Эксперт: закон о персональных данных будет защищать россиян от рекламных звонков
19 августа 2022, 04:01
МОСКВА, 19 августа. /ТАСС/. Новые положения закона «О персональных данных», которые вступят в силу уже с 1 сентября, будут надежнее защищать пользователей от нежелательных рекламных звонков. Такое мнение выразила ТАСС директор Центра правовой помощи гражданам в цифровой среде Людмила Куровская.
«С большинством из нас случались истории, когда мы зашли на сайт, закрыли его через пару секунд. Однако в этот же или на следующий день поступал звонок от компании, владеющей этим сайтом, с предложением своих услуг. Вы не планировали вступать в договорные отношения с владельцем сайта, не продемонстрировали такое желание, однако ваши персональные данные уже получены и обработаны в соответствии с пользовательским соглашением. Именно от таких нарушений прав субъекта персональных данных защищают новеллы закона «О персональных данных», — рассказала она.
По словам Куровской, поправка означает, что пользовательское соглашение на обработку персональных данных не может считаться заключенным автоматически, если человек просто посетил сайт — бездействие не может быть формой заключения пользовательского договора.
Кроме того, согласно нововведениям, любые организации или физические лица, которые обрабатывают данные россиян, не вправе отказать им в обслуживании в случае несогласия предоставить биометрические персональные данные и разрешить их обработку. Исключение составляют только случаи, когда, в соответствии с федеральным законом, получение такого согласия является обязательным. «Право на отказ в предоставлении биометрических персональных данных, если этого не требует закон, а также право в таких случаях получить необходимую услугу раньше носило предположительный характер. Теперь эти права нашли законодательное закрепление», — отметила собеседница ТАСС.
Также в законе будет прописан запрет на включение в договор случаев обработки персональных данных несовершеннолетних, если этого не требует закон. Это исключит произвольную обработку персональных данных детей, в том числе в целях рекламы.
С 1 сентября в России вступает в силу обновленный закон, направленный на усиление защиты персональных данных.
Документ предусматривает, что оператор персональных данных должен в два этапа сообщить уполномоченным органам власти об утечке. Так, в течение суток с момента выявления утечки оператор обязан предоставить «описание скомпрометированных данных и контактное лицо», а в течение трех суток сообщить «о результатах внутренней проверки» и при наличии — об ответственных за утечку. Кроме того, закон исключает из договоров, в том числе пользовательских соглашений, дискриминирующие условия, например невозможность отказаться от передачи данных третьим лицам или получения рекламы, если это не нужно для предмета договора.
Еще одна поправка касается срока предоставления человеку информации о целях и причинах сбора персональных данных, их составе и источниках получения. С 1 сентября срок ответа на такие запросы не должен превышать 10 рабочих дней с оговоркой, что срок ответа может быть увеличен еще на пять рабочих дней. Задержать ответ можно только в особых случаях — например, для ответа нужно обратиться к бумажным оригиналам в труднодоступном регионе страны.
Законом предусматривается также применение российского законодательства о персональных данных за пределами страны. В частности, совершенствуется порядок их трансграничной передачи, в том числе «устанавливается обязанность операторов информировать уполномоченные органы власти о намерении трансграничной передачи персональных данных». При этом тем организациям, которые уже сегодня передают данные за границу, до 1 марта 2023 года необходимо проинформировать об этом Роскомнадзор, чтобы не приостанавливать деятельность после этой даты. В сентябре 2022 года ведомство планирует создать сервис подачи такого уведомления в электронном виде.
Теги:
Россия
Закон Российской Федерации (РФ) о персональных данных на практике
1 сентября 2015 года вступили в силу поправки к Федеральному закону № 152-ФЗ «О персональных данных» (далее – Закон). Согласно таким поправкам операторы персональных данных (далее — Операторы) обязаны обрабатывать персональные данные граждан РФ, используя сервера, расположенные на территории России.
