С какого времени действует закон о персональных данных: основные изменения с 1 марта

Разное 

Содержание

Что нужно знать бизнесу о защите персональных данных

Иллюстрация: Право.ru/Петр Козлов

В 2022 году прошла реформа законодательства о персональных данных, и у бизнеса появились новые обязанности. Одна их них — сообщать Роскомнадзору об утечках данных. Нововведений стоит ждать и в следующем году. Так, до передачи персональных данных за рубеж в некоторых случаях придется получать разрешение. К этим поправкам нужно готовиться уже сейчас, уверены юристы. Советами для бизнеса они поделились на конференции Право.ru, посвященной защите информации и персональных данных.

Изменения и тенденции

В 2022 году вступили в силу существенные изменения закона «О персональных данных». Поправки внесли в 15 из 29 статей, подсчитал Станислав Румянцев, старший юристГородисский и Партнеры Городисский и Партнеры Федеральный рейтинг. группа Интеллектуальная собственность (Защита прав и судебные споры) группа Интеллектуальная собственность (Консалтинг) группа Интеллектуальная собственность (Регистрация) группа ТМТ (телекоммуникации, медиа и технологии) Все изменения, по его словам, носят точечный характер и разъясняют много вопросов из практики. Это добавляет сложности юристам, уверен эксперт. Теперь его коллегам нужно провести аудит в своей компании и проконтролировать, учитываются ли там требования закона в новой редакции. 

Румянцев подробнее остановился на самых ключевых изменениях. Так, операторам связи придется чаще уведомлять Роскомнадзор. Раньше нужно было сообщать об обработке персональных данных, но были и исключения. Согласно поправкам, большинство из исключений убрали.

С начала сентября 2022-го компании обязаны сообщать Роскомнадзору об утечках. Оператор должен сделать это в течение 24 часов, рассказала Екатерина Ефимова, начальник отдела организации контрольно-надзорной деятельности управления по защите прав субъектов персональных данных Роскомнадзора.

Практика

В России не было единой методики подсчета интернет-аудитории, но с 1 октября 2021 года действует ст. 12.2 закона «Об информации» («Особенности исследования объема аудитории информационных ресурсов в сети «Интернет»). Его называют законом об исследовании аудитории интернета.

Подробнее о нем рассказал Михаил Хохолков, руководитель практики «Медиаправо» INTELLECT (ИНТЕЛЛЕКТ) INTELLECT (ИНТЕЛЛЕКТ) Федеральный рейтинг. группа Цифровая экономика группа ТМТ (телекоммуникации, медиа и технологии) 8место По количеству юристов 30место По выручке на юриста 41место По выручке Профайл компании Он отметил, что изучается обширный пласт информации: сведения о каждом факте доступа к информационному ресурсу с указанием времени, типа использованного оборудования и браузера. 

Хохолков заметил, что пока закон работает точечно. Есть реестр интернет-ресурсов, чью аудиторию исследуют.

В него попали четыре новостных агрегатора, восемь соцсетей, 26 зарегистрированных СМИ. При этом Хохолков отметил, что норма позволяет мониторить практически любой информационный ресурс, аудитория которого больше 1000 пользователей в месяц. Даже если это не самый популярный юридический блог, то он может набрать столько просмотров, уверен эксперт. «Пока не выглядит страшно, но непонятно, что будет в будущем», — признал Хохолков.

Артем Дмитриев, руководитель практики IP, Tech & Privacy Comply Comply Федеральный рейтинг. группа ТМТ (телекоммуникации, медиа и технологии) группа Цифровая экономика , рассказал, что в их компании исследовали, как менялось законодательство, связанное с персональными данными почти в 15 странах с 2019 года. Это помогло выявить тренды в том, как меняется регулирование.

В частности, повышается контроль, в том числе за утечками данных. Дмитриев ожидает, что в России оборотные штрафы за это появятся уже в этом году. Пока поправки еще обсуждают.

Наверное, в следующем году активно будет обсуждаться и уголовная ответственность за утечки персональных данных, что делает вопрос более острым. 

Артем Дмитриев

Дмитриев отметил еще одну тенденцию: государство получает больше доступа к процессам бизнеса, и, собственно, больше возможностей для контроля бизнеса. Так, эксперта заинтересовала инициатива Минцифры о предоставлении субъектам персональных данных права отзывать согласие на их обработку через «Госуслуги». Очевидно, когда такая возможность для граждан будет запущена, государство получит возможность контролировать, кто какой запрос направил и отреагировал ли бизнес на этот запрос или нет, уверен эксперт.

Советы для бизнеса

Законодательство меняется, и бизнесу нужно знать, как себя защитить. Подробнее об этом рассказал Максим Лагутин, исполнительный директор юридической компании «Б-152».

Мало лишь создать политику обработки персональных данных и положение об обработке для работников и согласия. Лагутин предлагает всегда назначать ответственного за персональные данные, а еще провести инвентаризацию обработки персональных данных и информационных систем. Это нужно, чтобы понимать, куда уходят данные, и выявить возможные риски утечки. Потом разработать дорожную карту по исправлению выявленных замечаний. По мнению Лагутина, еще бизнесу нужно выстроить порядок реагирования на запросы физлиц.

С 1 марта 2023 года у нас будет десять рабочих дней, чтобы отреагировать на запрос. А сейчас 30 дней. То есть в три раза больше.

Максим Лагутин

А еще Лагутин советует заранее определить, какие действия нужно предпринять в случае отзыва согласия или утечки данных. 

