Закон о хранении персональных данных: Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция)

Вступление закона в силу хотели перенести на 1 января 2015 года, но в итоге приняли компромиссный вариант

Госдума приняла закон, который ускоряет вступление в силу принятого ранее закона об обязательном хранении обработанных в интернете персональных данных россиян на серверах в России.

Подписанный Владимиром Путиным в июле документ должен был вступить в силу с сентября 2016 года.

Теперь, после одобрения Советом Федерации и подписания президентом, запрет на хранение персональных данных россиян за рубежом должен начать действовать на год раньше — 1 сентября 2015 года.

«Это вынужденная мера, она призвана усилить информационную безопасность страны, граждан. Вызвана она усложнением международной ситуации», — заявил на заседании член думского комитета по информационной политике, единоросс Роман Чуйченко.

Документ касается сайтов по продаже авиабилетов, товаров народного потребления, а также социальных сетей.

12 декабря стало известно, что из-за принятого закона Google решила закрыть инженерное подразделение в России, которое занимается разработкой программных продуктов.

Восемь месяцев

Закон обязывает интернет-операторов «обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации, в базах данных информации, расположенных на территории Российской Федерации».

Таким образом, такие компании, как Twitter, Facebook и Booking.com, будут обязаны открыть свои представительства в России для хранения персональных данных российских граждан.

С инициативой перенести вступление закона в силу на январь 2015 года в начале сентября выступили представители четырех думских фракций. Как говорили в комитете информационной политики, это необходимо для укрепления безопасности государства.

Однако перед третьим чтением комитет по информационной политике рекомендовал вернуть документ во второе и передвинуть срок вступления закона в силу на восемь месяцев вперед.

Ранее интернет-компании и другие участники рынка персональных данных заявили, что вступление закона в силу уже в начале 2015 года парализует их работу. В частности, авиакомпании обратили внимание на свою зависимость от зарубежных систем бронирования.

Ассоциация предприятий компьютерных и информационных технологий в сентябре направила письма в министерство связи и Госдуму, в которых говорилось, что большинству IT-компаний придется приостановить свою деятельность.

Бюджеты многих компаний на следующий год уже распланированы, а на изменение архитектуры информационных систем и технологии телекоммуникационного обмена данными потребуются серьезные финансовые затраты.

Более того, хранение данных в России обойдется на 30% дороже, чем в зарубежных дата-центрах, писали ранее «Ведомости» со ссылкой на представителя системного интегратора «Инфосистемы джет» Валентина Крохина.

По его словам, в России более строгие требования к хранению персональных данных, в частности нужны сертифицированные средства защиты.

Руководство HR по защите данных сотрудников

Защита данных сотрудников становится все более важной для организаций, которые стремятся соблюдать глобальные законы о конфиденциальности. Это вынуждает отделы кадров всех организаций нести ответственность за хранение данных своих сотрудников.

Еще в 2016 году в Snapchat произошла утечка данных сотрудников. Списки заработной платы 700 нынешних и бывших сотрудников были взломаны злоумышленником, выдавшим себя за генерального директора социальной сети Эвана Шпигеля.Это было катастрофой для репутации компании.

В этой статье рассказывается о распространенных заблуждениях работодателей в отношении защиты личных данных сотрудников. Затем в нем обсуждаются современные правила конфиденциальности, а затем дается обзор обязательств работодателя на протяжении всего жизненного цикла сотрудников.

Неправильные представления о данных сотрудника

Когда работодатель нанимает сотрудника, он имеет ряд прав на использование его личных данных. Чаще всего работодатели имеют неправильное представление о том, что они могут, а что не могут делать с личными данными сотрудников в соответствии с законом.Вот самые распространенные заблуждения, которые может иметь работодатель в отношении защиты данных своих сотрудников.

1. Работодатели считают, что им не нужно уведомлять сотрудников перед обработкой данных. Однако большинство мировых законов о конфиденциальности требует, чтобы работодатели уведомляли своих сотрудников о каждом случае сбора и обработки данных.
2. Работодатели считают, что у них есть неограниченное право контролировать своих сотрудников по соображениям безопасности и производительности. Однако большинство мировых законов о конфиденциальности разрешают мониторинг сотрудников только при определенных условиях и до тех пор, пока такой мониторинг не является необоснованно навязчивым для сотрудников.
3. Работодатель, работающий в США, считает, что законы других стран к ним не применяются. Это неверно, поскольку такие законы, как GDPR, также могут применяться в США, если, например, они обрабатывают данные, принадлежащие резидентам ЕС. Большинство глобальных законов о конфиденциальности имеют экстратерриториальное действие. Поэтому организации важно определить, какие законы о конфиденциальности применяются к ней в зависимости от места жительства, гражданства, места работы или любых других соответствующих факторов.
4. Работодатели считают, что нарушение данных приведет к штрафам. Это может быть так, но это зависит от серьезности нарушения и его последствий. Помимо штрафов, работодателей также могут попросить предоставить дополнительные услуги по смягчению последствий для сотрудников, пострадавших от нарушения, а также отремонтировать или обновить свои системы безопасности, чтобы гарантировать, что нарушение больше не произойдет.

Глобальные законы о конфиденциальности данных о защите данных сотрудников

Если мы посмотрим на любую организацию, в отделе кадров всегда хранятся большие объемы личных данных и конфиденциальных личных данных об их бывших, нынешних и потенциальных сотрудниках.

Персональные данные, хранящиеся в отделе кадров организации, могут варьироваться от имени, номера социального страхования, адреса, даты рождения, предыдущего адреса до их медицинской, финансовой и другой конфиденциальной личной информации. Попадание в чужие руки эти данные могут быть опасными и, помимо других угроз, могут стать причиной кражи личных данных.

Для решения этой проблемы в правилах конфиденциальности данных во всем мире действуют законы, обязывающие работодателей защищать личные данные сотрудников и предотвращать нарушение прав.Эти законы также предоставляют сотрудникам права на их данные. Давайте посмотрим на обязательства работодателей в соответствии с основными мировыми законами о конфиденциальности.

Европейский Союз

1. Закон, регулирующий личные данные заявителя и сотрудника?
Общий регламент по защите данных (GDPR)

2. Нужно ли мне иметь заявление о конфиденциальности или соглашение?
Принцип прозрачности требует, чтобы работодатели информировали своих сотрудников об их правах в отношении их личных данных и их методах сбора данных. Поэтому важно иметь заявление или соглашение о конфиденциальности.

3. Как долго я должен хранить данные о сотрудниках? Какая лучшая практика?
GDPR требует от работодателей хранить данные в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это необходимо для целей, для которых они обрабатываются.

4. Могу ли я передать данные сотрудников за границу?
Персональные данные, переданные в третью страну за пределами ЕС, могут иметь место только при обеспечении надлежащего уровня защиты или при наличии гарантий на случай передачи в неподходящие страны.Данные, передаваемые за пределы ЕС, и последующий доступ других лиц в группе должны оставаться ограниченными до минимума, необходимого для намеченных целей.

5. Могу ли я передать данные сотрудника третьему лицу?
При передаче личных данных сотрудников третьим сторонам работодатель несет ответственность за оценку соответствия обработчика данных требованиям GDPR.

6. Каковы последствия нарушения?
GDPR ограничивает наказания на уровне 4% от мирового годового оборота или 20 миллионов евро — в зависимости от того, что больше, в зависимости от вида и серьезности нарушения.Субъекты данных имеют право подать жалобу в надзорный орган и получить компенсацию.

Соединенные Штаты Америки (Калифорния)

1. Закон, регулирующий личные данные заявителя и сотрудника?
Закон штата Калифорния о защите прав потребителей (CCPA)

2. Нужно ли мне иметь заявление о конфиденциальности или согласие на использование данных сотрудниками?
Это рекомендуется, но не требуется по закону.

3. Как долго я должен хранить данные о сотрудниках? Какая лучшая практика?
CCPA не требует хранения информации в течение какого-либо фиксированного периода, но рекомендуется не хранить информацию дольше, чем это необходимо.

4. Могу ли я передать данные сотрудников за границу?
Нет никаких особых ограничений на передачу личных данных за границу.

5. Могу ли я передать данные сотрудника третьему лицу?
Компании должны заключать контракты с поставщиками услуг, с которыми они раскрывают PI своих сотрудников для деловых целей. Передача или продажа PI сотрудника третьей стороне не ограничена — работодатели должны только информировать своих сотрудников о том, что и кому продается, в уведомлении, предоставленном во время получения PI.

6. Каковы последствия нарушения?

• Расследование генерального прокурора Калифорнии;
• Подача гражданского иска Генеральным прокурором Калифорнии, если обнаруживается, что причиной нарушения было отсутствие разумных и надлежащих мер безопасности для защиты PI сотрудников.
• Максимальные гражданские штрафы в размере 7500 долларов США за умышленные нарушения и минимальные гражданские штрафы в размере 2500 долларов США за непреднамеренные нарушения CCPA могут быть назначены судом;
• Сотрудники могут подавать частные иски на сумму от 100 до 750 долларов США за ущерб или за фактический ущерб (в зависимости от того, что больше) за каждый инцидент нарушения, если обнаруживается, что причиной нарушения было отсутствие разумных и надлежащих мер безопасности для защиты PI сотрудников.

Бразилия

1. Закон, регулирующий личные данные заявителя и сотрудника?
Lei Geral de Protecao de Dados (LGPD)

2. Нужно ли мне иметь заявление о конфиденциальности или согласие на использование данных сотрудниками?
Компании должны информировать сотрудников о своих методах обработки данных в уведомлении о конфиденциальности.

3. Как долго я должен хранить данные о сотрудниках? Какая лучшая практика?
Предполагается, что работодатели увольняют личные данные сотрудника, когда:

• Цель обработки достигнута или данные больше не являются необходимыми или уместными для достижения конкретной цели;
• Период обработки закончился;

Однако работодатели могут хранить личные данные в хранилище по определенным исключительным причинам, например, в соответствии с юридическими или нормативными обязательствами.

4. Могу ли я передать данные сотрудников за границу?
LGPD имеет строгие ограничения на передачу личной информации за границу. Страна назначения должна иметь «адекватный уровень защиты», или должны применяться меры безопасности для защиты передаваемых данных, или должно быть какое-то другое обоснование для передачи.

5. Могу ли я передать данные о сотрудниках третьей стороне или процессору?
LGPD требует, чтобы согласие субъектов данных было получено контроллером данных перед передачей личных данных субъекта данных третьей стороне (если не применяется отказ).

6. Каковы последствия нарушения?
После расследования, проведенного ANPD, штрафы в размере до 2% от доходов предприятия в Бразилии за финансовый год (максимум до пятидесяти миллионов реалов), а также ежедневные штрафы, блокировка и удаление уязвимые личные данные, включая частичную или полную приостановку обработки данных на 6 месяцев, а также частичный или полный запрет обработки данных в Бразилии. Также важно помнить, что конституция Бразилии и закон о защите прав потребителей позволяют субъектам данных или их представителям возбуждать частные иски против контроллеров данных за ущерб, причиненный несоблюдением LGDP.

Новая Зеландия

1. Закон, регулирующий личные данные заявителя и сотрудника?
Закон Новой Зеландии о конфиденциальности 2020 («Закон о конфиденциальности»).

2. Нужно ли мне иметь заявление о конфиденциальности или согласие на использование данных сотрудниками?
Закон о конфиденциальности требует от работодателей информировать своих сотрудников о фактах сбора информации, целях, для которых информация собирается, предполагаемых получателях информации, последствиях непредоставления информации и их правах доступа. к и исправление их личной информации.Поэтому рекомендуется иметь заявление о конфиденциальности.

3. Как долго я должен хранить данные о сотрудниках? Какая лучшая практика?
Данные сотрудника не должны храниться дольше, чем требуется для целей, для которых они могут быть использованы на законных основаниях.

4. Могу ли я передать данные сотрудников за границу?
Работодатель может передавать личную информацию сотрудников за пределы Новой Зеландии только в том случае, если страна назначения обеспечивает гарантии, сопоставимые с теми, что указаны в Законе Новой Зеландии о конфиденциальности, страна назначения является частью установленной обязательной схемы, выпущенной правительством Новой Зеландии, или если Сотрудник прямо разрешает раскрытие личной информации после того, как был проинформирован о неадекватных стандартах защиты данных в иностранном государстве.