Как только новые требования вступили в силу, они вызвали много вопросов, как со стороны операторов, так и со стороны обычных граждан. Прежде всего, это было вызвано нечеткостью формулировок закона, отсутствием судебной практики, и даже частично противоречащими друг другу разъяснениями контролирующих органов.
Однако при этом, из прямого толкования Закона следовало, что Операторы, прежде всего иностранные компании, чьи центры обработки и хранения данных исторически находились за пределами России, должны были перенести сервера для обработки персональных данных граждан РФ на территорию России, причем в довольно сжатые сроки.
По прошествии более чем одного года с момента вступления в силу поправок к Закону уже можно сделать вывод о наличии двух наиболее заметных подходов к исполнению таких требований.
Google, по имеющимся сведениям, завершил перенос персональных данных своих российских пользователей на сервера, находящиеся на территории России, еще до вступления в силу новых поправок Закона.
Учитывая, что Google имеет представительство в России, новые требования напрямую затрагивали интересы компании.
Социальная сеть Linkedin, ориентированная на бизнес и трудоустройство, наоборот не имеет представительства в Российской Федерации и не перенесла обработку данных на российские сервера. Она продолжила работать со своими центрами обработки и хранения данных в США, и недавно сайт Linkedin в России был заблокирован в результате поданного российским контролирующим органом иска о нарушении Закона о персональных данных.
В свою защиту представители Linkedin приводили аргументы о том, что закон нарушает принцип экстерриториальности, поскольку социальная сеть не имеет представительства на территории Российской Федерации. Также отмечался тот факт, что граждане передавали свои персональные данные добровольно. Однако данные факты не были приняты судами во внимание.
Опыт TMF GroupЯвляясь оператором персональных данных, TMF Group с момента появления проекта Закона уделяла большое внимание вопросу соответствия своей инфраструктуры всем предъявляемым требованиям.
Учитывая сложность проекта, работа по подготовке к переносу серверов началась более чем за год до вступления в силу поправок к Закону.
Мы получили соответствующие юридические заключения, наладили отношения и неоднократно обращались с запросами к российскому контролирующему органу, чтобы определить, каким образом новые требования будут применяться к провайдерам аутсорсинговых услуг, таких как мы; имеются ли какие-либо особенности или исключения с точки зрения типа данных, IT инфраструктуры, и т.д.
Проект по переносу данных на российские сервера можно разделить на организационные и технические мероприятия:
- Организационные мероприятия включают принятие или адаптацию существующих внутренних политик компании о конфиденциальности и защите данных, обновление классификации угроз.
- Технические мероприятия включают развёртывание центров обработки и хранения данных, отвечающих особенностям бизнеса, внедрение программной и аппаратной составляющих, интеграцию их в существующую IT инфраструктуру.
Российский центр обработки и хранения данных TMF Group полностью введен в эксплуатацию и обеспечивает потребности компании как с точки зрения обработки данных, так и предоставления дискового пространства для наших клиентов. Процесс переноса баз данных на территорию России занял у нас почти полтора года. Теперь у нас есть опыт, которым мы всегда рады поделиться с нашими клиентами.
Важные урокиСледующие детали могут быть полезны для компаний, планирующих внедрение подобных IT решений в России:
- Как аппаратная, так и программная части центра обработки и хранения данных должны состоять из оборудования, которое надлежащим образом обеспечивает защиту данных. При этом такая защита должна соответствовать частной модели угроз соответствующего Оператора. Перечень и подход к определению такого соответствия должен определяться в соответствии с внутренними положениями компании и российским законодательством.
- Если в составе центра обработки и хранения данных используются составляющие, позволяющие осуществлять шифрование информации, то для их ввоза в Россию требуется сертификация Федеральной службы безопасности Российской Федерации.
При этом, если такие составляющие не были сертифицированы производителем, то компании придется пройти процесс независимого сертифицирования. Такая процедура может привести к существенным задержкам.
Поправки к Закону о персональных данных поставили российских операторов перед сложным выбором: в условиях отсутствия четкого трактования Закона необходимо определить, какой подход к его интерпретированию следует использовать. Первый подход – более консервативный, который ведет к возникновению существенных затрат, либо делает деятельность в стране и вовсе невозможной. Второй подход является более гибким.