Свои рекомендации бизнесу дала и Баира Бембеева, старший юрист цифровой группы Пепеляев Групп Пепеляев Групп Федеральный рейтинг. группа Антимонопольное право (включая споры) группа ВЭД/Таможенное право и валютное регулирование группа Комплаенс группа Налоговое консультирование и споры (Налоговое консультирование) группа Налоговое консультирование и споры (Налоговые споры) группа Недвижимость, земля, строительство группа Трудовое и миграционное право (включая споры) группа Цифровая экономика группа Арбитражное судопроизводство (средние и малые коммерческие споры — mid market) группа Банкротство (реструктуризация и консалтинг) группа Банкротство (споры mid market) группа Интеллектуальная собственность (Консалтинг) группа Интеллектуальная собственность (Регистрация) группа Корпоративное право/Слияния и поглощения (mid market) группа Природные ресурсы/Энергетика группа Семейное и наследственное право группа ТМТ (телекоммуникации, медиа и технологии) группа Фармацевтика и здравоохранение группа Финансовое/Банковское право группа Международный арбитраж группа Разрешение споров в судах общей юрисдикции группа Экологическое право С учетом вступивших изменений она советует:
  • провести аудит локальных нормативных актов, которые посвящены персональным данным;
  • добавить в них данные о целях обработки персональных данных;
  • исходя из целей определить способы, сроки их обработки и хранения;
  • включить в локальные нормативные акты порядок уничтожения таких сведений.

Дмитрий Зыков, руководитель практики правовой защиты информации Технологии Доверия Технологии Доверия Федеральный рейтинг. группа Трудовое и миграционное право (включая споры) группа Фармацевтика и здравоохранение группа ГЧП/Инфраструктурные проекты группа Корпоративное право/Слияния и поглощения (mid market) группа Налоговое консультирование и споры (Налоговые споры) группа Природные ресурсы/Энергетика группа Санкционное право группа ТМТ (телекоммуникации, медиа и технологии) группа Частный капитал группа Банкротство (реструктуризация и консалтинг) группа ВЭД/Таможенное право и валютное регулирование группа Интеллектуальная собственность (Консалтинг) группа Комплаенс группа Налоговое консультирование и споры (Налоговое консультирование) группа Недвижимость, земля, строительство группа Финансовое/Банковское право , рассказал о ситуациях, когда по закону необходимо уничтожить персональные данные: компания достигла цели обработки, или утратила такую необходимость, или выявлен факт неправомерной обработки, или согласие на обработку отозвали.

Зыков рассказал, что оператор заранее должен предусмотреть порядок уничтожения персональных данных. Часто юристы советуют назначать комиссию, ответственную за это. Зыков говорит, что это может быть постоянно действующая комиссия либо можно собираться при необходимости.

Единственная рекомендация — включать в состав комиссии лицо, ответственное за организацию обработки персональных данных. Потому что, как правило, именно это лицо будет взаимодействовать с Роскомнадзором, когда тот начнет спрашивать: «Как вы уничтожили персональные данные?»

Дмитрий Зыков

Зыков говорит, что важно после уничтожения как-то зафиксировать этот факт. Это можно сделать, оформив акт или сделав запись в специально созданном для этого журнале.

Василий Зуев, руководитель практики «Интеллектуальная собственность» Интеллектуальный капитал Интеллектуальный капитал Федеральный рейтинг. группа Интеллектуальная собственность (Защита прав и судебные споры) группа Интеллектуальная собственность (Регистрация) группа Арбитражное судопроизводство (средние и малые коммерческие споры — mid market) группа Банкротство (споры mid market) , рассказал о системе защиты коммерчески значимой информации. По его словам, некоторые сведения нельзя отнести к коммерческой тайне и отказаться их предоставлять. Например, сведения об аккредитациях и лицензиях, о задолженности работодателей по выплате зарплаты, а для некоммерческих организаций еще и о размерах и структуре доходов. А вот коммерческой тайной можно признать сведения о предметах и целях совещаний, стратегии рекламных мероприятий, о подготовке к судебным спорам.

Эксперт рассказал и о способах защиты таких сведений. Наиболее востребованные — соглашение о неразглашении и пункт договора о том, что его конкретные сведения нельзя сообщать третьим лицам. При этом за нарушение предусматривается неустойка. 

Грядущие изменения

С 1 марта 2023 года операторам связи придется сообщать Роскомнадзору о трансграничной передаче персональных данных. Пока не до конца ясно, как будут действовать поправки, и рынок частично находится в неведении. Поэтому Ирина Ахмедова, руководитель практики интеллектуальной собственности и персональных данных Клифф Клифф Федеральный рейтинг. группа Интеллектуальная собственность (Регистрация) группа Интеллектуальная собственность (Защита прав и судебные споры) группа ТМТ (телекоммуникации, медиа и технологии) 22-24место По количеству юристов 27место По выручке на юриста 49место По выручке , ждет, что до вступления новых правил в силу Роскомнадзор выпустит какие-то разъяснения.

Порядок передачи зависит от того, обеспечивает ли страна адекватную защиту прав субъектов персональных данных. 23 сентября этого года Роскомнадзор сообщил, что утвердил перечень таких государств — в него вошли 89 стран. Если государство не включено в этот список, то нужно получать разрешение на трансграничную передачу персональных данных. А когда страна вошла в реестр, достаточно лишь уведомить РКН.