5. Могу ли я передать данные сотрудника третьему лицу?
Работодатель не должен раскрывать личную информацию сотрудников другой организации или любому лицу, если нет разумных оснований для этого в соответствии с Законом о конфиденциальности.

6. Каковы последствия нарушения?

• Уголовное преследование (может быть наказано штрафом в размере до 10 000 долларов США.
• Гражданское наказание в порядке иска, предпринятого директором Трибунала по надзору за соблюдением прав человека.
• Частное право на иск потерпевшего физического лица или представителя от имени физического лица или группы лиц.

Сингапур

1. Существует ли закон, регулирующий личные данные заявителя / сотрудника?
Закон о защите личных данных 2012 г.

2. Нужно ли мне иметь заявление о конфиденциальности или согласие на использование данных сотрудниками?
Да. В соответствии с PDPA, организации должны сформулировать и внедрить политики и практики для уведомления сотрудников о целях, для которых их личные данные (включая записи с камер видеонаблюдения) собираются, используются или раскрываются, и получать их согласие, если не применяется какое-либо исключение.

3. Как долго я должен хранить данные о сотрудниках? Какая лучшая практика?
PDPA не устанавливает срок хранения личных данных. Однако организации следует прекратить хранить свои документы, содержащие персональные данные, или удалить средства, с помощью которых персональные данные могут быть связаны с конкретным сотрудником, как только будет разумно предположить, что цель сбора больше не обслуживается удержание; и хранение больше не требуется для деловых или юридических целей.

4. Могу ли я передать данные сотрудников за границу?
Да. PDPA требует, чтобы организация, передающая личные данные за границу, приняла меры для обеспечения сопоставимого стандарта защиты личных данных за рубежом.

5. Могу ли я передать данные сотрудника третьему лицу?
Если данные сотрудника передаются третьей стороне с целью управления или прекращения трудовых отношений, согласие на такую ​​передачу не требуется, но работодатель должен уведомить заинтересованных сотрудников о целях такой передачи.

6. Каковы последствия нарушения?
Если будет установлено, что организация нарушает какое-либо положение PDPA, Комиссия по защите личных данных может начать расследование поведения организации. Организации также могут быть предписаны меры по исправлению положения для обеспечения соблюдения PDPA, включая уплату финансового штрафа в размере до 1 миллиона сингапурских долларов. PDPA также предписывает, что любое лицо, которое понесет убытки или ущерб непосредственно в результате нарушения, совершенного организацией, может подать частный гражданский иск в отношении таких понесенных убытков или ущерба.

Жизненный цикл обязательств сотрудника по персоналу

HR-отдел любой организации должен помнить о своих обязанностях на протяжении всего жизненного цикла сотрудников, с момента приема на работу до окончания периода приема на работу. Давайте посмотрим на обязанности, о которых HR должен помнить в течение жизненного цикла сотрудника.

Обязательства в процессе приема на работу и отбора:

В процессе приема на работу работодатель должен учитывать следующие обязательства по защите данных:

1. Работодатели должны информировать соискателей о типах персональных данных, которые они должны будут предоставить, и о целях, для которых они будут использоваться.
2. Сбор данных в процессе найма должен быть ограниченным и иметь отношение к выполнению работы, на которую подается заявка.
3. Формы заявлений должны содержать разрешения от соискателей, если их личные данные собираются от третьих лиц, таких как предыдущие работодатели или направления.
4. Проверка биографических данных не должна быть чрезмерно назойливой, и перед ее началом следует запросить разрешение соискателя работы — результаты этих проверок являются очень конфиденциальной информацией и, следовательно, должны быть тщательно защищены.
5. Хранение личных данных неуспешных кандидатов на работу должно быть ограничено — сохранять их данные только для рассмотрения их при открытии вакансий в будущем, если они согласны на это — или удалить личные данные.
6. Оценка кандидатов с использованием общедоступных данных разрешена некоторыми международными законами о конфиденциальности, такими как CCPA. Однако требования могут отличаться от закона к закону. Например, GDPR позволяет работодателям выполнять проверку биографических данных на основе общедоступной информации, только если имеется правовое основание для обработки этих данных.Это требует от работодателей учитывать, связана ли общедоступная информация, такая как профиль заявителя в социальных сетях, с деловыми или частными целями, поскольку это может быть важным признаком юридической допустимости проверки данных.

Обязательства во время работы по найму

В период работы работодатель должен учитывать следующие обязательства по защите данных:

1. Большинство положений о конфиденциальности, таких как GDPR и CCPA / CPRA, требуют, чтобы работодатели уведомляли своих сотрудников перед сбором и обработкой их личных данных.
2. Сбор, обработка и хранение личных данных сотрудников должны быть ограничены тем, что необходимо, актуально и соразмерно любой функции работодателя в контексте трудовых отношений.
3. Работодатель, как правило, не должен полагаться на согласие сотрудников на большую часть обработки данных на работе из-за дисбаланса полномочий между работодателем и работником. Исключительные обстоятельства, при которых на согласие можно положиться, могут включать получение согласия от сотрудников на участие в программах добровольного вознаграждения работникам, поскольку отказ не влечет за собой неблагоприятных последствий для трудовых отношений.Такое согласие должно быть дано свободно и хорошо задокументировано.
4. Работодатели могут иметь возможность контролировать своих сотрудников на предмет продуктивности, безопасности и соблюдения политик компании. Однако от них требуется информировать сотрудников о таком мониторинге до его проведения и применять адекватные меры безопасности для защиты данных, собранных в ходе мониторинга.
5. Работодатели должны проводить оценку рисков и принимать меры для снижения рисков конфиденциальности для своих сотрудников, прежде чем они будут проводить профилирование или любую другую деятельность по обработке данных с высоким риском с данными своих сотрудников.Действия по обработке данных с высоким риском могут включать сбор медицинских данных для медицинского страхования, профилирование для оценки работы или другие процессы принятия решений, связанных с трудоустройством.
6. Работодатели обязаны выполнять права сотрудников на DSR в установленные сроки. Эти права включают право запрашивать доступ к своим личным данным, удалять свои личные данные или отказаться от определенных форм обработки. Как правило, доступ и изменение данных, которые могут нанести ущерб управлению и функционированию работодателя или содержат информацию третьих лиц, освобождаются от запросов сотрудников на DSR.
7. Работодатели должны обеспечить наличие соответствующих и разумных мер безопасности для защиты данных своих сотрудников. Если к данным сотрудников осуществляется доступ, они приобретаются или скомпрометированы в результате инцидента безопасности, работодатели должны уведомить затронутых сотрудников и / или регулирующие органы в установленные сроки в соответствии с применимым законодательством о конфиденциальности.
8. Работодатели должны оценить политику конфиденциальности внешних третьих сторон и поставщиков, с которыми они заключают контракты для обработки данных своих сотрудников по любой причине e.г. Кадровые услуги, договоры о безопасности или услуги медицинского страхования и т. Д. Лучше всего заключать договорные соглашения, содержащие гарантии защиты передаваемых данных.
9. Работодатели должны регулярно обновлять свои кадровые записи, чтобы отражать точную и необходимую личную информацию о своих сотрудниках. Неточная, устаревшая или нежелательная информация должна быть изменена или удалена.

Обязательства при увольнении

Когда сотрудник увольняется из организации, работодатели должны учитывать следующие обязательства по защите данных:

1. Работодатели должны иметь четкую политику и процедуру хранения данных.Личные данные сотрудников и бывших сотрудников, которые больше не нужны, должны быть удалены, а все, что требуется для законных целей (юридических, бухгалтерских, налоговых или будущих должностей), должно храниться в отдельных защищенных базах данных с ограниченным доступом.
2. Работодатели должны получить согласие уволившихся сотрудников, если они хотят сохранить свои данные для будущих должностей.
3. Бывшие сотрудники имеют право доступа к своим личным данным, хранящимся у работодателя. Однако работодатели не обязаны обновлять и исправлять личные данные бывших сотрудников.

Чем может помочь Securiti?

Объем данных растет экспоненциально, и работодатели собирают все больше и больше личных данных своих сотрудников. Чтобы соответствовать законам о конфиденциальности, организациям необходимо иметь оптимизированный и автоматизированный процесс, с помощью которого они могут управлять данными своих сотрудников.

• Securiti предлагает работодателям комплексное решение, охватывающее все основы любого регулирования конфиденциальности и обеспечивающее соблюдение требований. Вот некоторые из модулей, которые Securiti использует, чтобы помочь организациям соответствовать требованиям.
Решение для сопоставления данных
• Securiti помогает работодателям проводить эффективное сопоставление данных, которое может помочь им определить правильную правовую основу и обеспечить законную обработку данных.
• Securiti помогает работодателям создавать уведомления о конфиденциальности и включать в себя аналитические данные о конфиденциальных данных для обеспечения соблюдения конфиденциальности во всех операциях и проектах по обработке данных.
Решение
• Seucriti для оценки воздействия на конфиденциальность данных включает в себя искусственный интеллект, чтобы автоматизация оценки запускала и проводила оценки на основе рисков.
Решение
• Securiti по управлению утечками данных быстро выявляет скомпрометированные данные и затронутые субъекты данных в результате инцидента безопасности. Он использует встроенное исследование конфиденциальности, чтобы помочь организациям доставлять уведомления о нарушениях в течение нескольких часов после инцидента безопасности.
Решение
• Securiti по управлению поставщиками позволяет работодателям оценивать своих поставщиков на основе заранее определенной оценки риска, а также предлагает централизованный процесс оценки соответствия сторонних поставщиков применимым нормам конфиденциальности.
• Securiti предлагает решение DSR Automation Solution, чтобы помочь работодателям соблюдать все права своих сотрудников и упростить процесс реализации этих прав. Этот процесс превращает ручную работу в автоматизированную систему, которая поможет предприятиям эффективно обрабатывать запросы субъектов данных и обеспечивать координацию между заинтересованными сторонами для проверки и утверждения.

Заключение

Ручные методы становятся устаревшими, и будущее без автоматизации кажется мрачным. Если работодатели надеются соответствовать растущим требованиям глобальных правил конфиденциальности, им необходимо ввести в действие свои процессы и перейти к автоматизации.

Securiti является пионером в области робототехники и создала целое решение, основанное на этой самой концепции. Узнайте, как Securti и PrivacyOps Framework могут помочь вам легко и эффективно соблюдать глобальные законы о конфиденциальности. Запросите демо сегодня.

Принцип (e): Ограничение хранения | ICO

Кратко

• Вы не должны хранить личные данные дольше, чем это необходимо.

• Вам нужно подумать и уметь обосновать, как долго вы храните личные данные.Это будет зависеть от ваших целей хранения данных.

• Вам нужна политика, устанавливающая стандартные сроки хранения везде, где это возможно, чтобы соответствовать требованиям документации.

• Вам также следует периодически просматривать данные, которые вы храните, и стирать или обезличивать их, когда они вам больше не нужны.

• Вы должны внимательно рассмотреть любые проблемы, связанные с хранением данных. Физические лица имеют право на удаление, если вам больше не нужны данные.

• Вы можете хранить личные данные дольше, если вы храните их только для архивирования общественных интересов, научных или исторических исследований или статистических целей.

Контрольный список

☐ Мы знаем, какие личные данные мы храним и зачем они нам нужны.

☐ Мы внимательно рассматриваем и можем обосновать, как долго мы храним личные данные.

☐ У нас есть политика со стандартными сроками хранения, где это возможно, в соответствии с обязательствами по документации.

☐ Мы регулярно проверяем нашу информацию и удаляем или анонимизируем личные данные, когда они нам больше не нужны.

☐ У нас есть соответствующие процессы для выполнения запросов отдельных лиц об удалении в соответствии с «правом на забвение».

☐ Мы четко определяем любые личные данные, которые нам необходимо хранить для архивирования общественных интересов, научных или исторических исследований или статистических целей.

Вкратце

Каков принцип ограничения хранения?