Учитывая появившиеся тенденции в судебной практике, а также общие тенденции в законодательстве – например, недавно введенное требование, применимое к провайдерам связи, осуществлять долговременное хранение истории коммуникации, разумно заметить, что, в случае консервативной оценки бизнес рисков, всем операторам данных, работающих с персональными данными российских пользователей следует максимально серьезно отнестись к требованиям о локализации таких данных.
Вам необходима более подробная информация? Пожалуйста, свяжитесь с нашими экспертами в России.
Законы США о конфиденциальности данных вступят в новую эру в 2023 г. философия, лежащая в основе законов о конфиденциальности данных в Соединенных Штатах.
Исторически сложилось так, что законы о конфиденциальности данных здесь уходят корнями в «основанную на предотвращении вреда» мешанину защиты конфиденциальности, направленную на предотвращение или смягчение вреда в определенных секторах. Напротив, в соответствии с более широким подходом, основанным на правах, примером которого является Общий регламент ЕС по защите данных (GDPR), люди фактически владеют своей личной информацией и, таким образом, предположительно имеют законное право контролировать ее, а кто может ее использовать — это вопрос. чтобы они решили.
Вслед за Калифорнией четыре других штата — Колорадо, Коннектикут, Юта и Вирджиния — начнут применять новые законы, вдохновленные GDPR, в 2023 году.
Обязательно последуют и другие штаты. Последствия этого фундаментального изменения основополагающих философских основ защиты конфиденциальности данных будут значительными в ближайшие годы и десятилетия. 2023 год ознаменует собой сдвиг.
Соединенные Штаты исторически разрешали предприятиям и учреждениям собирать личную информацию без явного согласия, при этом регулируя такое использование для предотвращения или уменьшения вреда в определенных секторах.
Последние обновления
Diest TightcategoryJeffrey Банки Эпштейна стремятся прекратить судебные процессы, статья с галереей
ГалереяPatentCategoryint, Parkervision Settip Patat Patation. Показательно, что эти секторы включают законы и нормативные акты, применимые к финансовому (например, Закон Грэма-Лича-Блайли (GLBA)) и медицинскому секторам (Закон о переносимости и подотчетности медицинского страхования (HIPAA)), образованию (Закон о семейных правах на образование и неприкосновенность частной жизни ( FERPA)), детей (Закон о защите конфиденциальности детей в Интернете (COPPA)) и других секторов как на федеральном уровне, так и на уровне штатов.
Законы, подобные этому, создают правила, применимые к определенным отраслям и типам учреждений. Эти правила защищают и предотвращают неправомерное использование определенных категорий личной информации. В соответствии с их основной философией, позволяющей собирать и использовать личную информацию, но предотвращать вред, эти правила налагают ограничения на отрасли и учреждения в отношении их обработки личной информации.
В отличие от этой философии, основанной на предотвращении вреда, страны Европейского союза (ЕС) уже давно придерживаются режима защиты личной информации, основанного на правах человека. Исторически эта философия утверждает, что конфиденциальность данных является одним из основных прав человека. Люди фактически владеют своей личной информацией, и кто может ее использовать, это их дело.
Это иное мировоззрение права на неприкосновенность частной жизни уходит корнями в исторический опыт страданий европейцев из-за печально известного сбора данных нацистами, которые собирали и систематизировали информацию о происхождении и принадлежности людей (среди прочего) и использовали ее для совершения злодеяний.
. Чудовищность этих преступлений против человечности сопровождалась аналогичным сбором данных секретной полицией бывшей коммунистической Восточной Германии. Эта трагическая история привела к понятной необходимости регулирования сбора, хранения и использования личной информации.В 1970 году в немецкой земле Гессен был принят первый в мире закон о защите данных за десятилетия до того, как Интернет и Всемирная паутина стали повсеместными. В 1978 году в Германии был принят Федеральный закон о защите данных. А в 1983 году Федеральный конституционный суд Германии постановил, что каждый человек имеет конституционное право на «информационное самоопределение».