Минцифры предлагает ужесточить ответственность юрлиц за утечки персональных данных клиентов — ввести оборотные штрафы в зависимости от выручки компании. Пока законопроекта нет в публичном доступе, говорит Мария Самарцева, советник, глава практики защиты интеллектуальной собственности Рыбалкин, Горцунян, Дякин и Партнеры Рыбалкин, Горцунян, Дякин и Партнеры Федеральный рейтинг. группа Международные судебные разбирательства группа Международный арбитраж группа Санкционное право группа Арбитражное судопроизводство (крупные коммерческие споры — high market) группа Банкротство (споры high market) группа Комплаенс группа Корпоративное право/Слияния и поглощения (high market) группа Финансовое/Банковское право группа Антимонопольное право (включая споры) группа Интеллектуальная собственность (Консалтинг)

Появилась некая тенденция, связанная с утечками данных. Если раньше утечки случались по вине действующих или уволенных сотрудников, то сейчас это происходит чаще извне, чтобы каким-то образом причинить репутационный вред компании.

Мария Самарцева

Только за три летних месяца этого года в сеть попало не менее 140 баз данных российских организаций, привела данные Самарцева. Основная причина успешных сливов — несовершенство технической базы. Поэтому, по ее словам, инициатива была ожидаемой. Аналогичные штрафы для компаний есть и в других странах. 

что проверяют и как подготовиться

Тема охраны персональных данных касается всех, кто работает с кадровыми документами. В этой статье разберем, какие требования установлены на законодательном уровне и что может стать объектом проверки Роскомнадзора

На какие документы опираться работодателю

Материал подготовлен на основе вебинара Марии Финатовой «Инспекционные проверки Роскомнадзора: как пройти успешно и при необходимости оспорить результаты». В первую очередь необходимо определить, какие нормативно-правовые акты распространяются на вашу организацию. Единого перечня нет. Все зависит от того, чьи персональные данные вы обрабатываете, и от типа самой информации.

Шпаргалку с основными нормативными актами, которые определяют работу с персональными данными и регулируют проведение проверок, вы можете скачать в конце статьи.

В конце статьи есть шпаргалка

К владельцам персональных данных относятся:

  • работники;
  • соискатели;
  • члены семьи и родственники работников;
  • третьи лица, с кем заключаются гражданско-правовые договоры;
  • иные физические лица, чьи данные вы обрабатываете как оператор персональных данных.

Работа с персональными данными

Экспертный разбор законодательных изменений

Записаться на семинар

Важна и сама обрабатываемая информация. Например, вы имеете дело с биометрическими данными: дактилоскопическими отпечатками пальцев, радужной оболочкой глаза, размером обуви и одежды, фото- или видеоизображениями, — вам придется изучить дополнительные нормативные акты, которые определяют порядок работы с биометрией: как хранить такие данные, на каких носителях, как их защищать и пр.

Что проверяет Роскомнадзор

Постановка на учет

Каждая новая организация должна подать в органы Роскомнадзора информацию о том, чем она занимается, какие данные обрабатывает и кто из сотрудников несет ответственность за эту сферу (ст. 22 Закона от 27.07.2006 № 153-ФЗ). Таким образом, Роскомнадзор на начальном этапе уже имеет представление о том, какие данные вы обрабатываете, и исходя из этого, ведомство принимает решение, когда к вам прийти с проверкой.

Обратите внимание: с 1 сентября 2022 года перечень исключений, при которых можно не вставать на учет в органах Роскомнадзора, был скорректирован. Сейчас есть только три основания — исключения, когда можно не уведомлять Роскомнадзор. К ним относятся:

  • обработка персональных данных, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • обработка персональных данных в случае, если оператор обрабатывает их исключительно без средств автоматизации;
  • обработка персональных данных в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, а также защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

При направлении уведомления в Роскомнадзор необходимо для каждой цели обработки персональных данных указать:

  • категории персональных данных;
  • категории субъектов, персональные данных которых обрабатываются;
  • правовое основание обработки персональных данных;
  • перечень действий с персональных данных;
  • способы обработки персональных данных.

Не стоит думать, что незарегистрированные компании останутся без внимания инспекторов. Как раз наоборот: к ним у ведомства повышенный интерес. А после сентябрьских изменений это касается практически всех компаний.

Как проверить, стоит ли организация на учете

Зайдите на сайт Роскомнадзора, в боковом меню в разделе «Реестр операторов» выберите пункт «Реестр». Внесите в открывшуюся форму название или ИНН организации. Если в результатах поиска нет вашей компании, значит, она не стоит на учете в Роскомнадзоре.

Ответственный за организацию работы с персональными данными

В крупных компаниях таких сотрудников может быть несколько. В небольших компаниях работу с персональными данными может вести руководитель службы безопасности или директор по персоналу. Это решает сам работодатель. Зависимости от формы собственности организации или количества сотрудников нет. Важно определить, что конкретно делает этот человек исходя из требований законодательства. Именно он и будет представлять интересы компании при проверках Роскомнадзора. 

О том, как работать с персональными данными, читайте в интервью Марии Финатовой.

Внутренняя политика по персональным данным

Внутренняя политика по организации обработки персональных данных — обязательный документ для всех работодателей как операторов персональных данных (ст. 18.1 Закона № ФЗ-152). Политика описывает общий порядок: какие категории персональных данных обрабатываете, что вы с ними делаете и кому передаете.

Напоминаем, что с 1 сентября 2022 года в политике для каждой цели обработки персональных данных необходимо указать категории и перечень обрабатываемых данных, категории субъектов, чьи данные обрабатываются, способы, сроки обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

Такие же требования касаются и локальных нормативных актов по персональным данным. В них также необходимо указать все перечисленные условия под все цели обработки персональных данных.