Статья 5 (1) (e) гласит:

“ 1.Персональные данные:

(e) хранится в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это необходимо для целей, для которых обрабатываются персональные данные; Персональные данные могут храниться в течение более длительных периодов времени, поскольку персональные данные будут обрабатываться исключительно для целей архивирования в общественных интересах, в целях научных или исторических исследований или в статистических целях в соответствии со Статьей 89 (1) при условии выполнения соответствующих технических и организационных мер. меры, требуемые настоящим Регламентом для защиты прав и свобод субъекта данных («ограничение хранения») »

Таким образом, даже если вы собираете и используете личные данные честно и законно, вы не можете хранить их дольше, чем они вам действительно нужны.

Здесь есть тесные связи с принципами минимизации данных и точности.

GDPR Великобритании не устанавливает конкретных сроков для разных типов данных. Это зависит от вас и зависит от того, как долго вам нужны данные для ваших указанных целей.

Почему важно ограничение хранения?

Если вы удалите или анонимизируете личные данные, когда они вам больше не нужны, это снизит риск того, что они станут неактуальными, чрезмерными, неточными или устаревшими.Помимо помощи в соблюдении принципов минимизации и точности данных, это также снижает риск того, что вы будете использовать такие данные по ошибке — в ущерб всем заинтересованным сторонам.

Персональные данные, хранящиеся слишком долго, по определению не нужны. У вас вряд ли будет законное основание для удержания.

С более практической точки зрения неэффективно хранить больше личных данных, чем вам нужно, и могут возникнуть ненужные расходы, связанные с хранением и безопасностью.

Помните, что вы также должны отвечать на запросы о доступе к любым личным данным, которые вы храните. Это может быть труднее, если вы храните старые данные дольше, чем вам нужно.

Хорошая практика в отношении ограничения хранилища — с четкими политиками в отношении сроков хранения и стирания — также, вероятно, снизит нагрузку на обработку запросов о сроках хранения и индивидуальных запросов на стирание.

Нужна ли нам политика хранения?

или графики хранения содержат список типов записей или информации, которые вы храните, для чего вы их используете и как долго вы собираетесь их хранить.Они помогут вам установить и задокументировать стандартные сроки хранения для различных категорий персональных данных.

График хранения может быть частью более широкого «реестра информационных активов» (IAR) или вашей общей документации по обработке.

Чтобы соответствовать требованиям к документации, вам необходимо установить и задокументировать стандартные сроки хранения для различных категорий информации, которую вы храните, где это возможно. Также желательно иметь систему для обеспечения того, чтобы ваша организация соблюдала эти периоды хранения на практике, и для проверки срока хранения через соответствующие промежутки времени.Ваша политика также должна быть достаточно гибкой, чтобы при необходимости можно было выполнить досрочное удаление. Например, если вы на самом деле не используете запись, вам следует пересмотреть, нужно ли вам ее сохранять.

Если вы небольшая организация, периодически выполняющая обработку с низким уровнем риска, вам может не понадобиться документированная политика хранения.

Однако, если у вас нет политики хранения (или если она не охватывает все личные данные, которые вы храните), вы все равно должны регулярно просматривать данные, которые у вас есть, и удалять или анонимизировать все, что вам больше не нужно.

Как установить сроки хранения?

GDPR Великобритании не определяет, как долго вы должны хранить личные данные. Вы должны обосновать это, исходя из ваших целей обработки. Вы можете лучше всего судить, как долго вам это нужно.

Вы также должны иметь возможность обосновать, почему вам необходимо хранить личные данные в форме, позволяющей идентифицировать людей. Если вам не нужно идентифицировать людей, вы должны анонимизировать данные, чтобы идентификация была невозможна.

Например:

• Вы должны учитывать заявленные вами цели обработки персональных данных. Вы можете хранить их до тех пор, пока применима одна из этих целей, но вы не должны хранить данные бесконечно «на всякий случай» или если существует лишь небольшая вероятность того, что вы будете их использовать.

Пример

Банк хранит персональные данные о своих клиентах. Сюда входят сведения об адресе, дате рождения и девичьей фамилии матери каждого покупателя.Банк использует эту информацию в рамках своих процедур безопасности. Банку целесообразно хранить эти данные до тех пор, пока у клиента есть счет в банке. Даже после закрытия счета банку может потребоваться сохранить часть этой информации по юридическим или оперативным причинам в течение дополнительного установленного времени.

Пример

Банку может потребоваться сохранить изображения из системы видеонаблюдения, установленной для предотвращения мошенничества в банкомате, в течение нескольких недель, поскольку подозрительная транзакция может не обнаружиться, пока жертва не получит выписку из банка.Напротив, пабу может потребоваться сохранить изображения из своей системы видеонаблюдения только на короткий период, потому что инциденты будут обнаруживаться очень быстро. Однако, если о преступлении будет сообщено в полицию, в пабе необходимо будет хранить изображения, пока полиция не успеет их забрать.

Пример

Агентство по розыску хранит личные данные о должнике, чтобы оно могло найти это лицо от имени кредитора. После того, как оно нашло физическое лицо и сообщило кредитору, может отпасть необходимость в сохранении информации о должнике — агентство должно удалить ее из своих систем, если нет веских причин для ее сохранения.Например, если агентство также попросили взыскать долг от имени кредитора.

• Вам следует подумать, нужно ли вам вести учет отношений с отдельным лицом после их окончания. Возможно, вам не потребуется удалять все личные данные по окончании отношений. Возможно, вам потребуется сохранить некоторую информацию, чтобы вы могли подтвердить, что отношения существовали и что они закончились, а также некоторые их детали.

Пример

Компании может потребоваться сохранить некоторые личные данные о предыдущем клиенте, чтобы иметь возможность рассматривать любые жалобы клиента на предоставленные услуги.

Пример

Работодатель должен проверить свои личные данные о сотруднике, когда они увольняются с работы в организации. Потребуется хранить достаточно данных, чтобы организация могла иметь дело, например, с предоставлением справок или пенсионными соглашениями. Тем не менее, он должен удалить из своих записей личные данные, которые вряд ли понадобятся ему снова, например, контактные данные сотрудника в чрезвычайных ситуациях, предыдущие адреса или данные получателя помощи в случае смерти на службе.

Пример

Компания получает уведомление от бывшего клиента с требованием прекратить обработку персональных данных клиента для прямого маркетинга. Для бизнеса целесообразно хранить достаточно информации о бывшем клиенте, чтобы прекратить включать этого человека в будущую деятельность по прямому маркетингу.

• Вам следует подумать, нужно ли вам хранить информацию для защиты возможных будущих судебных исков. Однако вы все равно можете удалить информацию, которая не может иметь отношения к такой претензии.Если нет других причин для их хранения, личные данные должны быть удалены, когда такая претензия больше не может возникать.

Пример

Работодатель получает несколько заявлений о приеме на работу. Если для этого нет четкой деловой причины, работодатель не должен вести записи о приеме на работу неудачных кандидатов сверх установленного законом периода, в течение которого может быть подана претензия, вытекающая из процесса приема на работу.

• Вам следует учитывать любые законодательные или нормативные требования.Существуют различные юридические требования и профессиональные инструкции по ведению определенных видов записей, таких как информация, необходимая для целей налогообложения и аудита, или информация по аспектам здоровья и безопасности. Если вы храните личные данные в соответствии с подобным требованием, будет считаться, что вы храните информацию дольше, чем необходимо.

• Вам следует принять во внимание любые соответствующие отраслевые стандарты или рекомендации. Например, мы договорились, что кредитным агентствам разрешено хранить данные о потребительских кредитах в течение шести лет.Отраслевые руководства являются хорошей отправной точкой для стандартных сроков хранения и, вероятно, предполагают продуманный подход. Однако они не гарантируют соблюдения. Вы все равно должны уметь объяснять, почему эти периоды оправданы, и держать их в поле зрения.

Вы должны помнить о пропорциональном подходе, уравновешивая свои потребности с влиянием удержания на конфиденциальность отдельных лиц. Не забывайте, что хранение ваших данных всегда должно быть справедливым и законным.

Когда следует проверять удержание?

Вам следует проверить, нужны ли вам личные данные в конце любого стандартного периода хранения, и стереть или обезличить их, если нет четкого обоснования для их более длительного хранения.Автоматизированные системы могут помечать записи для просмотра или удалять информацию по истечении заранее определенного периода. Это особенно полезно, если у вас много записей одного типа.

Также рекомендуется регулярно проверять хранение ваших личных данных перед этим, особенно если стандартный период хранения является длительным или существует потенциальная возможность значительного воздействия на людей.

Если у вас нет установленного срока хранения личных данных, вы должны регулярно проверять, нужны ли они вам.

Однако не существует твердого правила относительно того, насколько регулярными должны быть эти проверки. Ваши ресурсы могут быть здесь важным фактором наряду с риском конфиденциальности для отдельных лиц. Важно помнить, что вы должны иметь возможность обосновать свое удержание и то, как часто вы его просматриваете.

Вы также должны проверить, нужны ли вам личные данные, если об этом попросит физическое лицо. Физические лица имеют абсолютное право на удаление личных данных, которые вам больше не нужны для указанных вами целей.

Что нам делать с личными данными, которые нам больше не нужны?

Вы можете стереть (удалить) его или сделать его анонимным.

Вы должны помнить, что существует значительная разница между окончательным удалением личных данных и их отключением. Если личные данные хранятся в автономном режиме, это должно снизить их доступность и снизить риск неправильного использования или ошибки. Однако вы по-прежнему обрабатываете личные данные. Вы должны хранить его в автономном режиме (а не удалять), только если вы все еще можете оправдать его хранение.Вы должны быть готовы отвечать на запросы тематического доступа к персональным данным, хранящимся в автономном режиме, и при этом соблюдать все остальные принципы и права.

Слово «удаление» может означать разные вещи в отношении электронных данных, и мы понимаем, что не всегда можно удалить или стереть все следы данных. Ключевой вопрос заключается в том, чтобы гарантировать, что данные не будут использоваться. Если уместно удалить личные данные из действующей системы, вы также должны удалить их из любой резервной копии информации в этой системе.

Дополнительная литература

Мы подготовили подробное руководство по вопросам, связанным с удалением в соответствии с Законом 1998 года. В свое время он будет обновлен для GDPR Великобритании, но тем временем по-прежнему предлагает полезные рекомендации по практическим вопросам, связанным с удалением:

Удаление личных данных

В качестве альтернативы вы можете анонимизировать данные, чтобы они больше не были «в форме, позволяющей идентифицировать субъектов данных».

Псевдонимизированные персональные данные, например с использованием ключевого кода, обычно позволяют идентифицировать личность.Псевдонимизация может быть полезным инструментом для соблюдения других принципов, таких как минимизация данных и безопасность, но принцип ограничения хранилища по-прежнему применяется.

Как долго мы можем хранить личные данные для архивных, исследовательских или статистических целей?

Вы можете хранить личные данные на неопределенный срок, если вы держите их только для:

• для целей архивирования в общественных интересах;
• научных или исторических исследовательских целей; или
• статистических целей.

Хотя общее правило заключается в том, что вы не можете хранить личные данные бесконечно «на всякий случай», они могут быть полезны в будущем, есть встроенное исключение, если вы храните их для этих архивных, исследовательских или статистических целей.

У вас должны быть соответствующие меры безопасности для защиты людей. Например, в некоторых случаях может быть уместна псевдонимизация.

Это должно быть вашей единственной целью. Если вы оправдываете бессрочное хранение на этом основании, вы не можете впоследствии использовать эти данные для других целей — в частности, для любых решений, затрагивающих конкретных лиц.Это не мешает другим организациям получать доступ к публичным архивам, но они должны гарантировать, что их собственный сбор и использование личных данных соответствует принципам.

Как это применимо к обмену данными?

Если вы делитесь личными данными с другими организациями, вы должны согласовать между собой, что произойдет, когда вам больше не нужно будет делиться этими данными. В некоторых случаях может быть лучше вернуть общие данные в организацию, которая их предоставила, без сохранения копии. В других случаях все вовлеченные организации должны удалить свои копии личных данных.

