает положения данного подраздела только в том случае, если оператор не может сделать свою политику конфиденциальности доступной в течение 30 дней после уведомления о несоблюдении. Задает требования к политике.

Невада
NRS § 603A.340
Требует, чтобы операторы интернет-сайтов или онлайн-сервисов собирали личную информацию для определения категорий информации, собранной через ее интернет-сайт или онлайн-сервис, о потребителях, которые используют или посещают сайт или сервис, а также категории третьих лиц, с которыми оператор может делиться такой информацией.Предоставляет описание процесса, если таковой существует, для отдельного потребителя, который использует или посещает Интернет-сайт или онлайн-службу, чтобы просмотреть и запросить изменения любой его или ее информации, которая собирается через Интернет-сайт или онлайн-службу.

Орегон
ORS § 646.607
Считает незаконной торговую практику, если лицо публикует на веб-сайте, связанном с его бизнесом, или в потребительском соглашении, связанном с потребительской сделкой, заявление или представление фактов, в которых это лицо утверждает что лицо определенным образом или для определенных целей будет использовать, раскрывать, собирать, поддерживать, удалять или распоряжаться информацией, которую это лицо запрашивает, требует или получает от потребителя, и это лицо использует, раскрывает, собирает, поддерживает, удаляет или распоряжается информацией способом, который материально несовместим с заявлением или заявлением лица.

Прочие законы, касающиеся раскрытия или передачи личной информации

Кроме того, законы Калифорнии и Юты, хотя и не нацелены конкретно на онлайн-бизнес, требуют от всех нефинансовых компаний раскрывать клиентам в письменной форме или по электронной почте типы личной информации, которой компания делится или продает третьей стороне. в целях прямого маркетинга или для компенсации. В соответствии с законодательством штата Калифорния компании могут публиковать заявление о конфиденциальности, которое дает клиентам возможность отказаться от предоставления информации бесплатно.

Ложные и вводящие в заблуждение заявления в политике конфиденциальности

Охватывает законы, которые прямо ссылаются на ложные или вводящие в заблуждение заявления в политике конфиденциальности в Интернете. Во всех 50 штатах также действуют законы о недобросовестных и вводящих в заблуждение действиях и практике (UDAP), которые также могут применяться к информации, размещенной в Интернете.

Небраска
Небраска Стат. § 87-302 (15)
Небраска запрещает сознательно делать ложные или вводящие в заблуждение заявления в политике конфиденциальности, опубликованной в Интернете или иным образом распространяемой или опубликованной, относительно использования личной информации, представленной представителями общественности.

Орегон
ORS § 646.607
Закон штата Орегон классифицирует следующее как незаконную торговую практику, если лицо в ходе своей деятельности, профессии или занятия:
«… (12) Публикует на веб-сайте, связанном с деятельностью человека или в потребительском соглашении, связанном с потребительской транзакцией, заявление или представление факта, в котором лицо утверждает, что это лицо определенным образом или для определенных целей будет использовать, раскрывать, собирать, поддерживать, удалять или распоряжаться информацией. что лицо запрашивает, требует или получает от потребителя, и это лицо использует, раскрывает, собирает, поддерживает, удаляет или распоряжается информацией способом, который материально несовместим с заявлением или представлением лица.«

Пенсильвания
18 Па. C.S.A. § 4107 (a) (10)
Пенсильвания включает ложные и вводящие в заблуждение заявления в политике конфиденциальности, опубликованной на веб-сайтах или иным образом распространяемой в ее уставе о вводящей в заблуждение или мошеннической деловой практике.

Уведомление о мониторинге связи сотрудников с электронной почтой и доступа в Интернет

Коннектикут и Делавэр требуют, чтобы работодатели уведомляли сотрудников перед отслеживанием сообщений электронной почты или доступа в Интернет.

Колорадо и Теннесси требуют, чтобы штаты и другие государственные организации приняли политику, связанную с мониторингом электронной почты государственных служащих.

Коннектикут Gen. Stat. § 31-48d

• Работодатели, которые участвуют в любом типе электронного мониторинга, должны предварительно письменно уведомить всех сотрудников, информируя их о типах мониторинга, который может иметь место.
• Если у работодателя есть разумные основания полагать, что сотрудники участвуют в незаконных действиях, и электронный мониторинг может предоставить доказательства этого неправомерного поведения, работодатель может проводить мониторинг без предварительного письменного уведомления.
• предусматривает гражданские штрафы в размере 500 долларов за первое нарушение, 1000 долларов за второе нарушение и 3000 долларов за третье и каждое последующее нарушение.

Делавэр Кодекс дел. § 19-7-705

• Запрещает работодателям отслеживать или перехватывать электронную почту, доступ к Интернету или использование сотрудника, если только работодатель сначала не направил сотруднику одноразовое письменное или электронное уведомление.
• Предоставляет исключения для процессов, которые выполняются исключительно с целью обслуживания и / или защиты компьютерных систем, а также для действий по решению суда.
• Предусматривает гражданский штраф в размере 100 долларов за каждое нарушение.

