если можно, то как? / Хабр
После изменения российского законодательства, регулирующего хранение и обработку персональных данных, следом за введением принципа локализации баз персональных данных и блокировкой LinkedIn среди ИТ-специалистов все чаще возникают вопросы о том, какую информацию можно держать на зарубежных серверах.
Поспешим успокоить наших свободолюбивых читателей: хранить персональные данные за пределами России все еще разрешено, но с оговорками. И если вы хотите соблюдать российское законодательство и, вместе с тем, обезопасить данные от возможных административных атак недоброжелателей — этот пост для вас. Мы сформулировали основные «правила игры», в соответствии с которыми сегодня осуществляется хранение и трансфер персональных данных граждан Российской Федерации за границу.
Персонализируй это: что подразумевается под термином «персональные данные»
Понять, чего именно требует российское законодательство, нелегко. Минкомсвязи, правда, подготовило
памятку по основным вопросам обработки персональных данных, но ясной и доходчивой ее не назовешь (обращаем ваше внимание, что по данной ссылке любой желающий может задать уточняющий вопрос экспертам министерства, не стоит пренебрегать этой возможностью). Начнем хотя бы с вопроса о том, что такое «персональные данные». Как люди культурные мы должны сперва определить предмет разговора.
В российском законе о персональных данных сказано следующее:
«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу»
Это калька
со статьи 2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 г.Но, в отличие от соответствующей бумаги, данная формулировка не прозрачна. И столь же не современна, как калька. О какой именно информации идет речь?
Минкомсвязи и Роскомнадзор избегают уточнять понятие «персональные данные», ссылаясь на отсутствие полномочий. Позиция ведомственных теоретиков от юриспруденции в этом случае сводится к известной шутке: «два юриста — три мнения». Так что желающим разобраться в вопросе на практике приходится самостоятельно изучать юридическую практику и принимать решения на свой страх и риск.
Первое, что бросается в глаза, — закон «О персональных данных» защищает только физических лиц. При этом информация о них (с точки зрения закона) становится «персональными данными» только в случае, если ее можно с уверенностью соотнести с конкретным человеком.
Как много и какие именно сведения необходимо собрать, чтобы они стали персональными данными, вопрос спорный. В странах Евросоюза персональными данными может стать практически любая информация, если она позволяет как-либо выделить человека, например, из массы пользователей сайта.
Хорошей аналогией тут будет детективная работа. Как только информации становится достаточно, чтобы указать на преступника, она превращается в персональные данные, даже если сыщик не знает настоящего имени того высокого джентльмена, что единственный из подозреваемых курит трубку.
Показателен в этом плане и вступающий в силу с 25 мая 2018 года регламент N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС».
В нем под термином «персональные данные» также понимается любая информация, относящаяся к идентифицированному физическому лицу, но этот термин подробно раскрывается:
«Идентифицируемое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица».
Таким образом, в Европе в качестве персональных могут рассматриваться и большие данные, если их достаточно, чтобы выделить человека из толпы. Отметим, что Евгений Черешнев, руководитель компании Biolink Technologies, ввел в отечественный оборот термин «Цифровая ДНК», которым описывает совокупность «больших данных», позволяющую безошибочно определить данного конкретного пользователя. Я, как исследователь новых медиа, использую для того же явления
.
Российская Федерация разделяет с европейскими странами базовое определение персональных данных, но подход к составлению их перечня в стране долгое время был формальным и от того более узким.
Персональными данными признавались фамилия, имя, отчество и номер телефона, дата рождения, дата регистрации, номер паспорта, ИНН, данные трудового договора в различных комбинациях, но не по отдельности.
Кроме того, персональными данными признаются специфические сведения вроде информации об отпечатках пальцев, о геноме человека или о его здоровье.
Но это не все. Олег Ефимов, управляющий партнер правового партнерства «Ефимов и партнеры», к которому мы обратились за консультацией по практической стороне вопроса, уточняет, что ранее суды этим и ограничивались, но с изменением позиции Роскомнадзора произошел переход к расширительному толкованию термина. Так, например, Роскомнадзор однозначно расценивает в качестве персональных данных сочетание имени и адреса электронной почты.
В обновленном европейском законодательстве предусмотрены также ограничения на обработку персональных данных, «раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, и обработку данных, касающихся состояния здоровья или половой жизни». Для операций с такой информацией необходимо получить отдельное согласие субъекта персональных данных.
Похожая норма закреплена и в статье 10 закона Российской Федерации «О персональных данных».
«Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается».
Эти данные можно обрабатывать с письменного согласия лица, которому они принадлежат, а также если они являются общедоступными или обезличенными.
Передача за рубеж: что ограничено, то не запрещено
Россия входит в число стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года, — и значит, может обмениваться данными с другими участниками конвенции без дополнительных формальностей.
Передача данных в страну, не охваченную конвенцией, требует согласия их владельца. Его можно получить в письменном виде или запросить через форму на сайте.
Дополнительно в юридическом поле появляется термин трансграничной передачи данных.
«Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу».
Однако это определение может поменяться. Наш эксперт Олег Ефимов подсказывает, что на данный момент существует проект Федерального закона, где эта формулировка заметно упрощается: «трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства». Т.е. изменилась привязка с местоположения лица, которому принадлежат сервера, на географическое положение сервера. Сейчас этот проект проходит процедуру оценки регулирующего воздействия.
Сохранность данных
Согласно
разъяснениям Минкомсвязи, при трансграничной передаче персональных данных ответственность за их сохранность несет принимающая сторона.
При этом передавать персональные данные можно без дополнительного согласия их обладателей. Но юристы тут добавляют, что в соответствии со статьей 22 Федерального закона «О персональных данных» оператор персональных данных обязан уведомить Роскомнадзор о наличии трансграничной передачи персональных данных, а их субъект имеет право получить от оператора информацию об осуществленной или о предполагаемой трансграничной передаче данных.
Что подразумевается под локализацией
Вернемся к законам. В чем же заключается требование о локализации баз с персональными данными на территории Российской Федерации?
Прежде чем ответить на этот вопрос, уточним, что законодательно данными российских граждан признается вся информация, собранная на территории Российской Федерации, если оператор персональных данных специально не уточнял вопрос гражданства.
Оператор «обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации».
Олег Ефимов сразу добавляет, что под «обработкой персональных данных» также понимают сбор, использование, обезличивание, блокирование, удаление, уничтожение персональных данных, на которые требования о локализации баз данных не распространяются.
При этом для целей профессиональных журналистов, СМИ, научной, литературной или иной творческой деятельности Федеральный закон «О персональных данных» предусматривает исключение из правила.
В остальных случаях оператор обязуется создавать базы, содержащие персональные данные российских граждан, и совершать с ними различные операции на территории России.
Изображение: NewWay.biz
Эту правовую норму придется учитывать при проектировании ИТ-инфраструктуры компании, но она не запрещает передавать базы персональных данных на сервера в других странах.
Комментарий экспертов тут таков:
Для соблюдения закона важно, чтобы на территории России оставалась основная, наиболее полная и актуальная база персональных данных. На прочих серверах можно размещать ее копии или части. Причем в таких дочерних базах персональные данные можно не только хранить, но и обрабатывать, но при условии, что данные будут использоваться в тех же целях, что и в основной базе данных.
Поскольку в российском законодательстве нет узких определений баз данных и точных требований к тому, как именно с технической точки зрения должны храниться персональные данные, у компании, работающей с ними, остается возможность выбора.
Ни гражданский кодекс, ни ГОСТ Р 20886-85, ни Модельный закон о персональных данных никак не ограничивают форму хранения данных и позволяют называть локализованной базой данных все: от полноценного цифрового хранилища любой архитектуры до таблиц в Excel или бумажной картотеки.
В сухом остатке
Изъятие оборудование, длительные отключения, незаконные блокировки — этим списком не исчерпываются проблемы, с которыми сталкиваются пользователи российских хостингов. В этом контексте решением проблемы видится зарубежный сервер.
Как с точки зрения субъекта персональных данных, так и с позиции компании, оперирующей его данными, то же чешское законодательство как нельзя лучше подходит для размещения баз данных с такой важной информацией, как персональные данные. Например, доступ к любой информации или инфраструктуре клиента, размещенной в этой стране, возможен исключительно по решению чешского суда.
Кроме того, местное законодательство позволяет использовать шифрование, которое в Российской Федерации потребовало бы дополнительной сертификации.
Действующие в ЕС международные стандарты обеспечивают безопасность баз данных и беспрепятственную работу с ними с территории Российской Федерации, что также не противоречит требованиям российского закона о локализации персональных данных, который направлен на то, чтобы обеспечить присутствие иностранных компаний в России.
Выполнение требований закона для отечественных организаций не столь обременительно и, при грамотном подходе, не мешает использовать иностранные хостинги так, как этого требуют бизнес-процессы и элементарные соображения безопасности бизнеса.
Частые вопросы
ВОПРОСЫ И ОТВЕТЫ
- Что в точности предполагается под термином “Персональные данные”?
- Подпадает ли идентификационный номер автомобиля под определение «персональные данные», если он содержит лишь техническую информацию (например, историю ремонта транспортного средства)?
- Как повлияет 242-ФЗ на право субъектов персональных данных самостоятельно распоряжаться данные о себе и в связи с этим на права операторов персональных данных?
- Какие существуют возможности для внесения поправок в закон / участия в разработке НПА на данном этапе?
- Любые разъяснения и официальная позиция (Роскомнадзора или Минкомсвязи. Насколько возможно взаимодействие с Верховным Судом для издания постановления Пленума?) – будут весьма полезны и позитивно восприняты отраслью, даже если они будут даны в виде вроде: “…те организации, которые предпринимают определенные усилия для выполнения требований закона к 1 сентября не будут подвергаться давлению; в то время как те организации, которые не идут на контакт и не предпринимают никаких усилий – будет первым в очереди на выяснение соответствия их действий требованиям закона…”
- Насколько мы понимаем 242-ФЗ не вводит обязанности операторов персональных данных по передаче данных только на территорию Российской Федерации. Закон запрещает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, не находящихся на территории Российской Федерации, только при сборе. Однако законом допускается передача персональных данных граждан Российской Федерации на территорию иностранного государства, и закон не запрещает их копирование и передачу. То есть, оператор персональных данных при хранении персональных данных в России впоследствии может передать их и за границу: 6.1) Правильно ли мы понимаем, что после осуществления сбора персональных данных граждан Российской Федерации с использованием баз данных на территории Российской Федерации оператор вправе передать такие данные за рубеж, руководствуясь положениями статьи 12 Федерального закона «О персональных данных»? 6.2) Принимая во внимание предыдущий вопрос, правильно ли мы понимаем, что возможно хранение вне территории Российской Федерации персональных данных граждан Российской Федерации, собранных с использованием баз данных на территории Российской Федерации и переданных впоследствии оператором в соответствии с положениями статьи 12 Федерального закона «О персональных данных»? 6. 3) Правильно ли мы понимаем, с учетом предыдущих двух вопросов, что при условии сбора персональных данных граждан Российской Федерации с использованием баз данных на территории Российской Федерации и их последующей передачей на территорию иностранного государства, возможно параллельное (одновременное) функционирование двух баз данных – одной, находящейся на территории Российской Федерации (которая формируется и ведется (в том числе актуализируется/изменяется) с учетом положений 242-ФЗ), и другой, находящейся за пределами Российской Федерации (информация в которую передается после сбора персональных данных с использованием баз данных на территории Российской Федерации, выполненного с учетом положений 242-ФЗ)?
- Позволяет ли 242-ФЗ передавать/отражать персональные данные российских граждан после их сбора, обработки и хранения на территории РФ на иностранный сервер (стран-участниц Конвенции 108 и иных государств)? Если да, то на каких условиях?
- Каково соотношение понятий «передача», «копирование» и «хранение» персональных данных? Как можно хранить данные в России и при этом не запрещается трансграничная передача данных, ведь передача данных за границу предполагает их хранение не на территории России?
- В случае если персональные данные собраны и записаны в российскую базу данных, после чего переданы иностранной компании, будет ли иметь место нарушение каких-либо требований, если российская компания (осуществившая сбор) будет осуществлять доступ и использовать данные из иностранной базы данных? Например, в случае если создан глобальный справочник работников группы компаний и сотрудники российского офиса могут скачать мобильное приложение, которое будет обращаться к иностранной (а не российской) базе данных, будет ли это являться нарушением?
- Правильно ли мы понимаем, что требования 242-ФЗ распространяются на персональные данные работников-российских граждан, работающих (i) в российских компаниях, (ii) работающих в представительствах и филиалах иностранных компанией, но не распространяются на персональные данные работников-российских граждан, трудоустроенных в иностранных компаниях за рубежом?
- Правильно ли мы понимаем, что при сборе зарубежными офисами иностранной компании персональных данных российского гражданина, находящегося в командировке, обработка персональных данных осуществляется в соответствии с иностранным законодательством по месту нахождения офиса без учета 242-ФЗ?
- Правильно ли мы понимаем, что направления повторного или дополнительного уведомления об обработке персональных данных после 1 сентября 2015 года не потребуется (т. е. не нужно дополнительно сообщать, где находятся базы данных)?
- Иностранное юридическое лицо без присутствия на территории РФ реализует оферту для российских юридических лиц (не физлиц!). Клиенты (физлица) Российских юридических лиц, принявших оферту от иностранного юридического лица без присутствия на территории РФ, становятся выгодоприобретателями услуг предоставляемых иностранным юридическим лицом без присутствия на территории РФ. В рамках предоставления данных услуг, клиенты (физлица) Российских юридических лиц передают свои персональные данные иностранному юридическому лицу без присутствия на территории РФ. Распространяются ли требования закона 242-ФЗ на такое иностранное юридическое лицо?
- Какой срок и процедура для восстановления доступа к заблокированному сайту/странице сайта?
- Насколько с точки зрения Роскомнадзора вероятна возможность перенесения ответственности за невыполнение норм законодательства о персональных данных в части передачи персональных данных за рубеж (новелл 242-ФЗ) до 1 сентября 2016 года?
- Будет ли применяться 242-ФЗ непосредственно к российским структурным подразделениям (филиалы и представительства) иностранных юридических лиц? (а) если представительства и филиалы сами не собирают и не обрабатывают персональные данные, однако, вовлечены в осуществление основной деятельности иностранной компании, для которой данные собираются/обрабатываются? (б) если представительства и филиалы сами не собирают и не обрабатывают персональные, и не вовлечены в осуществление основной деятельности иностранной компании, для которой данные собираются/обрабатываются?
- Если база данных с персональными данными граждан РФ изначально собрана, хранится и обрабатывается в РФ, можно ли извлекать из этой базы данных персональные данные и направлять их для целей обработки (в частности, для хранения и использования в целях исполнения договора с субъектом персональных данных) за рубеж? Будет ли возникать в таком случае риск привлечения к ответственности за нарушение правила о локализации: (а) у иностранного получателя данных и/или (б) у российского оператора, который передал данные иностранной компании. Презюмируется, что согласия субъектов получены надлежащим образом, между компаниями имеются договоры, которые регулируют вопросы передачи данных, иностранная компания соблюдает законы своей юрисдикции в сфере обработки персональных данных.
- Если российский гражданин выезжает за границу и желает воспользоваться сервисом за пределами РФ, возможно ли «копирование» его персональных данных из российской базы данных для того, чтобы он мог воспользоваться сервисом за границей, или ему будет необходимо создать новый аккаунт? Например, если российский гражданин путешествует из Москвы в Амстердам и желает воспользоваться сервисом в Амстердаме – возможно ли в таком случае копирование информации из российского дата-центра в дата-центр, расположенный в Амстердаме, для того, чтобы данный пользователь смог воспользоваться сервисом, либо он будет вынужден регистрировать новый аккаунт?
- Если одна организация проводит бумажное анкетирование субъектов персональных данных, а другая — вносит данную информацию в базу данных, осуществляет ли вторая организация сбор персональных данных и несет ли она обязанности, предусмотренные 242-ФЗ? Если третья организация сделает выборку некоторых данных из раннее созданной базы данных (например, для создания глобальной директории сотрудников группы или клиентов/физ лиц), осуществляет ли она сбор персональных данных, и подпадает ли такая деятельность под действие 242-ФЗ?
- Как нужно подготовиться в документальном плане российским оператором для целей соответствия 242-ФЗ? Что следует указывать в (а) локальных нормативных актах, (б) политиках по обработке персональных данных, (в) согласиях, (г) уведомлениях в Роскомнадзор?
- Что следует понимать под «хранением» персональных данных?
- Какие категории персональных данных, подпадающие под сферу действия 242-ФЗ?
- Какой порядок применения 242-ФЗ в сфере туриндустрии?
- Имеется ли переходный период для компаний, чтобы они могли обеспечить выполнение новых требований?
- Имеются ли еще какие-либо предписания/ограничения для деятельности серверов на территории России?
- Должны ли иностранные операторы персональных данных (которые не имеют представительств на территории РФ), осуществляющие или планирующие осуществлять сбор и обработку персональных данных граждан РФ с использованием WEB-сайтов, осуществлять такую обработку и хранение на территории РФ?. Например, будет ли сайт, в случае сбора данных российских посетителей, подпадать под требования о локальном хранении? (называю это условно «локальным хранением»)
- Можно ли в качестве базы данных использовать облачные технологии (SaaS, PaaS, SAP)? В том числе если эти технологии предоставляются компаниями, у которых, в том числе, есть в России свои или арендуемые серверы (как у того же SAP), но у клиента нет точной информации о том, какие именно серверы будут задействованы в конкретный миг работы?
- Может ли быть размещен в материнской компании в Германии регистр сотрудников дочернего предприятия, содержащий, в частности, имена, рабочие телефоны и адреса электронной почты российских сотрудников?
- Считается ли материнская компания международного концерна «третьей стороной», в соответствии с новым российским законом «о защите персональных данных»?
- По каким критериям система должна определять, что человек является гражданином РФ (по месту жительства, месту рождения)?
- Что понимается под «сбором данных»?
- Каков порядок использования международных территориально распределенных систем, в том числе при оказании услуг по кадровому и бухгалтерскому учету в рамках аутсорсинга с использованием системы SAR HR?
- Что понимается под «базой данных»?
- Распространяются ли положения 242-ФЗ на государственные и муниципальные базы данных?
- Что понимается под «оператором»?
- Какие особенности обработки общедоступных персональных данных и применимости к ним требований конфиденциальности?
- Утверждена ли форма для уведомления о месте расположения баз данных? Форма уведомления о внесении изменений в сведения об операторе (Приложение № 3 к Административному регламенту Роскомнадзора) не содержит графу «местонахождение» сервера/ базы данных. Если организация ранее направила в РКН уведомление об обработке персональных данных, то после вступления закона в силу, в какой форме нужно сообщить сведения о месте нахождения базы данных?
- Добрый день! в настоящий момент наш корпоративный сайт, обслуживающий российские офисы, www.aircharter.ru размещен на местном хостинге. Но по внутреннему распоряжению компании все локальные сайты переносятся на новую платформу, которая позволяет сайтам сообщаться между собой и выдавать контент на различных языках и в различной последовательности в зависимости от местонахождения пользователя (сайт использует куки). Эта новая платформа едина для всех локальных сайтов компании и хостится на Амазоне в США, соответственно, все локальные сайты компании во всех доменных зонах также будут иметь хостинг на Амазоне. Регистрация пользователей на сайте не предусмотрена. В связи с вступлением в силу закона, должны ли мы обеспечить локальный хостинг корпоративному сайту в зоне *. ru, как это, например, требуется в Казахстане и Китае? Заранее благодарю! С уважением, Галина
- Допустим у меня есть интернет магазин, хостинг которого находится в германии. На стороне хостинга накапливаются личная информация пользователя, однако раз в сутки эта информация выгружается на сервер, который находится на территории РФ. Буду ли я нарушать 242-ФЗ если ничего не стану менять?
- Здравствуйте. Подскажите пожалуйста, по новому закону, если имеется вебкомпания, разработчик сайтов, у которой есть разработанных сайты для граждан РФ, нужно ли этой компании по новому закону все сайты для граждан РФ размещать на российском хостинге обязательно или достаточно хранить базу данных о клиентах (только информацию о юр и физ реквизитах) на российском хостинге. Опишите, пожалуйста, все нюансы и варианты.
- Если сбор данных осуществляется через российский сайт веб-компании в виде регистрации пользователя на сайте, например e-mail, название компании, пароль и, возможно, телефон, подходит ли этот сбор данных под персональные данные?
- Если в дальнейшем российская компания заключает договор с российским юридическим лицом посредством полученных данных по e-mail, подходит ли это под сбор персональных данных?
- Разъясните подробнее, что подразумевается под «персональными данными» и что подразумевается под «сбором персональных данных»?
- В каком виде должна быть оформлена база данных по сбору персональных данных по новому закону о персональных данных? В каком виде эта база данных должна храниться на российском хостинге, в виде файла или в виде сайта и т. д.?
ВОПРОСЫ-ОТВЕТЫ
- Если в дальнейшем российская компания заключает договор с российским юридическим лицом посредством полученных данных по e-mail, подходит ли это под сбор персональных данных?
- Для ответа на вопрос следует уточнить предмет договора между данными организациями.
- Если российский гражданин выезжает за границу и желает воспользоваться сервисом за пределами РФ, возможно ли «копирование» его персональных данных из российской базы данных для того, чтобы он мог воспользоваться сервисом за границей, или ему будет необходимо создать новый аккаунт? Например, если российский гражданин путешествует из Москвы в Амстердам и желает воспользоваться сервисом в Амстердаме – возможно ли в таком случае копирование информации из российского дата-центра в дата-центр, расположенный в Амстердаме, для того, чтобы данный пользователь смог воспользоваться сервисом, либо он будет вынужден регистрировать новый аккаунт?
- В случае, если отношения между российским гражданином и компанией, оказывающей соответствующие услуги, регламентируется договором, то трансграничная передача допустима по основанию, предусмотренному ст. 12 Федерального закона «О персональных данных» при условии, что соответствующая передача предусмотрена в условиях договора.
- Может ли быть размещен в материнской компании в Германии регистр сотрудников дочернего предприятия, содержащий, в частности, имена, рабочие телефоны и адреса электронной почты российских сотрудников?