Пример

Персональные данные о клиентах компании A передаются компании B, которая ведет переговоры о покупке бизнеса компании A. Компании принимают меры к тому, чтобы Компания Б сохраняла конфиденциальность информации и использовала ее только в связи с предполагаемой транзакцией. Продажа не проводится, и Компания B возвращает информацию о клиенте компании A без сохранения копии.

Каждой организации, участвующей в инициативе по обмену информацией, может потребоваться установить свои собственные периоды хранения, поскольку у некоторых могут быть веские причины для хранения личных данных дольше, чем у других.Однако, если все вы храните данные только для целей инициативы по совместному использованию данных и они больше не нужны для этой инициативы, то все организации, у которых есть копии информации, должны удалить их.

10 новых законов о конфиденциальности во всем мире и их влияние на вашу аналитику

Полное название : Регламент Европейского парламента и Совета относительно уважения частной жизни и защиты личных данных в электронных сообщениях и отмена Директива 2002/58 / EC (Положение о конфиденциальности и электронных коммуникациях).

Дата вступления в силу : все еще неизвестно, но не ранее 2023 года. Совет и Европейский парламент в настоящее время обсуждают условия окончательного текста. Пока неясно, будет ли закон применяться в его нынешней форме, поскольку он подвергся резкой критике со стороны властей ЕС, в том числе Федерального комиссара Германии по защите данных и свободе информации (BfDI).

Закон вступит в силу через 20 дней после его опубликования и начнет применяться через два года после этого.

На кого повлияет постановление о конфиденциальности в Интернете?

В случае принятия последний проект будет применяться к обработке персональных данных с использованием электронной связи. Он будет охватывать:

• Провайдеры услуг электронной связи
• Провайдеры общедоступных справочников
• Те, кто используют услуги электронной связи для отправки прямых маркетинговых коммерческих сообщений
• Те, кто обрабатывает и хранит данные в терминальном оборудовании пользователей
• Те, кто собирает информацию, обработанную, отправленную на терминальном оборудовании конечных пользователей или хранится в нем.

Что такое терминальное оборудование конечных пользователей?

Это означает устройство, используемое в качестве источника или назначения данных (например,г. компьютер, сервер или IoT-устройство). Действия, которые связаны с оконечным оборудованием пользователей, включают, например:

• Размещение файлов cookie или использование отпечатков пальцев устройства для показа рекламы на основе интересов или персонализации содержимого веб-сайта
• Сбор данных с устройств Интернета вещей в маркетинговых целях
• Использование основных файлов cookie для получения информации об использовании страницы и обеспечения ее надлежащего функционирования

Это означает, что закон затрагивает большинство организаций, которые имеют дело с пользовательскими данными, полученными посредством электронного сбора данных.

Постановление имеет экстерриториальное действие. Он защищает данные жителей ЕС независимо от того, где происходит сбор и обработка.

Каковы будут ваши основные обязательства в соответствии с текущим проектом ePrivacy?

По сравнению с предыдущими предложениями, последний проект Регламента электронной конфиденциальности менее строг и подробен. Тем не менее, он по-прежнему охватывает несколько типов электронной обработки данных. В этой статье мы сосредоточимся на частях, связанных с маркетингом и аналитикой.

Файлы cookie и согласие

Новая версия закона поддерживает согласие как один из столпов конфиденциальности пользователей в Интернете. Однако, по сравнению с предыдущими версиями закона, он ослабляет ограничения на получение согласия.

Наиболее важные договоренности относительно согласия и файлов cookie включают:

1. Разрешение доступа к личным данным на устройствах пользователей без разрешения

В текущей версии закон позволяет поставщикам услуг получать доступ к личным данным на устройствах пользователей для выполнение контракта.В предыдущей версии такой доступ разрешался только там, где это было технически необходимо . Таким образом, положение становится более двусмысленным и оставляет место для толкования того, что необходимо для выполнения контракта.

2. Исключение согласия для аналитических файлов cookie

Согласно новому проекту, использование файлов cookie для простого измерения аудитории не требует согласия пользователя, «если это необходимо с единственной целью измерения аудитории, при условии, что такое измерение проводится. от поставщика услуги, запрошенной конечным пользователем, или третьей стороной ».Такие файлы cookie, обычно называемые аналитическими файлами cookie, могут использоваться без предварительного согласия.

3. Нечеткое руководство по сбору личных данных для повышения эффективности предоставляемых услуг

В предлагаемом проекте указано, что для сбора статистики для измерения производительности веб-сайта согласие не требуется. Даже использование пикселей отслеживания для измерения рекламы не требует разрешения пользователя, при условии, что файлы cookie будут использоваться не для сбора личных данных, а для сбора статистических данных.

Это правило не распространяется на какие-либо действия по ремаркетингу или активации данных, осуществляемые с использованием личных данных.

4. Мягкое «да» для стен cookie

Текущий проект вводит менее строгие правила в отношении предоставления доступа к информации или услугам на основе согласия пользователей. Это позволяет компаниям создавать различные предложения для пользователей в соответствии с их выбором конфиденциальности:

Требование […] согласия обычно не считается лишением конечного пользователя подлинного выбора, если конечный пользователь может выбирать между услугами, на основе ясной, точной и удобной для пользователя информации о целях файлов cookie и аналогичных методов […]

5. Нет решения для глобальных предпочтений конфиденциальности, выраженных в настройках браузера

В новой версии проекта конечные пользователи могут дать согласие на использование определенных типов файлов cookie только путем внесения одного или нескольких поставщиков в белый список в настройках своего браузера:

Там, где это возможно и технически осуществимо, конечный пользователь может предоставить через настройки программного обеспечения согласие определенному поставщику на использование возможностей обработки и хранения оконечного оборудования для одной или нескольких конкретных целей в рамках одной или нескольких конкретных услуг этого поставщика. .

Предыдущая версия в уже удаленных статьях 9 и 10 предлагала несколько более удобных для пользователя решений. Он предложил заменить модальные окна согласия и всплывающие окна юридически обязательными сигналами, настроенными пользователями.

6. Работа с метаданными без согласия пользователей

Проект постановления открывает возможность обработки метаданных пользователей даже без их согласия. Объем метаданных в текущей версии Регламента электронной конфиденциальности следующий:

«Метаданные электронных коммуникаций» означают данные, обрабатываемые с помощью служб электронной связи для целей передачи, распространения или обмена содержанием электронных коммуникаций; включая данные, используемые для отслеживания и идентификации источника и назначения сообщения, данные о местоположении устройства, созданного в контексте предоставления услуг электронной связи, и дату , время, продолжительность и тип связи .

Согласно тексту, вы можете использовать этот тип данных для статистических целей и других целей, для которых вы не собирали их изначально, если вы зашифровали или псевдонимизировали их. В отличие от этого, вот что GDPR говорит об обязательствах, связанных с обработкой псевдонимных данных:

Принципы защиты данных должны применяться к любой информации, касающейся идентифицированного или идентифицируемого физического лица. Псевдонимизированные персональные данные, которые могут быть отнесены к физическому лицу с использованием дополнительной информации, следует рассматривать как информацию об идентифицируемом физическом лице.

Источник: статья 26 Общего регламента по защите данных

Внесенные изменения вызвали обеспокоенность у органов по защите данных и активистов, в том числе у Panoptykon Foundation, польской неправительственной организации, основной целью которой является защита основных свобод и прав человека. В открытом письме Panoptykon раскритиковал проект за то, что он не защищает пользователей от отслеживания, что позволяет принуждать пользователей к согласию и возлагает на них бремя контроля конфиденциальности. Он призвал Европейский парламент закрыть лазейки и серые зоны в законе и привести его в соответствие со стандартами защиты, предусмотренными GDPR.

Вы можете прочитать письмо полностью здесь.

Штрафы за несоблюдение

ePrivacy устанавливает те же штрафы, что и описанные в GDPR — от 10 млн евро или 2% годового оборота до 20 млн евро или 4% годового оборота, в зависимости от серьезности нарушения. Подробное описание штрафов дано в статье 23 проекта.

Как Индия планирует защитить данные потребителей

Правительство Индии собирается принять Закон о защите личных данных (DPB), который будет контролировать сбор, обработку, хранение, использование, передачу, защиту и раскрытие личных данных жителей Индии.Несмотря на свой региональный характер, DPB — важное событие для глобальных менеджеров. Ожидается, что к 2022 году цифровая экономика в Индии достигнет оценки в 1 триллион долларов, и это привлечет множество глобальных игроков, которые должны соблюдать DPB.

Индия следовала Общему регламенту ЕС по защите данных (GDPR), разрешив глобальным цифровым компаниям вести бизнес при определенных условиях, вместо того, чтобы следовать изоляционистским рамкам китайского регулирования, которые не позволяют глобальным игрокам, таким как Facebook и Google, работать в пределах ее границ.Тем не менее, в индийском DPB есть дополнительные положения, выходящие за рамки правил ЕС. Поскольку Индия является национальным государством, она будет обрабатывать данные, созданные ее гражданами, как национальный актив , хранить и охранять их в пределах национальных границ и оставляет за собой право использовать эти данные для защиты своей обороны и стратегических интересов.

Есть ряд особенностей DPB, которые потребуют от компаний изменения своих бизнес-моделей, методов и принципов. Многие другие добавят эксплуатационные расходы и сложность.Вопросы, которые мы здесь поднимаем, служат руководством к тому, что предприятиям следует помнить о новых правилах Индии и ужесточении правил защиты данных во всем мире. Понимание этих вопросов поможет цифровым компаниям планировать будущее, учитывать будущие правила и решать, выходить или выходить на определенные рынки.

Конфиденциальность как основное право: В 2017 году Верховный суд Индии постановил, что конфиденциальность является конституционным правом граждан Индии. Однако каждый гражданин оставляет видимый след личных данных во время навигации в цифровом мире.DPB намеревается защищать и охранять права граждан на неприкосновенность частной жизни, контролируя сбор, безопасность, хранение, продажу и использование этих данных. Новое регулирование повлияет на анализ затрат и выгод для многих цифровых фирм, которые часто теряют деньги, предлагая бесплатные услуги, но стремятся получить прибыль от продажи и использования личных данных клиентов. Многим из этих цифровых фирм придется переосмыслить свои бизнес-модели, если они больше не смогут собирать, использовать, сохранять и продавать пользовательские данные так же прибыльно, как раньше.

Согласие пользователя: DPB требует, чтобы цифровая компания получила явное разрешение от пользователя перед сбором его личных данных. При этом он должен объяснять объем и цель сбора данных. Явное разрешение также должно быть получено на каждом этапе последующей обработки данных. Соблюдение этого положения может быть непростым, поскольку цифровые компании не только собирают персональные данные, но и обрабатывают эти данные для создания новой информации, которая не принадлежит первоначальному пользователю.Например, Uber определяет шаблоны трафика, а Amazon анализирует отзывы об отдельных транзакциях. Кроме того, необработанные данные могут быть переданы стороннему процессору данных для анализа, создавая новую информацию вместе с данными, полученными от других сборщиков данных. Компаниям придется переосмыслить свои операционные процедуры для отслеживания и безопасности данных, а также выяснить, нужно ли, когда и как получать разрешения пользователей. Цифровые компании теперь становятся «хранителями данных», как определено в DPB, вместо того, чтобы быть простыми сборщиками данных, когда они берут на себя ответственность за получение разрешения пользователя как на первоначальный сбор, так и на последующую обработку пользовательских данных.

Право собственности на личные данные: В принципе DPB предлагает, чтобы поставщик данных был владельцем их личных данных. Хотя эта идея проста, она может стать огромным бременем для внедрения цифровых компаний. В физическом мире владелец собственности может потребовать возврата своей собственности. Компании в цифровом мире должны будут выяснить, как выполнить это требование, когда пользователь требует удалить или отозвать свои личные данные из цифровой компании — например, когда человек запрашивает удаление всей своей информации после того, как они перестают существовать. участник Facebook.Цифровым компаниям также придется думать не только о собственном хранении и использовании данных, поскольку они могли продать данные третьей стороне.