Колорадо Колорадо. Rev. Stat. § 24-72-204.5

• Требует, чтобы государство или любое агентство, учреждение или политическое подразделение, которое эксплуатирует или обслуживает систему электронной почты, приняли письменную политику в отношении любого мониторинга сообщений электронной почты и обстоятельств, при которых он будет проводиться.
• Политика должна включать заявление о том, что переписка сотрудника в форме электронной почты может быть публичным документом в соответствии с законом о публичных записях и может быть предметом общественной проверки в соответствии с этой частью.

Теннесси Кодекс штата Теннесси § 10-7-512

• Требует, чтобы государство или любое агентство, учреждение или политическое подразделение, которое эксплуатирует или обслуживает систему электронной почты, приняли письменную политику в отношении любого мониторинга сообщений электронной почты и обстоятельств, при которых он будет проводиться.
• Политика должна включать заявление о том, что переписка сотрудника в форме электронной почты может быть публичным документом в соответствии с законом о публичных записях и может быть предметом общественной проверки в соответствии с этой частью.

---

Политика конфиденциальности: правительственные сайты

По крайней мере, 16 штатов требуют, чтобы правительственные веб-сайты или государственные порталы устанавливали политику и процедуры конфиденциальности или включали машиночитаемые политики конфиденциальности в свои веб-сайты.

Дополнительные ресурсы

Китай принимает Закон о защите личной информации

20 августа 2021 года Постоянный комитет Всекитайского собрания народных представителей 13 ^-й Китая принял Закон о защите личной информации (далее — «PIPL»).Как мы уже сообщали, PIPL — это первый в Китае комплексный закон о защите данных. Он частично основан на комплексных режимах защиты данных в других юрисдикциях, включая Общий регламент ЕС по защите данных («GDPR»). PIPL вступит в силу 1 ноября 2021 года. Ниже приведены некоторые из ключевых положений PIPL.

Применение PIPL

PIPL будет регулировать деятельность по обработке личной информации, осуществляемую юридическими или физическими лицами в Китае.Кроме того, аналогично GDPR, PIPL будет применяться к деятельности организации по обработке данных, осуществляемой за пределами Китая, и, следовательно, к организациям, не зарегистрированным в Китае, если организация обрабатывает личную информацию о физических лицах, находящихся в Китае, в контексте (1) предложения товары или услуги для людей в Китае, или (2) анализ и оценка поведения людей в Китае.

Структура обработки личной информации

PIPL устанавливает всеобъемлющую структуру, регулирующую обработку личной информации.Как и в случае с GDPR, закон требует, чтобы компании соблюдали определенные принципы защиты данных, включая минимизацию данных и ограничение целей. PIPL также требует, чтобы субъекты данных уведомляли субъектов данных, которые соответствуют установленным законом требованиям к содержанию.

Кроме того, как и GDPR, PIPL требует юридической основы для обработки личной информации, но правовые основы, доступные в рамках PIPL, уже, чем те, которые доступны в соответствии с GDPR. Согласно PIPL, «уведомление и согласие» является основной правовой основой для законной обработки.Таким образом, индивидуальное согласие, вероятно, будет основной правовой основой, на которую полагаются компании. Существуют исключения, когда необходимо уведомление и согласие, в зависимости от сложности и обстоятельств обработки личной информации. Например, организации могут обрабатывать личную информацию без предварительного получения согласия, если это необходимо для заключения или исполнения контракта. Кроме того, организации могут обрабатывать личную информацию без предварительного получения согласия, если это необходимо для целей управления персоналом.

Примечательно, что независимо от доступной правовой основы для обработки отдельное согласие требуется в следующих случаях:

• раскрытие личной информации третьим лицам;
• обработка «конфиденциальной» личной информации; и
• передача личной информации за пределы Китая.

PIPL также определяет правила, регулирующие определенные виды деятельности по обработке (, например, , совместная обработка, обработка данных третьими сторонами, такими как поставщики, совместное использование данных, публикация личной информации и автоматическое принятие решений), а также правила применимо к различным типам данных, таким как «конфиденциальная» личная информация.Кроме того, PIPL запрещает ценовую дискриминацию с использованием данных в отношении существующих клиентов.

Оценка безопасности и передача личной информации за пределы Китая

В соответствии с PIPL операторы и организации критически важной информационной инфраструктуры («CII»), которые обрабатывают определенный объем личной информации, превышающий объем, определяемый Администрацией киберпространства Китая («CAC»), должны (1) хранить локально в Китае личная информация, которую они собирают и генерируют в Китае, и (2) проходят государственную оценку безопасности в той степени, в которой они стремятся передать личную информацию за пределы Китая.Как отмечалось выше, все организации, включая операторов CII, также должны получить конкретное согласие от физических лиц перед передачей своих данных за пределы Китая.

Права субъектов данных и обязанности обработчика данных

Как мы ранее сообщали относительно более раннего проекта, PIPL предоставляет ряд прав субъектов данных, включая права доступа, исправления и удаления личной информации. Большинство обязательств по обработке данных в окончательной версии PIPL аналогичны тем, которые предусмотрены во втором проекте PIPL.

Органы защиты личной информации

Различные органы, включая CAC, соответствующие департаменты Государственного совета и департаменты местного самоуправления на нашем уровне выше уезда, будут иметь надзорные, плановые, координирующие и административные обязанности в соответствии с PIPL. Штрафы за серьезные нарушения PIPL включают штрафы на сумму чуть менее 50 миллионов юаней или 5% от выручки организации за предыдущий год.