Закон о конфиденциальности: Как закон обеспечивает сохранность персональных данных россиян

Закон о конфиденциальной информации — SearchInform

Информация ограниченного доступа относится к различным категориям, от государственной до коммерческой тайны, степень ее конфиденциальности определяется международными соглашениями и национальными законами. В деятельности бизнес-структур наиболее важно, как обеспечение безопасности коммерческой тайны регулируется федеральными законами и какую ответственность компания понесет за утечку персональных данных.

Международная практика обеспечения безопасности данных

Изучая отечественный опыт определения статуса конфиденциальной информации в законе и его защиты, нужно сравнивать его с законодательством иностранных государств.

Существуют разные концепции регламентации обеспечения безопасности:

• коммерческой тайны как имеющей ценность для бизнеса;
• персональных данных, так как за их утечку грозит административная ответственность.

Европейские страны предлагают интересные варианты решения этих задач. В Великобритании полностью отсутствует законодательство, посвященное вопросам регулирования вопроса статуса защищенности информации, для нее характерна прецедентная правовая система. Уже 150 лет вопрос охраны коммерческой тайны решается на уровне судебной системы. В стране сформировалась устойчивая правоприменительная практика с множеством интересных прецедентов и четко выработанными правилами. Интересно, что правила, выработанные судами для охраны коммерческой тайны, по аналогии применяются к обеспечению безопасности государственной тайны и тайны частной жизни (персональных данных).

Давая определение тайне, английские суды действуют от противного, определяя, что к категории тайны не могут относиться общеизвестные сведения или так называемая публичная собственность, данные, предназначенные для раскрытия общественности. Британцы не разделяют позицию, что к коммерческой тайне относится все, что сочла нужным внести в этот список служба безопасности компании.

Сведения должны иметь действительную коммерческую ценность, на их создание должны быть израсходованы временные и интеллектуальные ресурсы, а право на охрану и ограничение доступа определяется реальной ценностью.

Все взаимоотношения по обеспечению режима ограничения доступа к данным регулируются соглашениями:

• между нанимателем и работником – трудовым договором;
• между партнерами в бизнесе – соглашением о взаимных гарантиях неразглашения коммерческой тайны;
• в рамках государственной службы – контрактом госслужащего, дающего подписку о неразглашении.

Ровно так же вопрос статуса обеспечения безопасности данных регулируется в странах – членах Британского содружества – Австралии и Индии. При отсутствии закона, содержащего понятие секретности сведений, в Австралии существуют уголовно-правовые нормы, регулирующие ответственность за их разглашение.

Германия также отказалась от общего понимания коммерческой тайны как неограниченного массива данных компании. Правовой охране подлежат только ноу-хау, под которыми может пониматься и научно-техническая, и коммерческая информация. Методы рекламы и маркетинга, бизнес-планы, сведения о бизнес-процессах и перечнях клиентов будут отнесены к ноу-хау как имеющие самостоятельную коммерческую ценность. Регулируется охрана такой информации соглашением между работодателем и работником. 

Интересно, что в немецкой практике за разглашение коммерческой тайны отвечает не только виновник. Предусмотрены такие составы, как пособничество и подстрекательство. Законы Германии обязывают должностных лиц государственных органов не разглашать коммерческую тайну компаний, попавшую к ним по долгу службы, вводя ответственность вплоть до уголовной. Предусмотрены меры, исключающие разглашение любой коммерческой тайны в ходе судебных процессов. 

При этом работодатели обязаны информировать работников о прекращении режима конфиденциальности в отношении доверенных ему данных.  Эта позиция немецкого законодателя не дает работодателю каким-то образом ущемлять трудовые права работника, например, запрещать ему устраиваться на аналогичные должности к конкурентам. Такие положения трудового договора будут сочтены противоправными в случае возникновения судебного спора.

Французское законодательство об охране коммерческой тайны во многом аналогично российскому, соответствующие нормы прописаны в гражданском, трудовом и уголовном праве. 

Предусматриваются следующие направления обеспечения безопасности коммерческой тайны:

• пока сотрудник трудится в компании, он обязан не разглашать доверенные ему сведения. По окончании контракта на него может быть возложена обязанность не конкурировать с работодателем;
• если правообладатель данных доверил их кому-то, и они были разглашены, за злоупотребление доверием может наступить уголовная ответственность;
• если коммерческая тайна разглашена государственным чиновником, он также понесет уголовную ответственность.

Финляндия, Швейцария и другие европейские государства пошли по схожему пути, причем вопрос ответственности за разглашение некоммерческой тайны регулируется в большей степени не национальным правом, а нормами Евросоюза. 

Свое решение в вопросе охраны данных предложила Италия. 2105-я статья Гражданского кодекса Италии вводит понятие «долга верности», согласно которому наемный работник:

• не вправе вести деятельность, в которой он вступает в конкуренцию с работодателем ни как частное лицо, ни по трудовому контракту с другой компанией;
• не может не только разгласить, но и использовать полученные им знания и информацию ограниченного доступа.

Оба обязательства не имеют временных пределов и носят формальный характер. Работодатель не обязан доказывать ущерб от действий бывшего сотрудника, достаточно одного факта нарушения.

Япония в вопросе регулирования отношений, связанных с сохранением коммерческой тайны, пошла по пути корпоративной этики. Все вопросы регулируются локальными нормативными актами предприятий. 

Кодексы корпоративной этики содержат морально-этические нормы, предполагающие:

• полный запрет на передачу любых данных компании третьим лицам;
• запрет любого совместительства мест работы без разрешения руководства, если следствием может быть утечка данных компании.

Часто отмечается, что Япония меньше всех стран мира страдает от инсайдерских утечек, что связано с семейной атмосферой бизнеса и принципом пожизненного найма.

Приведенные положения иностранного законодательства говорят о том, что наибольшее внимание уделяется коммерческой тайне компаний. В американской практике властям пришлось делать выбор между защитой коммерческой и личной информации и национальной безопасностью. Долгое время американское законодательство считало персональные данные и коммерческую тайну объектами, охрана которых требует дополнительного государственного воздействия, например, регулирования систем охраны данных и введения уголовной ответственности за существенное вторжение в зону частного интереса.