Три класса данных: DPB определил три категории данных, по которым можно идентифицировать принципала: Конфиденциальные данные включают информацию о финансах, здоровье, сексуальной ориентации, генетике, статусе трансгендера, касте и религиозных убеждениях. Критические данные включают информацию, которую правительство время от времени определяет как чрезвычайно важную, такую ​​как данные о военных или национальной безопасности.Третий — это общая категория , которая не определена, но содержит остальные данные. DPB предписывает особые требования, которым доверенные лица должны соблюдать при хранении и обработке для каждого класса данных.

Все конфиденциальные и важные данные должны храниться на серверах, расположенных в Индии. Конфиденциальные данные могут обрабатываться извне, но должны быть возвращены в Индию для хранения. Критические данные вообще нельзя вывозить из страны. Для общих данных ограничений нет.Цифровые компании в настоящее время работают в едином кибер-мире, где они в основном хранят и обрабатывают свои данные там, где это экономически наиболее эффективно. Это географическое разделение, предложенное DPB, приведет к дополнительным расходам для цифровых компаний, может привести к неэкономичным ресурсам хранения и обработки данных и может привести к тому, что некоторые называют «сплинтернетом», или к фрагментации глобальных цифровых цепочек поставок.

Суверенитет данных: DPB оставляет за собой право доступа к локально хранимым данным для защиты национальных интересов.Это означает, что DPB будет рассматривать данные граждан как национальный актив , что ничем не отличается от контроля над физическим имуществом граждан. В этом отношении DPB отличается от GDPR, который не предъявляет требований к локальному хранению данных или преимущественного доступа к данным для защиты национальных интересов. В настоящее время цифровые компании практически владеют данными до тех пор, пока они могут решать проблемы конфиденциальности и выполнять требования согласия пользователей. Одно из следствий новой политики состоит в том, что, когда правительство требует данные своих граждан, в случае иностранных атак и слежки, цифровые компании должны будут подчиняться политике правительства Индии в области обороны и поддерживать ее.

Национальные интересы: Делая большой упор на неприкосновенность частной жизни граждан, DPB в некоторых случаях игнорирует права на неприкосновенность частной жизни. В нем говорится: «Все или какие-либо положения этого Закона не распространяются на какое-либо правительственное учреждение в отношении обработки таких персональных данных…» То есть различные организации государственного сектора правительства Индии не будут требовать согласия отдельных лиц. для получения своих личных данных при реагировании на меры безопасности государства, обнаружении любой незаконной деятельности или мошенничества, а также при чрезвычайных эпидемиях и медицинских ситуациях.Эти данные могут потребоваться у цифровых компаний. Кроме того, правительство может дать указание цифровой компании предоставить неличные или анонимные данные для целей исследования или планирования. Критики утверждают, что эти данные могут быть потенциально использованы правительством для непреднамеренных целей, например для политического наблюдения. Другие утверждают, что анонимные данные можно легко деанонимизировать. Цифровым компаниям, возможно, придется изменить свою политику, чтобы соответствовать этим требованиям. Вспомните отказ Apple разблокировать iPhone для расследования ФБР.Спорный вопрос, сможет ли Apple отклонить этот запрос в рамках DPB.

Контрольный тег : DPB требует, чтобы все цифровые компании идентифицировали своих пользователей и помечали их по трем категориям, чтобы уменьшить троллинг (например, анонимный пользователь или бот, пытающийся спровоцировать насилие, публикуя подстрекательские комментарии): Пользователи, которые подтвердили свою регистрацию и отображать настоящие имена; пользователи, которые прошли подтвержденную регистрацию, но сохранили анонимность своих имен; и пользователи, которые не подтвердили регистрацию.Это будет первое в своем роде регулирование в глобальных социальных сетях. Это означает, что цифровые компании должны внедрить процедуры для сбора и проверки подлинности своих пользователей. Обратите внимание, что Facebook имеет более 100 миллионов поддельных учетных записей и сталкивается с дилеммой: продолжать как есть, пытаться проверить их или удалить эти учетные записи.

Соблюдение и исполнение: DPB предлагает высокие штрафы за несоблюдение. В случае утечки данных или бездействия доверенного лица при утечке данных или незначительном нарушении штрафы могут достигать 700 000 долларов США или 2% от общей выручки компании, в зависимости от того, что больше.За серьезные нарушения, такие как передача данных без согласия, штраф удваивается. Эти штрафы, которые основаны на общем доходе транснациональных корпораций в размере , и потенциальные сроки тюремного заключения для сотрудников цифровых компаний означают, что к правилам DPB нельзя относиться легкомысленно. Его положения должны соблюдаться для ведения бизнеса в Индии.

Налогообложение цифровых компаний: Как мы отмечали в предыдущей статье, транснациональные цифровые компании могут легко переводить свои доходы в налоговые убежища и избегать уплаты налогов местным органам власти, не опасаясь конфискации своей собственности.Физический контроль над данными и страх перед штрафными санкциями могут дать индийскому правительству дополнительные рычаги воздействия на сбор налогов и сборов с цифровых компаний. Это снизит вероятность того, что цифровые компании уйдут с рук, заплатив небольшие налоги местным органам власти или не заплатив их вовсе.

Другие вопросы: DPB применяется ко всем предприятиям, которые собирают личные данные, а не только к цифровым предприятиям. Например, John Deere собирает и обрабатывает данные, полученные от сельскохозяйственного оборудования.Применимо ли DPB к тракторам с датчиками, принадлежат ли собранные данные фермерам и как распределяются выгоды от фермерских данных, становится спорным.

На наш взгляд, в Индии существует острая необходимость в регулировании защиты данных, и лучше иметь его, пусть даже немного некорректный, чем не иметь. Этот законопроект — хороший первый шаг в обеспечении общих принципов регулирования, и мы надеемся, что подробные законы и постановления будут и дальше дорабатываться, как это произошло со стандартами безопасности автомобилей, которые развивались с начала ^{-х годов} века.

Когда DPB вступит в силу, принципы регулирования защиты данных станут аналогичными в ЕС, Калифорнии, Канаде и Индии. Компания, которая учится соблюдать правила одной юрисдикции, легко может соблюдать правила другой. Единые стандарты, подобные ISO 9000, будут способствовать развитию мировой торговли. Упорядоченный цифровой рынок будет беспроигрышным вариантом для граждан, наций и транснациональных корпораций.

Китай ограничивает обмен корпоративными и личными данными внутри страны в соответствии с новым законодательством

17 июня 2021 г.

Нажмите, чтобы открыть PDF

Китайская Народная Республика ограничивает извлечение корпоративных и личных данных, связанных с судебными разбирательствами и расследованиями, из Китая — и это может затруднить работу истцов и субъектов расследования в будущем.В соответствии с новым законом о безопасности данных, принятым в конце прошлой недели, и предстоящим законом о защите личной информации Китай намерен ограничить обмен широкими массами личных и корпоративных данных за пределами своих границ. Оба закона требуют, чтобы компании получали одобрение еще не идентифицированного подразделения правительства Китая, прежде чем предоставлять данные некитайским судебным или правоохранительным органам. Как подробно описано ниже, эти законы могут иметь далеко идущие последствия для компаний и частных лиц, стремящихся предоставить данные иностранным судам или правоохранительным органам в контексте государственных расследований или судебных разбирательств, и, по всей видимости, расширяют ограничения на передачу данных, установленные в других недавних китайских законах. .[1]

Закон Китайской Народной Республики о безопасности данных

10 июня 2021 года Всекитайское собрание народных представителей приняло Закон о безопасности данных, который вступит в силу 1 сентября 2021 года. Закон содержит широкие требования и суровые наказания за нарушения. Он регулирует не только обработку и управление данными внутри Китая, но и за пределами Китая, которые «наносят ущерб национальной безопасности, общественным интересам или законным интересам граждан и организаций [Китая].”[2]

Закон о безопасности данных обычно требует, чтобы юридические и физические лица, работающие в Китае, внедряли системы, предназначенные для защиты данных внутри страны. Например, организации, которые обрабатывают «важные» данные — термин, еще не определенный в уставе, — должны назначить персонал, ответственный за безопасность данных, и проводить оценки для мониторинга потенциальных рисков [3]. Китайские власти могут наложить штрафы до 500 000 юаней (примерно 78 000 долларов США) и потребовать корректирующих действий, если организация не выполняет эти требования.[4] Если организация не может принять необходимые корректирующие меры после получения предупреждения и / или ее неспособность внедрить адекватные меры контроля приведет к крупномасштабной утечке данных, на нее может быть наложен штраф в размере до 2 миллионов юаней (приблизительно 313000 долларов). В этих обстоятельствах власти также могут отозвать лицензии на ведение бизнеса у организации-нарушителя и наложить штрафы на ответственных лиц [5].

Закон о безопасности данных также гласит, что «нарушение национальной системы управления ключевыми данными или создание угрозы национальному суверенитету, безопасности и интересам развития Китая» карается дополнительным штрафом до 10 миллионов юаней (примерно 1 доллар США.56 миллионов), приостановление деятельности, отзыв бизнес-лицензий и, в особо тяжелых случаях, уголовная ответственность [6]. Закон о безопасности данных определяет «основные данные» в широком смысле и включает «данные, относящиеся к национальной безопасности, национальной экономике, благосостоянию людей и основным общественным интересам» [7]

В частности, статья 36 Закона о безопасности данных запрещает «предоставлять данные, хранящиеся в Китайской Народной Республике, иностранным судебным или правоохранительным органам без разрешения компетентного органа Китайской Народной Республики.[8] Закон не определяет «компетентный орган» и не описывает процесс утверждения. Неполучение этого предварительного разрешения может повлечь за собой наложение штрафа в размере до 1 000 000 юаней (примерно 156 000 долларов США), а также дополнительных штрафов для ответственных лиц [9]. Хотя в Законе о безопасности данных обсуждаются различные категории охватываемых данных в другом месте законодательного текста — например, со ссылкой на «основные данные», описанные выше [10], — статья 36 в том виде, в каком она написана, по-видимому, применима к передаче любых данные, независимо от предмета и секретности, при условии, что они хранятся в Китае.Окончательный текст закона также включает дополнительные, более суровые наказания за серьезные нарушения, которые не были включены в предыдущие проекты, в том числе штраф в размере до 5 миллионов юаней (примерно 780 000 долларов США), приостановление деловых операций, отзыв бизнес-лицензий, а также повышенные штрафы для ответственных лиц. Однако статут не определяет, какие нарушения будут считаться «серьезными».

Хотя юридическое сообщество в Китае и за его пределами обязательно обратится за дополнительными указаниями к китайскому правительству, неясно, выпустит ли китайское правительство имплементационные постановления или другие руководящие материалы до 1 сентября 2021 года, когда закон вступит в силу.Для справки: с момента принятия закона в 2018 году китайское правительство не выпустило дополнительных указаний по Закону о международной уголовной судебной помощи, который запрещает, среди прочего, несанкционированное сотрудничество широкого характера с иностранными уголовными властями. учитывая, что безопасность и конфиденциальность данных являются одними из приоритетных направлений Пекина, вполне возможно, что китайское правительство выпустит постановления, законодательные толкования или инструкции, чтобы прояснить некоторые ключевые требования в Законе о безопасности данных.

Закон Китайской Народной Республики о защите личной информации

29 апреля 2021 г. Китай выпустил второй проект своего Закона о защите личной информации, который направлен на создание правовой базы, аналогичной Общим правилам защиты данных Европейского Союза («GDPR»). Проект Закона о защите личной информации, если он будет принят, будет применяться к «объектам обработки личной информации (« PIPE »)», определяемым как «организация или физическое лицо, которые независимо определяют цели и средства обработки личной информации.»[11] В проекте Закона о защите личной информации обработка определяется как« сбор, хранение, использование, уточнение, передача, предоставление или публичное раскрытие личной информации ». [12] В проекте Закона о защите личной информации также определяется« личная информация » в широком смысле как «различные типы электронной или иным образом записанной информации, относящейся к идентифицированному или идентифицируемому физическому лицу», но исключает анонимную информацию. [13]

Проект Закона о защите личной информации требует, чтобы компании PIPE, обрабатывающие определенные объемы личных данных, принимали меры защиты, такие как назначение сотрудника по защите личной информации, ответственного за надзор за обработкой соответствующих данных.[14] ТРУБЫ также должны будут проводить оценку рисков до обработки определенной личной информации и проводить регулярные аудиты. [15]

В соответствии со статьей 38 проекта Закона о защите личной информации Управление киберпространства Китая («CAC») предоставит стандартный контракт для PIPE, чтобы ссылаться на него при заключении контрактов с получателями данных за пределами Китая. Проект Закона о защите личной информации предусматривает, что PIPE могут передавать личную информацию за границу только в том случае, если PIPE: (1) проходит оценку безопасности, проводимую CAC; (2) получает сертификат профессиональных организаций в соответствии с правилами CAC; (3) заключает соглашение о передаче с получателем, используя стандартный договор, опубликованный CAC; или (4) соблюдает другие условия, установленные законом, административными постановлениями или CAC.[16] Как и в Законе о безопасности данных, в проекте Закона о защите личной информации это требование не уточняется, в том числе, какие типы сертификатов удовлетворяют требованиям статьи 38 или какие «другие условия установлены законом, административными постановлениями или CAC. »Повлечь за собой.