С таким историческим прошлым в Европе и Германией, выступающей в качестве лидера в разработке законов о конфиденциальности данных, к 2016 году ЕС осознал необходимость модернизированного подхода к конфиденциальности данных. Это признание возникло в свете достижений в области информационных технологий и ускорения использования персональных данных в глобально взаимосвязанном мире.
Соответственно, ЕС принял Общий регламент по защите данных (GDPR). GDPR, вступивший в силу в 2018 году, кодифицировал несколько ключевых принципов, отражающих европейскую философскую основу защиты конфиденциальности данных, основанную на правах человека.Понимание основных принципов, кодифицированных в GDPR, полезно для понимания того, что происходит с новыми законами о конфиденциальности данных, которые должны вступить в силу в ближайшие недели и месяцы 2023 года. Новые законы вступят в силу в 2023 году в Калифорнии, Колорадо, Коннектикут, Юта и Вирджиния (а также другие штаты, которые, вероятно, последуют их примеру в ближайшие годы) отражают влияние основанной на правах человека философской основы GDPR. Эти новые законы представляют собой комплексный подход к защите конфиденциальности, применимый к предприятиям во многих секторах, в дополнение к законам для конкретных секторов, которые остаются в силе.
Общего регламента по защите данных подразделяется на «контроллеров данных» и «обработчиков данных».
Контроллеры данных, как следует из названия, — это предприятия и организации, которые контролируют сбор и использование данных — контроллеры данных решают, что делать с данными. Обработчики данных выполняют инструкции, предоставленные контроллерами данных. Обязательства, которые применяются к контроллерам данных, и их ответственность отличаются от тех, которые применяются к обработчикам данных. Новые законы штатов о конфиденциальности данных содержат это различие и подход.GDPR устанавливает несколько прав физических лиц в отношении их личной информации. Конкретные применимые права зависят от типа данных, особенно данных, считающихся очень конфиденциальными. Детали в законах США различаются, но в основном права аналогичны правам, изначально установленным в GDPR.
Эти права включают следующее:
• Доступ — физические лица имеют право запрашивать доступ для проверки своей личной информации.
• Исправление — физические лица имеют право требовать исправления ошибок в их личной информации.
• Переносимость — физические лица имеют право потребовать, чтобы их личная информация была передана другому лицу.
•Удаление — физические лица имеют право потребовать удаления их личной информации.
•Согласие — физические лица имеют право решать, может ли их личная информация быть продана или может быть использована для целей получения целевой рекламы.
• Апелляция — физические лица имеют право обжаловать отказ компании в удовлетворении их запроса.
Помимо обеспечения этих прав для отдельных лиц (называемых «субъектами данных» на языке GDPR), GDPR устанавливает определенные руководящие принципы. Эти принципы включают следующее:
• Конфиденциальность или защита данных по дизайну — система управления данными должна быть разработана с учетом защиты конфиденциальности (включая сопоставление данных, чтобы вы знали, какие данные где хранятся, а средства защиты соответствовали уровню чувствительности данных).
• Ведение учета — необходимо вести соответствующие записи в отношении сбора, обработки и использования данных.
•Минимизация данных — личная информация, особенно конфиденциальная, должна храниться, если вообще хранится, только до тех пор, пока она служит своим целям. Если данные не хранятся, хакеры не могут их украсть.
•Прозрачность, информированное согласие и законное использование — личная информация должна использоваться с информированного согласия субъектов данных, понятным для них образом и только в законных целях, разрешенных законом.
• Специалисты по защите данных и оценки защиты данных — обученный персонал должен следить за соблюдением требований защиты конфиденциальности, а защита данных должна оцениваться с использованием соответствующих принципов управления рисками.
• Передовые методы кибербезопасности — данные должны быть защищены с использованием передовых методов кибербезопасности, чтобы свести к минимуму риски утечки данных, включая соответствующие физические и технологические средства защиты.