- Применительно к указанной ситуации необходимо понимать, что взаимоотношения внутри транснациональных компаний как минимум предполагают две стороны: представительство, которое зарегистрировано в Российской Федерации как юридическое лицо, и непосредственно головной офис, находящийся за пределами Российской Федерации.
Соответственно, требования 242-ФЗ прежде всего адресованы к лицу, осуществляющему сбор персональных данных на территории Российской Федерации, которым в указанном случае выступает российское представительство.
Относительно передачи и дальнейшего хранения персональных данных за пределами Российской Федерации необходимо руководствоваться требованиями ст. 12 Федерального закона «О персональных данных», то есть правилами трансграничной передачи данных.Дополнительно необходимо отметить, что головной офис по отношению к работникам, работающим на территории Российской Федерации, не является их прямым работодателем, соответственно при передаче их персональных данных за пределы Российской Федерации представительство, которое зарегистрировано в Российской Федерации как юридическое лицо обязано руководствоваться требованиями Трудового кодекса Российской Федерации и ч. 3 ст. 6 Федерального закона «О персональных данных» в части наличия согласия работника и договора, заключенного с головным офисом, содержащего условия конфиденциальности и безопасности.
- Насколько с точки зрения Роскомнадзора вероятна возможность перенесения ответственности за невыполнение норм законодательства о персональных данных в части передачи персональных данных за рубеж (новелл 242-ФЗ) до 1 сентября 2016 года?
- Закон не предусматривает переходные положения, поэтому никакого перенесения ответственности за невыполнение норм законодательства о персональных данных не будет. Вместе с тем как было указано выше в случае выявления нарушений 242-ФЗ операторам персональных данных будут давать предписания по их устранению в определенный срок, который будет установлен подзаконным нормативным правовым актом.
- Как повлияет 242-ФЗ на право субъектов персональных данных самостоятельно распоряжаться данные о себе и в связи с этим на права операторов персональных данных?
- Право субъекта персональных данных самостоятельно распоряжаться данными о себе 242-ФЗ не аннулирует. Граждане вправе предоставлять свои данных в базы иностранных организаций, праве осуществлять бронирование иностранных гостиниц, проходить лечение за границей, предоставлять этим данным общий доступ, входить в адресные справочники и прочие примеры. 242-ФЗ не запрещает гражданам распоряжаться персональными данными по их собственному усмотрению в их интересе и воле.
Однако право субъекта персональных данных самостоятельно распоряжаться своими персональными данными, не означает, что оператор персональных данных может использовать это право в качестве правовой коллизии в целях неисполнения рассматриваемого положения 242-ФЗ. Польку оператор персональных данных изначально в силу 242-ФЗ должен обеспечить нахождение баз данных с информацией о российских гражданах на территории Российской Федерации. В случае возникновения необходимости в передаче этих данных в целях обработки на территорию иностранного государства, такая передача может быть осуществлена в соответствии с правилами Федерального закона «О персональных данных».
- Должны ли иностранные операторы персональных данных (которые не имеют представительств на территории РФ), осуществляющие или планирующие осуществлять сбор и обработку персональных данных граждан РФ с использованием WEB-сайтов, осуществлять такую обработку и хранение на территории РФ?. Например, будет ли сайт, в случае сбора данных российских посетителей, подпадать под требования о локальном хранении? (называю это условно «локальным хранением»)
- 242-ФЗ действует на территории Российской Федерации, в отношении юридических лиц, в том числе иностранных организаций, осуществляющих предпринимательскую деятельность на территории Российской Федерации, в том числе иностранных организаций, не связанных с деятельностью через постоянное представительство в Российской Федерации.
Иными словами, не важно, расположена ли иностранная компания в России или нет, если она распространяет свою деятельность именно на российский сегмент, рассчитанный на российского потребителя, то 242-ФЗ будет к ней применяться.
В связи с чем, сбор и обработка персональных данных российских граждан, территориально находящихся в Российской Федерации, должен осуществляться на территории России.В случае, если российские граждане находятся за пределами территории России, то они находятся в юрисдикции той страны, на территории которой пребывают в момент предоставления данных о себе. В таком случае, сбор и обработка данных будет осуществляться в соответствии с требованиями иностранного государства и требования российского законодательства на такую обработку данных распространяться не будет.
Вне зависимости от того, обеспечивается хостинг российской компанией или иностранных, идентифицируются ими персональные данные или нет, технические средства этих компаний должны находиться на территории Российской Федерации, в случае если сбор и хранение данных производится на территории России. - Допустим у меня есть интернет магазин, хостинг которого находится в германии. На стороне хостинга накапливаются личная информация пользователя, однако раз в сутки эта информация выгружается на сервер, который находится на территории РФ. Буду ли я нарушать 242-ФЗ если ничего не стану менять?
- База данных, которая находится на территории иностранного государства, может актуализироваться, систематизироваться, обновляться, только после проведения соответствующей процедуры на территории Российской Федерации и передачи обновленных данных посредством трансграничной передачи на территорию иностранного государства. Поэтому в данном случае будет допущено нарушение требований 242-ФЗ.
- Что в точности предполагается под термином “Персональные данные”?
- Определение персональных данных приведено в тексте ст. 3 Федерального закона «О персональных данных». Исходя из данного определения и по сложившейся судебной практике, в частности, фамилия и инициалы, без дополнительной информации, не являются персональными данными. Аналогичный подход применим к сведениям, содержащим номер ID абонента либо номер телефона.
При определении объема сведений, которые могут быть отнесены к персональным данных, в каждой конкретной ситуации необходимо руководствоваться индивидуальным подходом, в том числе с учетом отраслевого законодательства.
- Имеется ли переходный период для компаний, чтобы они могли обеспечить выполнение новых требований?
- Положения ФЗ-242 вступают в силу с 1 сентября 2015 года. Никаких исключений или переходных периодов ни 242-ФЗ, ни 526-ФЗ, внесший изменения в 242-ФЗ в части уточнения времени вступления его в законную силу, не установлено.
- По каким критериям система должна определять, что человек является гражданином РФ (по месту жительства, месту рождения)?
- Законодатель предоставил возможность операторам персональных данных самостоятельно определять процедуру установления гражданства в соответствии со спецификой деятельности каждого юридического лица, осуществляющего сбор персональных данных граждан России. В связи с чем, полагаем, что дополнительного законодательного регулирования данный вопрос не требует.
Вместе с тем в случае, если оператору персональных данных крайне затруднительно выделить среди множества субъектов персональных данных, тех в отношении кого необходимо осуществлять хранение данных на территории Российской Федерации, возможно применение принципа действия закона на всей территории Российской Федерации. Так, в случае сбора данных на территории России, оператор персональных данных может осуществлять их хранение в базах данных, размещенных на технических средствах в Российской Федерации, вне зависимости от гражданства субъектов персональных данных.
- Что понимается под «базой данных»?
- При определении понятия «база данных» следует учитывать, что в российском законодательстве определено множество понятий баз данных (не только в ГК РФ и ГОСТ Р 20886-85), тем не менее, все они сводятся к широкому пониманию данного термина. Более того, согласно Модельному закону о персональных данных, принятому в г. Санкт-Петербурге 16.10.1999 Постановлением 14-19 на 14-ом пленарном заседании Межпарламентской Ассамблеи государств-участников СНГ, «база персональных данных» — это упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных).
Следует руководствоваться понятием, которое дано в модельном законе.
Так, базой данных можно считать таблицу в формате Excel, word, в которой содержится информация о персональных данных граждан или иным образом упорядоченный массив персональных данных, в том числе поддающийся обработке при помощи ЭВМ. Такое понимание базы данных позволяет распространить требования законодательства о персональных данных на все материалы, содержащие персональные данные, вне зависимости от того, каким образом они скомпонованы и каком формате обрабатываются бумажном или электронном.
При этом, единственным законным признаком, которым должна обладать база данных, является ее место нахождения – территория Российской Федерации. - Если база данных с персональными данными граждан РФ изначально собрана, хранится и обрабатывается в РФ, можно ли извлекать из этой базы данных персональные данные и направлять их для целей обработки (в частности, для хранения и использования в целях исполнения договора с субъектом персональных данных) за рубеж?
Будет ли возникать в таком случае риск привлечения к ответственности за нарушение правила о локализации:
(а) у иностранного получателя данных и/или
(б) у российского оператора, который передал данные иностранной компании. Презюмируется, что согласия субъектов получены надлежащим образом, между компаниями имеются договоры, которые регулируют вопросы передачи данных, иностранная компания соблюдает законы своей юрисдикции в сфере обработки персональных данных. - 242-ФЗ не вносит изменений в статью 12 Федерального закона «О персональных данных», которая регламентирует вопрос трансграничной передачи персональных данных. В связи с чем возможна трансграничная передача персональных данный в соответствии с указанной статьей.
- Если одна организация проводит бумажное анкетирование субъектов персональных данных, а другая — вносит данную информацию в базу данных, осуществляет ли вторая организация сбор персональных данных и несет ли она обязанности, предусмотренные 242-ФЗ?
Если третья организация сделает выборку некоторых данных из раннее созданной базы данных (например, для создания глобальной директории сотрудников группы или клиентов/физ лиц), осуществляет ли она сбор персональных данных, и подпадает ли такая деятельность под действие 242-ФЗ?
- Первоначально важна природа правоотношений, которые связывают первого оператора и второго оператора. Если это договор поручения, на основании которого первый оператор проводит бумажное анкетирование от лица второго оператора, то требования 242-ФЗ на второго оператора распространяются.
Если и первый оператор, и второй оператор действуют как самостоятельные юридические лица необходимо понимание, на основании каких правовых норм первый оператор передает сведения, которые были собраны с помощью бумажного анкетирования (согласие, требование федерального закона и т. п.). В случае правовой легитимности соответствующей передачи требования 242-ФЗ подлежат оценке цели обработки персональных данных и если передача персональных данных осуществляется для достижения целей на этапе бумажного анкетирования, то обязанность по локализации персональных данных в рамках всего процесса обработки возлагается на первичного оператора. В случае разности целей обработки-эта обязанность распространяется на обоих операторов.
В случае участия третьей организации подход аналогичный. - В случае если персональные данные собраны и записаны в российскую базу данных, после чего переданы иностранной компании, будет ли иметь место нарушение каких-либо требований, если российская компания (осуществившая сбор) будет осуществлять доступ и использовать данные из иностранной базы данных? Например, в случае если создан глобальный справочник работников группы компаний и сотрудники российского офиса могут скачать мобильное приложение, которое будет обращаться к иностранной (а не российской) базе данных, будет ли это являться нарушением?
- Данный доступ возможен только сотрудникам российского представительства, на которых возложены полномочия по обработке персональных данных работников. Следует отметить, что правомерность указанного доступа определяется соблюдением российским представительством требований трудового законодательства Российской Федерации, Федерального закона «О персональных данных» в части наличия письменного согласия, а также требований, предъявляемых к порядку трансграничной передачи персональных данных.
- Считается ли материнская компания международного концерна «третьей стороной», в соответствии с новым российским законом «о защите персональных данных»?
- В отношении деятельности по обработке персональных данных работников российского представительства и клиентов, имеющих прямые правоотношения с российским представительством, материнская компания международного концерна является третьей стороной.
Применительно к нормам ч. 3 ст. 6 Федерального закона «О персональных данных» предусмотрена возможность поручения российским представительством материнской компании осуществлять отдельные действия по обработке персональных данных. - Насколько мы понимаем 242-ФЗ не вводит обязанности операторов персональных данных по передаче данных только на территорию Российской Федерации. Закон запрещает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, не находящихся на территории Российской Федерации, только при сборе. Однако законом допускается передача персональных данных граждан Российской Федерации на территорию иностранного государства, и закон не запрещает их копирование и передачу.
То есть, оператор персональных данных при хранении персональных данных в России впоследствии может передать их и за границу:6.1) Правильно ли мы понимаем, что после осуществления сбора персональных данных граждан Российской Федерации с использованием баз данных на территории Российской Федерации оператор вправе передать такие данные за рубеж, руководствуясь положениями статьи 12 Федерального закона «О персональных данных»?
6. 2) Принимая во внимание предыдущий вопрос, правильно ли мы понимаем, что возможно хранение вне территории Российской Федерации персональных данных граждан Российской Федерации, собранных с использованием баз данных на территории Российской Федерации и переданных впоследствии оператором в соответствии с положениями статьи 12 Федерального закона «О персональных данных»?
6.3) Правильно ли мы понимаем, с учетом предыдущих двух вопросов, что при условии сбора персональных данных граждан Российской Федерации с использованием баз данных на территории Российской Федерации и их последующей передачей на территорию иностранного государства, возможно параллельное (одновременное) функционирование двух баз данных – одной, находящейся на территории Российской Федерации (которая формируется и ведется (в том числе актуализируется/изменяется) с учетом положений 242-ФЗ), и другой, находящейся за пределами Российской Федерации (информация в которую передается после сбора персональных данных с использованием баз данных на территории Российской Федерации, выполненного с учетом положений 242-ФЗ)?
- 6. 1) В рассматриваемой норме 242-ФЗ не вводится обязанность оператора персональных данных осуществлять передачу данных только в базы данных на территории Российской Федерации.
242-ФЗ не вносит изменений в статью 12 Федерального закона «О персональных данных», которая регламентирует вопрос трансграничной передачи персональных данных. В связи с чем, трансграничная передача персональных данных российских граждан, полученных при сборе с использованием баз данных, расположенных на территории Российской Федерации, может осуществляться при соблюдении принципа соответствия целям обработки персональных данных, собранных на территории Российской Федерации.6.2) Хранение персональных данных на территории иностранного государства в контексте 242-ФЗ не запрещено при условии соблюдения условий сбора персональных данных на территории Российской Федерации и соблюдения порядка трансграничной передачи персональных данных, установленных ст. 12 Федерального закона «О персональных данных».
6. 3) Параллельное функционирование баз данных, находящихся на территории Российской Федерации и иностранного государства, применительно к требованиям 242-ФЗ невозможно.
Существует база данных, которая формируется посредством сбора на территории Российской Федерации. В дальнейшем, указанная база данных локализуется на территории Российской Федерации и, при наличии необходимости, может передаваться на территорию иностранного государства с соблюдением условий ст. 12 Федерального закона «О персональных данных». При этом следует понимать, что та база данных, которая находится на территории иностранного государства, может актуализироваться, систематизироваться, обновляться, только после проведения соответствующей процедуры на территории Российской Федерации и передачи обновленных данных посредством трансграничной передачи на территорию иностранного государства. - Добрый день!
в настоящий момент наш корпоративный сайт, обслуживающий российские офисы, www. aircharter.ru размещен на местном хостинге. Но по внутреннему распоряжению компании все локальные сайты переносятся на новую платформу, которая позволяет сайтам сообщаться между собой и выдавать контент на различных языках и в различной последовательности в зависимости от местонахождения пользователя (сайт использует куки). Эта новая платформа едина для всех локальных сайтов компании и хостится на Амазоне в США, соответственно, все локальные сайты компании во всех доменных зонах также будут иметь хостинг на Амазоне.Регистрация пользователей на сайте не предусмотрена.
В связи с вступлением в силу закона, должны ли мы обеспечить локальный хостинг корпоративному сайту в зоне *.ru, как это, например, требуется в Казахстане и Китае?Заранее благодарю!
С уважением,
Галина - Закон не содержит требований по обеспечению локального хостинга сайта в сети «Интернет» на территории Российской Федерации.
При этом если Ваша организация осуществляет сбор персональных данных граждан Российской Федерации, в том числе посредством сайта в сети «Интернет, то их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) необходимо обеспечить с использованием баз данных, находящихся на территории Российской Федерации.
Факт отсутствия регистрации пользователей на сайте в сети «Интернет» может не означать, что их персональные данные не собираются другим способом (например, посредством заполнения формы на сайте).
- Позволяет ли 242-ФЗ передавать/отражать персональные данные российских граждан после их сбора, обработки и хранения на территории РФ на иностранный сервер (стран-участниц Конвенции 108 и иных государств)? Если да, то на каких условиях?
- Требования 242-ФЗ не исключают трансграничную передачу персональных данных, более того не затрагивают положений, связанных с вопросами передачи персональных данных на территорию иностранного государства.
Так, в соответствии с международными обязательствами, взятыми на себя Российской Федерацией при ратификации Конвенции о защите физических лиц при автоматизированной обработке персональных данных российская Сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой Стороны, с единственной целью защиты частной жизни.
Также аналогичные положения содержатся в российском законодательстве, так, согласно ст.12 Федерального закона «О персональных данных» трансграничная передача персональных данных на территории иностранных государств – участников Конвенции, а также иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется без дополнительного согласия субъектов персональных данных.Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (это страны не являющиеся стороной Конвенции и не входящие Перечень стран, обеспечивающих адекватную защиту персональных данных), может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации;
3) предусмотренных федеральными законами;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных.Трансграничная передача данных в разрезе положений 242-ФЗ представляет собой передачу сведений из одной базы данных, расположенных на территории России, в другую базу данных, расположенных на территории иностранного государства. Такая передача данных должна иметь заранее определенную цель обработки, при достижении которой субъекту персональных данных должно быть гарантировано уничтожение переданных данных на территории иностранного государства. При соблюдении указанных требований ответственность, предусмотренная российским законодательством, применима к оператору, находящемуся на территории Российской Федерации, в случае нарушения порядка и условий, установленных для договора-поручения, поскольку в иных случаях обработка персональных данных осуществляется иностранным лицом в соответствии с национальным законодательством, если иное не предусмотрено международными договорами или соглашениями сторон.
Также необходимо отметить, что при получении согласия на трансграничную передачу персональных данных указание конкретных лиц, которым передаются персональные данные, не требуется, достаточно указания цели, перечня действий и иных признаков, предусмотренных Федеральным законом «О персональных данных».
Указанное согласие может быть отозвано либо прекращает свое действие с момента достижения цели для которой оно предоставлялось.Необходимо также обратить внимание, что ст. 2 ФЗ-242 предусмотрены исключения из обязанности оператора персональных данных хранить данные на территории Российской Федерации в том числе, при осуществлении деятельности в рамках международных договоров, а также во исполнение функций прав и обязанностей, возложенных на оператора законодательством Российской Федерации.
При этом конкретное условия такого исключения должно содержаться в международных договорах Российской Федерации. Следует иметь ввиду, что к международным договорам Российской Федерации относятся также межведомственные соглашения.
Относительно соглашения о воздушных сообщения, если они содержат указание на обработку персональных данных, условия которой исключают применение 242-ФЗ, то применяются положения международного соглашения. - Правильно ли мы понимаем, что при сборе зарубежными офисами иностранной компании персональных данных российского гражданина, находящегося в командировке, обработка персональных данных осуществляется в соответствии с иностранным законодательством по месту нахождения офиса без учета 242-ФЗ?
- Да, правильно. 242-ФЗ не распространяется на случаи, когда обработка персональных данных граждан Российской Федерации осуществляется на территории иностранного государства при осуществлении иностранным лицом сбора персональных данных граждан Российской Федерации (например, при заселении в гостиницу).
- Если сбор данных осуществляется через российский сайт веб-компании в виде регистрации пользователя на сайте, например e-mail, название компании, пароль и, возможно, телефон, подходит ли этот сбор данных под персональные данные?
- Полагаем, что приведенный набор данных не является персональными данными, поскольку их совокупность не достаточна для идентификации физического лица.
- Каков порядок использования международных территориально распределенных систем, в том числе при оказании услуг по кадровому и бухгалтерскому учету в рамках аутсорсинга с использованием системы SAR HR?
- Указанные действия в рамках территориально распределенной системы должны быть обеспечены при сборе персональных данных российских пользователей с использованием сервера, расположенном на территории Российской Федерации.
При реализации деятельности по кадровому учету и расчету заработной платы, в том числе с участием аффилированного лица, оператор в соответствии с требованиями 242-ФЗ обязан обеспечить сбор указанных данных на сервере, расположенном на территории Российской Федерации. Последующая трансграничная передача в базу SAR HR должна осуществляться согласно требованиям ст. 12 Федерального закона «О персональных данных». - Какие существуют возможности для внесения поправок в закон / участия в разработке НПА на данном этапе?
- Внесение изменений в законодательные акты осуществляется субъектами законодательной инициативы в порядке, установленном законодательством Российской Федерации.
- Что понимается под «сбором данных»?
- «Сбор данных» — это получение данных непосредственно от субъекта персональных данных и оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение с использованием баз данных на территории Российской Федерации, указанные виды обработки составляют единый процесс формирования и поддержания в актуальном состоянии базы данных, что должно осуществляться на территории Российской Федерации.
Необходимо отметить, что параллельный ввод собранных персональных данных в российскую информационную систему и систему, находящуюся на территории иностранного государства не отвечает требованиям 242-ФЗ, поскольку после сбора посредством российской информационной системы указанные сведения могут быть переданы в иностранную информационную систему только посредством трансграничной передачи.
Относительно возможности поручения иностранным лицом российскому юридическому лицу осуществить сбор персональных данных в России такие правоотношения возможны при условии неукоснительного соблюдения требований ч. 3 ст. 6 Федерального закона «О персональных данных».
При этом ответственность согласно ч.5 ст.6 Федерального закона «О персональных данных» за нарушение требований законодательства несет лицо, поручившее осуществлять сбор. - Какой срок и процедура для восстановления доступа к заблокированному сайту/странице сайта?
- Сроки и порядок восстановления доступа к заблокированному сайту будет определен нормативным правовым актом Правительства Российской Федерации, разработанным во исполнение 242-ФЗ, который сейчас находится на стадии утверждения.
- Какие особенности обработки общедоступных персональных данных и применимости к ним требований конфиденциальности?
- Согласно п.10 ч.1 ст. 6 Федерального закона «О персональных данных» допускается без согласия субъекта персональных данных обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе. Соответственно, требование конфиденциальности, установленное ст. 7 Федерального закона «О персональных данных», на обработку указанных сведений не распространяется.
К примеру, публикация на сайте российской компании контактных данных сотрудников, а именно фамилии и имени, корпоративного номера телефона и корпоративного адреса электронной почты, размещенные с согласия указанных работников не требует соблюдения требований конфиденциальности и не является трансграничной передачей, поскольку размещение и хранение осуществляется на российской площадке.
Относительно применения требований 242-ФЗ к обработке общедоступных сведений необходимо отметить, что ст. 2 указанного закона не установлены исключения применительно п.10 ч.1 ст. 6 Федерального закона «О персональных данных». Таким образом, при осуществлении сбора общедоступных персональных данных на деятельность оператора требования 242-ФЗ распространяются в полном объеме.