Подобно статье 36 Закона о безопасности данных, статья 41 проекта Закона о защите личной информации запрещает предоставление личных данных судебным или правоохранительным органам за пределами Китая без предварительного разрешения компетентных органов Китая.[17] Однако, как и в случае с Законом о безопасности данных, ни «компетентный орган Китая», ни процесс утверждения не определены.

Проект Закона о защите личной информации не содержит штрафов, конкретно связанных со статьей 41, но содержит общие положения о наказаниях в статье 65, которые включают конфискацию незаконных доходов и базовый штраф в размере до 1 миллиона юаней (приблизительно 156 000 долларов США) за компаний и от 10 000 до 100 000 юаней (приблизительно от 15 600 до 156 000 долларов США) для ответственных лиц.[18] «Серьезные нарушения», которые не определены в уставе, могут быть наказуемы штрафом до 50 миллионов юаней (примерно 7,8 миллиона долларов) или до пяти процентов годового дохода компании за предыдущий финансовый год, а также штрафы в размере от 100 000 до 1 миллиона юаней (примерно от 156 000 до 1,56 миллиона долларов) для ответственных лиц. Кроме того, компании, нарушившие Закон о защите личной информации, могут быть лишены разрешения на ведение бизнеса или полностью приостановлены.

Закон о безопасности данных и Закон о защите личной информации в контексте

Закон о безопасности данных и, если он будет принят, Закон о защите личной информации добавят к растущему списку китайских законов, которые ограничивают предоставление данных иностранным правительствам. Например:

• Международный закон о правовой помощи в уголовном судопроизводстве запрещает юридическим и физическим лицам в Китае предоставлять иностранным правоохранительным органам доказательства, материалы или помощь в связи с уголовными делами без согласия правительства Китая.[19]
• Статья 177 китайского Закона о ценных бумагах (редакция 2019 г.) запрещает «иностранным регулирующим органам напрямую проводить расследования и собирать доказательства» в Китае и ограничивает китайские компании от передачи документов, связанных с их деятельностью с ценными бумагами, за пределы Китая, если они не получат предварительного разрешения от Комиссия по регулированию ценных бумаг Китая.
• Недавно выпущенный проект поправки к китайскому Закону о борьбе с отмыванием денег содержит требования о раскрытии и предварительном одобрении для китайских компаний, отвечающих на запросы данных от иностранных регулирующих органов.
• Как ранее сообщал Гибсон Данн, Правила о противодействии неоправданному экстерриториальному применению иностранного законодательства и других мер , выпущенные Министерством торговли КНР в январе 2021 года, устанавливают механизм, позволяющий правительству определять конкретные иностранные законы как « необоснованные экстерриториальные заявки », и впоследствии наложить запрет на соблюдение этих иностранных законов.

Однако Закон о безопасности данных и проект Закона о защите личной информации, по-видимому, превосходят эти предыдущие запреты в нескольких ключевых отношениях.В отличие от Закона о международной судебной помощи в уголовных делах, например, Закон о безопасности данных и проект Закона о защите личной информации не требуют предоставления данных в контексте уголовного расследования для применения запретов на передачу. Новые ограничения якобы применяются к передаче данных в связи с гражданскими правонарушениями или расследованиями, например, проводимыми Комиссией по ценным бумагам и биржам США. (Они также могут создать еще одно препятствие для предоставления аудиторских рабочих документов китайскими бухгалтерскими фирмами в SEC и Совет по надзору за бухгалтерским учетом публичных компаний.) Как написано, запреты Закона о безопасности данных и проекта Закона о защите личной информации также будут применяться к китайским сторонам в гражданских тяжбах в иностранных судах, которым может потребоваться представить доказательства в связи с текущими делами. Фактически, нынешняя формулировка может быть прочитана так, чтобы запретить иностранным гражданам, проживающим в Китае, предоставлять информацию о себе своим собственным государственным регулирующим органам, если данные «хранятся в Китае». Закон о безопасности данных не объясняет, когда данные «хранятся в Китае» или как действовать в потенциальных сценариях, в которых юридические или физические лица могут иметь юридическое обязательство предоставлять информацию иностранным судебным или правоохранительным органам.

Закон о безопасности данных, проект закона о защите личной информации и ранее принятые законы, ограничивающие передачу данных, создают большую неопределенность для компаний, работающих в Китае. Поскольку в этих законах не оговаривается процесс получения государственных разрешений, критерии утверждения или ответственное государственное учреждение, компаниям становится все труднее определять, как реагировать на требования иностранных регулирующих органов о предоставлении данных, которые могут храниться в Китае. , проводить внутренние расследования в Китае в контексте текущих правоприменительных мер или расследования, проводимого иностранным правительством, или соблюдать обязательства по раскрытию информации и сотрудничеству в соответствии с различными формами мировых соглашений с иностранными властями, такими как соглашения об отсрочке судебного преследования.Компаниям, рассматривающим возможность самостоятельно сообщать о потенциальных нарушениях законодательства в Китае своим иностранным регулирующим органам, а также сотрудничать в последующих расследованиях, проводимых этими регулирующими органами, также необходимо будет рассмотреть вопрос о том, хранились ли ранее какие-либо соответствующие данные в Китае, и если да, разрешено ли им передавать такие данные иностранным властям без одобрения китайских властей. Новый устав также вызывает озабоченность у организаций, оказывающих профессиональные услуги, таких как юридические фирмы, бухгалтерские и судебно-экспертные фирмы, судебные эксперты и другие, чей рабочий продукт может отражать данные, которые «хранились в Китае».«Новые законы не разъясняют, как они могут применяться к рабочему продукту, который просто основан на, отражает или включает данные, хранящиеся в Китае, и должны ли фирмы, предоставляющие профессиональные услуги, получать одобрение от соответствующих китайских властей, прежде чем делиться таким рабочим продуктом за рубежом. в судебном порядке или в правоохранительных органах.

Gibson Dunn будет продолжать внимательно следить за этими событиями, как и компании, работающие в Китае, чтобы минимизировать риски, связанные с попаданием в тиски несовместимых юридических обязательств.

________________________

[1] Обратите внимание, что обсуждение китайского законодательства в этой публикации носит только рекомендательный характер.

[2] Закон о безопасности данных, ст. 1 и 2.

[3] Закон о безопасности данных, ст. 27, 29, 30.

[4] Закон о безопасности данных, ст. 45

[5] Закон о безопасности данных, ст. 45.

[6] Закон о безопасности данных, ст. 45.

[7] Закон о безопасности данных, ст. 21.

[8] Закон о безопасности данных, ст.36.

[9] Закон о безопасности данных, ст. 48.

[10] Закон о безопасности данных, ст. 21.

[11] Проект Закона о защите личной информации Ст. 4, 72.

[12] Проект Закона о защите личной информации, ст. 4.

[13] Там же.

[14] Проект Закона о защите личной информации, ст. 52.

[15] Проект Закона о защите личной информации, ст. 54, 55.

[16] Проект Закона о защите личной информации, ст.38

[17] Проект Закона о защите личной информации, ст. 41.

[18] Проект Закона о защите личной информации, ст. 65.

[19] Закон о международной помощи в уголовном судопроизводстве, ст. 4.

Следующие юристы Гибсон Данн помогали в подготовке этого обновления для клиентов: Патрик Ф. Стоукс, Оливер Уэлч, Николь Ли, Нин Нин, Келли С. Остин, Джудит Элисон Ли, Адам М. Смит, Джон Д.У. Партридж, Ф. Джозеф Варин, Джоэл М. Коэн, Райан Т. Бергсикер, Стефани Брукер, Джон В.Ф. Чесли, Коннелл О’Нил, Ричард Рёдер, Майкл Скэнлон, Бенно Шварц, Александр Х. Саутвелл и Майкл Уолтер.

Gibson Dunn готовы помочь в решении любых вопросов, которые могут у вас возникнуть в связи с вышеуказанными событиями. Пожалуйста, свяжитесь с юристом Гибсона Данна, с которым вы обычно работаете, с авторами или с любым из следующих руководителей и членов групп практики по борьбе с коррупцией и FCPA, защите и расследованию белых воротничков, международной торговле и конфиденциальности, кибербезопасности и инновациям в данных :

Азия:
Келли Остин — Гонконг (+852 2214 3788, kaustin @ gibsondunn.com)
Коннелл О’Нил — Гонконг (+852 2214 3812, [email protected])
Оливер Д. Велч — Гонконг (+852 2214 3716, [email protected])

Европа:
Бенно Шварц — Мюнхен (+49 89 189 33 110, [email protected])
Михаэль Вальтер — Мюнхен (+49 89 189 33-180, [email protected])
Ричард В. Родер — Мюнхен (+49 89 189 33-160, [email protected])

США:
Джудит Элисон Ли — Вашингтон, округ Колумбия(+1 202-887-3591, [email protected])
Райан Т. Бергсикер — Денвер (+1 303-298-5774, [email protected])
Стефани Брукер — Вашингтон, округ Колумбия (+1 202-887 -3502, [email protected])
Джон В.Ф. Чесли — Вашингтон, округ Колумбия (+1 202-887-3788, [email protected])
Джоэл М. Коэн — Нью-Йорк (+1 212-351-2664, [email protected])
Джон Д.У. Партридж — Денвер (+1 303-298-5931, [email protected])
Майкл Дж. Скэнлон — Вашингтон, округ Колумбия (+1 202-887-3668, mscanlon @ gibsondunn.com)
Адам М. Смит — Вашингтон, округ Колумбия (+1 202-887-3547, [email protected])
Александр Х. Саутвелл — Нью-Йорк (+1 212-351-3981, [email protected])
Патрик Ф. Стоукс — Вашингтон, округ Колумбия (+1 202-955-8504, [email protected])
Ф. Джозеф Варин — Вашингтон, округ Колумбия (+1 202-887-3609, [email protected])

© 2021 Gibson, Dunn & Crutcher LLP

Реклама адвоката: Прилагаемые материалы были подготовлены только для общих информационных целей и не предназначены для использования в качестве юридической консультации.

Соответствие данных нормам во всем мире

Нравится нам это или нет, но наши личные данные постоянно собираются и часто хранятся в электронном виде. Недавний скандал вокруг Facebook и Cambridge Analytica подчеркивает, насколько уязвимы наши личные данные, а также важность их ответственного обращения и использования.

Три ярких примера законов и постановлений, принятых правительствами и отраслью для защиты личных данных, — это HIPAA, GDPR и PCI-DSS.Но правила, которые следовали по стопам GDPR, такие как CCPA, PIPEDA, POPI и LGPD, также вызывают серьезную озабоченность у предприятий. В этом блоге будут рассмотрены все эти правила безопасности и конфиденциальности данных, а также то, как NetApp Cloud Volumes ONTAP может помочь обеспечить соблюдение этих требований.

Общий регламент по защите данных (GDPR) был принят Европейским Союзом с целью углубления и гармонизации правил защиты персональных данных. Теперь, начиная с 25 мая 2018 г., это исчерпывающий и четкий набор руководящих принципов, в которых признается, что разные «разновидности» личных данных требуют разных уровней защиты.Конфиденциальные данные, такие как данные о здоровье, биометрии, генетическом или криминальном анамнезе, подлежат высочайшему уровню защиты. Количество данных также имеет значение, поскольку компании, которые регулярно собирают и обрабатывают большие объемы персональных данных, должны регистрироваться в назначенных правительством органах по защите данных.