При этом само государство не было заинтересовано в неограниченном доступе к частной информации. Американская концепция недоверия к вторжению административных властей в частную жизнь исключала любую степень государственного регулирования, кроме нейтральной. Все изменилось с началом эпохи глобального терроризма. Уже с 2011 года США начали говорить о том, что понятие конфиденциальности информации устарело. Закон «Патриот» предоставил доступ государству к закрытым данным без объяснения целей их использования.

Российское регулирование

Национальное российское законодательство в этой сфере проработано неравномерно, наиболее полно отрегулированы три блока:

• государственная тайна;
• персональные данные;
• коммерческая тайна.

Вопрос раскрывается в нескольких федеральных законах и подзаконных актах, часто содержащих пересекающиеся нормы. Правоприменение обычно реализуется в рамках трудовых договоров и внутренних нормативных актов компаний.

Российское законодательство о защите конфиденциальной информации

149-ФЗ

Федеральный закон «Об информации» не внес в российское правовое поле каких-либо существенных норм в части регулирования оборота данных, но утвердил, какая именно информация окажется закрытой, опираясь на критерий ограниченности доступа к ней. 

Исходя из ст. 9 закона, к этой категории относятся:

• государственная тайна;
• служебная информация госструктур;
• коммерческая тайна;
• служебная тайна;
• персональные данные;
• профессиональная тайна.

Закон не устанавливает никаких особых требований к обеспечению безопасности закрытой в доступе информации, адресуя к федеральным законам, регулирующим конкретные сферы правоотношений. Дополнительно он определяет критерий общедоступности информации, исключающий ее отнесение к категории данных ограниченного доступа. Также он раскрывает вопросы государственного регулирования информационных систем, обрабатывающих данные высокой степени секретности.

Указ Президента № 188

Принятый чуть ранее, чем федеральный закон, но несколько раз изменявшийся Указ Президента № 188 предложил немного другой перечень данных, которые могут быть отнесены к конфиденциальной информации:

• персональные данные;
• тайна следствия и судопроизводства;
• служебные сведения;
• профессиональная тайна;
• данные о сути изобретений до их публикации или получения патента;
• данные об исполнении судебных актов.

Если сравнивать этот список с перечнем, предложенным федеральным законом «Об информации», выявляются новые объекты (правовые и в научной сфере), но мер по их защите, отличных от общих принципов защиты данных в государственных информационных системах или охране коммерческой тайны, не предложено.

Закон о коммерческой тайне, ГК РФ и ТК РФ

Применительно к коммерческой тайне компаний в России работают три нормативных акта – федеральный закон «О коммерческой тайне», Гражданский кодекс и Трудовой кодекс. 

ФЗ «О коммерческой тайне» рассматривает:

• способы отнесения данных к коммерческой тайне и механизмы ее защиты. Закон полностью отдает этот вопрос на откуп компаниям, не выделяя критериев, которые могли бы доказать действительную ценность информации, за разглашение которой гражданину может грозить уголовная ответственность;
• перечень сведений, которые не могут быть отнесены к коммерческой тайне. По сути он ограничен общедоступной информацией;
• способы охраны данных, в общем идентичные списку организационных мер, рекомендованных для защиты персональных данных.

Компания вправе назвать коммерческой тайной практически любые данные, за их разглашение сотрудник понесет ответственность в рамках гражданского и уголовного законодательства. Гражданский кодекс ранее содержал ст. 139, посвященную вопросам коммерческой тайны и способам привлечения граждан к имущественной ответственности за ее разглашение, недавно она была исключена. Сейчас работодатель может привлечь сотрудника к ответственности только в рамках ст. 15, говорящей о возмещении убытков. 

Законодатель принял сторону работника, утвердив, что убытки могут быть возмещены только после того, как будут установлены:

• их фактическое существование;
• их реальная оценка.

В большинстве случаев сделать это невозможно, так как доказать реальную стоимость утраченных сведений, если в список сведений, относимых к коммерческой тайне, включено все, что пришло в голову администрации, фактически невозможно. Тем не менее в рамках трудового права работника можно уволить за утечку закрытых данных любого характера и любой ценности.

Правоприменение

Любые обязательства гражданина по сохранению коммерческой тайны предприятия окажутся ничтожными, если не будет предусмотрен механизм реализации ответственности. В отношении коммерческой тайны определенные возможности предоставляет Трудовой кодекс. Отдельным вопросом правового регулирования системы защиты данных становятся взаимоотношения между компанией и работником, в рамках которых последний обязан охранять коммерческую тайну и нести ответственность за ее разглашение. 

В трудовом договоре необходимо прописать:

• неразглашение каких именно видов охраняемой законом информации запрещено в компании;
• какие меры ответственности могут быть применены в случае невиновной утраты и в случае намеренного хищения данных;
• как долго после увольнения длится обязанность не разглашать защищаемые данные;
• какие дополнительные документы должны оформляться одновременно с изменениями в трудовом договоре.

Включить условие о неразглашении охраняемой законом тайны в стандартный трудовой договор позволяет ст. 57 ТК РФ. Она говорит о любом типе секретных данных, соответственно, трудовой контракт может обязать не разглашать не только коммерческую тайну, но и врачебную, и служебную, и персональные данные. Но государственная и служебная тайна дополнительно охраняется законодательством, сторонам трудового договора нет необходимости достигать дополнительной договоренности по этому вопросу. В случае нарушения штрафные санкции, прописанные в договоре, будут неприменимы, так как нарушат общий порядок государственного управления. Трудовой кодекс в ст. 57 не предусматривает включения в трудовой договор отдельного условия о неразглашении персональных данных, так как ответственность гражданина за это нарушение также предусмотрена законодательством.  

Но есть одно исключение: если оператор поручает обрабатывать персональные данные третьему лицу, то ответственность за их утечку несет оператор, а не его контрагент. Соответственно, не понесет ответственности сотрудник контрагента, намеренно допустивший утечку. В этом случае допустимо уточнение в трудовом договоре дополнительной ответственности по этому основанию.