- Здравствуйте. Подскажите пожалуйста, по новому закону, если имеется вебкомпания, разработчик сайтов, у которой есть разработанных сайты для граждан РФ, нужно ли этой компании по новому закону все сайты для граждан РФ размещать на российском хостинге обязательно или достаточно хранить базу данных о клиентах (только информацию о юр и физ реквизитах) на российском хостинге. Опишите, пожалуйста, все нюансы и варианты.
- 242-ФЗ устанавливает обязанность оператора персональных данных при сборе персональных данных граждан Российской Федерации обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение с использованием баз данных, находящихся на территории Российской Федерации.
Закон не содержит требований по размещению всех сайтов для граждан Российской Федерации на российском хостинге. Достаточно хранить сами персональные данные граждан Российской Федерации в базах данных, находящихся на территории Российской Федерации (например, на российском хостинге). Одновременно следует принимать меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона «О персональных данных».
При этом следует учитывать, что указанные требования к хранению персональных данных предъявляются к операторам персональных данных только при сборе персональных данных. Реализация обязанности «при сборе данных» означает, что оператор должен их получать непосредственно у первоисточника, то есть у субъекта персональных данных или его представителя.
Также следует учитывать, что 242-ФЗ обратной силы не имеет. Поэтому если база данных до 01 сентября 2015 г. расположена вне территории Российской Федерации, уже собрана и не будет актуализироваться после вступления закона в силу, то базу данных можно не переводить на территорию Российской Федерации. Если актуализация персональных данных продолжится, то обработка должна осуществляться в соответствии с 242-ФЗ.
- Утверждена ли форма для уведомления о месте расположения баз данных? Форма уведомления о внесении изменений в сведения об операторе (Приложение № 3 к Административному регламенту Роскомнадзора) не содержит графу «местонахождение» сервера/ базы данных. Если организация ранее направила в РКН уведомление об обработке персональных данных, то после вступления закона в силу, в какой форме нужно сообщить сведения о месте нахождения базы данных?
- Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется.
242-ФЗ вносятся изменения в часть 3, которая определяет требования к содержанию уведомления. Если организация ранее направила в Роскомнадзор уведомление об обработке персональных данных, то после вступления закона в силу операторы руководствуюсь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.
Каким образом указывать место нахождения базы данных будет определено в подзаконном нормативном правовом акте, который находится в стадии принятия.
- Разъясните подробнее, что подразумевается под «персональными данными» и что подразумевается под «сбором персональных данных»?
- В соответствии с п. 1 ст. 3 Федерального закона «О персональных данных» персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо. К числу данных, которые не могут рассматриваться, по крайне мере, по отдельности друг от друга в качестве персональных, могут быть отнесены: фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения. Такие данные должны быть отнесены к персональным данным только в случае, если они хранятся и обрабатываются совместно с идентификаторами, которые сами по себе определяют физическое лицо.«Сбор персональных данных» — это получение персональных данных непосредственно от субъекта персональных данных и оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение с использованием баз данных на территории Российской Федерации, указанные виды обработки составляют единый процесс формирования и поддержания в актуальном состоянии базы данных, что должно осуществляться на территории Российской Федерации.
- Любые разъяснения и официальная позиция (Роскомнадзора или Минкомсвязи. Насколько возможно взаимодействие с Верховным Судом для издания постановления Пленума?) – будут весьма полезны и позитивно восприняты отраслью, даже если они будут даны в виде вроде:
“…те организации, которые предпринимают определенные усилия для выполнения требований закона к 1 сентября не будут подвергаться давлению; в то время как те организации, которые не идут на контакт и не предпринимают никаких усилий – будет первым в очереди на выяснение соответствия их действий требованиям закона…” - Роскомнадзор не является уполномоченным органом по разъяснению положений 242-ФЗ в части обработки персональных данных. В соответствии с Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций на Роскомнадзор возложены полномочия по разъяснению вопросов, связанных с правоприменительной практики, которая будет сформирована только после вступления в силу 242-ФЗ.
- Иностранное юридическое лицо без присутствия на территории РФ реализует оферту для российских юридических лиц (не физлиц!). Клиенты (физлица) Российских юридических лиц, принявших оферту от иностранного юридического лица без присутствия на территории РФ, становятся выгодоприобретателями услуг предоставляемых иностранным юридическим лицом без присутствия на территории РФ. В рамках предоставления данных услуг, клиенты (физлица) Российских юридических лиц передают свои персональные данные иностранному юридическому лицу без присутствия на территории РФ. Распространяются ли требования закона 242-ФЗ на такое иностранное юридическое лицо?
- Требования 242-ФЗ распространяется на такое иностранное юридическое лицо, поскольку оно осуществляет сбор данных граждан Российской Федерации и оказывает услуги через российские юридические лица на территории Российской Федерации.
- В каком виде должна быть оформлена база данных по сбору персональных данных по новому закону о персональных данных? В каком виде эта база данных должна храниться на российском хостинге, в виде файла или в виде сайта и т.д.?
- 242-ФЗ вносит изменение только в части места нахождения базы данных при осуществлении определенных видов обработки, и не вносит изменений в Федеральный закон «О персональных данных» в части, касающейся мер (в том числе технических) по обеспечению безопасности персональных данных при их обработке (см. ст. 19 Федерального закона «О персональных данных»).
- Какие категории персональных данных, подпадающие под сферу действия 242-ФЗ?
- Положения 242-ФЗ относятся к любой информации, относящейся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), а не к отдельным категориям персональных данных (специальных персональных данных, биометрических персональных данных).
- Можно ли в качестве базы данных использовать облачные технологии (SaaS, PaaS, SAP)? В том числе если эти технологии предоставляются компаниями, у которых, в том числе, есть в России свои или арендуемые серверы (как у того же SAP), но у клиента нет точной информации о том, какие именно серверы будут задействованы в конкретный миг работы?
- 242-ФЗ, а также проекты подзаконных актов, разработанных во исполнение указанного закона, не устанавливают каких-либо технических требований, предписывающих необходимость оператора персональных данных использовать какие-то конкретные технологии при сборе и хранении персональных данных. Так, оператор может использовать облачные технологии, но при этом обязан обеспечить, и при необходимости знать и иметь возможность документально подтвердить нахождение баз персональных данных на территории Российской Федерации.
- Будет ли применяться 242-ФЗ непосредственно к российским структурным подразделениям (филиалы и представительства) иностранных юридических лиц?
(а) если представительства и филиалы сами не собирают и не обрабатывают персональные данные, однако, вовлечены в осуществление основной деятельности иностранной компании, для которой данные собираются/обрабатываются?
(б) если представительства и филиалы сами не собирают и не обрабатывают персональные, и не вовлечены в осуществление основной деятельности иностранной компании, для которой данные собираются/обрабатываются? - 242-ФЗ будет распространяться на российское представительство, вовлеченное в процесс сбора персональных данных. В иных случаях обязанность локализации баз персональных данных, собранных на территории Российской Федерации, возлагается на иностранное лицо.
- Подпадает ли идентификационный номер автомобиля под определение «персональные данные», если он содержит лишь техническую информацию (например, историю ремонта транспортного средства)?
- Совокупность данных должна быть необходима и достаточна для идентификации лица. Именно такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо.
Вместе с тем идентификационный номер автомобиля, а именно государственный номер автомобиля, иная техническая информация, включая историю ремонта транспортного средства, не относится к персональным данным, поскольку не позволяет идентифицировать конкретное физическое лицо. Так, указанные сведения относятся не к субъекту персональных данных, а автомобильному средству.
- Распространяются ли положения 242-ФЗ на государственные и муниципальные базы данных?
- В 242-ФЗ отсутствуют положения о том, что он не распространяется на государственные и муниципальные базы данных. Кроме того, согласно ст. 1 Федерального закона «О персональных данных» положения данного закона распространяются на органы государственной власти и местного самоуправления. Учитывая, что 242-ФЗ вносит изменения в Федеральный закон «О персональных данных», положения 242-ФЗ не могут не распространяться на порядок формирования и ведения государственных и муниципальных баз данных.
В ст. 2 № 242-ФЗ устанавливается исключение, допустимое из требования об обеспечении записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Данное исключение относится, в том числе, к случаю, когда это необходимо для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг.
Таким образом, в случае если в нормативных правовых актах Российской Федерации будет установлено, что орган государственной власти должен обрабатывать персональные данные, в том числе путем записи, систематизации, накопления, хранения, уточнения, извлечения на территории иностранного государства, то правило 242-ФЗ не будет распространяться на такие отношения.Следует также заметить, что в соответствии с 149-ФЗ база данных является, в ряде случаев, составной частью информационной системы, в случаях, когда речь идет о государственных информационных системах (ГИС) порядок их формирования и ведения регламентирован нормативными правовыми актами, в ряде случаев даже федеральными законами. Например, ГИС «жилищно-коммунального хозяйства», правовой режим которой регламентирован 209-ФЗ, ГИС «топливно-энергетического комплекса», правовой режим регламентирован 382-ФЗ, ГИС «Обеспечения транспортной безопасности», правовой режим регламентирован 16-ФЗ.
При этом к ГИС предъявляются более высокие требования по сравнению с информационным системам и базам данных коммерческих организаций, в том числе все ГИС подлежат государственной регистрации, к ряду ГИС предъявляются требования не только по их размещению на территории России, но и обработки исключительно российскими юридическими лицами, например, ГИС «Обеспечения транспортной безопасности», в состав которой входят автоматизированные централизованные базы персональных данных о пассажирах и персонале (экипаже) транспортных средств.
Таким образом, опасения относительно несоответствия порядка и правил формирования и ведения государственных и муниципальных баз данных целям 242-ФЗ, а именно повышение безопасности обработки персональных данных не находят своего подтверждения. - Правильно ли мы понимаем, что требования 242-ФЗ распространяются на персональные данные работников-российских граждан, работающих (i) в российских компаниях, (ii) работающих в представительствах и филиалах иностранных компанией, но не распространяются на персональные данные работников-российских граждан, трудоустроенных в иностранных компаниях за рубежом?
- Да, правильно. Следует также учитывать, что при обработке персональных данных работников они могут быть использованы только в рамках трудовых отношений.
- Какой порядок применения 242-ФЗ в сфере туриндустрии?
- Согласно ст. 10 Федерального закона «Об основах туристской деятельности в Российской Федерации» реализация туристского продукта осуществляется на основании договора, заключаемого в письменной форме между туроператором и туристом и (или) иным заказчиком, а также в случаях, предусмотренных федеральным законом, между турагентом и туристом и (или) иным заказчиком.
В соответствии с гл. 49 Гражданского кодекса Российской Федерации турагентство может совершать юридически значимые действия и заключать договоры о реализации туристского продукта от имени туроператора.
На основании п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператором признается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Учитывая изложенное, оператором, на которого распространяются требования ФЗ- 242 по локализации баз данных на территории Российской Федерации, является туроператор.
Также в соответствии с гл. 51 Гражданского кодекса Российской Федерации турагентство может совершать юридически значимые действия и заключать договоры о реализации туристского продукта от своего имени.
При реализации данных правоотношений первичным оператором выступает турагентство, на которого распространяются требования ФЗ-242 по локализации баз данных на территории Российской Федерации.Дальнейшее взаимодействие первичного оператора с партнерами предполагает соблюдение требований других нормативно-правовых актов, в частности, ст. 12 Федерального закона «О персональных данных», определяющей порядок трансграничной передачи персональных данных субъектов.
Необходимо отметить, что в случае привлечения третьего лица (турагента), действующего в интересах туроператора либо турагентства, действие 242-ФЗ определяется в зависимости от одной из вышеуказанных схем.
Согласно п. 1 ч. 1 ст. 6 Федерального закона «О персональных данных» предусмотрено наличие у работодателя письменного согласия субъектов на обработку их персональных данных, в том числе передачу третьим лицам и трансграничную передачу.
Деятельность работодателя определяется в соответствии с положениями Трудового кодекса Российской Федерации. Вместе с тем трудовым законодательством не регулируются правоотношения, связанные с приобретением работодателем туристского продукта в интересах работников.
Таким образом, совершение указанных действий требует наличия письменного согласия субъектов и доверенности, выданной в соответствии с Гражданским кодексом Российской Федерации.Необходимо отметить, что работодатель по отношению к работникам не является первичным оператором, поскольку осуществляет обработку персональных данных, полученных на этапе оформления трудовых отношений.
Соответственно, требования ФЗ-242 по локализации баз данных на территории Российской Федерации при реализации схемы корпоративного туристского продукта возлагается на туроператора или турагентство в зависимости от одной из избранных схем, установленных ст. 10 Федерального закона «Об основах туристской деятельности в Российской Федерации». - Каково соотношение понятий «передача», «копирование» и «хранение» персональных данных?
Как можно хранить данные в России и при этом не запрещается трансграничная передача данных, ведь передача данных за границу предполагает их хранение не на территории России? - В данном случае следует представлять хранение и передачу данных как отдельные процессы обработки данных и рассмотреть суть этих понятий и процессов.
Требования 242-ФЗ закрепляют обязательное хранение персональных данных на территории Российской Федерации, при осуществлении их сбора.
При этом 242-ФЗ не запрещает «копирование» и «передачу» данных.
Понятие «копирование» представляет собой процесс, имеющий иные характеристики по сравнению с понятием «хранение», значения данных слов не являются идентичными, то есть данные слова не являются синонимами (слова или словосочетания, не совпадающие по звучанию и написанию, но имеющее одинаковое или очень близкое значение).
Например, согласно Методическим рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации, утв. Генпрокуратурой России, копирование информации – это создание копии имеющейся информации на другом носителе, то есть перенос информации на обособленный носитель при сохранении неизменной первоначальной информации, воспроизведение информации в любой материальной форме — от руки, фотографированием текста с экрана дисплея, а также считывания информации путем любого перехвата информации и т. п.
Упрощая данное Генеральной прокуратурой Российской Федерации понятие «копирование информации» можно сказать, что «копирование» представляет собой процесс, характеризующийся созданием дубликата документа или информации. То есть основным свойством данного действия является создание дубликата вне зависимости от способа и цели его создания или места нахождения дублирующей информации. Таким образом, скопированные персональные данные, подлежат хранению в соответствии с правилами Федерального закона «О персональных данных».
Понятие «ПЕРЕДАЧА» представляет собой процесс по направления информации или документов какому-либо лицу каким-либо способом.
В 242-ФЗ в перечень действий, которые оператор персональных данных обязан обеспечить с использованием баз данных, находящихся на территории России, «передача данных» не входит. Таким образом, 242-ФЗ не запрещает осуществлять передачу данных, в том числе трансграничную передачу данных из одной базы данных, в другую.
При этом согласно ГОСТ Р ИСО 15489-1-2007. Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования, Приказом Ростехрегулирования от 12.03.2007 N 28-ст, ПЕРЕДАЧА (TRANSFER) (в отношении способа хранения): изменение способа хранения документов, права собственности и (или) ответственности за документы. То есть если рассматривать процесс передачи более детально, он, безусловно, представляет собой перенос ответственности или части ответственности за информацию на другое лицо и изменение способа и места хранения этой информации.
Таким образом, оператор персональных данных, осуществляя хранение персональных данных в России, может впоследствии произвести их передачу за границу, посредством «копирования» и « трансграничной передачи» информации.
Эти действия оператора будут правомерны. И оператор должен лишь соблюсти требования, предъявляемые Федеральным законом «О персональных данных» к порядку и условиям такой передаче данных.
Условно, можно сказать, что Оператор № 1, собравший данные в России, отвечает только за свои действия в отношении этих данных, после их передачи за границу владелец данных изменится и им станет Оператор № 2, который будет отвечать за переданные ему данные. Оператор № 1 не будет нести ответственность за действия Оператора № 2.
В дальнейшем Оператор № 2 будет осуществлять обработку полученных данных в соответствии с законодательством своей страны, и на тех условиях, о которых он договорился с Оператором №1.
Важным в данном случае для Оператора №1 будет являться соблюдение правил трансграничной передачи данных.
Таким образом, оператор может осуществить трансграничную передачу данных, не нарушая при этом требований 242-ФЗ, предъявляемых к хранению персональных данных на территории Российской Федерации. Ведь база персональных данных по-прежнему будет находиться в Российской Федерации, а содержащаяся в ней информация будет актуализироваться.
У Оператора № 2 будет храниться и обрабатываться копия информации, и актуализироваться она будет только после соответствующей актуализации российской базы.По вопросу копирования персональных данных следует заметить, что «копирование» представляет собой процесс, характеризующийся созданием дубликата документа или информации. То есть основным свойством данного действия является создание дубликата вне зависимости от способа и цели его создания или места нахождения дублирующей информации. Таким образом, скопированные персональные данные, подлежат хранению в соответствии с правилами Федерального закона «О персональных данных». Кроме того, понятие «дублирующая база данных» 242-ФЗ не содержит.
- Что понимается под «оператором»?
- Понятие «оператор» содержится в ст. 3 Федерального закона «О персональных данных», под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Таким образом, в свете применения 242-ФЗ, оператором является лицо, осуществляющее сбор персональных данных, либо его поручившее третьему лицу на основании договора поручения. - Что следует понимать под «хранением» персональных данных?
- Учитывая, что Федеральный закон «О персональных данных» не содержит термина «хранение», полагаем, что законодатель вкладывал в понятие данного слова, обычно используемое в повседневной жизни значение, которое не требует каких-либо дополнительных разъяснений. В связи с чем, при определении значения слова и применения нормы законодательства следует использовать буквальное толкование существительного «хранение». Однако, учитывая неопределенность в понимании данного понятия, полагаем возможным обратить внимание на ряд моментов, связанных с толкованием в праве аналогичного термина, однако применимого, например, к документам.
Так, согласно ГОСТ Р 51141-98. Государственный стандарт Российской Федерации. Делопроизводство и архивное дело. Термины и определения, утв. Постановлением Госстандарта России от 27.02.1998 № 28, а также ГОСТ Р 7.0.8-2013. Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Делопроизводство и архивное дело. Термины и определения, утв. Приказом Росстандарта от 17.10.2013 № 1185-ст, ХРАНЕНИЕ ДОКУМЕНТОВ представляет собой обеспечение рационального размещения и сохранности документов. При этом указанный ГОСТ, в рамках единого процесса хранения документов разделяет архивное хранение, оперативное хранение, ведомственное хранение документов и иные виды хранения документов в зависимости от сроков хранения (оперативное, архивное), от лиц, которые осуществляют хранение (ведомственное, архивное).
Иными словами, «хранение» представляет собой срочный или бессрочный процесс, подразумевающий нахождение документов в какой-либо организации или месте.
Применяя аналогию права к отношениям в области персональных данных, можно сказать, что «хранение» представляет собой срочный или бессрочный процесс, подразумевающий нахождение персональных данных в какой-либо организации или месте.Хранение персональных данных должно быть ограничено достижением цели обработки. Федеральным законом «О персональных данных» (ч.4 ст.21) предусмотрено, что в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональных данных в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных.
В случае отсутствия возможности уничтожения персональных данных в течение указанного срока оператор осуществляет блокирование персональных данных и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев.
Необходимо отметить, что в 242-ФЗ отсутствуют понятия «временное хранение», «постоянное хранение». - Имеются ли еще какие-либо предписания/ограничения для деятельности серверов на территории России?
- Деятельность технических площадок (серверов, центров обработки данных) на территории Российской Федерации должна соответствовать установленным требованиям конфиденциальности и безопасности персональных данных, обрабатываемых с использованием вышеуказанных технических мощностей.
Руководящие документы по обеспечению безопасности размещены на официальных сайтах ФСТЭК России и ФСБ России http://fstec.ru/, http://www.fsb.ru/. - Как нужно подготовиться в документальном плане российским оператором для целей соответствия 242-ФЗ? Что следует указывать в (а) локальных нормативных актах, (б) политиках по обработке персональных данных, (в) согласиях, (г) уведомлениях в Роскомнадзор?
- В документальном плане после вступления в силу 242-ФЗ операторам персональных данных следует в соответствии с частью 7 статьи 22 Федерального закона «О персональных данных» в течение десяти рабочих дней сообщить в РКН сведения о месте нахождения базы данных. Каким образом и в каком объеме необходимо представлять в уполномоченный орган информацию о местонахождении базы данных будет определено в подзаконном нормативном правовом акте.
- Правильно ли мы понимаем, что направления повторного или дополнительного уведомления об обработке персональных данных после 1 сентября 2015 года не потребуется (т. е. не нужно дополнительно сообщать, где находятся базы данных)?
- Понятия «повторного» или «дополнительного» уведомления не существует. Статьей 22 Федерального закона «О персональных данных» установлена обязанность оператора до начала обработки персональных данных направить уведомление. В части 2 указанной статьи приведен ряд исключений, когда такого уведомления не требуется. 242-ФЗ вносятся изменения в часть 3, которая определяет требования к содержанию уведомления. Если организация ранее направила в РКН уведомление об обработке персональных данных, то после вступления закона в силу операторы руководствуюсь частью 7 данной статьи, должны сообщить сведения о месте нахождения базы данных в течение десяти рабочих дней.
Гражданин, пройдемте. Как работают законы о персональных данных в России и мире
Закон о персональных данных в том или ином виде есть в большинстве стран. Мы столкнулись с этим, когда начали активно работать с компаниями из Китая, Сингапура, Австралии, а также странами Латинской Америки, арабского региона и, конечно, Европы. У каждого государства закон о персональных данных называется по-своему, и где-то он выделен отдельно, а в других случаях представляет из себя часть другого закона. Часто вопрос защиты персональных данных и коммуникаций компаний с пользователями попадает под закон о рекламе или в медицинском законодательстве (запрещает разглашать персональные данные пациентов).
Суть закона о персональных данных — это выстраивание отношений между тремя субъектами права: физическими лицами, компаниями и посредниками. Эти и другие понятия почти во всех странах одинаковые и базируются они на конституционных правах граждан этих стран на анонимность и неприкосновенность частной жизни, а также на заключенной в Страсбурге в 1981 году «Конвенции о защите физических лиц при автоматизированной обработке персональных данных».