GDPR применяется ко всем компаниям, независимо от их местонахождения, которые собирают и обрабатывают персональные данные о резидентах ЕС. Компании, не входящие в ЕС, должны назначить представителя GDPR и нести ответственность за все штрафы и санкции.

Некоторые из ключевых требований GDPR:

• Согласие: организации должны получить согласие на сбор персональных данных, причем уровень согласия зависит от типа собираемых персональных данных.
• Минимизация данных: В ответ на годы бесплатного сбора личных данных приложениями без четкой цели GDPR предусматривает, что организации могут собирать только личные данные, которые четко связаны с четко определенной бизнес-целью.Если организация собирает персональные данные для одной цели, но затем решает, что хочет использовать их для других целей (например, профилирование потребителей), это может рассматриваться как несоблюдение.
• Индивидуальные права: Еще одна ключевая особенность GDPR — это очень четкие права, которые он дает субъектам данных (т. Е. Лицам, чьи личные данные собираются), чтобы понимать, почему их данные собираются и как они обрабатываются. У них есть право возражать, исправлять — и они имеют право быть стертыми / забытыми.Они также имеют право на уведомление (в индивидуальном порядке), если их личные данные были нарушены способом, который может поставить под угрозу их свободы и права.

Одним из самых уникальных аспектов GDPR являются его «зубы» — очень жесткие штрафы за несоблюдение (до 10 миллионов евро или 2% мирового годового оборота, в зависимости от того, что больше) и нарушения (до 20 миллионов евро). или 4% от мирового годового оборота, в зависимости от того, что больше). Столь же болезненным является право органов по защите данных запрещать компании собирать или обрабатывать личные данные во время расследования предполагаемого несоблюдения или нарушения.

Закон Калифорнии о конфиденциальности потребителей (CCPA) сосредоточен на правах потребителей на неприкосновенность частной жизни. CCPA вступает в силу с 1 января 2020 года и вводится в исполнение Генеральным прокурором штата Калифорния. генерируется, например, домашними устройствами Интернета вещей.

Согласно CCPA, потребители будут иметь право знать, какие личные данные собираются или продаются и с какой целью, включая раскрытие информации о предыдущих продажах, начиная с 1 января 2019 года.У них будет право на доступ к данным, запрос на их удаление и отказ от их сбора или продажи. Те, кто реализует эти права на неприкосновенность частной жизни, по-прежнему будут иметь право на равные услуги по той же цене. Потребители также будут иметь право подавать в суд на компании за утечки данных и нарушения конфиденциальности.

Любая организация, которая потенциально может обладать данными жителя Калифорнии, может подпадать под действие правил CCPA, а несоблюдение может повлечь за собой штрафы в размере до 7500 долларов за нарушение.Кроме того, потребители смогут подать в суд на компании за утечку данных о возмещении ущерба в размере от 100 до 750 долларов за запись.

Закон о защите личной информации и электронных документах (PIPEDA), получивший королевское одобрение 13 апреля 2000 г., является канадским федеральным законом о конфиденциальности для организаций частного сектора. Его первоначальная цель заключалась в том, чтобы вызвать доверие к электронной торговле путем регулирования предприятий, которые обрабатывают личную информацию.Это правило применяется к любому частному предприятию в Канаде, которое собирает данные о потребителях в ходе коммерческой деятельности, а также к международным компаниям, нацеленным на канадских клиентов. PIPEDA применяется к данным, собранным об идентифицируемом человеке, таким как имя, возраст, этническая принадлежность, история болезни, мнения, комментарии и семейное положение.

PIPEDA основана на десяти принципах честного информирования, согласно которым предприятия должны получить согласие своих клиентов до сбора данных.Кроме того, они должны поддерживать прозрачную политику в отношении персональных данных и ограничивать сбор данных ясными и конкретными целями. Люди имеют право получать доступ к своим данным и оспаривать их точность. PIPEDA также привлекает организации к ответственности за потерю или кражу данных. С 1 ноября 2018 г. организации, подпадающие под действие PIPEDA, обязаны сообщать о нарушениях безопасности личной информации Уполномоченному по конфиденциальности Канады и лицам, пострадавшим от нарушения. В противном случае может быть наложен штраф до 100 000 канадских долларов.

Общий закон Бразилии о защите данных (LGPD), который вступит в силу в 2020 году, направлен на дополнение и замену существующего законодательства общим законом о защите данных, который регулирует как государственный, так и частный секторы. Он предназначен не только для защиты личных данных, но и для укрепления экономики Бразилии за счет соответствия международным стандартам, установленным GDPR. LGPD регулирует деятельность любой организации, будь то малый бизнес или транснациональная корпорация, которая собирает личную информацию бразильцев.Защищенные данные включают в себя как данные идентифицируемого лица, так и анонимные данные, на основании которых можно сделать вывод об идентичности или использовать их при профилировании поведения.

Субъекты, подпадающие под действие LGPD, должны назначить сотрудника по защите данных (DPO), который внедряет передовые методы и взаимодействует с ANPD, органом по защите данных Бразилии. Компании также должны обеспечивать безопасность личных данных и уведомлять ANPD о любых потенциально опасных нарушениях данных. Кроме того, потребители будут иметь право знать, с какой целью собираются их данные, и запрашивать их изменение, удаление или передачу.Компании, которые не соблюдают эти правила, будут обязаны платить до 2% от их общего годового дохода в Бразилии или до 50 миллионов бразильских реалов.

Австралийские правила конфиденциальности данных берут свое начало в Законе о конфиденциальности 1988 года, который регулировал обработку личной информации посредством сочетания федеральных законов, законов штата и территорий. Эти правила, соблюдаемые Управлением австралийского комиссара по информации (OAIC), применяются к частному сектору.Их цель — защитить данные потребителей путем обеспечения того, чтобы австралийские компании с оборотом более 3 миллионов австралийских долларов соответствовали определенным стандартам соответствия.

После разработки GDPR и других международных правил Австралия недавно предприняла усилия по обновлению и улучшению своей существующей политики. По состоянию на февраль 2018 года некоторые австралийские компании обязаны в соответствии со схемой уведомляемых утечек данных сообщать в OAIC о вредоносных утечках данных. Кроме того, 26 ноября 2017 года правительство Австралии ввело Право на данные потребителей (CDR), которое позволяет потребителям в энергетическом, телекоммуникационном и банковском секторах получать доступ к своим данным и контролировать, кому они передаются и для каких целей.Нарушение этих правил, установленных Австралийской комиссией по конкуренции и защите прав потребителей (ACCC), может привести к штрафам до 10 миллионов долларов.

Закон о защите личной информации (POPI) был подписан в Южной Африке 19 ноября 2013 года и, как ожидается, вступит в силу в конце этого года. Его основная цель — защитить личную информацию, собранную в публичной и частной сферах. Согласно POPI, южноафриканские учреждения должны придерживаться набора стандартов соответствия, которые обеспечивают ответственный сбор, хранение, обработку и обмен личной информацией.POPI применяется ко всем южноафриканским компаниям, хотя специально нацелен на организации, которые обрабатывают огромные объемы потребительской информации, такие как банки, медицинские организации и страховые компании. Закон не только защищает людей, но и распространяется на любое юридически признанное лицо, включая компании и сообщества.

В соответствии с протоколом POPI потребители имеют доступ к своим данным, могут запрашивать их удаление или изменение и контролировать, кому они будут предоставлены. Компании обязаны собирать данные по уважительным и прозрачным причинам, сохраняя их только до тех пор, пока это строго необходимо.Более того, они должны придерживаться стандартов обеспечения безопасности; обеспечение того, чтобы данные не были взломаны или скомпрометированы с их стороны или со стороны каких-либо третьих лиц, которые могут обрабатывать данные от их имени. Несоблюдение требований POPI может привести к ущербу репутации, штрафам и тюремному заключению.

Основным мотивом Закона 1996 года о переносимости и подотчетности медицинского страхования (HIPAA) было повышение эффективности здравоохранения и результатов лечения пациентов путем поощрения свободного потока информации о здоровье в США.В то же время эти требования соответствия HIPAA предписывают национальные стандарты по обеспечению конфиденциальности личной медицинской информации. Соблюдение последнего правила конфиденциальности HIPAA является обязательным с апреля 2003 года, а его окончательных Правил безопасности и правоприменения — с апреля 2005 года.

Что такое соответствие HIPAA?

Правила и положения HIPAA применяются ко всем «покрываемым юридическим лицам» — планам здравоохранения, поставщикам медицинских услуг и информационным центрам здравоохранения, которые передают медицинскую информацию в электронной, устной или письменной форме.Это также относится к деловым партнерам покрываемых организаций, то есть к физическим лицам или организациям, с которыми заключен контракт на предоставление услуг, но которые не являются частью персонала покрываемого юридического лица.

Правило конфиденциальности несколько шире, чем правило безопасности, в том смысле, что оно защищает всю «индивидуально идентифицируемую медицинскую информацию», которая либо передается, либо хранится покрываемым юридическим лицом или его деловым партнером в любой форме и на любых носителях — электронном, бумажном или устном. Эта защищенная медицинская информация (PHI) включает в себя информацию, относящуюся к физическому или психическому здоровью или состоянию человека, медицинскому обслуживанию, предоставленному человеку, или оплате за оказание ему медицинской помощи.PHI также включает основную идентифицирующую информацию, такую ​​как имя пациента, дату его рождения, SSN и домашний адрес. В целях поощрения медицинских исследований Правило конфиденциальности не налагает ограничений на использование или передачу обезличенной медицинской информации.

Правило безопасности касается исключительно PHI, которая хранится или передается в электронном виде, или электронной PHI. Как указано в Правиле безопасности, охваченные организации должны применять соответствующие административные, физические и технические меры, чтобы:

• Обеспечивать конфиденциальность, целостность и доступность всей электронной PHI, которую они создают, получают, поддерживают или передают.
• Выявление и защита от ожидаемых угроз безопасности.
• Защищать от разумно ожидаемого, недопустимого использования или разглашения.
• Обеспечить соблюдение правил своими сотрудниками и деловыми партнерами.

Все это должно быть выполнено для облачного хранилища, совместимого с HIPAA. Управление по гражданским правам (OCR) контролирует соблюдение HIPAA. Он может налагать гражданские денежные штрафы (CMP) за несоблюдение закона в размере от 100 до 50 000 долларов США за затронутую запись PHI, но не более 1 доллара США.5 миллионов за инцидент. В феврале этого года, например, Fresenius был оштрафован OCR на 3,5 миллиона долларов за пять инцидентов, в которых компания не соблюдала правила анализа рисков и управления рисками HIPAA.

Стандарты безопасности данных индустрии платежных карт (PCI-DSS) — это набор стандартов безопасности, разработанный крупными компаниями, выпускающими кредитные карты, для защиты конфиденциальных данных держателей карт. В отличие от требований HIPAA и GDPR, которые основаны на правительственном постановлении, требования соответствия PCI-DSS — это договорные обязательства, выполняемые и выполняемые Советом по стандартам безопасности индустрии платежных карт (PCI SSC), независимым глобальным органом, созданным в 2006 году.

PCI-DSS применяется ко всем продавцам или организациям, которые принимают, передают или хранят данные держателей карт. Однако существуют разные уровни соответствия PCI-DSS в зависимости от количества платежных транзакций, которые продавец / организация обработал за предыдущие двенадцать месяцев. PCI-DSS описывает шесть категорий целей контроля:

1. Создание и обслуживание безопасной сети и систем
2. Защита данных держателя карты
3. Поддержание программы управления уязвимостями
4. Внедрить строгие меры контроля доступа
5. Регулярный мониторинг и тестирование сетей
6. Поддерживать политику информационной безопасности

Торговец / организация несет ответственность за безопасность данных о держателях карт, которые они собирают и хранят, даже если они используют стороннюю компанию для обработки платежей по кредитным картам.Предполагается, что продавец / организация может подтвердить свое соответствие PCI-DSS двумя способами:

Ежеквартальное сканирование уязвимостей: любой продавец / организация, которые хранят в электронном виде данные о держателях карт после авторизации платежа, должны раз в квартал проходить сканирование уязвимостей, проводимое утвержденным поставщиком сканирования. Интернет-приложения и сети продавца проверяются дистанционно с помощью ненавязчивого сканирования. Это сканирование направлено на выявление уязвимостей в операционных системах, приложениях и устройствах, которые могут быть использованы для получения незаконного доступа к сети компании.