Ключевое условие для политики в отношении обработки персональных данных — размещение документа на сайте компании, если у нее есть сайт. Если сайта нет, то в открытом доступе, например при входе в офис, чтобы любой желающий мог прочитать.

Локальные нормативные акты

Это те документы, которые содержат конкретные правила и условия работы:

  • какие данные обрабатываются и с какой целью,
  • кто субъекты персональных данных в компании,
  • куда персональные данные передаются,
  • какие информационные системы используются,
  • как обеспечивается защита информационных систем,
  • какой класс присваивается информационной системе,
  • как хранятся документы, содержащие персональные данные,
  • как осуществляется сбор персональных данных,
  • как уничтожаются персональные данные и пр.

Таких документов может быть несколько, например, для каждого вида информации — свой. Все зависит от внутренней системы документооборота. Главное, чтобы все эти ЛНА определяли порядок и обозначали цель обработки информации. Ознакомьте сотрудников с теми документами, которые на них распространяются.

Один из самых важных документов при проверке — согласие на обработку персональных данных. Требования к содержанию, составу  и форме согласия установлены ст. 9 Закона № 152-ФЗ. Как показывает практика, работодатели далеко не все и не всегда при оформлении получают согласие на обработку персональных данных. А штраф придется платить за каждое неоформленное или неверно оформленное согласие.

Важно на практике соблюдать цель обработки информации, которая указана в согласии. Работать с личной информацией другого человека можно:

  • в соответствии с требованиями действующего законодательства — согласия не нужно;
  • для достижения целей, которые ставит для себя работодатель как оператор персональных данных, — согласие обязательно.  

Пример. Чтобы заключить трудовой договор не нужны ИНН, телефон, адрес проживания человека (ст. 57 ТК РФ), но работодатели чаще всего запрашивают эту информацию. Для чего, если по закону они не нужны? Для достижения своих внутренних целей: поздравлять с днями рождения, использовать в документах, делать визитки и пр. Речи об этом в законодательстве не идет, поэтому вы обязаны взять с сотрудника согласие, в котором будут указаны конкретные цели использования дополнительных данных. На это Роскомнадзор тоже обращает внимание.

Напоминаем, что согласие на обработку персональных данных должно быть не только конкретным, информированным, сознательным, но еще и предметным и однозначным. Требование появилось еще 1 сентября 2022 года.

Если организация размещает персональные данные в открытых источниках, где информация доступна неограниченному кругу лиц, необходимо от сотрудников получить согласия на распространение их персональных данных. Этот документ оформляется отдельно от согласия на обработку персональных данных.

Хранение и уничтожение персональных данных

Срок хранения информации определяет человек, когда подписывает согласие на их обработку. Работодатель обязан уничтожить персональные данные, если:

  • достигнуты цели;
  • истек срок хранения, указанный в согласии;
  • сам субъект попросил уничтожить персональные данные;
  • данные обработали неправомерно, например с другими целями. 
  • субъект персональных данных отозвал согласие на обработку персональных данных полностью или частично.

В этих ситуациях вы должны уничтожить документы, содержащие персональные данные, а также данные из информационных систем и оформить акт, который защитит интересы компании перед Роскомнадзором. Формат акта законодательно не определен, но вы можете утвердить его ЛНА.

Создайте комиссию из тех сотрудников, которые будут фактически уничтожать персональные данные в информационных системах и на бумажных носителях.  

Информационные системы

Курсы для кадровика

Повышение квалификации, профпереподготовка. Онлайн-тесты. Удостоверения и дипломы

Посмотреть программы

Специалисты Роскомнадзора при проведении проверок имеют право исследовать информационные системы операторов персональных данных. Как правило, при проверках инспекторы действуют парами: один проверяет документы, второй — информационные системы. Специалист, который работает с электронными ресурсами, обладает достаточным опытом и уровнем подготовки, чтобы уже на старте работы за вашим компьютером увидеть, как обрабатываются данные в вашей системе, соблюдают ли сотрудники требования к безопасности, начиная с парольной политики и блокировки экрана.

Как правило, около 20% времени инспекторы уделяют проверке документов, а 80% — изучению информационных систем, потому что эти источники наиболее подвержены незаконной передаче персональных данных, утечке информации. 

Правила поведения сотрудников за компьютером вы найдете в нашей шпаргалке в конце статьи.

В конце статьи есть шпаргалка

Жалобы о нарушении прав субъектов персональных данных

Если в Роскомнадзор от сотрудников компании или других людей поступали подобные жалобы, инспекторы отдельно изучат:

  • проводились ли до этого проверки и какие нарушения были выявлены;
  • исправил ли их работодатель;
  • не увеличился ли масштаб нарушения, например, в прошлый раз пожаловался один человек, а сейчас нарушение касается уже всех сотрудников.

Инспектор может попросить доказать документально, что нарушение исправлено и прекращено, а не продолжает являться длящимся.

Новая обязанность оператора

Еще одна обязанность появилась у оператора персональных данных с 1 сентября 2022 года (ст. 21 ч. 3.1 Федерального закона № 152-ФЗ от 27.07.2006): если установлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента уведомить Роскомнадзор:

  • В течение 24 часов об инциденте, предполагаемых причинах и потенциальном вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента. В этот же срок надо предоставить сведения об уполномоченном сотруднике, который будет взаимодействовать с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом.
  • В течение 72 часов о результатах внутреннего расследования инцидента. Также надо предоставить сведения о лицах, чьи действия стали причиной инцидента.