• Уведомления об утечке данных — в случае утечки данных должен иметься проверенный план реагирования на инциденты, чтобы гарантировать своевременную доставку соответствующих уведомлений в различные сроки, предусмотренные законодательством.
• Обучение сотрудников — сотрудники должны быть обучены методам защиты конфиденциальности в соответствии с хорошо разработанными политиками, а доступ сотрудников к конфиденциальной личной информации должен быть ограничен для снижения рисков.
• Требование надлежащих формулировок контракта — положения контракта, касающиеся защиты данных и конфиденциальности, должны использоваться для обеспечения того, чтобы поставщики и подрядчики также принимали меры против неправомерного использования и утечки личной информации.
Приведенные выше списки прав и правовых принципов не являются исчерпывающими; 99 статей GDPR содержат гораздо больше.
Но знакомство с ними помогает изучить быстро меняющиеся законы о конфиденциальности данных в США и предвидеть появление новых.Вот список новых законов штата о конфиденциальности данных, которые должны быть опубликованы в 2023 году:
(1) Большинство положений Калифорнийского закона о правах на неприкосновенность частной жизни (CPRA) вступают в силу 1 января 2023 года. Закон Калифорнии о конфиденциальности потребителей (CCPA), который уже создал ряд индивидуальных прав по образцу GDPR. CPRA создало новое государственное агентство, аналогичное агентствам по защите данных в странах ЕС, которым поручено обеспечивать соблюдение GDPR.
(2) Закон штата Колорадо о конфиденциальности (CPA) вступает в силу 1 июля 2023 г. В дополнение к созданию прав, основанных на индивидуальных правах в соответствии с GDPR, CPA требует обеспечения безопасности данных и положений контракта для поставщиков, а также оценки «высокого риска».
обработка.(3) Закон Коннектикута о конфиденциальности данных (CDPA), как и новый закон штата Колорадо о конфиденциальности, вступает в силу 1 июля 2023 г. CDPA также создает набор индивидуальных прав, подобных GDPR, и требует минимизации данных, безопасности и оценки. для обработки «высокого риска».
(4) Закон штата Юта о конфиденциальности потребителей (UCPA) вступает в силу 31 декабря 2023 г. Он предусматривает определенные индивидуальные права, аналогичные GDPR, а также требует обеспечения безопасности данных и положений контракта. Но UCPA не включает в себя явно требуемые оценки рисков.
(5) Закон штата Вирджиния о конфиденциальности данных потребителей (VCDPA) вступает в силу 1 января 2023 г. Он предусматривает определенные права личности, подобные GDPR. Но в 2022 году «право на удаление» было заменено правом отказа от определенной обработки.
Несмотря на то, что эти новые законодательные акты штатов должны быть всеобъемлющими, они содержат определенные исключения для данных, уже защищенных другими законами, такими как HIPAA.
Уставы различаются в зависимости от их охвата, в зависимости от предприятий, которые достигают определенных пороговых значений дохода, или в зависимости от количества жителей, потребителей, домохозяйств или устройств с данными в соответствующем состоянии. Каждый закон уникален и должен быть тщательно проанализирован в отношении его сферы действия, требований, потенциальных обязательств и санкций, а также средств его обеспечения.Однако понимание того, к чему ведут эти новые законы и откуда они берутся, создаст основу для анализа и понимания их требований, а также требований новых законов, которые еще только появятся. Законы о конфиденциальности данных в этой стране (и во всем мире) будут меняться в 2023 году, и оглядываться назад уже некуда.
Фредрик Д. Беллами — постоянный обозреватель Reuters и Westlaw Today, посвященный законам о конфиденциальности данных и судебным разбирательствам.
Высказанные мнения принадлежат автору.