Ежегодная оценка: Продавцы, которые обрабатывают менее шести миллионов транзакций в год, должны подавать ежегодную анкету самооценки (SAQ) или Отчет о соответствии (ROC). Продавцы, которые обрабатывают более шести миллионов транзакций в год, должны проходить аудит на месте квалифицированным специалистом по безопасности (QSA), сертифицированным PCI SCC.

PCI-DSS может привести к наложению штрафа на банк-эквайер в размере 5 000–100 000 долларов в месяц, при этом банки обычно стремятся передать штраф продавцу.Кроме того, банк может прекратить отношения с продавцом или значительно повысить комиссию за транзакцию. Если утечка данных станет достоянием общественности, продавцу, возможно, придется нести косвенные расходы, связанные с нанесением ущерба его репутации.

Неважно, соответствует ли это требованиям AWS PCI, AWS HIPAA, Azure PCI, GDPR в хранилище Azure или AWS GDPR: HIPAA, GDPR и PCI-DSS не зависят от того, где хранятся личные данные.Независимо от того, находится ли она в облаке, локально или в обоих случаях, находятся ли данные в пути или в состоянии покоя, организация несет ответственность за предотвращение нарушений безопасности, которые могут привести к раскрытию или потере личных данных.

Как облачное хранилище HIPAA в облаке влияет на соответствие данных? Занимаются ли компании изменениями, внесенными в GDPR? Как видно из результатов опроса, опубликованного NetApp в прошлом году, большинство компаний до сих пор не знают, как именно соблюдать GDPR.Эта ситуация может измениться, когда начнутся штрафы.

Cloud Volumes ONTAP представляет собой платформу управления данными корпоративного уровня, основанную на хранилище AWS, Azure или Google Cloud, и предоставляет пользователям многие функции, необходимые для защиты своего бизнеса и данных клиентов. Основным преимуществом является доступность новой функции Cloud Compliance, которая автоматически сканирует облачные данные для сопоставления, идентификации и составления отчетов о конфиденциальных частных данных, которые подпадают под требования GDPR, CCPA, HIPAA и других нормативных актов.

Помимо своей функциональности с Cloud Compliance, Cloud Volumes ONTAP поддерживает требования безопасности за счет шифрования данных (как в состоянии покоя, так и при передаче), доступа RBAC, мультитенантности, параметров VPC / VNet и SubNet и т. Д. Он позволяет пользователям эффективно защищать свои данные и поддерживать операции, которые могут справиться с наихудшими сбоями, обеспечивая менее шестидесяти секундного RTO и нулевого RPO за счет использования своей конфигурации высокой доступности AWS. Таким образом, это дает компаниям возможность соблюдать строгие требования SLA.

Могут ли люди обеспечить соответствие данных без облака? да. Но, как показывает приведенный выше опрос NetApp, наибольшее количество респондентов развертывали гибридные облачные архитектуры, используя преимущества как традиционных локальных, так и облачных систем хранения. Для организации и защиты данных во всех этих средах требуется платформа, предоставляемая NetApp Cloud Volumes, и ее простой в использовании инструмент управления с графическим интерфейсом, NetApp Cloud Manager.

Понимание конфиденциальности по дизайну
Конфиденциальность по дизайну (PbD) — это концепция, которая призывает включить защиту конфиденциальности в создание и внедрение систем.В концепции PbD изложены семь основных принципов, которые помогают гарантировать, что конфиденциальность станет неотъемлемой частью непрерывного проектирования и деловой практики.

Обзор законов о защите данных в Висконсине

Почти каждая организация в мире собирает персональные данные от частных лиц в той или иной форме. Действительно, большинство веб-сайтов автоматически собирают информацию о потребителях. По этой причине каждый бизнес должен ознакомиться с соответствующими законами о защите данных и понимать, как собирать, хранить, использовать и передавать данные в соответствии с этими законами.Организации, которые не соблюдают законы о конфиденциальности данных, могут понести значительные штрафы и другие разрушительные последствия.

Цель этого сообщения в блоге — дать организациям штата Висконсин базовый обзор законов о конфиденциальности данных потребителей, их значения и того, как такие законы могут применяться к ним.

Что такое Закон о конфиденциальности?

«Закон о конфиденциальности» относится к законам, регулирующим регулирование, хранение, совместное использование и использование информации, позволяющей установить личность, личной медицинской информации, финансовой информации и других типов личной информации.Хотя правительства штатов и федеральное правительство имеют различные законы, регулирующие определенные типы конфиденциальности информации, на данный момент федерального закона о защите данных потребителей не существует.

Учитывая отсутствие федеральной защиты и количество интернет-компаний, собирающих — и часто злоупотребляющих — данными потребителей, несколько штатов, включая Висконсин, разработали или начинают разрабатывать законодательные акты штата, предназначенные для защиты жителей от неправомерного использования данных в Интернете. Вместе с международными правилами защиты данных эти государственные законы создают все более сложную сеть обязательств для любой организации, собирающей личные данные.

Что такое личная информация?

Ключом к пониманию и надлежащему соблюдению законов о конфиденциальности данных потребителей является понимание термина «информация, позволяющая установить личность» (PII). Как правило, PII — это любая информация, которая может использоваться для идентификации личности. Такая информация может включать не только имена, адреса и правительственные идентификаторы, но также адреса интернет-протокола (IP), идентификаторы файлов cookie и другие автоматические идентификаторы.

Несмотря на множество общих черт, международные и внутренние законы о конфиденциальности имеют небольшие различия в классификации PII.Например, некоторые законы о конфиденциальности позволяют исключать псевдонимизированные или анонимные данные из PII. Псевдонимизация — это обратимый процесс, при котором исходная личная информация заменяется псевдонимом или псевдонимом, поэтому для повторной идентификации субъекта данных требуется дополнительная информация. Напротив, анонимизация необратимо исключает все способы идентификации субъекта данных. Точно так же IP-адреса могут быть статическими (т. Е. Специфичными для конкретного вычислительного устройства) или динамическими (т. Е. IP-адрес изменяется с течением времени).Статические IP-адреса, вероятно, будут считаться PII, тогда как динамические IP-адреса не могут, в зависимости от применимого законодательства.

Обзор основных законов о защите данных

Современные законы о защите данных потребителей обычно формулируют как права потребителей на конфиденциальность данных, так и обязанности организаций, которые собирают и обрабатывают персональные данные.

Что касается потребителей, то большинство законов о конфиденциальности данных потребителей устанавливает, что потребители имеют любую комбинацию пяти основных прав, включая право на:

• сообщить, что данные собираются;
• доступ к собранным данным;
• исправить неверные данные;
• стереть собранные данные; и
• возражает против определенного использования этих данных.

Хотя эти различные режимы конфиденциальности имеют много общего, они часто имеют существенные различия, включая различные определения, объем, наказания за нарушения и юрисдикцию. Поэтому очень важно определить, какие законы применяются к вам, и тщательно изучить эти законы, чтобы понять, какие обязательства ваша организация выполняет.

а. Европейский союз — Общий регламент по защите данных (GDPR)

Регламент Европейского Союза (ЕС) о защите данных, известный как GDPR, является первым в мире всеобъемлющим законом о защите данных.Вступив в силу в 2018 году, GDPR трактует PII очень широко и предпринимает существенные шаги для защиты такой PII. Он охватывает не только IP-адреса и файлы cookie, но и определенные формы псевдонимизированных данных и метаданных. Закон является революционным в том смысле, что он применяется ко всем организациям, владеющим или обрабатывающим персональные данные резидентов ЕС, независимо от их национальности. Следовательно, компании США, которые работают с гражданами ЕС в качестве клиентов, пользователей или клиентов, могут подпадать под действие правил и положений GDPR.

Очень важно определить, подпадает ли ваша организация под действие правил GDPR. Если регулирующие органы ЕС определят, что компания, подпадающая под действие GDPR, нарушила какую-либо из статей GDPR, на компанию могут быть наложены штрафы в размере до 20 миллионов евро или 4% от глобального оборота компании, в зависимости от того, какая сумма больше.

б. Закон Калифорнии о конфиденциальности потребителей (CCPA)

CCPA, вступивший в силу с 1 января 2020 года, является первым важным законом о защите данных потребителей в Соединенных Штатах.Как и GDPR, CCPA определяет PII как включающую любую информацию, которая может прямо или косвенно привести к идентификации любого пользователя или домохозяйства.

Также аналогично GDPR, CCPA широко применяется к компаниям во всем мире, если они ведут бизнес в Калифорнии. CCPA включает специальный язык, определяющий, какие компании подпадают под действие CCPA. CCPA применяется к любому коммерческому бизнесу, который собирает, владеет или иным образом обрабатывает PII жителей Калифорнии, И который соответствует любому из следующих критериев:

1) имеет годовой доход более 25 миллионов долларов США;

2) владеет личной информацией 50 000 или более потребителей, домохозяйств или устройств в Калифорнии в течение любого календарного года; ИЛИ

3) получает более половины своего годового дохода от продажи PII потребителей.

Этот закон предназначен для широкого применения к коммерческим предприятиям, независимо от их географического положения и от того, нацелены ли они на жителей Калифорнии. Поскольку большинство предприятий используют веб-сайты, которые автоматически собирают PII, такие как файлы cookie или IP-адреса, даже небольшие предприятия за пределами Калифорнии рискуют попасть под действие CCPA из-за своего пассивного присутствия в Интернете.

Генеральный прокурор Калифорнии может оштрафовать компании на сумму до 2,500 долларов за непреднамеренное нарушение и до 7,500 долларов за умышленное нарушение — суммы, которые быстро накапливаются, если нарушение затрагивает тысячи (или миллионы) пользователей.

г. Другие соответствующие законы о защите данных потребителей

Помимо Калифорнии, еще 43 штата представили или находятся в процессе введения форм законопроектов о конфиденциальности данных потребителей. Висконсин представил три отдельных законопроекта в начале 2020 года, которые будут создавать права и обязанности в отношении конфиденциальности данных потребителей, аналогичные тем, которые созданы CCPA и GDPR.

В настоящее время Мэн и Невада являются единственными двумя другими штатами, которые подписали законы о защите конфиденциальности данных потребителей.Закон о конфиденциальности штата Мэн применяется только к поставщикам интернет-услуг, а не к независимым компаниям, которые могут владеть PII пользователей. Закон Невады во многом похож на CCPA, но он не распространяется на компании-нерезиденты, которые не ведут активную деятельность в штате.

Кроме того, в марте 2020 года сенатор Джерри Моран (республика Канады) представил Закон о конфиденциальности и безопасности данных потребителей ; однако федеральный Конгресс еще не принял решения по предложенному законопроекту. В случае принятия этот федеральный закон создаст четкий федеральный стандарт защиты данных потребителей и создаст определенные права потребителей на доступ, исправление и удаление личной информации.Предлагаемый закон также создаст существенные обязательства для предприятий, в том числе в Висконсине, которые используют, собирают или иным образом владеют PII. Наконец, предложенный законопроект предоставит Федеральной торговой комиссии (FTC) особые полномочия по обеспечению соблюдения этих прав и обязательств.

В заключение, хотя в настоящее время нет никаких федеральных законов или законов штата Висконсин, непосредственно регулирующих регулирование, хранение, совместное использование и использование информации, позволяющей установить личность, предприятия штата Висконсин могут подпадать под действие требований CCPA или GDPR.Кроме того, вполне вероятно, что в ближайшем будущем Висконсин или федеральное правительство примет закон, который напрямую повлияет на бизнес Висконсина. В дальнейшем будет очень важно понимать, как это может повлиять на сбор персональных данных вашей компанией.

O’Neil, Cannon, Hollman, DeJong & Laing по-прежнему открыты и готовы помочь вам.