Изменение и прекращение обработки персональных данных

Если вы меняете сведения, вы должны не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения, уведомить Роскомнадзор.

Если прекращаете обрабатывать персональные данные — в течение 10 рабочих дней с даты прекращения обработки.

Организация может прекратить обрабатывать персональные данные в случаях:

  • ликвидации организации;
  • прекращения деятельности в результате реорганизации;
  • аннулирования лицензии на определенный вид деятельности;
  • вступления в законную силу решения суда о прекращении организацией обработки персональных данных и др.

Вместо заключения

Узнать о плановой проверке можно двумя способами: найти план проверок на сайте Роскомнадзора или обратиться к сайту Генпрокуратуры, где публикуется сводный план по разным ведомствам. По названию организации или ИНН выпадет список инспекционных органов, которые к вам должны прийти.

Чтобы быть готовым к визиту инспекторов Роскомнадзора, необходимо:

  1. Проверить все документы по персональным данным: от регистрации в органах Роскомнадзора до согласий, положений, актов об уничтожении данных.
  2. Убедиться, что документы соответствуют требованиям законодательства. При необходимости переподписать документы с работниками и включить в них обязательные условия. Это позволит предотвратить риски, связанные с нарушениями на бумажных носителях. 
  3. Проинструктировать работников и включить в ваши внутренние документы порядок поведения сотрудников, работающих с персональными данными за компьютерами и ноутбуками.

Шпаргалка

В шпаргалке собрана полезная информация из статьи:

  • Перечень НПА для оператора персданных 630. 2 КБ

  • Правила поведения за компьютером 624.3 КБ

Скачать

Краткая история конфиденциальности данных и что нас ждет впереди

Очень немногие концепции претерпели такую ​​быструю трансформацию как с точки зрения понимания, так и уровня общественной осведомленности, как конфиденциальность данных. Хотя эта концепция не нова, стремительный рост сбора персональных данных за последние два десятилетия полностью изменил отношение людей, компаний и правительств к конфиденциальности.

Поскольку поток и анализ личной информации занимают центральное место во многих современных бизнес-моделях, особенно в социальных сетях, потребители иногда используют рекламные продукты, не полностью осознавая происходящий обмен. Растущая частота утечек данных и действий по обеспечению конфиденциальности заставила предприятия всех типов лучше осознавать опасности небрежного обращения с конфиденциальными данными клиентов.

В последнее время общественность все больше осознает важность конфиденциальности данных, чему способствовали разоблачения защитников конфиденциальности и регулирующих органов, а также общий сдвиг нашей жизни в Интернете. По мере роста этой осведомленности обнаружился большой разрыв между тем, что компании делают с персональными данными, и тем, что удобно их пользователям.

В этом посте мы обсудим, как мы дошли до этого момента, куда мы можем двигаться и как Skyflow может помочь компаниям обеспечить конфиденциальность данных для своих клиентов.

Конфиденциальность до Интернета

Прежде всего, я хотел бы дать краткий обзор того, как развивалась правовая концепция «конфиденциальности» в Соединенных Штатах. Первый пример законодательства о конфиденциальности, который мы можем найти в Соединенных Штатах, — это 4-я поправка к Конституции Соединенных Штатов, которая стала законом в 1789 году и запрещает незаконный обыск и конфискацию имущества людей правительством. Хотя это не было напрямую связано с данными, как мы их сейчас понимаем, 4-я поправка создала базовое понимание того, что собственность людей является их собственностью и в нее нельзя вмешиваться без их согласия.

Только в середине 20-го века «конфиденциальность данных» стала привлекать внимание. По мере того как инструменты сбора данных становились все более изощренными, компании начали экспериментировать со сбором персональных данных в различных формах, включая списки рассылки и сбор банковской информации о клиентах. Эти данные были полезны в качестве маркетингового инструмента, что делало их чрезвычайно ценными для компаний.

В то же время государственные службы, такие как Social Security, Medicare и Medicaid, собирали и хранили огромные объемы личных данных, чтобы предоставлять необходимые услуги американцам. Они осознали необходимость безопасного сбора, хранения, сохранения и использования этих данных в тех целях, для которых они были собраны, и начали разрабатывать фундаментальные основы для оценки рисков, связанных с хранением и использованием данных. Министерство здравоохранения и социальных служб разработало первоначальную оценку воздействия на конфиденциальность как способ выявления рисков, связанных с данными, и подобные оценки стали стандартной практикой для измерения воздействия сбора данных на отдельных лиц.

В 1967 году решение Верховного суда, Кац против Соединенных Штатов , расширило толкование Четвертой поправки, которая первоначально относилась только к людям и их имуществу («лицам, домам, бумагам и имуществу»), чтобы охватить что угодно. , что лицо «стремится сохранить как частное». Поскольку основанием для этого дела послужило прослушивание телефона-автомата, это решение имело серьезные последствия для жителей США, ожидающих конфиденциальности, особенно при использовании электронных устройств. С этим новым решением «собственность» включает в себя больше, чем просто физические предметы — она включает личную информацию, в том числе информацию, которая была передана в электронном виде.

В 1980-х годах Организация экономического сотрудничества и развития (ОЭСР) опубликовала передовые методы и принципы обеспечения конфиденциальности под названием «Принципы конфиденциальности ОЭСР». В этих рекомендациях задавались простые вопросы, например: зачем вы собираете эти данные и как они используются? Делится ли он и с кем? Эти вопросы и принципы будут использоваться в качестве основы для большей части действующего законодательства о конфиденциальности в Соединенных Штатах и ​​во всем мире.