Отличается же не сам закон, а его правоприменение, потому что практика применения и последующего судопроизводства для бизнеса и простых людей определяют, насколько он удобен.В США защита персональных данных на федеральном уровне регулируется в отдельных отраслях. Например, закон о торговле финансовыми инструментами запрещает публиковать данные, связанные с покупкой акций, закон о страховых агентах запрещает обнародовать информацию о застрахованных людях.
Реклама на Forbes
Специального федерального закона о персональных данных, который бы регулировал их защиту, в США нет, он есть только в отдельных штатах, например, в Калифорнии, Массачусетсе или в округе Колумбия.Там же, в Кремниевой Долине, Гарварде и Массачусетском Техническом Университете (MIT), сконцентрировано большинство IT-компаний, которые и попадают под действие этого закона.
В Европе за последние два года произошло два громких события: сначала суд в Люксембурге признал недействительным заключенное между ЕС и США соглашение «Безопасная гавань» (Safe Harbour) об обмене данными в коммерческих целях. Оно позволяло крупнейшим компаниям США хранить данные о европейских пользователях на своих серверах, не нарушая законодательство ЕС в сфере защиты персональных данных. Чтобы облачные компании могли легально обрабатывать данные европейских граждан в США, было заключено соглашение US-EU Privacy Shield, представляющее из себя не столько закон, сколько механизм для компаний с обеих сторон, который помогает избежать взаимных претензий.
Документ этот был составлен в США, однако Трамп не особенно спешит окончательно подписывать его. Тем более, как уже говорилось, в США нет единого федерального закона, так что каждый штат хочет иметь возможность вносить свои правки в соглашение. Все это только усложняет работу американских компаний, которые пока вынуждены переносить данные своих пользователей в Европу.
Почему Россия — не Европа
Второе важное европейское событие – новое постановление о защите ПД General Data Protection Regulation (GDPR), которое вступит в силу уже в мае 2018 года. В случае с GDRP, сам закон не идеален, но видно, что над ним трудились многие люди, и в нем учтена экспертиза рынка: там дано больше современных технологических определений (например, в нем фигурирует «дата процессор»). В российской версии до сих пор фигурируют ЭВМ, а в первой редакции были нереализуемые (или не отслеживаемые) пункты: например, территориальный принцип перемещения (не хранения!) информации, когда данные не должны были физически покидать территорию РФ. При этом это технически это контролировать невозможно, так как интернет-провайдер может настроить маршрутизацию трафика, что он будет «ходить» через Амстердам.
Почему у них получилось, а у нас пока нет? Европейский рынок — один из самых больших и интересных для электронных компаний — китайских, американских или российских, — поэтому важные изменения в сфере защиты персональных данных подталкивают мировые корпорации серьезно относиться к вопросу соблюдения нового европейского постановления. В Европе глобальные вендоры более активно включены в работу по Privacy Shield, поставщики услуг для глобальных вендоров подготовили для них инфраструктуру.
Россию же обошли стороной практически все глобальные вендоры, а наш закон о персональных данных только-только принимает внятную форму, появляются комментарии разных лиц и только по судебной практике становится понятно, что в итоге происходит. Многие российские организации чисто технически не способны соблюдать этот закон. Например, его нарушают ЖЭКи, вывешивающие в подъездах списки должников. Такого рода нарушения происходят в России сплошь и рядом.
Бизнес готовится к новым реалиям
Европейское постановление 2018-го года предоставит пользователям гораздо более широкие права по контролю над собственными данными, чем те, которые на данный момент существуют в США. И некоторые американские корпорации заявляют о готовности соблюдать эти права. Amazon Web Services, например, сообщает на сайте, что «к моменту вступления GDPR в силу 25 мая 2018 года все сервисы AWS будут соответствовать требованиям этого закона». IBM, Microsoft Cloud и другие компании также сообщают о своей готовности встретить новое постановление.
Впрочем, не все IT-гиганты способны быстро подстроиться под новые законы и соглашения. Некоторые CRM-решения, которые используются в глобальных компаниях, разрабатывались еще в начале двухтысячных, когда проблемы защиты персональных данных еще даже не стояло. Поэтому ее решение не заложено в эти CRM на функциональном уровне.
Для мелкого и среднего бизнеса эта проблема еще острее, особенно если сфера его деятельности лежит вне IT. Здесь новые постановления могут в принципе свести на нет все преимущества масштабирования бизнеса, потому что соблюдение законов разных стран потребуют непомерных затрат.
Возьмем, для примера, небольшую американскую пиццерию. Данные о покупателях администраторы пиццерии всегда хранили на американских серверах, маркетологи брали их оттуда и использовали в своих целях — сделать рассылку, провести опрос, поздравить клиентов и прочее. Пиццерия вышла на европейский или российский рынок, и перед администраторами встала задача данные соответствующих покупателей хранить на территории их страны.
Более того, не обязательно выходить на рынок, чтобы попасть под действие местного закона о персональных данных, достаточно иметь клиентов из этой страны, как это бывает с отелями и сервисами бронирования. Если у сайта есть версия на русском языке, домен в зоне . ru (даже если он перенаправляет на .com или ru.domain.com), а также возможность оплаты в рублях, то согласно комментариям Роскомнадзора к «Закону о персональных данных», сайт «ориентирован на работу с российскими клиентами», а значит обязательно должен хранить данные российских клиентов в России.
Что делать? Арендовать сервера и пройти весь документооборот в каждой стране? Найти в каждой стране своего подрядчика, который возьмет на себя решение этих проблем? Для бизнеса это большие расходы.
Те же вопросы стоят перед компаниями, работающими в самых разных сферах: в авиаперевозках, в сфере бронирования отелей, во многих других, в частности, в сфере автоматизации программ лояльности. Главное, на что обращают внимание органы, контролирующие соблюдение законов и соглашений о персональных данных — это на страну, на которую ориентирован бизнес. Если у компании есть версия сайта на французском языке, есть домен во французской зоне fr. и платежи она принимает в евро, то это однозначно говорит о том, что сайт ориентирован на работу с персональными данными европейцев. Значит, компания обязана хранить эти данные в соответствии с европейскими законами.
В России любая компания на сегодняшний день считается оператором персональных данных, ведь как минимум она собирает и обрабатывает данные собственных сотрудников. Но российское законодательство, естественно, нацелено на защиту прав только соотечественников. Полагаю, что уже в самом ближайшем будущем перед большинством компаний встанет вопрос соответствия законам о защите данных всех тех стран, граждане которых становятся клиентами, партнерами или сотрудниками компании.
Новые тренды
Во-первых, растет популярность локальных игроков, приспособившихся к законам своей страны. Например, локальный рынок Китая очень хорошо отреагировал на закрытие в стране Google, Facebook и Twitter. Почти сразу здесь были созданы собственные IT-гиганты, которые впоследствии вышли за пределы страны. В России похожая ситуация с той лишь разницей, что у нас изначально на рынке присутствовали сильные игроки: «Яндекс» со своими продуктами «Такси», «Музыка» и «Карты», Mail. ru и другие. В последние годы политика импортозамещения распространилась и на IT-рынок, например, начали развиваться офисные пакеты. В структуре доходов Microsoft это очень большая доля.
Реклама на Forbes
У европейских стран нет столь жестких целей, как у Китая или России, но, преследуя цель защиты персональных данных, они в любом случае стараются лоббировать именно местные компании.
Во-вторых, появляется новое поколение облачных сервисов, которые стараются заменить глобальные сервисы старого образца. Чем дальше, тем выше будет спрос на любое решение, которое изначально, «из коробки» сможет работать с законами о хранении данных сразу многих стран.
Тип угроз | Уровень защищенности | Примечания | Техническая реализация |
I тип – самые опасные угрозы. Они возникают в системном ПО — например, операционной системе. | 4 уровень – обеспечивает защиту общедоступных и иных сведений с 3 типом угроз. Технически самый простой в реализации: например, установка антивируса и регулярное обновление ПО. | Защита общедоступных и иных сведений. | Установка антивируса и регулярное обновление ПО. Обеспечение сохранности носителей данных. Составление списка работников оператора, которые получают доступ к персональным данным. |
II тип – угрозы, которые возникают в прикладном ПО, например, в установленном софте. | 3 уровень – защищает не только общедоступную информацию, но и специальные и биометрические данные, работает при 2 и 3 уровне угроз. Реализован через регулярный поиск и устранение уязвимостей в оборудовании и ПО, ограничении доступа к настройкам информационной систем | Выполнение всех требования, предусмотренных для четвертого уроня защищенности. Назначение должностного лица, которое будет нести ответственность за обеспечение безопасности данных в информационной системе. | |
III тип – угрозы, не связанные с ПО: уязвимости в оборудовании. | 2 уровень – защищает данные любого типа. Для некоторой информации допускает 1 тип угроз. Реализован через установку системы обнаружения вторжений, защиты системы от спама, организации резервного копирования информации. | Выполнение всех требований предусмотренных для третьего уровня защиты. Ограничение доступа к данным(только уполномоченные лица). | |
1 уровень – защищает данные специального и биометрического типа. Используется при 1 типе угроз. Реализуется через стабильную работу серверов и инсталляции на ПК софта, ранее разрешенного службой безопасности. | Выполнение всех требований, предусмотренных для второго уровня защищенности. Обеспечение автоматической регистрации в электронном журнале безопасности. |
Вводится запрет на хранение и обработку персональных данных граждан России в базах данных, расположенных за пределами Российской Федерации
21 июля 2014 года Президент Российской Федерации подписал Федеральный закон № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (далее – «Закон»), предусматривающий изменения в регулировании порядка обработки персональных данных в информационно-телекоммуникационных сетях, а также обработки персональных данных в базах данных. Закон вступит в силу 1 сентября 2016 года.
Предлагаются следующие изменения в законодательстве:
- Обработка персональных данных граждан РФ исключительно в российских базах данных
В соответствии с поправками к Федеральному Закону от 27.07.2006 N 152-ФЗ ”О персональных данных” оператор будет обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ в базах данных, расположенных на территории РФ.
Предусматриваются исключения из этого правила в связи с определенными целями обработки персональных данных, такими как, достижение целей международных договоров или законов, выполнение законных полномочий и обязанностей оператора; осуществление правосудия; выполнение функций публично-правовых образований и организаций, предоставляющих государственные и муниципальные услуги; осуществление профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
Обязанность оператора обеспечить нахождение баз данных информации, посредством которых осуществляется обработка персональных данных граждан РФ, на территории РФ также закрепляется в Федеральном законе от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». При уведомлении уполномоченного органа по защите прав субъектов персональных данных («Роскомнадзор») о начале обработки персональных данных оператор должен будет предоставить данные о месте нахождения базы данных, содержащей персональную информацию граждан РФ. Согласно действующему законодательству направление уведомления не требуется в ряде случаев, в частности, при обработке персональных данных в соответствии с трудовым законодательством, в связи с заключением договора, стороной которого является субъект персональных данных, при сборе исключительно Ф.И.О. субъектов персональных данных.
- Создание «Реестра нарушителей прав субъектов персональных данных»
На основании Закона Роскомнадзором будет создан «Реестр нарушителей прав субъектов персональных данных», в который, на основании судебного решения, будет включаться информация о нарушителях, в частности доменные имена или иные указатели страниц сайтов в сети интернет, на которых содержится информация, обрабатываемая с нарушениями; сетевые адреса, позволяющие идентифицировать такие сайты и другие данные.
На основании такого судебного решения субъект персональных данных вправе подать заявление о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства о персональных данных. Законопроектом устанавливается процедура по взаимосвязи Роскомнадзора, провайдера хостинга и владельца информационного ресурса, в результате которой принимаются меры по ограничению доступа к информации. В случае непринятия таких мер доступ к соответствующему информационному ресурсу ограничивается.
Эти изменения, в частности, призваны реализовать признанное на европейском уровне право субъекта персональных данных «быть забытым» в информационно-коммуникационной сети интернет.
Следует отметить, что сбор персональных данных и формирование базы данных может осуществляться оператором как посредством информационно-телекоммуникационной сети интернет, так и другими способами. Мы полагаем, что изменения могут коснуться не только деятельности компаний, ведущих свою деятельность непосредственно в сети интернет (таких как интернет-магазины, агентства по реализации билетов и услуг бронирования физическим лицам), но и операторов, формирующих базы персональных данных иными способами (например, работодателей, хранящих персональные данные работников и клиентов на иностранных серверах, а также провайдеров услуг хранения и обработки данных в информационно-коммуникационных сетях).
Представляется, что в представленных случаях оператор должен будет обрабатывать персональные данные российских граждан путем записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения (из базы данных) только на территории РФ. Несоблюдение этого требования может повлечь санкции для оператора. В частности, специалисты соглашаются с тем, что с вступлением в силу Закона существует риск блокировки (на основании судебного решения) иностранных сайтов, содержащих персональные данные российских граждан.
Следует отметить, что Закон не исключает возможность доступа к расположенным на территории России базам данных из-за рубежа, а также не предусматривает специальных ограничений на передачу, в том числе трансграничную, персональных данных из расположенной на территории России базы данных. Поэтому возможность обработки персональных данных российских граждан иностранными компаниями как таковая должна сохраниться. Вместе с тем, при изучении Закона возникает целый ряд вопросов, которые требуют дальнейшего разъяснения. Например, необходимы пояснения, будут ли иностранные компании при переносе своих серверов обязаны также соблюдать все иные требования российского законодательства в сфере персональных данных наравне с российскими компаниями-операторами персональных данных. Мы полагаем, что особенности применения Закона будут прокомментированы в дальнейшем регулирующим органом в сфере персональных данных и определены на практике.
Согласие на обработку и хранение персональных данных
Оставляя свои данные на Сайте www.polymedia.ru путем заполнения полей онлайн-заявок (регистраций, форм обратной связи, запросов и т.д.), я в соответствии с Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон 152-ФЗ) настоящим выражаю свое согласие на обработку ООО «Полимедиа» (ИНН 9705117847, адрес 115114, г. Москва, ул. Летниковская, дом 10, стр.2, помещ. 502) моих персональных данных (далее – Данные) в нижеуказанных целях и способами сроком на 5 (Пять) лет.
Перечень действий с Данными, на совершение которых дается согласие:
обработка (включая сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение персональных данных), передача Данных третьим лицам, в случаях, установленных действующим законодательством.
Общее описание вышеуказанных способов обработки Данных приведено в Законе 152-ФЗ.
Перечень Данных, на обработку которых дается согласие:
фамилия, имя, отчество, номер телефона, id пользователя в социальных сетях, адрес электронной почты, место работы, должность.
Цель обработки Данных:
регистрация на мероприятия, тренинги, вебинары, получение ответов, комментариев на мои вопросы, направление на указанный мной адрес электронной почты и/или номер телефона информации о товарах, работах, услугах ООО «Полимедиа».
Подтверждаю, что Данные и иные сведения, относящиеся ко мне предоставлены мной ООО «Полимедиа» добровольно, являются достоверными, принадлежат мне лично.
Отзыв Согласия:
путем направления уведомления с требованием о прекращении обработки Данных на электронный адрес [email protected].
Согласие автоматически отзывается в случае истечения срока, на которое выдано настоящее согласие.
Скачать соглашение
Закон о персональных данных вступит в силу на год раньше
Автор фото, RIA Novosti
Подпись к фото,Вступление закона в силу хотели перенести на 1 января 2015 года, но в итоге приняли компромиссный вариант
Госдума приняла закон, который ускоряет вступление в силу принятого ранее закона об обязательном хранении обработанных в интернете персональных данных россиян на серверах в России.
Подписанный Владимиром Путиным в июле документ должен был вступить в силу с сентября 2016 года.
Теперь, после одобрения Советом Федерации и подписания президентом, запрет на хранение персональных данных россиян за рубежом должен начать действовать на год раньше — 1 сентября 2015 года.
«Это вынужденная мера, она призвана усилить информационную безопасность страны, граждан. Вызвана она усложнением международной ситуации», — заявил на заседании член думского комитета по информационной политике, единоросс Роман Чуйченко.
Документ касается сайтов по продаже авиабилетов, товаров народного потребления, а также социальных сетей.
12 декабря стало известно, что из-за принятого закона Google решила закрыть инженерное подразделение в России, которое занимается разработкой программных продуктов.
Восемь месяцев
Закон обязывает интернет-операторов «обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации, в базах данных информации, расположенных на территории Российской Федерации».
Таким образом, такие компании, как Twitter, Facebook и Booking.com, будут обязаны открыть свои представительства в России для хранения персональных данных российских граждан.
С инициативой перенести вступление закона в силу на январь 2015 года в начале сентября выступили представители четырех думских фракций. Как говорили в комитете информационной политики, это необходимо для укрепления безопасности государства.
Однако перед третьим чтением комитет по информационной политике рекомендовал вернуть документ во второе и передвинуть срок вступления закона в силу на восемь месяцев вперед.
Ранее интернет-компании и другие участники рынка персональных данных заявили, что вступление закона в силу уже в начале 2015 года парализует их работу. В частности, авиакомпании обратили внимание на свою зависимость от зарубежных систем бронирования.
Ассоциация предприятий компьютерных и информационных технологий в сентябре направила письма в министерство связи и Госдуму, в которых говорилось, что большинству IT-компаний придется приостановить свою деятельность.
Бюджеты многих компаний на следующий год уже распланированы, а на изменение архитектуры информационных систем и технологии телекоммуникационного обмена данными потребуются серьезные финансовые затраты.
Более того, хранение данных в России обойдется на 30% дороже, чем в зарубежных дата-центрах, писали ранее «Ведомости» со ссылкой на представителя системного интегратора «Инфосистемы джет» Валентина Крохина.
По его словам, в России более строгие требования к хранению персональных данных, в частности нужны сертифицированные средства защиты.
Руководство HR по защите данных сотрудников
Защита данных сотрудников становится все более важной для организаций, которые стремятся соблюдать глобальные законы о конфиденциальности. Это вынуждает отделы кадров всех организаций нести ответственность за хранение данных своих сотрудников.
Еще в 2016 году в Snapchat произошла утечка данных сотрудников. Списки заработной платы 700 нынешних и бывших сотрудников были взломаны злоумышленником, выдавшим себя за генерального директора социальной сети Эвана Шпигеля.Это было катастрофой для репутации компании.
В этой статье рассказывается о распространенных заблуждениях работодателей в отношении защиты личных данных сотрудников. Затем в нем обсуждаются современные правила конфиденциальности, а затем дается обзор обязательств работодателя на протяжении всего жизненного цикла сотрудников.
Неправильные представления о данных сотрудника
Когда работодатель нанимает сотрудника, он имеет ряд прав на использование его личных данных. Чаще всего работодатели имеют неправильное представление о том, что они могут, а что не могут делать с личными данными сотрудников в соответствии с законом.Вот самые распространенные заблуждения, которые может иметь работодатель в отношении защиты данных своих сотрудников.
- Работодатели считают, что им не нужно уведомлять сотрудников перед обработкой данных. Однако большинство мировых законов о конфиденциальности требует, чтобы работодатели уведомляли своих сотрудников о каждом случае сбора и обработки данных.
- Работодатели считают, что у них есть неограниченное право контролировать своих сотрудников по соображениям безопасности и производительности. Однако большинство мировых законов о конфиденциальности разрешают мониторинг сотрудников только при определенных условиях и до тех пор, пока такой мониторинг не является необоснованно навязчивым для сотрудников.
- Работодатель, работающий в США, считает, что законы других стран к ним не применяются. Это неверно, поскольку такие законы, как GDPR, также могут применяться в США, если, например, они обрабатывают данные, принадлежащие резидентам ЕС. Большинство глобальных законов о конфиденциальности имеют экстратерриториальное действие. Поэтому организации важно определить, какие законы о конфиденциальности применяются к ней в зависимости от места жительства, гражданства, места работы или любых других соответствующих факторов.
- Работодатели считают, что нарушение данных приведет к штрафам. Это может быть так, но это зависит от серьезности нарушения и его последствий. Помимо штрафов, работодателей также могут попросить предоставить дополнительные услуги по смягчению последствий для сотрудников, пострадавших от нарушения, а также отремонтировать или обновить свои системы безопасности, чтобы гарантировать, что нарушение больше не произойдет.
Глобальные законы о конфиденциальности данных о защите данных сотрудников
Если мы посмотрим на любую организацию, в отделе кадров всегда хранятся большие объемы личных данных и конфиденциальных личных данных об их бывших, нынешних и потенциальных сотрудниках.
Персональные данные, хранящиеся в отделе кадров организации, могут варьироваться от имени, номера социального страхования, адреса, даты рождения, предыдущего адреса до их медицинской, финансовой и другой конфиденциальной личной информации. Попадание в чужие руки эти данные могут быть опасными и, помимо других угроз, могут стать причиной кражи личных данных.
Для решения этой проблемы в правилах конфиденциальности данных во всем мире действуют законы, обязывающие работодателей защищать личные данные сотрудников и предотвращать нарушение прав.Эти законы также предоставляют сотрудникам права на их данные. Давайте посмотрим на обязательства работодателей в соответствии с основными мировыми законами о конфиденциальности.
Европейский Союз
1. Закон, регулирующий личные данные заявителя и сотрудника?
Общий регламент по защите данных (GDPR)
2. Нужно ли мне иметь заявление о конфиденциальности или соглашение?
Принцип прозрачности требует, чтобы работодатели информировали своих сотрудников об их правах в отношении их личных данных и их методах сбора данных. Поэтому важно иметь заявление или соглашение о конфиденциальности.
3. Как долго я должен хранить данные о сотрудниках? Какая лучшая практика?
GDPR требует от работодателей хранить данные в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это необходимо для целей, для которых они обрабатываются.
4. Могу ли я передать данные сотрудников за границу?
Персональные данные, переданные в третью страну за пределами ЕС, могут иметь место только при обеспечении надлежащего уровня защиты или при наличии гарантий на случай передачи в неподходящие страны.Данные, передаваемые за пределы ЕС, и последующий доступ других лиц в группе должны оставаться ограниченными до минимума, необходимого для намеченных целей.
5. Могу ли я передать данные сотрудника третьему лицу?
При передаче личных данных сотрудников третьим сторонам работодатель несет ответственность за оценку соответствия обработчика данных требованиям GDPR.
6. Каковы последствия нарушения?
GDPR ограничивает наказания на уровне 4% от мирового годового оборота или 20 миллионов евро — в зависимости от того, что больше, в зависимости от вида и серьезности нарушения.Субъекты данных имеют право подать жалобу в надзорный орган и получить компенсацию.
Соединенные Штаты Америки (Калифорния)
1. Закон, регулирующий личные данные заявителя и сотрудника?
Закон штата Калифорния о защите прав потребителей (CCPA)
2. Нужно ли мне иметь заявление о конфиденциальности или согласие на использование данных сотрудниками?
Это рекомендуется, но не требуется по закону.
3. Как долго я должен хранить данные о сотрудниках? Какая лучшая практика?
CCPA не требует хранения информации в течение какого-либо фиксированного периода, но рекомендуется не хранить информацию дольше, чем это необходимо.
4. Могу ли я передать данные сотрудников за границу?
Нет никаких особых ограничений на передачу личных данных за границу.
5. Могу ли я передать данные сотрудника третьему лицу?
Компании должны заключать контракты с поставщиками услуг, с которыми они раскрывают PI своих сотрудников для деловых целей. Передача или продажа PI сотрудника третьей стороне не ограничена — работодатели должны только информировать своих сотрудников о том, что и кому продается, в уведомлении, предоставленном во время получения PI.
6. Каковы последствия нарушения?
- Расследование генерального прокурора Калифорнии;
- Подача гражданского иска Генеральным прокурором Калифорнии, если обнаруживается, что причиной нарушения было отсутствие разумных и надлежащих мер безопасности для защиты PI сотрудников.
- Максимальные гражданские штрафы в размере 7500 долларов США за умышленные нарушения и минимальные гражданские штрафы в размере 2500 долларов США за непреднамеренные нарушения CCPA могут быть назначены судом;
- Сотрудники могут подавать частные иски на сумму от 100 до 750 долларов США за ущерб или за фактический ущерб (в зависимости от того, что больше) за каждый инцидент нарушения, если обнаруживается, что причиной нарушения было отсутствие разумных и надлежащих мер безопасности для защиты PI сотрудников.
Бразилия
1. Закон, регулирующий личные данные заявителя и сотрудника?
Lei Geral de Protecao de Dados (LGPD)
2. Нужно ли мне иметь заявление о конфиденциальности или согласие на использование данных сотрудниками?
Компании должны информировать сотрудников о своих методах обработки данных в уведомлении о конфиденциальности.
3. Как долго я должен хранить данные о сотрудниках? Какая лучшая практика?
Предполагается, что работодатели увольняют личные данные сотрудника, когда:
- Цель обработки достигнута или данные больше не являются необходимыми или уместными для достижения конкретной цели;
- Период обработки закончился;
Однако работодатели могут хранить личные данные в хранилище по определенным исключительным причинам, например, в соответствии с юридическими или нормативными обязательствами.
4. Могу ли я передать данные сотрудников за границу?
LGPD имеет строгие ограничения на передачу личной информации за границу. Страна назначения должна иметь «адекватный уровень защиты», или должны применяться меры безопасности для защиты передаваемых данных, или должно быть какое-то другое обоснование для передачи.
5. Могу ли я передать данные о сотрудниках третьей стороне или процессору?
LGPD требует, чтобы согласие субъектов данных было получено контроллером данных перед передачей личных данных субъекта данных третьей стороне (если не применяется отказ).
6. Каковы последствия нарушения?
После расследования, проведенного ANPD, штрафы в размере до 2% от доходов предприятия в Бразилии за финансовый год (максимум до пятидесяти миллионов реалов), а также ежедневные штрафы, блокировка и удаление уязвимые личные данные, включая частичную или полную приостановку обработки данных на 6 месяцев, а также частичный или полный запрет обработки данных в Бразилии. Также важно помнить, что конституция Бразилии и закон о защите прав потребителей позволяют субъектам данных или их представителям возбуждать частные иски против контроллеров данных за ущерб, причиненный несоблюдением LGDP.
Новая Зеландия
1. Закон, регулирующий личные данные заявителя и сотрудника?
Закон Новой Зеландии о конфиденциальности 2020 («Закон о конфиденциальности»).
2. Нужно ли мне иметь заявление о конфиденциальности или согласие на использование данных сотрудниками?
Закон о конфиденциальности требует от работодателей информировать своих сотрудников о фактах сбора информации, целях, для которых информация собирается, предполагаемых получателях информации, последствиях непредоставления информации и их правах доступа. к и исправление их личной информации.Поэтому рекомендуется иметь заявление о конфиденциальности.
3. Как долго я должен хранить данные о сотрудниках? Какая лучшая практика?
Данные сотрудника не должны храниться дольше, чем требуется для целей, для которых они могут быть использованы на законных основаниях.
4. Могу ли я передать данные сотрудников за границу?
Работодатель может передавать личную информацию сотрудников за пределы Новой Зеландии только в том случае, если страна назначения обеспечивает гарантии, сопоставимые с теми, что указаны в Законе Новой Зеландии о конфиденциальности, страна назначения является частью установленной обязательной схемы, выпущенной правительством Новой Зеландии, или если Сотрудник прямо разрешает раскрытие личной информации после того, как был проинформирован о неадекватных стандартах защиты данных в иностранном государстве.
5. Могу ли я передать данные сотрудника третьему лицу?
Работодатель не должен раскрывать личную информацию сотрудников другой организации или любому лицу, если нет разумных оснований для этого в соответствии с Законом о конфиденциальности.
6. Каковы последствия нарушения?
- Уголовное преследование (может быть наказано штрафом в размере до 10 000 долларов США.
- Гражданское наказание в порядке иска, предпринятого директором Трибунала по надзору за соблюдением прав человека.
- Частное право на иск потерпевшего физического лица или представителя от имени физического лица или группы лиц.
Сингапур
1. Существует ли закон, регулирующий личные данные заявителя / сотрудника?
Закон о защите личных данных 2012 г.
2. Нужно ли мне иметь заявление о конфиденциальности или согласие на использование данных сотрудниками?
Да. В соответствии с PDPA, организации должны сформулировать и внедрить политики и практики для уведомления сотрудников о целях, для которых их личные данные (включая записи с камер видеонаблюдения) собираются, используются или раскрываются, и получать их согласие, если не применяется какое-либо исключение.
3. Как долго я должен хранить данные о сотрудниках? Какая лучшая практика?
PDPA не устанавливает срок хранения личных данных. Однако организации следует прекратить хранить свои документы, содержащие персональные данные, или удалить средства, с помощью которых персональные данные могут быть связаны с конкретным сотрудником, как только будет разумно предположить, что цель сбора больше не обслуживается удержание; и хранение больше не требуется для деловых или юридических целей.
4. Могу ли я передать данные сотрудников за границу?
Да. PDPA требует, чтобы организация, передающая личные данные за границу, приняла меры для обеспечения сопоставимого стандарта защиты личных данных за рубежом.
5. Могу ли я передать данные сотрудника третьему лицу?
Если данные сотрудника передаются третьей стороне с целью управления или прекращения трудовых отношений, согласие на такую передачу не требуется, но работодатель должен уведомить заинтересованных сотрудников о целях такой передачи.
6. Каковы последствия нарушения?
Если будет установлено, что организация нарушает какое-либо положение PDPA, Комиссия по защите личных данных может начать расследование поведения организации. Организации также могут быть предписаны меры по исправлению положения для обеспечения соблюдения PDPA, включая уплату финансового штрафа в размере до 1 миллиона сингапурских долларов. PDPA также предписывает, что любое лицо, которое понесет убытки или ущерб непосредственно в результате нарушения, совершенного организацией, может подать частный гражданский иск в отношении таких понесенных убытков или ущерба.
Жизненный цикл обязательств сотрудника по персоналу
HR-отдел любой организации должен помнить о своих обязанностях на протяжении всего жизненного цикла сотрудников, с момента приема на работу до окончания периода приема на работу. Давайте посмотрим на обязанности, о которых HR должен помнить в течение жизненного цикла сотрудника.
Обязательства в процессе приема на работу и отбора:
В процессе приема на работу работодатель должен учитывать следующие обязательства по защите данных:
- Работодатели должны информировать соискателей о типах персональных данных, которые они должны будут предоставить, и о целях, для которых они будут использоваться.
- Сбор данных в процессе найма должен быть ограниченным и иметь отношение к выполнению работы, на которую подается заявка.
- Формы заявлений должны содержать разрешения от соискателей, если их личные данные собираются от третьих лиц, таких как предыдущие работодатели или направления.
- Проверка биографических данных не должна быть чрезмерно назойливой, и перед ее началом следует запросить разрешение соискателя работы — результаты этих проверок являются очень конфиденциальной информацией и, следовательно, должны быть тщательно защищены.
- Хранение личных данных неуспешных кандидатов на работу должно быть ограничено — сохранять их данные только для рассмотрения их при открытии вакансий в будущем, если они согласны на это — или удалить личные данные.
- Оценка кандидатов с использованием общедоступных данных разрешена некоторыми международными законами о конфиденциальности, такими как CCPA. Однако требования могут отличаться от закона к закону. Например, GDPR позволяет работодателям выполнять проверку биографических данных на основе общедоступной информации, только если имеется правовое основание для обработки этих данных.Это требует от работодателей учитывать, связана ли общедоступная информация, такая как профиль заявителя в социальных сетях, с деловыми или частными целями, поскольку это может быть важным признаком юридической допустимости проверки данных.
Обязательства во время работы по найму
В период работы работодатель должен учитывать следующие обязательства по защите данных:
- Большинство положений о конфиденциальности, таких как GDPR и CCPA / CPRA, требуют, чтобы работодатели уведомляли своих сотрудников перед сбором и обработкой их личных данных.
- Сбор, обработка и хранение личных данных сотрудников должны быть ограничены тем, что необходимо, актуально и соразмерно любой функции работодателя в контексте трудовых отношений.
- Работодатель, как правило, не должен полагаться на согласие сотрудников на большую часть обработки данных на работе из-за дисбаланса полномочий между работодателем и работником. Исключительные обстоятельства, при которых на согласие можно положиться, могут включать получение согласия от сотрудников на участие в программах добровольного вознаграждения работникам, поскольку отказ не влечет за собой неблагоприятных последствий для трудовых отношений.Такое согласие должно быть дано свободно и хорошо задокументировано.
- Работодатели могут иметь возможность контролировать своих сотрудников на предмет продуктивности, безопасности и соблюдения политик компании. Однако от них требуется информировать сотрудников о таком мониторинге до его проведения и применять адекватные меры безопасности для защиты данных, собранных в ходе мониторинга.
- Работодатели должны проводить оценку рисков и принимать меры для снижения рисков конфиденциальности для своих сотрудников, прежде чем они будут проводить профилирование или любую другую деятельность по обработке данных с высоким риском с данными своих сотрудников.Действия по обработке данных с высоким риском могут включать сбор медицинских данных для медицинского страхования, профилирование для оценки работы или другие процессы принятия решений, связанных с трудоустройством.
- Работодатели обязаны выполнять права сотрудников на DSR в установленные сроки. Эти права включают право запрашивать доступ к своим личным данным, удалять свои личные данные или отказаться от определенных форм обработки. Как правило, доступ и изменение данных, которые могут нанести ущерб управлению и функционированию работодателя или содержат информацию третьих лиц, освобождаются от запросов сотрудников на DSR.
- Работодатели должны обеспечить наличие соответствующих и разумных мер безопасности для защиты данных своих сотрудников. Если к данным сотрудников осуществляется доступ, они приобретаются или скомпрометированы в результате инцидента безопасности, работодатели должны уведомить затронутых сотрудников и / или регулирующие органы в установленные сроки в соответствии с применимым законодательством о конфиденциальности.
- Работодатели должны оценить политику конфиденциальности внешних третьих сторон и поставщиков, с которыми они заключают контракты для обработки данных своих сотрудников по любой причине e.г. Кадровые услуги, договоры о безопасности или услуги медицинского страхования и т. Д. Лучше всего заключать договорные соглашения, содержащие гарантии защиты передаваемых данных.
- Работодатели должны регулярно обновлять свои кадровые записи, чтобы отражать точную и необходимую личную информацию о своих сотрудниках. Неточная, устаревшая или нежелательная информация должна быть изменена или удалена.
Обязательства при увольнении
Когда сотрудник увольняется из организации, работодатели должны учитывать следующие обязательства по защите данных:
- Работодатели должны иметь четкую политику и процедуру хранения данных.Личные данные сотрудников и бывших сотрудников, которые больше не нужны, должны быть удалены, а все, что требуется для законных целей (юридических, бухгалтерских, налоговых или будущих должностей), должно храниться в отдельных защищенных базах данных с ограниченным доступом.
- Работодатели должны получить согласие уволившихся сотрудников, если они хотят сохранить свои данные для будущих должностей.
- Бывшие сотрудники имеют право доступа к своим личным данным, хранящимся у работодателя. Однако работодатели не обязаны обновлять и исправлять личные данные бывших сотрудников.
Чем может помочь Securiti?
Объем данных растет экспоненциально, и работодатели собирают все больше и больше личных данных своих сотрудников. Чтобы соответствовать законам о конфиденциальности, организациям необходимо иметь оптимизированный и автоматизированный процесс, с помощью которого они могут управлять данными своих сотрудников.
- Securiti предлагает работодателям комплексное решение, охватывающее все основы любого регулирования конфиденциальности и обеспечивающее соблюдение требований. Вот некоторые из модулей, которые Securiti использует, чтобы помочь организациям соответствовать требованиям. Решение для сопоставления данных
- Securiti помогает работодателям проводить эффективное сопоставление данных, которое может помочь им определить правильную правовую основу и обеспечить законную обработку данных.
- Securiti помогает работодателям создавать уведомления о конфиденциальности и включать в себя аналитические данные о конфиденциальных данных для обеспечения соблюдения конфиденциальности во всех операциях и проектах по обработке данных. Решение
- Seucriti для оценки воздействия на конфиденциальность данных включает в себя искусственный интеллект, чтобы автоматизация оценки запускала и проводила оценки на основе рисков. Решение
- Securiti по управлению утечками данных быстро выявляет скомпрометированные данные и затронутые субъекты данных в результате инцидента безопасности. Он использует встроенное исследование конфиденциальности, чтобы помочь организациям доставлять уведомления о нарушениях в течение нескольких часов после инцидента безопасности. Решение
- Securiti по управлению поставщиками позволяет работодателям оценивать своих поставщиков на основе заранее определенной оценки риска, а также предлагает централизованный процесс оценки соответствия сторонних поставщиков применимым нормам конфиденциальности.
- Securiti предлагает решение DSR Automation Solution, чтобы помочь работодателям соблюдать все права своих сотрудников и упростить процесс реализации этих прав. Этот процесс превращает ручную работу в автоматизированную систему, которая поможет предприятиям эффективно обрабатывать запросы субъектов данных и обеспечивать координацию между заинтересованными сторонами для проверки и утверждения.
Заключение
Ручные методы становятся устаревшими, и будущее без автоматизации кажется мрачным. Если работодатели надеются соответствовать растущим требованиям глобальных правил конфиденциальности, им необходимо ввести в действие свои процессы и перейти к автоматизации.
Securiti является пионером в области робототехники и создала целое решение, основанное на этой самой концепции. Узнайте, как Securti и PrivacyOps Framework могут помочь вам легко и эффективно соблюдать глобальные законы о конфиденциальности. Запросите демо сегодня.
Принцип (e): Ограничение хранения | ICO
Кратко
- Вы не должны хранить личные данные дольше, чем это необходимо.
- Вам нужно подумать и уметь обосновать, как долго вы храните личные данные.Это будет зависеть от ваших целей хранения данных.
- Вам нужна политика, устанавливающая стандартные сроки хранения везде, где это возможно, чтобы соответствовать требованиям документации.
- Вам также следует периодически просматривать данные, которые вы храните, и стирать или обезличивать их, когда они вам больше не нужны.
- Вы должны внимательно рассмотреть любые проблемы, связанные с хранением данных. Физические лица имеют право на удаление, если вам больше не нужны данные.
- Вы можете хранить личные данные дольше, если вы храните их только для архивирования общественных интересов, научных или исторических исследований или статистических целей.
Контрольный список
☐ Мы знаем, какие личные данные мы храним и зачем они нам нужны.
☐ Мы внимательно рассматриваем и можем обосновать, как долго мы храним личные данные.
☐ У нас есть политика со стандартными сроками хранения, где это возможно, в соответствии с обязательствами по документации.
☐ Мы регулярно проверяем нашу информацию и удаляем или анонимизируем личные данные, когда они нам больше не нужны.
☐ У нас есть соответствующие процессы для выполнения запросов отдельных лиц об удалении в соответствии с «правом на забвение».
☐ Мы четко определяем любые личные данные, которые нам необходимо хранить для архивирования общественных интересов, научных или исторических исследований или статистических целей.
Вкратце
Каков принцип ограничения хранения?
Статья 5 (1) (e) гласит:
“ 1.Персональные данные:
(e) хранится в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это необходимо для целей, для которых обрабатываются персональные данные; Персональные данные могут храниться в течение более длительных периодов времени, поскольку персональные данные будут обрабатываться исключительно для целей архивирования в общественных интересах, в целях научных или исторических исследований или в статистических целях в соответствии со Статьей 89 (1) при условии выполнения соответствующих технических и организационных мер. меры, требуемые настоящим Регламентом для защиты прав и свобод субъекта данных («ограничение хранения») »
Таким образом, даже если вы собираете и используете личные данные честно и законно, вы не можете хранить их дольше, чем они вам действительно нужны.
Здесь есть тесные связи с принципами минимизации данных и точности.
GDPR Великобритании не устанавливает конкретных сроков для разных типов данных. Это зависит от вас и зависит от того, как долго вам нужны данные для ваших указанных целей.
Почему важно ограничение хранения?
Если вы удалите или анонимизируете личные данные, когда они вам больше не нужны, это снизит риск того, что они станут неактуальными, чрезмерными, неточными или устаревшими.Помимо помощи в соблюдении принципов минимизации и точности данных, это также снижает риск того, что вы будете использовать такие данные по ошибке — в ущерб всем заинтересованным сторонам.
Персональные данные, хранящиеся слишком долго, по определению не нужны. У вас вряд ли будет законное основание для удержания.
С более практической точки зрения неэффективно хранить больше личных данных, чем вам нужно, и могут возникнуть ненужные расходы, связанные с хранением и безопасностью.
Помните, что вы также должны отвечать на запросы о доступе к любым личным данным, которые вы храните. Это может быть труднее, если вы храните старые данные дольше, чем вам нужно.
Хорошая практика в отношении ограничения хранилища — с четкими политиками в отношении сроков хранения и стирания — также, вероятно, снизит нагрузку на обработку запросов о сроках хранения и индивидуальных запросов на стирание.
Нужна ли нам политика хранения?
Политики храненияили графики хранения содержат список типов записей или информации, которые вы храните, для чего вы их используете и как долго вы собираетесь их хранить.Они помогут вам установить и задокументировать стандартные сроки хранения для различных категорий персональных данных.
График хранения может быть частью более широкого «реестра информационных активов» (IAR) или вашей общей документации по обработке.
Чтобы соответствовать требованиям к документации, вам необходимо установить и задокументировать стандартные сроки хранения для различных категорий информации, которую вы храните, где это возможно. Также желательно иметь систему для обеспечения того, чтобы ваша организация соблюдала эти периоды хранения на практике, и для проверки срока хранения через соответствующие промежутки времени.Ваша политика также должна быть достаточно гибкой, чтобы при необходимости можно было выполнить досрочное удаление. Например, если вы на самом деле не используете запись, вам следует пересмотреть, нужно ли вам ее сохранять.
Если вы небольшая организация, периодически выполняющая обработку с низким уровнем риска, вам может не понадобиться документированная политика хранения.
Однако, если у вас нет политики хранения (или если она не охватывает все личные данные, которые вы храните), вы все равно должны регулярно просматривать данные, которые у вас есть, и удалять или анонимизировать все, что вам больше не нужно.
Как установить сроки хранения?
GDPR Великобритании не определяет, как долго вы должны хранить личные данные. Вы должны обосновать это, исходя из ваших целей обработки. Вы можете лучше всего судить, как долго вам это нужно.
Вы также должны иметь возможность обосновать, почему вам необходимо хранить личные данные в форме, позволяющей идентифицировать людей. Если вам не нужно идентифицировать людей, вы должны анонимизировать данные, чтобы идентификация была невозможна.
Например:
- Вы должны учитывать заявленные вами цели обработки персональных данных. Вы можете хранить их до тех пор, пока применима одна из этих целей, но вы не должны хранить данные бесконечно «на всякий случай» или если существует лишь небольшая вероятность того, что вы будете их использовать.
Пример
Банк хранит персональные данные о своих клиентах. Сюда входят сведения об адресе, дате рождения и девичьей фамилии матери каждого покупателя.Банк использует эту информацию в рамках своих процедур безопасности. Банку целесообразно хранить эти данные до тех пор, пока у клиента есть счет в банке. Даже после закрытия счета банку может потребоваться сохранить часть этой информации по юридическим или оперативным причинам в течение дополнительного установленного времени.
Пример
Банку может потребоваться сохранить изображения из системы видеонаблюдения, установленной для предотвращения мошенничества в банкомате, в течение нескольких недель, поскольку подозрительная транзакция может не обнаружиться, пока жертва не получит выписку из банка.Напротив, пабу может потребоваться сохранить изображения из своей системы видеонаблюдения только на короткий период, потому что инциденты будут обнаруживаться очень быстро. Однако, если о преступлении будет сообщено в полицию, в пабе необходимо будет хранить изображения, пока полиция не успеет их забрать.
Пример
Агентство по розыску хранит личные данные о должнике, чтобы оно могло найти это лицо от имени кредитора. После того, как оно нашло физическое лицо и сообщило кредитору, может отпасть необходимость в сохранении информации о должнике — агентство должно удалить ее из своих систем, если нет веских причин для ее сохранения.Например, если агентство также попросили взыскать долг от имени кредитора.
- Вам следует подумать, нужно ли вам вести учет отношений с отдельным лицом после их окончания. Возможно, вам не потребуется удалять все личные данные по окончании отношений. Возможно, вам потребуется сохранить некоторую информацию, чтобы вы могли подтвердить, что отношения существовали и что они закончились, а также некоторые их детали.
Пример
Компании может потребоваться сохранить некоторые личные данные о предыдущем клиенте, чтобы иметь возможность рассматривать любые жалобы клиента на предоставленные услуги.
Пример
Работодатель должен проверить свои личные данные о сотруднике, когда они увольняются с работы в организации. Потребуется хранить достаточно данных, чтобы организация могла иметь дело, например, с предоставлением справок или пенсионными соглашениями. Тем не менее, он должен удалить из своих записей личные данные, которые вряд ли понадобятся ему снова, например, контактные данные сотрудника в чрезвычайных ситуациях, предыдущие адреса или данные получателя помощи в случае смерти на службе.
Пример
Компания получает уведомление от бывшего клиента с требованием прекратить обработку персональных данных клиента для прямого маркетинга. Для бизнеса целесообразно хранить достаточно информации о бывшем клиенте, чтобы прекратить включать этого человека в будущую деятельность по прямому маркетингу.
- Вам следует подумать, нужно ли вам хранить информацию для защиты возможных будущих судебных исков. Однако вы все равно можете удалить информацию, которая не может иметь отношения к такой претензии.Если нет других причин для их хранения, личные данные должны быть удалены, когда такая претензия больше не может возникать.
Пример
Работодатель получает несколько заявлений о приеме на работу. Если для этого нет четкой деловой причины, работодатель не должен вести записи о приеме на работу неудачных кандидатов сверх установленного законом периода, в течение которого может быть подана претензия, вытекающая из процесса приема на работу.
- Вам следует учитывать любые законодательные или нормативные требования.Существуют различные юридические требования и профессиональные инструкции по ведению определенных видов записей, таких как информация, необходимая для целей налогообложения и аудита, или информация по аспектам здоровья и безопасности. Если вы храните личные данные в соответствии с подобным требованием, будет считаться, что вы храните информацию дольше, чем необходимо.
- Вам следует принять во внимание любые соответствующие отраслевые стандарты или рекомендации. Например, мы договорились, что кредитным агентствам разрешено хранить данные о потребительских кредитах в течение шести лет.Отраслевые руководства являются хорошей отправной точкой для стандартных сроков хранения и, вероятно, предполагают продуманный подход. Однако они не гарантируют соблюдения. Вы все равно должны уметь объяснять, почему эти периоды оправданы, и держать их в поле зрения.
Вы должны помнить о пропорциональном подходе, уравновешивая свои потребности с влиянием удержания на конфиденциальность отдельных лиц. Не забывайте, что хранение ваших данных всегда должно быть справедливым и законным.
Когда следует проверять удержание?
Вам следует проверить, нужны ли вам личные данные в конце любого стандартного периода хранения, и стереть или обезличить их, если нет четкого обоснования для их более длительного хранения.Автоматизированные системы могут помечать записи для просмотра или удалять информацию по истечении заранее определенного периода. Это особенно полезно, если у вас много записей одного типа.
Также рекомендуется регулярно проверять хранение ваших личных данных перед этим, особенно если стандартный период хранения является длительным или существует потенциальная возможность значительного воздействия на людей.
Если у вас нет установленного срока хранения личных данных, вы должны регулярно проверять, нужны ли они вам.
Однако не существует твердого правила относительно того, насколько регулярными должны быть эти проверки. Ваши ресурсы могут быть здесь важным фактором наряду с риском конфиденциальности для отдельных лиц. Важно помнить, что вы должны иметь возможность обосновать свое удержание и то, как часто вы его просматриваете.
Вы также должны проверить, нужны ли вам личные данные, если об этом попросит физическое лицо. Физические лица имеют абсолютное право на удаление личных данных, которые вам больше не нужны для указанных вами целей.
Что нам делать с личными данными, которые нам больше не нужны?
Вы можете стереть (удалить) его или сделать его анонимным.
Вы должны помнить, что существует значительная разница между окончательным удалением личных данных и их отключением. Если личные данные хранятся в автономном режиме, это должно снизить их доступность и снизить риск неправильного использования или ошибки. Однако вы по-прежнему обрабатываете личные данные. Вы должны хранить его в автономном режиме (а не удалять), только если вы все еще можете оправдать его хранение.Вы должны быть готовы отвечать на запросы тематического доступа к персональным данным, хранящимся в автономном режиме, и при этом соблюдать все остальные принципы и права.
Слово «удаление» может означать разные вещи в отношении электронных данных, и мы понимаем, что не всегда можно удалить или стереть все следы данных. Ключевой вопрос заключается в том, чтобы гарантировать, что данные не будут использоваться. Если уместно удалить личные данные из действующей системы, вы также должны удалить их из любой резервной копии информации в этой системе.
Дополнительная литература
Мы подготовили подробное руководство по вопросам, связанным с удалением в соответствии с Законом 1998 года. В свое время он будет обновлен для GDPR Великобритании, но тем временем по-прежнему предлагает полезные рекомендации по практическим вопросам, связанным с удалением:
Удаление личных данных
В качестве альтернативы вы можете анонимизировать данные, чтобы они больше не были «в форме, позволяющей идентифицировать субъектов данных».
Псевдонимизированные персональные данные, например с использованием ключевого кода, обычно позволяют идентифицировать личность.Псевдонимизация может быть полезным инструментом для соблюдения других принципов, таких как минимизация данных и безопасность, но принцип ограничения хранилища по-прежнему применяется.
Как долго мы можем хранить личные данные для архивных, исследовательских или статистических целей?
Вы можете хранить личные данные на неопределенный срок, если вы держите их только для:
- для целей архивирования в общественных интересах;
- научных или исторических исследовательских целей; или
- статистических целей.
Хотя общее правило заключается в том, что вы не можете хранить личные данные бесконечно «на всякий случай», они могут быть полезны в будущем, есть встроенное исключение, если вы храните их для этих архивных, исследовательских или статистических целей.
У вас должны быть соответствующие меры безопасности для защиты людей. Например, в некоторых случаях может быть уместна псевдонимизация.
Это должно быть вашей единственной целью. Если вы оправдываете бессрочное хранение на этом основании, вы не можете впоследствии использовать эти данные для других целей — в частности, для любых решений, затрагивающих конкретных лиц.Это не мешает другим организациям получать доступ к публичным архивам, но они должны гарантировать, что их собственный сбор и использование личных данных соответствует принципам.
Как это применимо к обмену данными?
Если вы делитесь личными данными с другими организациями, вы должны согласовать между собой, что произойдет, когда вам больше не нужно будет делиться этими данными. В некоторых случаях может быть лучше вернуть общие данные в организацию, которая их предоставила, без сохранения копии. В других случаях все вовлеченные организации должны удалить свои копии личных данных.
Пример
Персональные данные о клиентах компании A передаются компании B, которая ведет переговоры о покупке бизнеса компании A. Компании принимают меры к тому, чтобы Компания Б сохраняла конфиденциальность информации и использовала ее только в связи с предполагаемой транзакцией. Продажа не проводится, и Компания B возвращает информацию о клиенте компании A без сохранения копии.
Каждой организации, участвующей в инициативе по обмену информацией, может потребоваться установить свои собственные периоды хранения, поскольку у некоторых могут быть веские причины для хранения личных данных дольше, чем у других.Однако, если все вы храните данные только для целей инициативы по совместному использованию данных и они больше не нужны для этой инициативы, то все организации, у которых есть копии информации, должны удалить их.
10 новых законов о конфиденциальности во всем мире и их влияние на вашу аналитику
Полное название : Регламент Европейского парламента и Совета относительно уважения частной жизни и защиты личных данных в электронных сообщениях и отмена Директива 2002/58 / EC (Положение о конфиденциальности и электронных коммуникациях).
Дата вступления в силу : все еще неизвестно, но не ранее 2023 года. Совет и Европейский парламент в настоящее время обсуждают условия окончательного текста. Пока неясно, будет ли закон применяться в его нынешней форме, поскольку он подвергся резкой критике со стороны властей ЕС, в том числе Федерального комиссара Германии по защите данных и свободе информации (BfDI).
Закон вступит в силу через 20 дней после его опубликования и начнет применяться через два года после этого.
На кого повлияет постановление о конфиденциальности в Интернете?
В случае принятия последний проект будет применяться к обработке персональных данных с использованием электронной связи. Он будет охватывать:
- Провайдеры услуг электронной связи
- Провайдеры общедоступных справочников
- Те, кто используют услуги электронной связи для отправки прямых маркетинговых коммерческих сообщений
- Те, кто обрабатывает и хранит данные в терминальном оборудовании пользователей
- Те, кто собирает информацию, обработанную, отправленную на терминальном оборудовании конечных пользователей или хранится в нем.
Что такое терминальное оборудование конечных пользователей?
Это означает устройство, используемое в качестве источника или назначения данных (например,г. компьютер, сервер или IoT-устройство). Действия, которые связаны с оконечным оборудованием пользователей, включают, например:
- Размещение файлов cookie или использование отпечатков пальцев устройства для показа рекламы на основе интересов или персонализации содержимого веб-сайта
- Сбор данных с устройств Интернета вещей в маркетинговых целях
- Использование основных файлов cookie для получения информации об использовании страницы и обеспечения ее надлежащего функционирования
Это означает, что закон затрагивает большинство организаций, которые имеют дело с пользовательскими данными, полученными посредством электронного сбора данных.
Постановление имеет экстерриториальное действие. Он защищает данные жителей ЕС независимо от того, где происходит сбор и обработка.
Каковы будут ваши основные обязательства в соответствии с текущим проектом ePrivacy?
По сравнению с предыдущими предложениями, последний проект Регламента электронной конфиденциальности менее строг и подробен. Тем не менее, он по-прежнему охватывает несколько типов электронной обработки данных. В этой статье мы сосредоточимся на частях, связанных с маркетингом и аналитикой.
Файлы cookie и согласие
Новая версия закона поддерживает согласие как один из столпов конфиденциальности пользователей в Интернете. Однако, по сравнению с предыдущими версиями закона, он ослабляет ограничения на получение согласия.
Наиболее важные договоренности относительно согласия и файлов cookie включают:
1. Разрешение доступа к личным данным на устройствах пользователей без разрешения
В текущей версии закон позволяет поставщикам услуг получать доступ к личным данным на устройствах пользователей для выполнение контракта.В предыдущей версии такой доступ разрешался только там, где это было технически необходимо . Таким образом, положение становится более двусмысленным и оставляет место для толкования того, что необходимо для выполнения контракта.
2. Исключение согласия для аналитических файлов cookie
Согласно новому проекту, использование файлов cookie для простого измерения аудитории не требует согласия пользователя, «если это необходимо с единственной целью измерения аудитории, при условии, что такое измерение проводится. от поставщика услуги, запрошенной конечным пользователем, или третьей стороной ».Такие файлы cookie, обычно называемые аналитическими файлами cookie, могут использоваться без предварительного согласия.
3. Нечеткое руководство по сбору личных данных для повышения эффективности предоставляемых услуг
В предлагаемом проекте указано, что для сбора статистики для измерения производительности веб-сайта согласие не требуется. Даже использование пикселей отслеживания для измерения рекламы не требует разрешения пользователя, при условии, что файлы cookie будут использоваться не для сбора личных данных, а для сбора статистических данных.
Это правило не распространяется на какие-либо действия по ремаркетингу или активации данных, осуществляемые с использованием личных данных.
4. Мягкое «да» для стен cookie
Текущий проект вводит менее строгие правила в отношении предоставления доступа к информации или услугам на основе согласия пользователей. Это позволяет компаниям создавать различные предложения для пользователей в соответствии с их выбором конфиденциальности:
Требование […] согласия обычно не считается лишением конечного пользователя подлинного выбора, если конечный пользователь может выбирать между услугами, на основе ясной, точной и удобной для пользователя информации о целях файлов cookie и аналогичных методов […]
5. Нет решения для глобальных предпочтений конфиденциальности, выраженных в настройках браузера
В новой версии проекта конечные пользователи могут дать согласие на использование определенных типов файлов cookie только путем внесения одного или нескольких поставщиков в белый список в настройках своего браузера:
Там, где это возможно и технически осуществимо, конечный пользователь может предоставить через настройки программного обеспечения согласие определенному поставщику на использование возможностей обработки и хранения оконечного оборудования для одной или нескольких конкретных целей в рамках одной или нескольких конкретных услуг этого поставщика. .
Предыдущая версия в уже удаленных статьях 9 и 10 предлагала несколько более удобных для пользователя решений. Он предложил заменить модальные окна согласия и всплывающие окна юридически обязательными сигналами, настроенными пользователями.
6. Работа с метаданными без согласия пользователей
Проект постановления открывает возможность обработки метаданных пользователей даже без их согласия. Объем метаданных в текущей версии Регламента электронной конфиденциальности следующий:
«Метаданные электронных коммуникаций» означают данные, обрабатываемые с помощью служб электронной связи для целей передачи, распространения или обмена содержанием электронных коммуникаций; включая данные, используемые для отслеживания и идентификации источника и назначения сообщения, данные о местоположении устройства, созданного в контексте предоставления услуг электронной связи, и дату , время, продолжительность и тип связи .
Согласно тексту, вы можете использовать этот тип данных для статистических целей и других целей, для которых вы не собирали их изначально, если вы зашифровали или псевдонимизировали их. В отличие от этого, вот что GDPR говорит об обязательствах, связанных с обработкой псевдонимных данных:
Принципы защиты данных должны применяться к любой информации, касающейся идентифицированного или идентифицируемого физического лица. Псевдонимизированные персональные данные, которые могут быть отнесены к физическому лицу с использованием дополнительной информации, следует рассматривать как информацию об идентифицируемом физическом лице.
Источник: статья 26 Общего регламента по защите данных
Внесенные изменения вызвали обеспокоенность у органов по защите данных и активистов, в том числе у Panoptykon Foundation, польской неправительственной организации, основной целью которой является защита основных свобод и прав человека. В открытом письме Panoptykon раскритиковал проект за то, что он не защищает пользователей от отслеживания, что позволяет принуждать пользователей к согласию и возлагает на них бремя контроля конфиденциальности. Он призвал Европейский парламент закрыть лазейки и серые зоны в законе и привести его в соответствие со стандартами защиты, предусмотренными GDPR.
Вы можете прочитать письмо полностью здесь.
Штрафы за несоблюдение
ePrivacy устанавливает те же штрафы, что и описанные в GDPR — от 10 млн евро или 2% годового оборота до 20 млн евро или 4% годового оборота, в зависимости от серьезности нарушения. Подробное описание штрафов дано в статье 23 проекта.
Как Индия планирует защитить данные потребителей
Правительство Индии собирается принять Закон о защите личных данных (DPB), который будет контролировать сбор, обработку, хранение, использование, передачу, защиту и раскрытие личных данных жителей Индии.Несмотря на свой региональный характер, DPB — важное событие для глобальных менеджеров. Ожидается, что к 2022 году цифровая экономика в Индии достигнет оценки в 1 триллион долларов, и это привлечет множество глобальных игроков, которые должны соблюдать DPB.
Индия следовала Общему регламенту ЕС по защите данных (GDPR), разрешив глобальным цифровым компаниям вести бизнес при определенных условиях, вместо того, чтобы следовать изоляционистским рамкам китайского регулирования, которые не позволяют глобальным игрокам, таким как Facebook и Google, работать в пределах ее границ.Тем не менее, в индийском DPB есть дополнительные положения, выходящие за рамки правил ЕС. Поскольку Индия является национальным государством, она будет обрабатывать данные, созданные ее гражданами, как национальный актив , хранить и охранять их в пределах национальных границ и оставляет за собой право использовать эти данные для защиты своей обороны и стратегических интересов.
Есть ряд особенностей DPB, которые потребуют от компаний изменения своих бизнес-моделей, методов и принципов. Многие другие добавят эксплуатационные расходы и сложность.Вопросы, которые мы здесь поднимаем, служат руководством к тому, что предприятиям следует помнить о новых правилах Индии и ужесточении правил защиты данных во всем мире. Понимание этих вопросов поможет цифровым компаниям планировать будущее, учитывать будущие правила и решать, выходить или выходить на определенные рынки.
Конфиденциальность как основное право: В 2017 году Верховный суд Индии постановил, что конфиденциальность является конституционным правом граждан Индии. Однако каждый гражданин оставляет видимый след личных данных во время навигации в цифровом мире.DPB намеревается защищать и охранять права граждан на неприкосновенность частной жизни, контролируя сбор, безопасность, хранение, продажу и использование этих данных. Новое регулирование повлияет на анализ затрат и выгод для многих цифровых фирм, которые часто теряют деньги, предлагая бесплатные услуги, но стремятся получить прибыль от продажи и использования личных данных клиентов. Многим из этих цифровых фирм придется переосмыслить свои бизнес-модели, если они больше не смогут собирать, использовать, сохранять и продавать пользовательские данные так же прибыльно, как раньше.
Согласие пользователя: DPB требует, чтобы цифровая компания получила явное разрешение от пользователя перед сбором его личных данных. При этом он должен объяснять объем и цель сбора данных. Явное разрешение также должно быть получено на каждом этапе последующей обработки данных. Соблюдение этого положения может быть непростым, поскольку цифровые компании не только собирают персональные данные, но и обрабатывают эти данные для создания новой информации, которая не принадлежит первоначальному пользователю.Например, Uber определяет шаблоны трафика, а Amazon анализирует отзывы об отдельных транзакциях. Кроме того, необработанные данные могут быть переданы стороннему процессору данных для анализа, создавая новую информацию вместе с данными, полученными от других сборщиков данных. Компаниям придется переосмыслить свои операционные процедуры для отслеживания и безопасности данных, а также выяснить, нужно ли, когда и как получать разрешения пользователей. Цифровые компании теперь становятся «хранителями данных», как определено в DPB, вместо того, чтобы быть простыми сборщиками данных, когда они берут на себя ответственность за получение разрешения пользователя как на первоначальный сбор, так и на последующую обработку пользовательских данных.
Право собственности на личные данные: В принципе DPB предлагает, чтобы поставщик данных был владельцем их личных данных. Хотя эта идея проста, она может стать огромным бременем для внедрения цифровых компаний. В физическом мире владелец собственности может потребовать возврата своей собственности. Компании в цифровом мире должны будут выяснить, как выполнить это требование, когда пользователь требует удалить или отозвать свои личные данные из цифровой компании — например, когда человек запрашивает удаление всей своей информации после того, как они перестают существовать. участник Facebook.Цифровым компаниям также придется думать не только о собственном хранении и использовании данных, поскольку они могли продать данные третьей стороне.
Три класса данных: DPB определил три категории данных, по которым можно идентифицировать принципала: Конфиденциальные данные включают информацию о финансах, здоровье, сексуальной ориентации, генетике, статусе трансгендера, касте и религиозных убеждениях. Критические данные включают информацию, которую правительство время от времени определяет как чрезвычайно важную, такую как данные о военных или национальной безопасности.Третий — это общая категория , которая не определена, но содержит остальные данные. DPB предписывает особые требования, которым доверенные лица должны соблюдать при хранении и обработке для каждого класса данных.
Все конфиденциальные и важные данные должны храниться на серверах, расположенных в Индии. Конфиденциальные данные могут обрабатываться извне, но должны быть возвращены в Индию для хранения. Критические данные вообще нельзя вывозить из страны. Для общих данных ограничений нет.Цифровые компании в настоящее время работают в едином кибер-мире, где они в основном хранят и обрабатывают свои данные там, где это экономически наиболее эффективно. Это географическое разделение, предложенное DPB, приведет к дополнительным расходам для цифровых компаний, может привести к неэкономичным ресурсам хранения и обработки данных и может привести к тому, что некоторые называют «сплинтернетом», или к фрагментации глобальных цифровых цепочек поставок.
Суверенитет данных: DPB оставляет за собой право доступа к локально хранимым данным для защиты национальных интересов.Это означает, что DPB будет рассматривать данные граждан как национальный актив , что ничем не отличается от контроля над физическим имуществом граждан. В этом отношении DPB отличается от GDPR, который не предъявляет требований к локальному хранению данных или преимущественного доступа к данным для защиты национальных интересов. В настоящее время цифровые компании практически владеют данными до тех пор, пока они могут решать проблемы конфиденциальности и выполнять требования согласия пользователей. Одно из следствий новой политики состоит в том, что, когда правительство требует данные своих граждан, в случае иностранных атак и слежки, цифровые компании должны будут подчиняться политике правительства Индии в области обороны и поддерживать ее.
Национальные интересы: Делая большой упор на неприкосновенность частной жизни граждан, DPB в некоторых случаях игнорирует права на неприкосновенность частной жизни. В нем говорится: «Все или какие-либо положения этого Закона не распространяются на какое-либо правительственное учреждение в отношении обработки таких персональных данных…» То есть различные организации государственного сектора правительства Индии не будут требовать согласия отдельных лиц. для получения своих личных данных при реагировании на меры безопасности государства, обнаружении любой незаконной деятельности или мошенничества, а также при чрезвычайных эпидемиях и медицинских ситуациях.Эти данные могут потребоваться у цифровых компаний. Кроме того, правительство может дать указание цифровой компании предоставить неличные или анонимные данные для целей исследования или планирования. Критики утверждают, что эти данные могут быть потенциально использованы правительством для непреднамеренных целей, например для политического наблюдения. Другие утверждают, что анонимные данные можно легко деанонимизировать. Цифровым компаниям, возможно, придется изменить свою политику, чтобы соответствовать этим требованиям. Вспомните отказ Apple разблокировать iPhone для расследования ФБР.Спорный вопрос, сможет ли Apple отклонить этот запрос в рамках DPB.
Контрольный тег : DPB требует, чтобы все цифровые компании идентифицировали своих пользователей и помечали их по трем категориям, чтобы уменьшить троллинг (например, анонимный пользователь или бот, пытающийся спровоцировать насилие, публикуя подстрекательские комментарии): Пользователи, которые подтвердили свою регистрацию и отображать настоящие имена; пользователи, которые прошли подтвержденную регистрацию, но сохранили анонимность своих имен; и пользователи, которые не подтвердили регистрацию.Это будет первое в своем роде регулирование в глобальных социальных сетях. Это означает, что цифровые компании должны внедрить процедуры для сбора и проверки подлинности своих пользователей. Обратите внимание, что Facebook имеет более 100 миллионов поддельных учетных записей и сталкивается с дилеммой: продолжать как есть, пытаться проверить их или удалить эти учетные записи.