Они не отражают точку зрения агентства Reuters News, которое в соответствии с Принципами доверия придерживается принципов честности, независимости и свободы от предвзятости. Westlaw Today принадлежит Thomson Reuters и работает независимо от Reuters News.Конфиденциальность и безопасность | Федеральная торговая комиссия
Закон о защите конфиденциальности детей в Интернете (COPPA) дает родителям право контролировать, какую информацию веб-сайты могут собирать от их детей. Правило COPPA вводит дополнительные меры защиты и упрощает другие процедуры, которым должны следовать компании, подпадающие под действие этого правила. Ответы на часто задаваемые вопросы COPPA помогут вашей компании соответствовать COPPA. Узнайте о программе COPPA Safe Harbor и об организациях, одобренных FTC для реализации программ Safe Harbor. Вы также можете получить информацию о способах получения поддающегося проверке согласия родителей, в том числе о новых методах, одобренных Комиссией, и о процессе получения одобрения новых методов.
Потребители заботятся о конфиденциальности и безопасности своей медицинской информации. Если ваша компания дает обещания о конфиденциальности — прямо или косвенно — Закон FTC требует, чтобы вы соответствовали этим заявлениям. Кроме того, даже если вы не предъявляете конкретных требований, вы все равно обязаны поддерживать безопасность, соответствующую характеру данных, которыми вы владеете. Кроме того, если вы столкнулись с утечкой данных, к вашему бизнесу может применяться Правило уведомления о нарушении работоспособности. Компании, подпадающие под действие Правила, должны предпринять определенные шаги после нарушения. Еще один ключевой ресурс: Заявление Комиссии о взломе приложений для здоровья и других подключенных устройств.
Думаете, ваша компания не заявляет о конфиденциальности? Подумайте еще раз и перечитайте свою политику конфиденциальности, чтобы убедиться, что вы выполняете данные обещания. Потребители заботятся о конфиденциальности своей личной информации, а опытные компании понимают важность ясности в отношении того, что вы делаете с их данными.
Использует ли ваша компания потребительские отчеты или кредитные отчеты для оценки кредитоспособности клиентов? Обращаетесь ли вы к отчетам при оценке заявок на работу, аренду или страхование? Вот информация о ваших обязанностях в соответствии с Законом о достоверной кредитной отчетности и другими законами при использовании, представлении и уничтожении информации в этих отчетах.
Многие компании хранят конфиденциальную личную информацию о клиентах или сотрудниках в своих файлах или в своей сети. Наличие надежного плана обеспечения безопасности для сбора только того, что вам нужно, обеспечения его безопасности и безопасной утилизации может помочь вам выполнить свои юридические обязательства по защите этих конфиденциальных данных. У FTC есть бесплатные ресурсы для предприятий любого размера.
Закон Грэмма-Лича-Блайли требует, чтобы финансовые учреждения — компании, которые предлагают потребителям финансовые продукты или услуги, такие как кредиты, финансовые или инвестиционные консультации или страхование — разъясняли своим клиентам свои методы обмена информацией и защищали конфиденциальные данные.
Соблюдаете ли вы правило красных флажков? (Иногда это упоминается как одно из правил о краже личных данных Закона о достоверной кредитной отчетности, а в Своде федеральных правил оно фигурирует как «Обнаружение, предотвращение и смягчение последствий кражи личных данных».) Правило красных флажков требует от многих предприятий и организаций письменная программа предотвращения кражи личных данных, предназначенная для обнаружения предупредительных сигналов или красных флажков о краже личных данных в их повседневной деятельности.
Обновление платформы Privacy Shield:
16 июля 2020 г. Европейский суд вынес решение о признании недействительным решения Европейской комиссии 2016/1250/EC от 12 июля 2016 г. об адекватности отношений между ЕС и США. Платформа защиты конфиденциальности. Мы по-прежнему ожидаем, что компании будут выполнять свои текущие обязательства в отношении передачи данных в соответствии с Privacy Shield Framework. Мы также призываем компании продолжать следовать строгим принципам конфиденциальности, таким как принципы, лежащие в основе Privacy Shield Framework, и пересматривать свои политики конфиденциальности, чтобы убедиться, что они точно описывают свои методы обеспечения конфиденциальности, в том числе в отношении международной передачи данных.