Хотя эти законы и практика явно не были созданы с учетом интересов Интернета, они также составляют основу многих юридических определений, политик, процедур и норм, формирующих практику конфиденциальности в эпоху Интернета.

Конфиденциальность в эпоху Интернета

В ранний период распространения Интернета понятие «конфиденциальность» было второстепенным по отношению к «безопасности». Когда первые пользователи Интернета привыкли запоминать пароли и пользоваться электронной почтой, компаниям пришлось разрабатывать новые способы предотвращения мошенничества и кражи данных. Для обычного пользователя конфиденциальность и безопасность были одним и тем же — еще не существовало представления о том, что данные могут использоваться не по прямому назначению, не говоря уже о продаже рекламодателям.

Ситуация изменилась с появлением таких компаний, как Google, которые разработали способ использования пользовательских данных для повышения релевантности результатов поиска и эффективности онлайн-рекламы. Бизнес-модель Google позволяла пользователям получать выгоду от бесплатной и очень полезной поисковой системы и других приложений, а рекламодатели могли получать выгоду от улучшенного таргетинга рекламы, основанного на их поиске и поведении. Эта модель действительно взлетела бы с появлением сайтов социальных сетей, таких как Facebook и Twitter.

Как только ценность этой модели стала очевидной, ее сложность возросла. Алгоритмы, основанные на данных, использовались для прогнозирования поведения потребителей, и некоторые сочли результаты тревожными. Это привело к тому, что те, кто занимается саморегулированием онлайн-рекламы без законов (аналогично PCI Compliance), наряду с усилиями по информированию потребителей об использовании их конфиденциальных личных данных. Два примера такого саморегулирования — добавление вопроса «Почему эта реклама?» подсказки по целевой рекламе и создание Альянсом цифровой рекламы инструментов, позволяющих потребителям отказаться от настройки рекламы на уровне браузера.

Несмотря на эти усилия, многие потребители все еще не полностью понимали, какой обмен они совершали, и как их поведение отслеживалось и анализировалось для получения дохода от рекламы.

GDPR формализует конфиденциальность данных в ЕС

ЕС всегда считал конфиденциальность одним из основных прав человека и исторически имел более строгие законы о конфиденциальности. В начале 2010-х годов Европейский союз начал разработку законопроекта, подтверждающего неприкосновенность частной жизни как фундаментальное право человека. В 2018 году вступил в силу Общий регламент по защите данных (GDPR), в котором задаются многие из тех же вопросов, которые были поставлены в руководящих принципах ОЭСР, написанных десятилетия назад. Отличие заключалось в том, что у GDPR были «зубы», потому что регуляторы могли оштрафовать до 4% от годового оборота. Первоначально соблюдение GDPR не было строгим, но по мере усиления соблюдения GDPR произошли серьезные изменения в том, как компании хранят и используют конфиденциальные персональные данные.

Хотя это не был закон, написанный регулирующими органами США, из-за глобального характера сбора данных GDPR фактически требовал от многих компаний во всем мире фактического документирования того, какие личные данные они собирали, когда и для каких целей они использовались, где они были хранится, и как он был защищен. Сопоставление данных стало важной частью соответствия требованиям и важным фактором безопасности и шифрования.

Растущая осведомленность о конфиденциальности данных в США

В 2019 году Калифорнийский закон о конфиденциальности потребителей (CCPA) стал первым современным законом о конфиденциальности в Соединенных Штатах, направленным на предоставление людям информации и определенного контроля над тем, как компании используют их личные данные. Поскольку он охватывал каждого жителя самого густонаселенного штата США, он создал еще больше стимулов для компаний вкладывать средства в свои общие программы конфиденциальности, гарантируя, что конфиденциальные данные будут защищены, защищены и должным образом обработаны.

Однако никакое законодательство не могло привлечь больше внимания общественности, чем скандал с Cambridge Analytica в 2019 году. Обычный пользователь не знал, что, когда вы делитесь данными на Facebook через забавную «викторину», эти данные могут быть переданы третьим лицам. , или, если на то пошло, что Facebook может сделать с этими данными. Скандал с Cambridge Analytica выявил, что данные о пользователях Facebook были переданы политической консалтинговой фирме, которая использовала эти данные для неправомерного нацеливания людей на политическую рекламу без их ведома.

Это стало тревожным сигналом для американцев, которые внезапно узнали о большом объеме данных, которыми они делились с Facebook, и о том, для чего они использовались. Регулирующие органы также обратили на это внимание, и последовал ряд штрафов и расследований, некоторые из которых все еще продолжаются.

С 2020 года другие штаты США начали изучать законодательство о конфиденциальности. Колорадо, Коннектикут, Вирджиния и Юта приняли законы, аналогичные CCPA, а еще 11 штатов рассматривают законопроекты о конфиденциальности. Кроме того, избиратели Калифорнии одобрили Калифорнийский закон о правах на неприкосновенность частной жизни (CPRA), поправку к CCPA, которая предусматривает создание Калифорнийского агентства по защите конфиденциальности в качестве регулятора конфиденциальности.

Куда движется конфиденциальность?