Соблюдение и исполнение: DPB предлагает высокие штрафы за несоблюдение. В случае утечки данных или бездействия доверенного лица при утечке данных или незначительном нарушении штрафы могут достигать 700 000 долларов США или 2% от общей выручки компании, в зависимости от того, что больше.За серьезные нарушения, такие как передача данных без согласия, штраф удваивается. Эти штрафы, которые основаны на общем доходе транснациональных корпораций в размере , и потенциальные сроки тюремного заключения для сотрудников цифровых компаний означают, что к правилам DPB нельзя относиться легкомысленно. Его положения должны соблюдаться для ведения бизнеса в Индии.
Налогообложение цифровых компаний: Как мы отмечали в предыдущей статье, транснациональные цифровые компании могут легко переводить свои доходы в налоговые убежища и избегать уплаты налогов местным органам власти, не опасаясь конфискации своей собственности.Физический контроль над данными и страх перед штрафными санкциями могут дать индийскому правительству дополнительные рычаги воздействия на сбор налогов и сборов с цифровых компаний. Это снизит вероятность того, что цифровые компании уйдут с рук, заплатив небольшие налоги местным органам власти или не заплатив их вовсе.
Другие вопросы: DPB применяется ко всем предприятиям, которые собирают личные данные, а не только к цифровым предприятиям. Например, John Deere собирает и обрабатывает данные, полученные от сельскохозяйственного оборудования.Применимо ли DPB к тракторам с датчиками, принадлежат ли собранные данные фермерам и как распределяются выгоды от фермерских данных, становится спорным.
На наш взгляд, в Индии существует острая необходимость в регулировании защиты данных, и лучше иметь его, пусть даже немного некорректный, чем не иметь. Этот законопроект — хороший первый шаг в обеспечении общих принципов регулирования, и мы надеемся, что подробные законы и постановления будут и дальше дорабатываться, как это произошло со стандартами безопасности автомобилей, которые развивались с начала -х годов века.
Когда DPB вступит в силу, принципы регулирования защиты данных станут аналогичными в ЕС, Калифорнии, Канаде и Индии. Компания, которая учится соблюдать правила одной юрисдикции, легко может соблюдать правила другой. Единые стандарты, подобные ISO 9000, будут способствовать развитию мировой торговли. Упорядоченный цифровой рынок будет беспроигрышным вариантом для граждан, наций и транснациональных корпораций.
Китай ограничивает обмен корпоративными и личными данными внутри страны в соответствии с новым законодательством
17 июня 2021 г.
Нажмите, чтобы открыть PDF
Китайская Народная Республика ограничивает извлечение корпоративных и личных данных, связанных с судебными разбирательствами и расследованиями, из Китая — и это может затруднить работу истцов и субъектов расследования в будущем.В соответствии с новым законом о безопасности данных, принятым в конце прошлой недели, и предстоящим законом о защите личной информации Китай намерен ограничить обмен широкими массами личных и корпоративных данных за пределами своих границ. Оба закона требуют, чтобы компании получали одобрение еще не идентифицированного подразделения правительства Китая, прежде чем предоставлять данные некитайским судебным или правоохранительным органам. Как подробно описано ниже, эти законы могут иметь далеко идущие последствия для компаний и частных лиц, стремящихся предоставить данные иностранным судам или правоохранительным органам в контексте государственных расследований или судебных разбирательств, и, по всей видимости, расширяют ограничения на передачу данных, установленные в других недавних китайских законах. .[1]
Закон Китайской Народной Республики о безопасности данных
10 июня 2021 года Всекитайское собрание народных представителей приняло Закон о безопасности данных, который вступит в силу 1 сентября 2021 года. Закон содержит широкие требования и суровые наказания за нарушения. Он регулирует не только обработку и управление данными внутри Китая, но и за пределами Китая, которые «наносят ущерб национальной безопасности, общественным интересам или законным интересам граждан и организаций [Китая].”[2]
Закон о безопасности данных обычно требует, чтобы юридические и физические лица, работающие в Китае, внедряли системы, предназначенные для защиты данных внутри страны. Например, организации, которые обрабатывают «важные» данные — термин, еще не определенный в уставе, — должны назначить персонал, ответственный за безопасность данных, и проводить оценки для мониторинга потенциальных рисков [3]. Китайские власти могут наложить штрафы до 500 000 юаней (примерно 78 000 долларов США) и потребовать корректирующих действий, если организация не выполняет эти требования.[4] Если организация не может принять необходимые корректирующие меры после получения предупреждения и / или ее неспособность внедрить адекватные меры контроля приведет к крупномасштабной утечке данных, на нее может быть наложен штраф в размере до 2 миллионов юаней (приблизительно 313000 долларов). В этих обстоятельствах власти также могут отозвать лицензии на ведение бизнеса у организации-нарушителя и наложить штрафы на ответственных лиц [5].
Закон о безопасности данных также гласит, что «нарушение национальной системы управления ключевыми данными или создание угрозы национальному суверенитету, безопасности и интересам развития Китая» карается дополнительным штрафом до 10 миллионов юаней (примерно 1 доллар США.56 миллионов), приостановление деятельности, отзыв бизнес-лицензий и, в особо тяжелых случаях, уголовная ответственность [6]. Закон о безопасности данных определяет «основные данные» в широком смысле и включает «данные, относящиеся к национальной безопасности, национальной экономике, благосостоянию людей и основным общественным интересам» [7]
.В частности, статья 36 Закона о безопасности данных запрещает «предоставлять данные, хранящиеся в Китайской Народной Республике, иностранным судебным или правоохранительным органам без разрешения компетентного органа Китайской Народной Республики.[8] Закон не определяет «компетентный орган» и не описывает процесс утверждения. Неполучение этого предварительного разрешения может повлечь за собой наложение штрафа в размере до 1 000 000 юаней (примерно 156 000 долларов США), а также дополнительных штрафов для ответственных лиц [9]. Хотя в Законе о безопасности данных обсуждаются различные категории охватываемых данных в другом месте законодательного текста — например, со ссылкой на «основные данные», описанные выше [10], — статья 36 в том виде, в каком она написана, по-видимому, применима к передаче любых данные, независимо от предмета и секретности, при условии, что они хранятся в Китае.Окончательный текст закона также включает дополнительные, более суровые наказания за серьезные нарушения, которые не были включены в предыдущие проекты, в том числе штраф в размере до 5 миллионов юаней (примерно 780 000 долларов США), приостановление деловых операций, отзыв бизнес-лицензий, а также повышенные штрафы для ответственных лиц. Однако статут не определяет, какие нарушения будут считаться «серьезными».
Хотя юридическое сообщество в Китае и за его пределами обязательно обратится за дополнительными указаниями к китайскому правительству, неясно, выпустит ли китайское правительство имплементационные постановления или другие руководящие материалы до 1 сентября 2021 года, когда закон вступит в силу.Для справки: с момента принятия закона в 2018 году китайское правительство не выпустило дополнительных указаний по Закону о международной уголовной судебной помощи, который запрещает, среди прочего, несанкционированное сотрудничество широкого характера с иностранными уголовными властями. учитывая, что безопасность и конфиденциальность данных являются одними из приоритетных направлений Пекина, вполне возможно, что китайское правительство выпустит постановления, законодательные толкования или инструкции, чтобы прояснить некоторые ключевые требования в Законе о безопасности данных.
Закон Китайской Народной Республики о защите личной информации
29 апреля 2021 г. Китай выпустил второй проект своего Закона о защите личной информации, который направлен на создание правовой базы, аналогичной Общим правилам защиты данных Европейского Союза («GDPR»). Проект Закона о защите личной информации, если он будет принят, будет применяться к «объектам обработки личной информации (« PIPE »)», определяемым как «организация или физическое лицо, которые независимо определяют цели и средства обработки личной информации.»[11] В проекте Закона о защите личной информации обработка определяется как« сбор, хранение, использование, уточнение, передача, предоставление или публичное раскрытие личной информации ». [12] В проекте Закона о защите личной информации также определяется« личная информация » в широком смысле как «различные типы электронной или иным образом записанной информации, относящейся к идентифицированному или идентифицируемому физическому лицу», но исключает анонимную информацию. [13]
Проект Закона о защите личной информации требует, чтобы компании PIPE, обрабатывающие определенные объемы личных данных, принимали меры защиты, такие как назначение сотрудника по защите личной информации, ответственного за надзор за обработкой соответствующих данных.[14] ТРУБЫ также должны будут проводить оценку рисков до обработки определенной личной информации и проводить регулярные аудиты. [15]
В соответствии со статьей 38 проекта Закона о защите личной информации Управление киберпространства Китая («CAC») предоставит стандартный контракт для PIPE, чтобы ссылаться на него при заключении контрактов с получателями данных за пределами Китая. Проект Закона о защите личной информации предусматривает, что PIPE могут передавать личную информацию за границу только в том случае, если PIPE: (1) проходит оценку безопасности, проводимую CAC; (2) получает сертификат профессиональных организаций в соответствии с правилами CAC; (3) заключает соглашение о передаче с получателем, используя стандартный договор, опубликованный CAC; или (4) соблюдает другие условия, установленные законом, административными постановлениями или CAC.[16] Как и в Законе о безопасности данных, в проекте Закона о защите личной информации это требование не уточняется, в том числе, какие типы сертификатов удовлетворяют требованиям статьи 38 или какие «другие условия установлены законом, административными постановлениями или CAC. »Повлечь за собой.
Подобно статье 36 Закона о безопасности данных, статья 41 проекта Закона о защите личной информации запрещает предоставление личных данных судебным или правоохранительным органам за пределами Китая без предварительного разрешения компетентных органов Китая.[17] Однако, как и в случае с Законом о безопасности данных, ни «компетентный орган Китая», ни процесс утверждения не определены.
Проект Закона о защите личной информации не содержит штрафов, конкретно связанных со статьей 41, но содержит общие положения о наказаниях в статье 65, которые включают конфискацию незаконных доходов и базовый штраф в размере до 1 миллиона юаней (приблизительно 156 000 долларов США) за компаний и от 10 000 до 100 000 юаней (приблизительно от 15 600 до 156 000 долларов США) для ответственных лиц.[18] «Серьезные нарушения», которые не определены в уставе, могут быть наказуемы штрафом до 50 миллионов юаней (примерно 7,8 миллиона долларов) или до пяти процентов годового дохода компании за предыдущий финансовый год, а также штрафы в размере от 100 000 до 1 миллиона юаней (примерно от 156 000 до 1,56 миллиона долларов) для ответственных лиц. Кроме того, компании, нарушившие Закон о защите личной информации, могут быть лишены разрешения на ведение бизнеса или полностью приостановлены.
Закон о безопасности данных и Закон о защите личной информации в контексте
Закон о безопасности данных и, если он будет принят, Закон о защите личной информации добавят к растущему списку китайских законов, которые ограничивают предоставление данных иностранным правительствам. Например:
- Международный закон о правовой помощи в уголовном судопроизводстве запрещает юридическим и физическим лицам в Китае предоставлять иностранным правоохранительным органам доказательства, материалы или помощь в связи с уголовными делами без согласия правительства Китая.[19]
- Статья 177 китайского Закона о ценных бумагах (редакция 2019 г.) запрещает «иностранным регулирующим органам напрямую проводить расследования и собирать доказательства» в Китае и ограничивает китайские компании от передачи документов, связанных с их деятельностью с ценными бумагами, за пределы Китая, если они не получат предварительного разрешения от Комиссия по регулированию ценных бумаг Китая.
- Недавно выпущенный проект поправки к китайскому Закону о борьбе с отмыванием денег содержит требования о раскрытии и предварительном одобрении для китайских компаний, отвечающих на запросы данных от иностранных регулирующих органов.
- Как ранее сообщал Гибсон Данн, Правила о противодействии неоправданному экстерриториальному применению иностранного законодательства и других мер , выпущенные Министерством торговли КНР в январе 2021 года, устанавливают механизм, позволяющий правительству определять конкретные иностранные законы как « необоснованные экстерриториальные заявки », и впоследствии наложить запрет на соблюдение этих иностранных законов.
Однако Закон о безопасности данных и проект Закона о защите личной информации, по-видимому, превосходят эти предыдущие запреты в нескольких ключевых отношениях.В отличие от Закона о международной судебной помощи в уголовных делах, например, Закон о безопасности данных и проект Закона о защите личной информации не требуют предоставления данных в контексте уголовного расследования для применения запретов на передачу. Новые ограничения якобы применяются к передаче данных в связи с гражданскими правонарушениями или расследованиями, например, проводимыми Комиссией по ценным бумагам и биржам США. (Они также могут создать еще одно препятствие для предоставления аудиторских рабочих документов китайскими бухгалтерскими фирмами в SEC и Совет по надзору за бухгалтерским учетом публичных компаний.) Как написано, запреты Закона о безопасности данных и проекта Закона о защите личной информации также будут применяться к китайским сторонам в гражданских тяжбах в иностранных судах, которым может потребоваться представить доказательства в связи с текущими делами. Фактически, нынешняя формулировка может быть прочитана так, чтобы запретить иностранным гражданам, проживающим в Китае, предоставлять информацию о себе своим собственным государственным регулирующим органам, если данные «хранятся в Китае». Закон о безопасности данных не объясняет, когда данные «хранятся в Китае» или как действовать в потенциальных сценариях, в которых юридические или физические лица могут иметь юридическое обязательство предоставлять информацию иностранным судебным или правоохранительным органам.
Закон о безопасности данных, проект закона о защите личной информации и ранее принятые законы, ограничивающие передачу данных, создают большую неопределенность для компаний, работающих в Китае. Поскольку в этих законах не оговаривается процесс получения государственных разрешений, критерии утверждения или ответственное государственное учреждение, компаниям становится все труднее определять, как реагировать на требования иностранных регулирующих органов о предоставлении данных, которые могут храниться в Китае. , проводить внутренние расследования в Китае в контексте текущих правоприменительных мер или расследования, проводимого иностранным правительством, или соблюдать обязательства по раскрытию информации и сотрудничеству в соответствии с различными формами мировых соглашений с иностранными властями, такими как соглашения об отсрочке судебного преследования.Компаниям, рассматривающим возможность самостоятельно сообщать о потенциальных нарушениях законодательства в Китае своим иностранным регулирующим органам, а также сотрудничать в последующих расследованиях, проводимых этими регулирующими органами, также необходимо будет рассмотреть вопрос о том, хранились ли ранее какие-либо соответствующие данные в Китае, и если да, разрешено ли им передавать такие данные иностранным властям без одобрения китайских властей. Новый устав также вызывает озабоченность у организаций, оказывающих профессиональные услуги, таких как юридические фирмы, бухгалтерские и судебно-экспертные фирмы, судебные эксперты и другие, чей рабочий продукт может отражать данные, которые «хранились в Китае».«Новые законы не разъясняют, как они могут применяться к рабочему продукту, который просто основан на, отражает или включает данные, хранящиеся в Китае, и должны ли фирмы, предоставляющие профессиональные услуги, получать одобрение от соответствующих китайских властей, прежде чем делиться таким рабочим продуктом за рубежом. в судебном порядке или в правоохранительных органах.
Gibson Dunn будет продолжать внимательно следить за этими событиями, как и компании, работающие в Китае, чтобы минимизировать риски, связанные с попаданием в тиски несовместимых юридических обязательств.
________________________
[1] Обратите внимание, что обсуждение китайского законодательства в этой публикации носит только рекомендательный характер.
[2] Закон о безопасности данных, ст. 1 и 2.
[3] Закон о безопасности данных, ст. 27, 29, 30.
[4] Закон о безопасности данных, ст. 45
[5] Закон о безопасности данных, ст. 45.
[6] Закон о безопасности данных, ст. 45.
[7] Закон о безопасности данных, ст. 21.
[8] Закон о безопасности данных, ст.36.
[9] Закон о безопасности данных, ст. 48.
[10] Закон о безопасности данных, ст. 21.
[11] Проект Закона о защите личной информации Ст. 4, 72.
[12] Проект Закона о защите личной информации, ст. 4.
[13] Там же.
[14] Проект Закона о защите личной информации, ст. 52.
[15] Проект Закона о защите личной информации, ст. 54, 55.
[16] Проект Закона о защите личной информации, ст.38
[17] Проект Закона о защите личной информации, ст. 41.
[18] Проект Закона о защите личной информации, ст. 65.
[19] Закон о международной помощи в уголовном судопроизводстве, ст. 4.
Следующие юристы Гибсон Данн помогали в подготовке этого обновления для клиентов: Патрик Ф. Стоукс, Оливер Уэлч, Николь Ли, Нин Нин, Келли С. Остин, Джудит Элисон Ли, Адам М. Смит, Джон Д.У. Партридж, Ф. Джозеф Варин, Джоэл М. Коэн, Райан Т. Бергсикер, Стефани Брукер, Джон В.Ф. Чесли, Коннелл О’Нил, Ричард Рёдер, Майкл Скэнлон, Бенно Шварц, Александр Х. Саутвелл и Майкл Уолтер.
ЮристыGibson Dunn готовы помочь в решении любых вопросов, которые могут у вас возникнуть в связи с вышеуказанными событиями. Пожалуйста, свяжитесь с юристом Гибсона Данна, с которым вы обычно работаете, с авторами или с любым из следующих руководителей и членов групп практики по борьбе с коррупцией и FCPA, защите и расследованию белых воротничков, международной торговле и конфиденциальности, кибербезопасности и инновациям в данных :
Азия:
Келли Остин — Гонконг (+852 2214 3788, kaustin @ gibsondunn.com)
Коннелл О’Нил — Гонконг (+852 2214 3812, [email protected])
Оливер Д. Велч — Гонконг (+852 2214 3716, [email protected])
Европа:
Бенно Шварц — Мюнхен (+49 89 189 33 110, [email protected])
Михаэль Вальтер — Мюнхен (+49 89 189 33-180, [email protected])
Ричард В. Родер — Мюнхен (+49 89 189 33-160, [email protected])
США:
Джудит Элисон Ли — Вашингтон, округ Колумбия(+1 202-887-3591, [email protected])
Райан Т. Бергсикер — Денвер (+1 303-298-5774, [email protected])
Стефани Брукер — Вашингтон, округ Колумбия (+1 202-887 -3502, [email protected])
Джон В.Ф. Чесли — Вашингтон, округ Колумбия (+1 202-887-3788, [email protected])
Джоэл М. Коэн — Нью-Йорк (+1 212-351-2664, [email protected])
Джон Д.У. Партридж — Денвер (+1 303-298-5931, [email protected])
Майкл Дж. Скэнлон — Вашингтон, округ Колумбия (+1 202-887-3668, mscanlon @ gibsondunn.com)
Адам М. Смит — Вашингтон, округ Колумбия (+1 202-887-3547, [email protected])
Александр Х. Саутвелл — Нью-Йорк (+1 212-351-3981, [email protected])
Патрик Ф. Стоукс — Вашингтон, округ Колумбия (+1 202-955-8504, [email protected])
Ф. Джозеф Варин — Вашингтон, округ Колумбия (+1 202-887-3609, [email protected])
© 2021 Gibson, Dunn & Crutcher LLP
Реклама адвоката: Прилагаемые материалы были подготовлены только для общих информационных целей и не предназначены для использования в качестве юридической консультации.
Соответствие данных нормам во всем мире
Нравится нам это или нет, но наши личные данные постоянно собираются и часто хранятся в электронном виде. Недавний скандал вокруг Facebook и Cambridge Analytica подчеркивает, насколько уязвимы наши личные данные, а также важность их ответственного обращения и использования.
Три ярких примера законов и постановлений, принятых правительствами и отраслью для защиты личных данных, — это HIPAA, GDPR и PCI-DSS.Но правила, которые следовали по стопам GDPR, такие как CCPA, PIPEDA, POPI и LGPD, также вызывают серьезную озабоченность у предприятий. В этом блоге будут рассмотрены все эти правила безопасности и конфиденциальности данных, а также то, как NetApp Cloud Volumes ONTAP может помочь обеспечить соблюдение этих требований.
GDPR Защита данныхОбщий регламент по защите данных (GDPR) был принят Европейским Союзом с целью углубления и гармонизации правил защиты персональных данных. Теперь, начиная с 25 мая 2018 г., это исчерпывающий и четкий набор руководящих принципов, в которых признается, что разные «разновидности» личных данных требуют разных уровней защиты.Конфиденциальные данные, такие как данные о здоровье, биометрии, генетическом или криминальном анамнезе, подлежат высочайшему уровню защиты. Количество данных также имеет значение, поскольку компании, которые регулярно собирают и обрабатывают большие объемы персональных данных, должны регистрироваться в назначенных правительством органах по защите данных.
GDPR применяется ко всем компаниям, независимо от их местонахождения, которые собирают и обрабатывают персональные данные о резидентах ЕС. Компании, не входящие в ЕС, должны назначить представителя GDPR и нести ответственность за все штрафы и санкции.
Некоторые из ключевых требований GDPR:
- Согласие: организации должны получить согласие на сбор персональных данных, причем уровень согласия зависит от типа собираемых персональных данных.
- Минимизация данных: В ответ на годы бесплатного сбора личных данных приложениями без четкой цели GDPR предусматривает, что организации могут собирать только личные данные, которые четко связаны с четко определенной бизнес-целью.Если организация собирает персональные данные для одной цели, но затем решает, что хочет использовать их для других целей (например, профилирование потребителей), это может рассматриваться как несоблюдение.
- Индивидуальные права: Еще одна ключевая особенность GDPR — это очень четкие права, которые он дает субъектам данных (т. Е. Лицам, чьи личные данные собираются), чтобы понимать, почему их данные собираются и как они обрабатываются. У них есть право возражать, исправлять — и они имеют право быть стертыми / забытыми.Они также имеют право на уведомление (в индивидуальном порядке), если их личные данные были нарушены способом, который может поставить под угрозу их свободы и права.
Одним из самых уникальных аспектов GDPR являются его «зубы» — очень жесткие штрафы за несоблюдение (до 10 миллионов евро или 2% мирового годового оборота, в зависимости от того, что больше) и нарушения (до 20 миллионов евро). или 4% от мирового годового оборота, в зависимости от того, что больше). Столь же болезненным является право органов по защите данных запрещать компании собирать или обрабатывать личные данные во время расследования предполагаемого несоблюдения или нарушения.
CCPA: Закон Калифорнии о конфиденциальности потребителейЗакон Калифорнии о конфиденциальности потребителей (CCPA) сосредоточен на правах потребителей на неприкосновенность частной жизни. CCPA вступает в силу с 1 января 2020 года и вводится в исполнение Генеральным прокурором штата Калифорния. генерируется, например, домашними устройствами Интернета вещей.
Согласно CCPA, потребители будут иметь право знать, какие личные данные собираются или продаются и с какой целью, включая раскрытие информации о предыдущих продажах, начиная с 1 января 2019 года.У них будет право на доступ к данным, запрос на их удаление и отказ от их сбора или продажи. Те, кто реализует эти права на неприкосновенность частной жизни, по-прежнему будут иметь право на равные услуги по той же цене. Потребители также будут иметь право подавать в суд на компании за утечки данных и нарушения конфиденциальности.
Любая организация, которая потенциально может обладать данными жителя Калифорнии, может подпадать под действие правил CCPA, а несоблюдение может повлечь за собой штрафы в размере до 7500 долларов за нарушение.Кроме того, потребители смогут подать в суд на компании за утечку данных о возмещении ущерба в размере от 100 до 750 долларов за запись.
PIPEDA: Защита личной информации и электронные документыЗакон о защите личной информации и электронных документах (PIPEDA), получивший королевское одобрение 13 апреля 2000 г., является канадским федеральным законом о конфиденциальности для организаций частного сектора. Его первоначальная цель заключалась в том, чтобы вызвать доверие к электронной торговле путем регулирования предприятий, которые обрабатывают личную информацию.Это правило применяется к любому частному предприятию в Канаде, которое собирает данные о потребителях в ходе коммерческой деятельности, а также к международным компаниям, нацеленным на канадских клиентов. PIPEDA применяется к данным, собранным об идентифицируемом человеке, таким как имя, возраст, этническая принадлежность, история болезни, мнения, комментарии и семейное положение.
PIPEDA основана на десяти принципах честного информирования, согласно которым предприятия должны получить согласие своих клиентов до сбора данных.Кроме того, они должны поддерживать прозрачную политику в отношении персональных данных и ограничивать сбор данных ясными и конкретными целями. Люди имеют право получать доступ к своим данным и оспаривать их точность. PIPEDA также привлекает организации к ответственности за потерю или кражу данных. С 1 ноября 2018 г. организации, подпадающие под действие PIPEDA, обязаны сообщать о нарушениях безопасности личной информации Уполномоченному по конфиденциальности Канады и лицам, пострадавшим от нарушения. В противном случае может быть наложен штраф до 100 000 канадских долларов.
LGPD: Общий закон Бразилии о защите данныхОбщий закон Бразилии о защите данных (LGPD), который вступит в силу в 2020 году, направлен на дополнение и замену существующего законодательства общим законом о защите данных, который регулирует как государственный, так и частный секторы. Он предназначен не только для защиты личных данных, но и для укрепления экономики Бразилии за счет соответствия международным стандартам, установленным GDPR. LGPD регулирует деятельность любой организации, будь то малый бизнес или транснациональная корпорация, которая собирает личную информацию бразильцев.Защищенные данные включают в себя как данные идентифицируемого лица, так и анонимные данные, на основании которых можно сделать вывод об идентичности или использовать их при профилировании поведения.
Субъекты, подпадающие под действие LGPD, должны назначить сотрудника по защите данных (DPO), который внедряет передовые методы и взаимодействует с ANPD, органом по защите данных Бразилии. Компании также должны обеспечивать безопасность личных данных и уведомлять ANPD о любых потенциально опасных нарушениях данных. Кроме того, потребители будут иметь право знать, с какой целью собираются их данные, и запрашивать их изменение, удаление или передачу.Компании, которые не соблюдают эти правила, будут обязаны платить до 2% от их общего годового дохода в Бразилии или до 50 миллионов бразильских реалов.
Австралийские правила конфиденциальности данныхАвстралийские правила конфиденциальности данных берут свое начало в Законе о конфиденциальности 1988 года, который регулировал обработку личной информации посредством сочетания федеральных законов, законов штата и территорий. Эти правила, соблюдаемые Управлением австралийского комиссара по информации (OAIC), применяются к частному сектору.Их цель — защитить данные потребителей путем обеспечения того, чтобы австралийские компании с оборотом более 3 миллионов австралийских долларов соответствовали определенным стандартам соответствия.
После разработки GDPR и других международных правил Австралия недавно предприняла усилия по обновлению и улучшению своей существующей политики. По состоянию на февраль 2018 года некоторые австралийские компании обязаны в соответствии со схемой уведомляемых утечек данных сообщать в OAIC о вредоносных утечках данных. Кроме того, 26 ноября 2017 года правительство Австралии ввело Право на данные потребителей (CDR), которое позволяет потребителям в энергетическом, телекоммуникационном и банковском секторах получать доступ к своим данным и контролировать, кому они передаются и для каких целей.Нарушение этих правил, установленных Австралийской комиссией по конкуренции и защите прав потребителей (ACCC), может привести к штрафам до 10 миллионов долларов.
POPI: Закон о защите личной информацииЗакон о защите личной информации (POPI) был подписан в Южной Африке 19 ноября 2013 года и, как ожидается, вступит в силу в конце этого года. Его основная цель — защитить личную информацию, собранную в публичной и частной сферах. Согласно POPI, южноафриканские учреждения должны придерживаться набора стандартов соответствия, которые обеспечивают ответственный сбор, хранение, обработку и обмен личной информацией.POPI применяется ко всем южноафриканским компаниям, хотя специально нацелен на организации, которые обрабатывают огромные объемы потребительской информации, такие как банки, медицинские организации и страховые компании. Закон не только защищает людей, но и распространяется на любое юридически признанное лицо, включая компании и сообщества.
В соответствии с протоколом POPI потребители имеют доступ к своим данным, могут запрашивать их удаление или изменение и контролировать, кому они будут предоставлены. Компании обязаны собирать данные по уважительным и прозрачным причинам, сохраняя их только до тех пор, пока это строго необходимо.Более того, они должны придерживаться стандартов обеспечения безопасности; обеспечение того, чтобы данные не были взломаны или скомпрометированы с их стороны или со стороны каких-либо третьих лиц, которые могут обрабатывать данные от их имени. Несоблюдение требований POPI может привести к ущербу репутации, штрафам и тюремному заключению.
Правила конфиденциальности и безопасности HIPAAОсновным мотивом Закона 1996 года о переносимости и подотчетности медицинского страхования (HIPAA) было повышение эффективности здравоохранения и результатов лечения пациентов путем поощрения свободного потока информации о здоровье в США.В то же время эти требования соответствия HIPAA предписывают национальные стандарты по обеспечению конфиденциальности личной медицинской информации. Соблюдение последнего правила конфиденциальности HIPAA является обязательным с апреля 2003 года, а его окончательных Правил безопасности и правоприменения — с апреля 2005 года.
Что такое соответствие HIPAA?
Правила и положения HIPAA применяются ко всем «покрываемым юридическим лицам» — планам здравоохранения, поставщикам медицинских услуг и информационным центрам здравоохранения, которые передают медицинскую информацию в электронной, устной или письменной форме.Это также относится к деловым партнерам покрываемых организаций, то есть к физическим лицам или организациям, с которыми заключен контракт на предоставление услуг, но которые не являются частью персонала покрываемого юридического лица.
Правило конфиденциальности несколько шире, чем правило безопасности, в том смысле, что оно защищает всю «индивидуально идентифицируемую медицинскую информацию», которая либо передается, либо хранится покрываемым юридическим лицом или его деловым партнером в любой форме и на любых носителях — электронном, бумажном или устном. Эта защищенная медицинская информация (PHI) включает в себя информацию, относящуюся к физическому или психическому здоровью или состоянию человека, медицинскому обслуживанию, предоставленному человеку, или оплате за оказание ему медицинской помощи.PHI также включает основную идентифицирующую информацию, такую как имя пациента, дату его рождения, SSN и домашний адрес. В целях поощрения медицинских исследований Правило конфиденциальности не налагает ограничений на использование или передачу обезличенной медицинской информации.
Правило безопасности касается исключительно PHI, которая хранится или передается в электронном виде, или электронной PHI. Как указано в Правиле безопасности, охваченные организации должны применять соответствующие административные, физические и технические меры, чтобы:
- Обеспечивать конфиденциальность, целостность и доступность всей электронной PHI, которую они создают, получают, поддерживают или передают.
- Выявление и защита от ожидаемых угроз безопасности.
- Защищать от разумно ожидаемого, недопустимого использования или разглашения.
- Обеспечить соблюдение правил своими сотрудниками и деловыми партнерами.
Все это должно быть выполнено для облачного хранилища, совместимого с HIPAA. Управление по гражданским правам (OCR) контролирует соблюдение HIPAA. Он может налагать гражданские денежные штрафы (CMP) за несоблюдение закона в размере от 100 до 50 000 долларов США за затронутую запись PHI, но не более 1 доллара США.5 миллионов за инцидент. В феврале этого года, например, Fresenius был оштрафован OCR на 3,5 миллиона долларов за пять инцидентов, в которых компания не соблюдала правила анализа рисков и управления рисками HIPAA.
Требования PCI-DSSСтандарты безопасности данных индустрии платежных карт (PCI-DSS) — это набор стандартов безопасности, разработанный крупными компаниями, выпускающими кредитные карты, для защиты конфиденциальных данных держателей карт. В отличие от требований HIPAA и GDPR, которые основаны на правительственном постановлении, требования соответствия PCI-DSS — это договорные обязательства, выполняемые и выполняемые Советом по стандартам безопасности индустрии платежных карт (PCI SSC), независимым глобальным органом, созданным в 2006 году.
PCI-DSS применяется ко всем продавцам или организациям, которые принимают, передают или хранят данные держателей карт. Однако существуют разные уровни соответствия PCI-DSS в зависимости от количества платежных транзакций, которые продавец / организация обработал за предыдущие двенадцать месяцев. PCI-DSS описывает шесть категорий целей контроля:
- Создание и обслуживание безопасной сети и систем
- Защита данных держателя карты
- Поддержание программы управления уязвимостями
- Внедрить строгие меры контроля доступа
- Регулярный мониторинг и тестирование сетей
- Поддерживать политику информационной безопасности
Торговец / организация несет ответственность за безопасность данных о держателях карт, которые они собирают и хранят, даже если они используют стороннюю компанию для обработки платежей по кредитным картам.Предполагается, что продавец / организация может подтвердить свое соответствие PCI-DSS двумя способами:
Ежеквартальное сканирование уязвимостей: любой продавец / организация, которые хранят в электронном виде данные о держателях карт после авторизации платежа, должны раз в квартал проходить сканирование уязвимостей, проводимое утвержденным поставщиком сканирования. Интернет-приложения и сети продавца проверяются дистанционно с помощью ненавязчивого сканирования. Это сканирование направлено на выявление уязвимостей в операционных системах, приложениях и устройствах, которые могут быть использованы для получения незаконного доступа к сети компании.
Ежегодная оценка: Продавцы, которые обрабатывают менее шести миллионов транзакций в год, должны подавать ежегодную анкету самооценки (SAQ) или Отчет о соответствии (ROC). Продавцы, которые обрабатывают более шести миллионов транзакций в год, должны проходить аудит на месте квалифицированным специалистом по безопасности (QSA), сертифицированным PCI SCC.
Несоблюдение правилPCI-DSS может привести к наложению штрафа на банк-эквайер в размере 5 000–100 000 долларов в месяц, при этом банки обычно стремятся передать штраф продавцу.Кроме того, банк может прекратить отношения с продавцом или значительно повысить комиссию за транзакцию. Если утечка данных станет достоянием общественности, продавцу, возможно, придется нести косвенные расходы, связанные с нанесением ущерба его репутации.
Data Compliance and NetApp Cloud VolumesНеважно, соответствует ли это требованиям AWS PCI, AWS HIPAA, Azure PCI, GDPR в хранилище Azure или AWS GDPR: HIPAA, GDPR и PCI-DSS не зависят от того, где хранятся личные данные.Независимо от того, находится ли она в облаке, локально или в обоих случаях, находятся ли данные в пути или в состоянии покоя, организация несет ответственность за предотвращение нарушений безопасности, которые могут привести к раскрытию или потере личных данных.
Как облачное хранилище HIPAA в облаке влияет на соответствие данных? Занимаются ли компании изменениями, внесенными в GDPR? Как видно из результатов опроса, опубликованного NetApp в прошлом году, большинство компаний до сих пор не знают, как именно соблюдать GDPR.Эта ситуация может измениться, когда начнутся штрафы.
Cloud Volumes ONTAP представляет собой платформу управления данными корпоративного уровня, основанную на хранилище AWS, Azure или Google Cloud, и предоставляет пользователям многие функции, необходимые для защиты своего бизнеса и данных клиентов. Основным преимуществом является доступность новой функции Cloud Compliance, которая автоматически сканирует облачные данные для сопоставления, идентификации и составления отчетов о конфиденциальных частных данных, которые подпадают под требования GDPR, CCPA, HIPAA и других нормативных актов.
Помимо своей функциональности с Cloud Compliance, Cloud Volumes ONTAP поддерживает требования безопасности за счет шифрования данных (как в состоянии покоя, так и при передаче), доступа RBAC, мультитенантности, параметров VPC / VNet и SubNet и т. Д. Он позволяет пользователям эффективно защищать свои данные и поддерживать операции, которые могут справиться с наихудшими сбоями, обеспечивая менее шестидесяти секундного RTO и нулевого RPO за счет использования своей конфигурации высокой доступности AWS. Таким образом, это дает компаниям возможность соблюдать строгие требования SLA.
Могут ли люди обеспечить соответствие данных без облака? да. Но, как показывает приведенный выше опрос NetApp, наибольшее количество респондентов развертывали гибридные облачные архитектуры, используя преимущества как традиционных локальных, так и облачных систем хранения. Для организации и защиты данных во всех этих средах требуется платформа, предоставляемая NetApp Cloud Volumes, и ее простой в использовании инструмент управления с графическим интерфейсом, NetApp Cloud Manager.
Понимание конфиденциальности по дизайну
Конфиденциальность по дизайну (PbD) — это концепция, которая призывает включить защиту конфиденциальности в создание и внедрение систем.В концепции PbD изложены семь основных принципов, которые помогают гарантировать, что конфиденциальность станет неотъемлемой частью непрерывного проектирования и деловой практики.
Обзор законов о защите данных в Висконсине
Почти каждая организация в мире собирает персональные данные от частных лиц в той или иной форме. Действительно, большинство веб-сайтов автоматически собирают информацию о потребителях. По этой причине каждый бизнес должен ознакомиться с соответствующими законами о защите данных и понимать, как собирать, хранить, использовать и передавать данные в соответствии с этими законами.Организации, которые не соблюдают законы о конфиденциальности данных, могут понести значительные штрафы и другие разрушительные последствия.
Цель этого сообщения в блоге — дать организациям штата Висконсин базовый обзор законов о конфиденциальности данных потребителей, их значения и того, как такие законы могут применяться к ним.
Что такое Закон о конфиденциальности?
«Закон о конфиденциальности» относится к законам, регулирующим регулирование, хранение, совместное использование и использование информации, позволяющей установить личность, личной медицинской информации, финансовой информации и других типов личной информации.Хотя правительства штатов и федеральное правительство имеют различные законы, регулирующие определенные типы конфиденциальности информации, на данный момент федерального закона о защите данных потребителей не существует.
Учитывая отсутствие федеральной защиты и количество интернет-компаний, собирающих — и часто злоупотребляющих — данными потребителей, несколько штатов, включая Висконсин, разработали или начинают разрабатывать законодательные акты штата, предназначенные для защиты жителей от неправомерного использования данных в Интернете. Вместе с международными правилами защиты данных эти государственные законы создают все более сложную сеть обязательств для любой организации, собирающей личные данные.
Что такое личная информация?
Ключом к пониманию и надлежащему соблюдению законов о конфиденциальности данных потребителей является понимание термина «информация, позволяющая установить личность» (PII). Как правило, PII — это любая информация, которая может использоваться для идентификации личности. Такая информация может включать не только имена, адреса и правительственные идентификаторы, но также адреса интернет-протокола (IP), идентификаторы файлов cookie и другие автоматические идентификаторы.
Несмотря на множество общих черт, международные и внутренние законы о конфиденциальности имеют небольшие различия в классификации PII.Например, некоторые законы о конфиденциальности позволяют исключать псевдонимизированные или анонимные данные из PII. Псевдонимизация — это обратимый процесс, при котором исходная личная информация заменяется псевдонимом или псевдонимом, поэтому для повторной идентификации субъекта данных требуется дополнительная информация. Напротив, анонимизация необратимо исключает все способы идентификации субъекта данных. Точно так же IP-адреса могут быть статическими (т. Е. Специфичными для конкретного вычислительного устройства) или динамическими (т. Е. IP-адрес изменяется с течением времени).Статические IP-адреса, вероятно, будут считаться PII, тогда как динамические IP-адреса не могут, в зависимости от применимого законодательства.
Обзор основных законов о защите данных
Современные законы о защите данных потребителей обычно формулируют как права потребителей на конфиденциальность данных, так и обязанности организаций, которые собирают и обрабатывают персональные данные.
Что касается потребителей, то большинство законов о конфиденциальности данных потребителей устанавливает, что потребители имеют любую комбинацию пяти основных прав, включая право на:
- сообщить, что данные собираются;
- доступ к собранным данным;
- исправить неверные данные;
- стереть собранные данные; и
- возражает против определенного использования этих данных.
Хотя эти различные режимы конфиденциальности имеют много общего, они часто имеют существенные различия, включая различные определения, объем, наказания за нарушения и юрисдикцию. Поэтому очень важно определить, какие законы применяются к вам, и тщательно изучить эти законы, чтобы понять, какие обязательства ваша организация выполняет.
а. Европейский союз — Общий регламент по защите данных (GDPR)
Регламент Европейского Союза (ЕС) о защите данных, известный как GDPR, является первым в мире всеобъемлющим законом о защите данных.Вступив в силу в 2018 году, GDPR трактует PII очень широко и предпринимает существенные шаги для защиты такой PII. Он охватывает не только IP-адреса и файлы cookie, но и определенные формы псевдонимизированных данных и метаданных. Закон является революционным в том смысле, что он применяется ко всем организациям, владеющим или обрабатывающим персональные данные резидентов ЕС, независимо от их национальности. Следовательно, компании США, которые работают с гражданами ЕС в качестве клиентов, пользователей или клиентов, могут подпадать под действие правил и положений GDPR.
Очень важно определить, подпадает ли ваша организация под действие правил GDPR. Если регулирующие органы ЕС определят, что компания, подпадающая под действие GDPR, нарушила какую-либо из статей GDPR, на компанию могут быть наложены штрафы в размере до 20 миллионов евро или 4% от глобального оборота компании, в зависимости от того, какая сумма больше.
б. Закон Калифорнии о конфиденциальности потребителей (CCPA)
CCPA, вступивший в силу с 1 января 2020 года, является первым важным законом о защите данных потребителей в Соединенных Штатах.Как и GDPR, CCPA определяет PII как включающую любую информацию, которая может прямо или косвенно привести к идентификации любого пользователя или домохозяйства.
Также аналогично GDPR, CCPA широко применяется к компаниям во всем мире, если они ведут бизнес в Калифорнии. CCPA включает специальный язык, определяющий, какие компании подпадают под действие CCPA. CCPA применяется к любому коммерческому бизнесу, который собирает, владеет или иным образом обрабатывает PII жителей Калифорнии, И который соответствует любому из следующих критериев:
1) имеет годовой доход более 25 миллионов долларов США;
2) владеет личной информацией 50 000 или более потребителей, домохозяйств или устройств в Калифорнии в течение любого календарного года; ИЛИ
3) получает более половины своего годового дохода от продажи PII потребителей.
Этот закон предназначен для широкого применения к коммерческим предприятиям, независимо от их географического положения и от того, нацелены ли они на жителей Калифорнии. Поскольку большинство предприятий используют веб-сайты, которые автоматически собирают PII, такие как файлы cookie или IP-адреса, даже небольшие предприятия за пределами Калифорнии рискуют попасть под действие CCPA из-за своего пассивного присутствия в Интернете.
Генеральный прокурор Калифорнии может оштрафовать компании на сумму до 2,500 долларов за непреднамеренное нарушение и до 7,500 долларов за умышленное нарушение — суммы, которые быстро накапливаются, если нарушение затрагивает тысячи (или миллионы) пользователей.
г. Другие соответствующие законы о защите данных потребителей
Помимо Калифорнии, еще 43 штата представили или находятся в процессе введения форм законопроектов о конфиденциальности данных потребителей. Висконсин представил три отдельных законопроекта в начале 2020 года, которые будут создавать права и обязанности в отношении конфиденциальности данных потребителей, аналогичные тем, которые созданы CCPA и GDPR.
В настоящее время Мэн и Невада являются единственными двумя другими штатами, которые подписали законы о защите конфиденциальности данных потребителей.Закон о конфиденциальности штата Мэн применяется только к поставщикам интернет-услуг, а не к независимым компаниям, которые могут владеть PII пользователей. Закон Невады во многом похож на CCPA, но он не распространяется на компании-нерезиденты, которые не ведут активную деятельность в штате.
Кроме того, в марте 2020 года сенатор Джерри Моран (республика Канады) представил Закон о конфиденциальности и безопасности данных потребителей ; однако федеральный Конгресс еще не принял решения по предложенному законопроекту. В случае принятия этот федеральный закон создаст четкий федеральный стандарт защиты данных потребителей и создаст определенные права потребителей на доступ, исправление и удаление личной информации.Предлагаемый закон также создаст существенные обязательства для предприятий, в том числе в Висконсине, которые используют, собирают или иным образом владеют PII. Наконец, предложенный законопроект предоставит Федеральной торговой комиссии (FTC) особые полномочия по обеспечению соблюдения этих прав и обязательств.
В заключение, хотя в настоящее время нет никаких федеральных законов или законов штата Висконсин, непосредственно регулирующих регулирование, хранение, совместное использование и использование информации, позволяющей установить личность, предприятия штата Висконсин могут подпадать под действие требований CCPA или GDPR.Кроме того, вполне вероятно, что в ближайшем будущем Висконсин или федеральное правительство примет закон, который напрямую повлияет на бизнес Висконсина. В дальнейшем будет очень важно понимать, как это может повлиять на сбор персональных данных вашей компанией.
O’Neil, Cannon, Hollman, DeJong & Laing по-прежнему открыты и готовы помочь вам.
.