Стандартно в трудовой договор включается общая формулировка о неразглашении различных видов тайны, но отдельным категориям работников целесообразно прописывать персонифицированные условия. Особенно это касается руководителей, сотрудников служб безопасности и ИТ-подразделений, в чьем распоряжении находятся данные, формально не относимые к закрытым, но разглашение которых способно причинить существенный вред предприятию.

С точки зрения ответственности следует учитывать, что нарушение условия о неразглашении коммерческой тайны является одним из оснований досрочного расторжения трудового договора. Работодатель вправе применять иные дисциплинарные взыскания, но материальная ответственность возможна только в пределах премиальной части выплат. Причиненный ущерб придется взыскивать через суд.

По поводу срока действия обязательства о неразглашении защищаемой информации после завершения трудовых отношений законодатель придерживается позиции, что он бессрочен, доверенная информация не может быть передана третьим лицам никогда, даже тогда, когда она утратила коммерческую ценность.

***

Защита информации требует внимательного отношения к правам и тех, чьи данные защищаются, и тех, кто может пострадать в случае неправомерного преследования. Идеальной модели нормативного регулирования степени конфиденциальности данных пока не предложено.

26.03.2020

Закон о защите персональных данных — Siam Elegance Hotels & Spa

1. Личность Оператора персональных данных

Мы, Behar Turizm İnşaat Emlak ve Ticaret A.Ş. («SİAM ELEGANCE HOTELS & SPA»), мы придаем большое значение безопасности и конфиденциальности ваших персональных данных, и поэтому в отношении всех персональных данных, принадлежащих всем лицам, связанным с SİAM ELEGANCE HOTELS & SPA, включая наших гостей, которые пользуются нашими услугами., В целях выполнения нашего обязательства по информированию в рамках «Закона о защите персональных данных» (далее именуемого «Закон») мы представляем для вашего сведения следующие вопросы.

Защита персональных данных является одной из основных политик SİAM ELEGANCE HOTELS & SPA, и во время существования нашего бизнеса приоритет отдавался конфиденциальности персональных данных, это было принято в качестве рабочего принципа, и наши сотрудники были проинструктированы работать в соответствии с этим принципом. SİAM ELEGANCE HOTELS & SPA принимает и обязуется соблюдать все обязательства, предусмотренные Законом о защите персональных данных. Полностью осознавая эту ответственность и как Оператор данных, мы обрабатываем, записываем, передаем, делимся и храним ваши персональные данные, как мы объяснили, и в пределах, установленных официальным законодательством.

2. Сбор, обработка и цели обработки персональных данных

ВАШИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ, КОТОРЫЕ МОГУТ БЫТЬ ОБРАБОТАНЫ

Ваши персональные данные, которые могут быть обработаны нами, следующие:

Категории, такие как Личность, Коммуникация, Персонал, Судебные иски, Сделки с клиентами, Безопасность физического пространства, Безопасность транзакций, Финансы, Профессиональный опыт, Маркетинг, Аудиовизуальные записи, Раса и этническая принадлежность, Философские убеждения, Религия, Секта и другие убеждения, Одежда, Медицинская информация, Судимость и меры безопасности Вы можете получить доступ к подробной и актуальной информации из справочной системы реестра органа по защите персональных данных и изучить категории, цели, получателей, периоды, группы лиц, зарубежные страны, меры безопасности.

Идентификационные данные, Личные данные

Имя Фамилия, Турецкая Республика Идентификационный номер, Серийный номер, фотография, Имя матери, Имя отца, Место рождения, Дата рождения, Место регистрации, Номер тома, Семейный номер, Регистрационный номер, Семейное положение, Пол, Номер паспорта

Данные о размещении

Проживание в номере, тип номера, расходы, даты заезда и выезда

Данные связи

Телефон, адрес электронной почты, адрес

Финансовые данные

Информация о расходах в отеле (полученные товары и услуги и т. д.), номер кредитной карты и другая информация, информация о банковском счете

Частные квалифицированные персональные данные

В случае получения ксерокопии документа, удостоверяющего личность для проверки, сведения о религии и группе крови, данные о состоянии здоровья, содержащиеся в документе,

Визуальные данные

Записи видеокамеры

Данные о семье и родственниках

Данные, такая как имя, фамилия, возраст, степень близости, номер комнаты супруга, детей и других лиц, проживающих рядом с человеком, или имена, фамилии, дата рождения, идентификационный номер Турецкой Республики родственников и членов семьи заявили сотрудники

Другие Данные

Данные о службе в армии, судимости, образовании, справочная информация, подпись, номерной знак и т. д.

Хотя ваши персональные данные могут различаться в зависимости от продукта и услуги, предлагаемых SİAM ELEGANCE HOTELS & SPA, или коммерческой деятельности, наша Компания может обрабатывать их наилучшим образом.

В нашем учреждении есть персональные данные личности, общения, религии/верований, здоровья, финансов, образования и другого конфиденциального характера, такие как кандидат на должность сотрудника, сотрудник, бывший сотрудник, клиент, гость, покупатель товара или услуги, потенциальный покупатель товара или услуги, поставщик, сотрудник поставщика, посетитель.

Ваши персональные данные, полученные по причинам соблюдения закона, выраженным в законах Турецкой Республики или с согласия владельцев данных обрабатываются SİAM ELEGANCE HOTELS & SPA в следующих целях:

Создание з вашей записи в качестве клиента и выполняя транзакции в рамках этой области,

Выполнение наших юридических обязательств, изложенных в Конституции / законе / исполнительном указе / правилах, осуществление процессов поставки продукции и послепродажного обслуживания нашего бизнеса, выполнение процессов ремонта, обеспечение удовлетворенности клиентов и удовлетворение требований, выполнение необходимой работы нашими бизнес-подразделениями, чтобы вы могли извлечь выгоду из продуктов и услуг, предлагаемых нашим бизнесом

Обеспечение юридической и коммерческой безопасности людей, имеющих деловые отношения с нашим бизнесом (Административные операции для связи, осуществляемые нашим бизнесом, обеспечение физической безопасности и контроля наших офисов, процессы оценки деловых партнеров/клиентов/поставщиков (уполномоченных или сотрудников), процесс соблюдения правовых норм, финансовые дела и т. д.), управлять операциями по обеспечению безопасности, авариями или другими подобными событиями в целях медицинского страхования

Для обеспечения безопасности тех, кто находится на наших объектах, и для оказания помощи в предотвращении, выявлении и преследовании уголовных преступлений с использованием изображений с видеокамеры (CCTV), а также для установления, осуществления или защиты наших законных прав, в том числе с учетом фотографий,

İşletmemizden talep edeceğiniz bilgi, etkinlik ve hizmetlerle ilgili sizlere bilgilendirme yapmak,

Уведомить вас об информации, событиях и услугах, которые вы запросите у нашей компании,

Определение и реализация коммерческих и бизнес-стратегий нашей компании

Обеспечение выполнения кадровой политики нашей компании

Исполнение юридического обязательства, определенного законодательством, если это прямо указано в законодательстве или в случае необходимости

Проведение анализа и изучения лояльности в отношении приобретенных вами продуктов и услуг, планирование и реализация рекламных акций, опросов, рекламы, исследований рынка, маркетинга и кампаний, представление общих и специальных предложений

Кроме того, в рамках наших юридических обязательств, вытекающих из соответствующего законодательства, в часности, из Закона № 1774 «Об идентификационной информации», Закона № 5651 «О регулировании вещания в сети Интернет и борьбе с преступлениями, совершаемыми с помощью этих вещаний» и соответствующих законодательных актов, Закона № 6563 «О регулировании электронной коммерции» и соответствующих законодательных актов, Закона  о труде № 4857, Коммерческого кодекса Турции № 6102, Уголовного кодекса Турции № 5237 и Закона о защите персональных данных № 6698, ваши персональные данные также обрабатываются, чтобы обеспечить выполнение нашей цели и юридических обязательств.

Кроме того, ваши персональные данные, упомянутые выше, могут храниться как в цифровой, так и в физической среде путем их записи в физические архивы и информационные системы SİAM ELEGANCE HOTELS & SPA.

Ваши персональные данные, обрабатываемые для целей, указанных в этом документе, будут анонимизированы и будут продолжать использоваться или удаляться нами в соответствии с Законом № 6698, когда цель, для которой они должны обрабатываться, перестанет существовать, и периоды, определенные законы истекают. Вы всегда имеете право отозвать свое прямо выраженное согласие на обработку и использование ваших персональных данных

3. Передача персональных данных

Для того, чтобы мы могли предоставить вам эту услугу, при условии, что это ограничивается причиной, требующей передачи персональных данных в рамках Закона и соответствующих правил для целей, описанных выше, ваши персональные данные могут быть переданы поставщикам услуг, таким как компании в области информации, технологий, программного обеспечения, архивов, типографий, печати карт, распространения и другим третьим сторонам, с которыми мы сотрудничаем, и также за границей для хранения и архивной деятельности, нашему совету директоров, нашим партнерам по бизнесу / решениям, а также юридически уполномоченным государственным и частным учреждениям и организациям.

4. Метод и правовая причина сбора персональных данных

При условии, что это предусмотрено законами, указанными в пункте 2 статьи 5 Закона, при условии заключения и (или) исполнения договора и исполнения юридического обязательства и при условии, что это не наносит ущерба основным правам и свободам соответствующего лица, Ваши персональные  данные могут быть собраны со всех видов устных, письменных или электронных средств массовой информации автоматическими или неавтоматическими методами, в соответствии с основными принципами, предусмотренными в Законе, на основании юридических причин, связанных с законным интересы нашей компании, для вышеупомянутых целей,

5. Ваши права в отношении защиты персональных данных

Вы имеете следующие права: узнать, обрабатываются ли ваши персональные данные в рамках закона, запросить информацию о них, если они обрабатывались, узнать цель обработки и используются ли они в соответствии с этими целями нами , узнать о третьих лицах, которым передаются ваши персональные данные в стране или за рубежом, в случае, если ваши персональные данные являются неполными или неправильно обработанными, запросить их исправление, потребовать их удаления или уничтожения либо обезличивания в случае возникновения причин, требующих обработка персональных данных исчезает, в таких случаях или в случае исправления запрашивать уведомление третьих лиц, которым были переданы персональные данные, возражение против этой ситуации в тех случаях, когда вы считаете, что результат против вас возник в результате анализа обработанных данных исключительно с помощью автоматизированных систем.

В рамках закона вы можете подать заявку, заполнив соответствующие поля в форме заявления владельца персональных данных SİAM ELEGANCE HOTELS & SPA, чтобы получить информацию о ваших персональных данных, и вы можете запросить информацию, используя один из способов, перечисленных ниже.

СПОСОБ ЗАЯВЛЕНИЯ

Письменное заявление

По электронной почте

АДРЕС ЗАЯВКИ

Богазак Мевкий Богазкент Серик / Анталия

[email protected]

ИНФОРМАЦИЯ, СОДЕРЖАЩАЯСЯ В ЗАЯВКЕ

На конверте/уведомлении будет написано «Запрос информации в соответствии с Законом о защите персональных данных», при отсутствии данного выражения, запрос не будет рассмотрен.

В теме письма будет написано «Запрос информации в соответствии с Законом о защите персональных данных», при отсутствии данного выражения, запрос не будет рассмотрен.

Могут быть запрошены официальные документы, удостоверяющие вашу личность.

Подача запроса по адресу электронной почты, который вы ранее предоставили нашему учреждению для регистрации, ускорит идентификацию.

Наша компания завершает рассмотрение заявок не позднее, чем в течение 30 (тридцати) дней, в зависимости от характера запроса, в соответствии со статьей 13 Закона. Если транзакция требует затрат, будет применяться тариф, установленный Советом по защите персональных данных. В случае отклонения запроса причина (причины) отказа или работа, выполненная в случае реализации запроса, будет обоснована в письменной или электронной форме.

«SİAM ELEGANCE HOTELS & SPA» оставляет за собой право обновлять этот «Разъяснение по защите персональных данных» в рамках изменений, которые могут быть внесены в действующее официальное законодательство или могут быть внесены для внедрения в процессы защиты данных.

Законы США о конфиденциальности: полное руководство

Содержание

В Соединенных Штатах действует лоскутная и постоянно меняющаяся сеть законов, регулирующих конфиденциальность данных. Хотя всеобъемлющего федерального указа о конфиденциальности не существует, несколько законов сосредоточены на конкретных типах данных или ситуациях, касающихся конфиденциальности.

Однако без целостного статута может быть неясно, какие меры защиты предусмотрены для различных типов личной информации и в каких компаниях. Несмотря на отсутствие комплексной системы обеспечения конфиденциальности, организации, которые обрабатывают или хранят данные, по-прежнему несут ответственность за своевременное обновление последних нормативных актов для обеспечения соблюдения требований.

В этом руководстве содержится подробная информация об основных законах США о конфиденциальности, а также о некоторых последних обновлениях и изменениях. Вы также можете загрузить этот подробный информационный бюллетень, чтобы быстро ознакомиться с законами США о защите данных.

Получите бесплатное базовое руководство по соблюдению и законодательству США по защите данных

• Конфиденциальность и безопасность в Интернете: как это обеспечивается?
• Законы США о конфиденциальности с вертикальной направленностью
• Новые законы штата США о конфиденциальности данных
• Какие требования конфиденциальности применяются ко мне?
• Часто задаваемые вопросы о конфиденциальности данных

Конфиденциальность и безопасность в Интернете: как это обеспечивается?

В отличие от других форм связи, таких как физическая почта, конфиденциальность и безопасность в Интернете сложнее контролировать. Это может сделать людей уязвимыми для вторжения в частную жизнь.

Интернет-безопасность и вводящая в заблуждение реклама: как они связаны?

Интернет произвел революцию в нашей жизни и работе, предоставив беспрецедентный доступ к информации и общению. Однако наряду с этим расширением возможностей подключения возникают новые риски для конфиденциальности. Жизнь каждого теперь находится в сети, оставляя за собой цифровой след личных данных, которым могут воспользоваться недобросовестные компании или отдельные лица.

К счастью, законы о конфиденциальности данных регулируют сбор, использование и раскрытие персональных данных и устанавливают стандарты того, как предприятия должны обращаться с конфиденциальными данными. Федеральная торговая комиссия (FTC) является основным исполнителем этих законов в США. В последние годы FTC предприняла несколько принудительных мер против компаний, которые вводили потребителей в заблуждение относительно их методов обеспечения безопасности и конфиденциальности данных.

Например, в 2012 году Федеральная торговая комиссия (FTC) пришла к соглашению с Google после того, как обвинила компанию в искажении своей политики конфиденциальности пользователями своего сервиса. В соответствии с условиями оплаты Google согласилась выплатить штраф в размере 22,5 млн долларов и изменить свои методы обеспечения конфиденциальности. Совсем недавно, в 2018 году, Федеральная торговая комиссия приняла меры против Facebook за обман пользователей относительно их способности контролировать видимость их личной информации. Опять же, по соглашению с FTC, Facebook согласился выплатить штраф в размере 5 миллиардов долларов и внести существенные изменения в свои меры конфиденциальности.

Эти случаи показывают, что Федеральная торговая комиссия готова принять жесткие меры в отношении компаний, которые нарушают законы о конфиденциальности потребителей. Эти примеры также создают важный прецедент для будущих судебных исков о конфиденциальности в Интернете — поскольку жизнь людей продолжает перемещаться в онлайн, должны быть приняты строгие законы для защиты данных от эксплуатации.

GDPR и CCPA: как сравниваются законы о конфиденциальности США и ЕС?

GDPR и CCPA: чем они отличаются?

GDPR:

• Широкий охват: Применяется ко всем организациям по всему миру, которые обрабатывают или отслеживают данные граждан ЕС
• Последовательное правоприменение: Взимает крупные штрафы с компаний-нарушителей
• Специальный надзор: Требуется назначение сотрудника по защите данных для контроля за соблюдением требований

CCPA:

• Узкий охват: Применяется только к организациям, ведущим бизнес в Калифорнии
• Непоследовательное правоприменение: Наделяет жителей правоприменением через судебные процессы против компаний-нарушителей
• Отсутствие надзора: Не требует назначения сотрудника для надзора за исполнением

США и Европа имеют самые полные законы о безопасности данных и конфиденциальности; Общий регламент ЕС по защите данных (GDPR) вступил в силу в 2018 г. , а Калифорнийский закон о конфиденциальности потребителей (CCPA) вступил в силу в 2020 г. 

GDPR и CCPA устанавливают строгие стандарты в отношении того, как поставщики услуг должны обрабатывать персональные данные, в том числе обеспечивать прозрачность и безопасность сбора данных и получать их с согласия заинтересованного лица. Стандарты также предоставляют людям право знать, какие личные данные о них собираются, и позволяют им получить к ним доступ и запросить их удаление.

Основное различие между CCPA и GDPR заключается в том, что GDPR применяется к любой организации, которая обрабатывает или намеревается обрабатывать конфиденциальные данные граждан ЕС, независимо от ее местонахождения. Соблюдение GDPR обязательно для любой организации, которая обрабатывает персональные данные граждан ЕС, независимо от того, являются они клиентами или нет. Для GDPR также нет требований к доходам или пороговым значениям обработки.

CCPA распространяется только на организации, ведущие бизнес в Калифорнии. Это правило применяется к организациям, удовлетворяющим пороговым значениям, таким как годовой доход выше 25 миллионов долларов США, к любой организации, которая обрабатывает персональные данные более 50 000 человек, и к организациям, которые получают 50 процентов своего дохода от продажи данных.

Эти требования означают, что GDPR имеет гораздо более широкий охват и защиту, чем CCPA. Например, с точки зрения правоприменения GDPR предусматривает крупные штрафы для поставщиков услуг, нарушающих его положения. Напротив, CCPA предлагает жителям Калифорнии право предъявлять иски предприятиям о возмещении ущерба в случае нарушения их прав потребителей.

Наконец, GDPR требует от компаний назначать сотрудника по защите данных, в то время как CCPA не требует такого требования. В то время как GDPR и CCPA являются строгими законами о защите данных, предоставляющими людям надежные права и защиту, применимость GDPR выходит за пределы США, что делает его одной из самых масштабных структур защиты данных на сегодняшний день.

Для организаций крайне важно проконсультироваться с юрисконсультом и тщательно изучить, какие законы применяются к ним, обеспечивая соблюдение каждого применимого требования.

Законы США о конфиденциальности с вертикальной направленностью

Вообще говоря, законы о конфиденциальности делятся на две категории: вертикальные и горизонтальные. Вертикальные законы о конфиденциальности защищают медицинские записи или финансовые данные, включая такие сведения, как здоровье и финансовое положение человека.

Законы о горизонтальной конфиденциальности сосредоточены на том, как организации используют информацию, независимо от ее контекста. Типы данных, на которые распространяются эти законы, включают отпечатки пальцев, сканирование сетчатки глаза, биометрические данные и другую личную информацию, такую ​​как имена и адреса.

Хронология закона США о конфиденциальности данных

1974

Закон США о конфиденциальности от 1974 г.

Права и ограничения в отношении данных, находящихся в распоряжении государственных учреждений

1996

Закон о переносимости и подотчетности медицинского страхования (HIPAA) 90 028

Защита персональных данных в области здравоохранения и медицинского страхования

1999

Закон Грэмма-Лича-Блайли (GLBA)

Защищает непубличную финансовую личную информацию (NPI)

2000

Закон о защите конфиденциальности детей в Интернете (COPPA)

Защищает личную информацию лиц в возрасте 12 лет и младше

Хотя как вертикальные, так и горизонтальные законы о конфиденциальности играют важную роль в защите прав людей на неприкосновенность частной жизни, многие считают вертикальные политики более эффективными, поскольку они лучше нацелены на конкретные риски.

Закон США о конфиденциальности от 1974 г.

Федеральное правительство приняло Закон США о конфиденциальности 1974 г., чтобы усилить защиту частной жизни. Этот закон установил правила и положения, касающиеся сбора, использования и раскрытия личной информации государственными учреждениями США. Ниже приведены некоторые примеры гарантированных прав, на которые распространяется правило конфиденциальности информации:

• Право запрашивать доступ и исправлять данные, если это необходимо: граждан США имеют право на доступ к своим личным данным, хранящимся в государственных учреждениях, и запрашивать изменения, если они считают информацию неточной.
• Право доступа к данным (ограничено на индивидуальной основе): Правительственные учреждения предоставляют пользователям доступ к данным в зависимости от их роли в компании.
• Право на информацию об использовании данных: Люди должны знать, как агентства используют их личные данные после их сбора.

HIPAA

Принятый в 1996 г. Закон о переносимости и подотчетности медицинского страхования (HIPAA) представляет собой федеральный закон о защите конфиденциальности, который защищает медицинскую информацию физических лиц. HIPAA применяется ко всем организациям, которые обрабатывают защищенную медицинскую информацию (PHI), включая поставщиков медицинских услуг, больницы и страховые компании. Когда компания передает ЗМИ поставщику медицинских услуг или застрахованной организации, физические лица имеют следующие права:

• Застрахованная организация может использовать данные пациентов для определенных целей, таких как лечение и оплата. Однако явное разрешение маркетинговой деятельности требует, чтобы поставщики медицинских услуг запрашивали разрешение у пациентов, которым принадлежит их личная информация.
• Поставщик медицинских услуг должен предоставить пациенту уведомление о методах обеспечения конфиденциальности, в котором описывается, как поставщик будет использовать и защищать данные пациента. Пациенты могут запрашивать ограничения на то, как поставщики медицинских услуг используют и раскрывают их личную информацию.
• Пациенты имеют право обновлять свои медицинские записи, если они считают информацию неточной.

КОППА

Конгресс принял Закон о защите конфиденциальности детей в Интернете (COPPA) в 1998 для защиты конфиденциальности в Интернете несовершеннолетних в возрасте до 13 лет. COPPA применяется к любому веб-сайту или онлайн-сервису, который собирает, использует или раскрывает личную информацию от детей. В соответствии с COPPA веб-сайты и онлайн-сервисы должны предпринимать следующие шаги для защиты конфиденциальности детей:

• Разместите четкую и краткую политику конфиденциальности, объясняющую, какую информацию поставщики услуг будут собирать от детей, как они будут ее использовать и при каких обстоятельствах они будут раскрывать ее третьим лицам.
• Получите согласие родителей перед сбором, использованием или раскрытием личных данных детей.
• Предоставьте родителям возможность просматривать и удалять личную информацию своего ребенка.

ГЛБА

В 1999 году правительство США подписало Закон Грэмма-Лича-Блайли (GLBA). Этот закон защищает конфиденциальность потребителей и применяется к любому финансовому учреждению, которое собирает, использует или раскрывает личную информацию. Финансовые учреждения должны принимать следующие меры для защиты конфиденциальности физических лиц:  

• Объясните клиентам методы обмена информацией и разрешите им отказаться от передачи своих данных третьим лицам.
• Следуйте установленным правилам сбора, использования и защиты данных клиентов финансовыми учреждениями. Закон распространяется на все типы потребительских данных, включая информацию, собранную в Интернете.
• Разработать и внедрить письменную программу информационной безопасности для защиты данных клиентов от несанкционированного доступа.

Новые законы штата США о конфиденциальности данных

Законы о конфиденциальности в США различаются в зависимости от штата — в некоторых штатах приняты законы, обеспечивающие защиту конфиденциальности, а в других нет никаких правил. Ниже приведены некоторые примеры подписанных и предложенных законов о конфиденциальности отдельных штатов: 

.

Калифорния

В 2020 году избиратели в Калифорнии приняли Калифорнийский закон о правах на неприкосновенность частной жизни (CPRA), поправку к CCPA. CPRA обеспечивает дополнительную защиту для калифорнийцев, например, право знать, какие личные данные о них собирают организации, и право знать, продают ли компании свои данные и кому.

Колорадо

Закон штата Колорадо о конфиденциальности — это новый закон, который вступит в силу 1 июля 2023 года. Этот закон требует от компаний раскрывать информацию о своих методах сбора и обмена данными с потребителями и дает жителям Колорадо право отказаться от продажи своих личных данных. . Закон также налагает строгие санкции на компании и уполномочивает генерального прокурора штата возбуждать принудительные действия.

Коннектикут

Закон Коннектикута о конфиденциальности личных данных и онлайн-мониторинге распространяется на любую компанию, которая собирает личную информацию от жителей Коннектикута. Закон устанавливает правила защиты конфиденциальности для контролеров и обработчиков данных и требует от них принятия разумных мер безопасности для защиты персональных данных.

Мэриленд

Закон штата Мэриленд о защите потребителей в Интернете защищает потребителей от угроз кибербезопасности, включая утечку данных, кражу, фишинг и шпионское ПО. Хотя этот закон похож на законы других штатов о конфиденциальности, в некоторых отношениях он является более всеобъемлющим.

Например, закон штата Мэриленд требует от компаний принятия разумных мер для защиты личной информации потребителей от несанкционированного доступа, использования или раскрытия. Закон также требует, чтобы организации предоставляли потребителям возможность отказаться от сбора, использования или продажи их личной информации.

Этот закон применяется ко всем предприятиям, которые собирают, используют или раскрывают личные данные о жителях Мэриленда, включая компании за пределами штата, которые продают товары или услуги местным жителям Мэриленда.

Массачусетс

Закон штата Массачусетс о конфиденциальности данных представляет собой набор правил, регулирующих обращение компаний с личной информацией. Закон распространяется на любую организацию, которая хранит, использует или раскрывает персональные данные жителей Массачусетса.

В некоторых положениях закона говорится, что компании должны получить согласие потребителей, прежде чем собирать или использовать их данные. Кроме того, организации должны предпринять необходимые шаги для защиты данных потребителей. Закон штата также устанавливает, что компании должны раскрывать информацию о том, как они используют данные потребителей, и разрешать клиентам отказываться от конкретных видов использования. Наконец, организации должны убедиться, что собираемые ими данные точны и актуальны.

Нью-Йорк

Нью-Йоркский закон о конфиденциальности является одним из наиболее полных законодательных актов о конфиденциальности и безопасности в США. Этот закон устанавливает строгие правила в отношении того, как предприятия должны обращаться с личной информацией потребителей, и предоставляет физическим лицам новые права в отношении данных. Закон существенно влияет на компании, работающие в штате Нью-Йорк, и помогает всем жителям контролировать свою личную информацию. Некоторые ключевые положения закона о конфиденциальности включают:

• Организации должны раскрывать, какие категории потребительских данных они собирают, используют или продают, а также цели, для которых они будут использовать эти данные.
• Надежные механизмы правоприменения обеспечивают частное право на иск и применяют гражданско-правовые санкции за каждое нарушение.

Вирджиния

Закон штата Вирджиния о защите данных потребителей — это новый закон, который вступит в силу 1 января 2023 года. Он требует от компаний принятия разумных мер для защиты конфиденциальности, конфиденциальности и целостности данных потребителей.

Этот новый закон применяется к любому бизнесу, который собирает, использует или раскрывает личную информацию 100 000 или более потребителей Вирджинии или получает 50 или более процентов своего дохода от продажи данных потребителей.

Закон также дает жителям Вирджинии право на доступ к своим личным данным и запросить исправление, если они неверны.

Сравнение законов штата США о конфиденциальности

Между законами каждого штата есть существенные различия. Например, законы Калифорнии, Нью-Йорка и Массачусетса распространяются на любую компанию, которая ведет бизнес в штате, независимо от того, есть ли у них там офис. Для сравнения, закон Мэриленда применяется только к организациям, которые физически присутствуют в штате. Кроме того, законы о конфиденциальности Калифорнии и Мэриленда применяются к предприятиям с годовым доходом более 25 миллионов долларов, в то время как в других странах таких ограничений нет.

Какие требования конфиденциальности применяются ко мне?

Хотя экосистема законов штата и федерального законодательства о конфиденциальности может показаться сложной, существуют простые способы определить, какие нормативные требования применяются к вам и вашему бизнесу. Рассмотрим свой бизнес:

• Местонахождение: Работайте со своим партнером по соблюдению нормативных требований и получите хорошее внутреннее представление о том, какие нормы штата и федеральные нормы применяются к вам.
• Отрасль: Различные вертикали по-разному относятся к законам США о конфиденциальности, от здравоохранения до розничной торговли и финансовых услуг. Вместе со своим партнером по соблюдению требований вы захотите провести тщательный поиск отраслевых стандартов и внедрить меры и средства контроля для соответствия HIPAA, Регуляторному органу финансовой отрасли и другим отраслевым нормам.
• Размер: Если вы храните большие объемы личных или конфиденциальных данных с помощью сторонних поставщиков облачных услуг или организаций, вам также следует перепроверить, чтобы их элементы управления никоим образом не угрожали вашему соответствию требованиям.

Используя эти ключевые факторы, определить, какие требования конфиденциальности применимы к вашей организации, может быть относительно просто.

Часто задаваемые вопросы о конфиденциальности данных

Ниже приведены часто задаваемые вопросы о законах о конфиденциальности данных.

В: Чем законы о конфиденциальности в США отличаются от европейских?

О: Самое существенное отличие заключается в том, что в США нет единого комплексного федерального закона о конфиденциальности, подобного GDPR ЕС. Вместо этого в США есть лоскутное одеяло из федеральных законов и законов штатов, которые предлагают различные уровни защиты личных данных потребителей.

В: Каковы основные пункты федеральных законов США и законов штата о конфиденциальности?

A: Большинство законов США о конфиденциальности имеют несколько основных положений, таких как получение согласия потребителя перед сбором или использованием персональных данных и необходимость принятия мер по обеспечению безопасности данных. Однако между законами есть некоторые существенные различия, поэтому важно проверять конкретные требования каждого указа, чтобы обеспечить их соблюдение.

В: Каковы последствия нарушения законов США о конфиденциальности?

A: Последствия нарушения законов США о конфиденциальности могут различаться в зависимости от закона. В некоторых случаях юридические лица могут быть подвергнуты штрафам или другим санкциям. В других случаях потребители могут иметь право предъявить иск компании о возмещении ущерба.

Будущее законов о конфиденциальности данных

По мере того, как каждый год все больше личных и конфиденциальных данных переходит из рук в руки в цифровом виде, понимание законов, защищающих нашу конфиденциальность, становится все более важным. В Соединенных Штатах законы о конфиденциальности в Интернете все еще находятся в стадии разработки, но они являются хорошим началом для защиты личных данных. Граждане и жители могут ожидать, что в будущем все больше штатов примут всеобъемлющие законы о конфиденциальности, а федеральное правительство может в конечном итоге принять закон, обеспечивающий общенациональную защиту данных потребителей.

В то же время, чтобы быть в курсе последних мер безопасности и изменений в области конфиденциальности данных, необходимо принимать меры для защиты вашей личной информации. Развертывание решений для предотвращения потери данных и обнаружения угроз также может помочь вам защитить ваши данные и обеспечить соблюдение законов о конфиденциальности.

Что вам следует сделать сейчас

Ниже приведены три способа, с помощью которых мы можем помочь вам начать путь к снижению рисков, связанных с данными в вашей компании:

1. Запланируйте с нами демонстрационную сессию, где мы сможем показать вам все, ответить на ваши вопросы и помочь вам понять, подходит ли вам Varonis.
2. Загрузите наш бесплатный отчет и узнайте о рисках, связанных с раскрытием данных SaaS.
3. Поделитесь этой записью в блоге с теми, кого вы знаете, кому будет интересно ее прочитать. Поделитесь им с ними по электронной почте, LinkedIn, Twitter, Reddit или Facebook.

Дэвид Харрингтон

Дэвид — профессиональный писатель и консультант по передовым идеям для брендов корпоративных технологий, стартапов и фирм венчурного капитала.

Бесплатная оценка риска данных

Присоединяйтесь к более чем 7000 организаций, которые променяли тьму данных на автоматизированную защиту. Начните работу за считанные минуты.

Получите оценку риска Посмотреть образец

Inside Out Security — Inside Out Security

Последние статьи

Управление состоянием безопасности данных (DSPM): Практические рекомендации для директоров по информационной безопасности

Роб Соберс

19 апреля 2023 г. руководство нашего директора по информационной безопасности. Научитесь выбирать правильный инструмент, поддерживать соответствие требованиям и предотвращать утечку данных.

Путеводитель по конференции RSA 2023

Меган Гарза

13 апреля 2023 г.

Варонис собрал лучшие сессии RSAC, которые вы не захотите пропустить. Следуйте нашей удобной программе, чтобы воспользоваться всеми преимуществами RSAC 2023.

Точная дорожная карта безопасности данных, которую мы использовали с более чем 7000 директоров по информационной безопасности

Роб Соберс

11 апреля 2023 г.

Изучите дорожную карту безопасности данных Varonis для современной защиты, помогая более 7000 директоров по информационной безопасности в обеспечении соответствия и защиты ценных данных.

Глобальные тенденции угроз и будущее реагирования на инциденты

Меган Гарза

10 апреля 2023 г.

Группа реагирования на инциденты Varonis обсуждает последние глобальные тенденции угроз и рассказывает, почему упреждающее IR — это будущее безопасности данных.

Просмотреть все Безопасность данных

HardBit 2.0 Программа-вымогатель

Джейсон Хилл

20 февраля 2023 г.

HardBit — это программа-вымогатель, нацеленная на организации, вымогающие платежи в криптовалюте для расшифровки их данных. Версия HardBit 2.0, которая, казалось бы, улучшилась по сравнению с их первоначальным выпуском, была представлена ​​в конце ноября 2022 г., а образцы можно было увидеть в конце 2022 г. и в 2023 г.

Neo4jection: секреты, данные и облачные эксплойты

Нитай Бахрах

8 февраля 2023 г.

В связи с непрерывным ростом графовых баз данных, особенно Neo4j, мы наблюдаем учащение дискуссий среди исследователей безопасности о проблемах, обнаруженных в этих базах данных. Однако, учитывая наш опыт работы с графовыми базами данных — от разработки сложных и масштабируемых решений с графовыми базами данных до атак на них — мы заметили разрыв между публичными обсуждениями и знаниями наших исследователей безопасности об этих системах.

VMware ESXi в очереди на уничтожение программ-вымогателей

Джейсон Хилл

7 февраля 2023 г.

выявлять хосты с уязвимостями Open Service Location Protocol (OpenSLP).

Перекрёстный разговор и секретный агент: два вектора атаки на Identity Suite Окты

Таль Пелег и Нитай Бахрах

23 января 2023 г.

Лаборатория угроз Varonis обнаружила и раскрыла два направления атаки на идентификационный пакет Okta: CrossTalk и Secret Agent.

Просмотреть все Исследование угроз

Varonis запускает управление рисками сторонних приложений

Натан Коппингер

25 апреля 2023 г.

Varonis уменьшает поверхность атаки SaaS, обнаруживая и устраняя опасные подключения сторонних приложений.

Varonis открывает центр обработки данных в Австралии для поддержки клиентов SaaS

Рэйчел Хант

11 апреля 2023 г.

Австралийское расширение позволяет клиентам Varonis добиваться результатов автоматизированной защиты данных, соблюдая национальные стандарты конфиденциальности данных.

No related posts.