Глядя на будущее конфиденциальности данных, мы видим новые тенденции в нескольких областях:

  • Расширение глобального регулирования конфиденциальности
  • Изменения в продуктах AD
  • Подробнее предприятия Приоритет. Регламент

    Во всем мире постоянно растет число законов и нормативных актов о конфиденциальности данных, большинство из которых основаны на GDPR. Глобальным компаниям необходимо управлять соблюдением самых разных законов, в зависимости от того, где они работают, в том числе: SOFIPO (Мексика), обновленный Закон о конфиденциальности данных (Австралия), PIPL (Китай), LGPD (Бразилия), измененный PDPA (Сингапур). и DCIA (Канада).

    В США степень нормативной защиты конфиденциальности данных сильно различается от штата к штату. Несмотря на то, что федеральные законы о неприкосновенности частной жизни отстаивались как низовыми организациями, так и корпоративными субъектами, маловероятно, что Конгресс США примет какое-либо такое законодательство. В ответ многие государства и компании продолжают искать другие решения.

    Это, вероятно, приведет к еще большей фрагментации законов и требований о конфиденциальности для компаний, работающих в США. По мере того как все больше штатов рассматривают законы о конфиденциальности данных или вводят их в действие, компаниям необходимо будет разрабатывать решения, которые позволят им действовать в соответствии с требованиями растущего списка различных законов. Многие компании просто предпочитают придерживаться самых строгих версий этих законов, поскольку такой подход обязательно приводит их в соответствие с менее строгими законами других штатов, стран и международных юрисдикций. Этот упреждающий подход также помогает компаниям избежать необходимости реагировать на каждый новый закон по мере его принятия и потенциально дает им конкурентное преимущество по сравнению с компаниями, которые применяют более реактивный подход. Поскольку GDPR представляет собой золотой стандарт конфиденциальности данных и служит шаблоном для различных законов США о конфиденциальности данных на уровне штатов, некоторые компании, которые не работают в ЕС, тем не менее сочтут выгодным соблюдение GDPR.

    Изменения в продуктах, финансируемых за счет рекламы

    Технологические компании, которые обрабатывают конфиденциальные данные, будут продолжать вносить изменения в свои продукты в ответ на растущую осведомленность и регулирование конфиденциальности данных. Одной из компаний, которая меньше всего пострадает, является Apple. Apple в первую очередь продает устройства и программное обеспечение, что позволяет им гарантировать конфиденциальность данных как часть их ценностного предложения. Для таких компаний, как Google, Facebook и, в некоторой степени, Amazon, их зависимость от рекламы на основе данных для получения дохода требует от них балансировать между укреплением доверия со стороны потребителей и обеспечением постоянной жизнеспособности своего рекламного бизнеса. Эти компании сейчас проявляют инициативу, сосредоточившись на предоставлении более понятной документации о том, как пользователи могут изменить свои настройки конфиденциальности. Я ожидаю большего движения в этом направлении, продолжая разработку настроек конфиденциальности, таких как те, которые позволяют потребителям отказаться от целевой рекламы, и введение платы за подписку на некоторые продукты в качестве альтернативы продуктам, финансируемым исключительно за счет рекламы.

    Все больше компаний отдают приоритет конфиденциальности и защите данных

    Помимо продуктов, финансируемых за счет рекламы, многие другие компании, которые собирают личные данные для критически важных бизнес-операций, уделяют все больше внимания сохранению конфиденциальности конфиденциальных данных клиентов. Их мотивы различаются: некоторые компании руководствуются законами о конфиденциальности данных или отраслевыми нормами, такими как PCI, в то время как другие стремятся избежать утечки данных, а также затрат и ущерба их репутации, которые могут возникнуть в результате утечки данных.

    Помимо утечек данных, компании обнаруживают, что их сотрудники иногда используют данные для целей, отличных от тех, для которых они были собраны, что повышает необходимость изоляции и регулирования использования конфиденциальных данных. Например, Twitter был недавно оштрафован на 150 миллионов долларов за использование телефонных номеров, которые он собирал для повышения безопасности с помощью многофакторной аутентификации (MFA), но в итоге эти номера также использовались в рекламных целях.

    Растущее число компаний, как никогда прежде, стремится защищать и контролировать использование конфиденциальных данных, чтобы поддерживать доверие клиентов, запускать важные рабочие процессы и избегать непреднамеренных последствий неправомерного использования или кражи конфиденциальных данных.

    Как Skyflow может помочь

    Хранилище конфиденциальности данных Skyflow было создано частично для того, чтобы помочь компаниям защитить право своих пользователей на конфиденциальность данных. Мы считаем, что неприкосновенность частной жизни является правом человека — каждый человек должен контролировать свои данные и знать, для чего они используются. Убежище Skyflow построено с учетом этого; централизуя и защищая PII, Skyflow значительно упрощает защиту, управление, ограничение и удаление этой информации.

    Любая компания, собирающая личные данные, независимо от размера, нуждается в способе минимизировать риск сбора и использования этих данных. Помимо предстоящего законодательства о конфиденциальности, клиенты все больше осознают конфиденциальность и больше беспокоятся о том, как хранятся их данные и кто имеет доступ к этим данным. Сочетание деидентификации, токенизации и полиморфного шифрования Skyflow может помочь вам не только соблюдать правила, но и завоевать доверие ваших пользователей.

    После того, как вы идентифицировали PII и другие конфиденциальные данные в своих системах, вы можете использовать Skyflow для изоляции и защиты этих данных и обеспечения их локализации. Хранилища могут быть развернуты глобально в любом месте и настроены для ограничения доступа к данным настолько, насколько это необходимо. Skyflow может упростить встраивание конфиденциальности в ваши продукты и необходимые рабочие процессы сбора данных.

    Skyflow позволяет удовлетворить растущий спрос на конфиденциальность данных со стороны деловых партнеров и потребителей. С помощью Skyflow вы можете гарантировать своим пользователям, что их данные останутся конфиденциальными и защищенными, чтобы вы могли завоевать и сохранить их доверие. Централизованное хранение конфиденциальных данных клиентов также значительно упрощает их удаление, что позволяет вам быстро выполнять запросы «права на забвение», когда вы получаете их от текущих или бывших клиентов.

    Заключение

    История конфиденциальности данных помогает нам понять текущий момент и понять, чего ожидать, поскольку глобальная ситуация с конфиденциальностью данных продолжает развиваться. Однако очевидна одна тенденция: предприятия больше не могут позволить себе реактивный подход к конфиденциальности данных. Им необходимо защищать данные клиентов, чтобы они могли завоевать доверие и уважение своих клиентов. Чтобы узнать больше о том, как Skyflow Data Privacy Vault может помочь вам изолировать и защитить данные ваших клиентов, свяжитесь с нами.

    Готовы увидеть это сами?

    Свяжитесь с нашей командой, чтобы узнать, как Skyflow помогает защитить конфиденциальность конфиденциальных данных, чтобы сохранить доверие клиентов и упростить соблюдение требований.

    Получить демонстрацию

    Краткая история современных законов о конфиденциальности данных

    Законы о конфиденциальности данных существуют намного дольше, чем вы можете себе представить. По мере того, как GDPR готовится вступить в силу, узнайте, как изменились законы о конфиденциальности данных в наше время.

    Общий регламент по защите данных вступит в силу в следующем месяце. Это ни в коем случае не первый закон о конфиденциальности данных, и хотя это самый надежный свод законов, когда дело доходит до защиты персональных данных, он, вероятно, не будет и последним. Поскольку GDPR набирает обороты, давайте оглянемся на различные современные законы о конфиденциальности данных, которые были приняты на протяжении многих лет.

    1970-е годы – первые современные законы о конфиденциальности данных

    В Гессене, Германия, был принят первый современный закон о конфиденциальности данных в ответ на опасения по поводу компьютерных достижений и конфиденциальности при обработке персональных данных. В 1973 году Швеция приняла первый национальный закон о конфиденциальности под названием «Закон о данных», который криминализировал кражу данных и предоставил субъектам данных свободу доступа к своим записям. В 1978 году Федеральный закон Германии о защите данных установил основные стандарты защиты данных, такие как требование согласия на обработку персональных данных. К 1979, многие государства-члены ЕС включили законы о защите данных в качестве основных прав в свое законодательство.

    1983 г. – право на информационное самоопределение в Германии

    В историческом деле об инвазивном характере общенациональной переписи Федеральный конституционный суд Германии постановил, что граждане должны иметь основное право человека на самоопределение в ущерб своей личной данные. В постановлении установлено, что физические лица должны быть защищены от неограниченного сбора, хранения, использования и разглашения их персональных данных.

    1995 г. – Директива ЕС о защите данных

    По мере распространения компьютерных технологий и свободного обмена информацией Европейский Союз принял Директиву о защите данных, которая налагает минимальные стандарты защиты персональных данных на государства-члены и защищает права физических лиц в отношении перемещения персональных данных между государствами-членами ЕС. Согласно директиве, физические лица имели права доступа, доступ к надзорным органам, а данные передавались за пределы ЕС до тех пор, пока существовал «адекватный уровень защиты». Однако закон применялся по-разному в каждом государстве ЕС, что привело к тому, что в некоторых странах не было более строгих законов и надзора.

    2000 – Соглашение о безопасной гавани

    Это был набор принципов, предназначенных для исправления различных законов о конфиденциальности данных между Соединенными Штатами и Европейским Союзом, чтобы лучше облегчить поток информации между двумя регионами. В конечном итоге они были признаны Европейским судом недействительными в 2015 году, поскольку в соответствии с законодательством США американские спецслужбы имели неограниченный доступ к данным граждан ЕС. В 2016 году вместо Safe Harbor был принят щит конфиденциальности ЕС-США, но его будущее остается под вопросом.

    2009 г. – Закон о конфиденциальности и безопасности персональных данных от 2009 г.

    В Соединенных Штатах законы о защите данных были разделены по штатам. Помимо некоторых законодательных актов, регулирующих финансовую и медицинскую информацию, не существовало (и до сих пор не существует) единого федерального законодательства, защищающего личные данные своих граждан в целом. В 2009 году был предложен законопроект, который усилит защиту персональных данных компаниями и государственными учреждениями, установит ограничения на обмен данными и еще больше криминализирует кражу личных данных и нарушения конфиденциальности данных. Законопроект так и не прошел.

    2016 – GDPR

    По мере роста числа утечек данных и скандалов организации по всему миру получили двухлетний срок для обновления мер безопасности и протоколов, чтобы успеть к принятию самого большого свода законов о конфиденциальности данных. В законодательстве есть много положений, которые стремятся объединить Европейский Союз в соответствии с одним набором более строгих правил, включая право субъектов данных на забвение, положительное согласие, исчерпывающие и своевременные уведомления об утечке данных, простой язык для соглашений об условиях обслуживания, и штрафы в размере до четырех процентов от общего годового оборота организации в мире в случае обнаружения нарушений.

    И это подводит нас к сегодняшнему дню, когда GDPR надеется объединить многие положения этих прошлых актов под одним зонтиком, что в конечном итоге принесет пользу отдельному гражданину.

    No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *