Закон о персональных данных 2020: Статья 9. Согласие субъекта персональных данных на обработку его персональных данных \ КонсультантПлюс

Разное 

Содержание

Калифорнийский закон о конфиденциальности потребителей вступает в силу с 1 января 2020 года — Право на vc.ru

Евгений Краснов из Buzko Legal рассказывает о главных положениях нового и пока единственного в своём роде в США закона о защите персональных данных потребителей.

4124 просмотров

Всем было известно об Общем регламенте по защите данных (General Data Protection Regulation, GDPR), принятом Европейским союзом, ещё задолго до того, как он вступил в силу 25 мая 2018 года.

Этот регламент существенно изменил ландшафт в сфере контроля над персональными данными между бизнесом и пользователями и послужил нескончаемым электронными письмами от компаний об изменении их политик о конфиденциальности, чтобы соответствовать новым обширным требованиям GDPR.

Но мало кто знает, что чуть больше месяца после того, как GDPR вступил в силу, примеру Европы последовал штат Калифорния, где 28 июня 2018 года был принят Калифорнийский закон о защите конфиденциальности потребителей (California Consumer Privacy Act или CCPA).

В нашей обзорной статье для основателей стартапов в США мы уже упоминали CCPA, но теперь хотим более подробно разобрать его положения в связи с надвигающейся датой вступления в силу — 1 января 2020 года.

TL;DR

  • CCPA похож на GDPR.
  • Будет применяться не только к компаниям с выручкой выше $25 млн, но и к тем, которые обрабатывают данные более 50 тысяч резидентов Калифорнии.

CCPA в контексте федеральной системы власти в США

Для начала немного вводной информации. В США власть распределена между федеральным правительством и штатами. Федеральный закон имеет преимущество перед законами штатов, но федеральное правительство ограничено Конституцией США в сферах, в которых оно может принимать законы.

Не вдаваясь в подробности, отметим, что федеральное правительство имеет полномочия регулировать персональные данные граждан, но закона, подобного CCPA, еще не приняло. Пока такая ситуация сохраняется, каждый штат вправе регулировать персональные данные, как ему захочется.

Так как закон каждого отдельного штата применяется только к субъектам этого штата, может показаться, что это не такое важное событие. Но принятие CCPA в Калифорнии заслуживает внимания по, как минимум, двум причинам.

Во-первых, инициативы, принятые в Калифорнии, зачастую имеют масштабное влияние на США в целом. Это во многом объясняется размером штата: Калифорния имеет самую большую численность населения среди штатов (около 40 млн. человек), находится на третьем месте по территории и на первом месте с огромным отрывом – по размеру экономики.

Как известно, если бы Калифорния была отдельным государством, она бы вошла в пятёрку крупнейших в мире по ВВП. Поэтому инициативы, принятые в Калифорнии, часто задают тон будущим переменам на федеральном уровне в США и, следовательно, в мире.

Во-вторых, позиция Калифорнии по регулированию персональных данных особенно важна, потому что Кремниевая долина является основным местом деятельности главных сборщиков таких данных в мире: Google и Facebook, а также многих других игроков этого рынка имеют свои штаб-квартиры именно там.

Таким образом, есть все основания полагать, что, когда придет время общенационального закона о персональных данных в США, его содержание будет во многом определяться CCPA и его последствиями.

Субъекты CCPA

CCPA действует в отношении коммерческих организаций, которые собирают личные данные потребителей. На компанию распространяются правила CCPA, если она: ведет коммерческую деятельность в штате Калифорния и соответствует хотя бы одному из следующих критериев:

  • Имеет годовую выручку в размере не менее $25 млн.
  • Ежегодно собирает, продает или передает в коммерческих целях персональные данные как минимум 50 тыс. потребителей или устройств.
  • Получает как минимум 50% своей выручки от продажи персональных данных потребителей.

Месторасположение компании не играет роли. Если она соответствует указанным критериям, она обязана соблюдать CCPA при работе с персональными данными резидентов Калифорнии.

Нововведения CCPA

Основное новшество CCPA – наделение потребителей определенными правами в отношении их персональных данных и установление соответствующих обязанностей для компаний, подпадающих под действие закона. Компании будут обязаны:

  • Подробно раскрывать в своих политиках о конфиденциальности, как они собирают, обрабатывают, используют и продают персональные данные пользователей (право знать).
  • Предоставлять пользователям способы обращаться с просьбой о получении доступа к их данным и об удалении этих данных (право на доступ и удаление).
  • Уведомлять пользователей, если компания занимается продажей персональных данных, и предоставлять им способ отзыва согласия на продажу их данных (право на отказ).
  • Внедрять и поддерживать разумные меры по защите персональных данных (право на безопасность данных и раскрытие информации о взломах).

Конкретные обязанности компаний по CCPA

Политика о конфиденциальности

CCPA обязывает всех подпадающих под его действие компаний опубликовать комплексную политику о конфиденциальности, описывающую практику сбора, использования, раскрытия и продажи персональных данных, а также права потребителей в отношении их данных.

Если у компании есть сайт или приложение, политика должна быть опубликована по заметной ссылке под названием «Конфиденциальность» (Privacy) на домашней странице сайта или посадочной странице приложения.

Способ отзыва согласия на продажу данных

CCPA также обязывает компании предоставлять потребителям конкретные способы для осуществления их прав. Например, если компания занимается продажей персональных данных, она обязана предоставлять своим пользователям интерактивную онлайн-анкету, заполнив которую пользователи могут отозвать свое согласие на продажу данных.

Анкета должна быть доступна через заметную ссылку под названием «Не продавайте мои персональные данные» (Do Not Sell My Personal Information) на сайте или в приложении компании.

Уведомления о сборе личной информации и финансовых стимулах

Компании также будут обязаны заметным способом уведомлять потребителей каждый раз, когда у потребителя запрашивается личная информация. Если компания предлагает какие-либо финансовые стимулы потребителям за право продавать их персональные данные, компания также будет обязана недвусмысленно уведомить потребителей об этом.

Закон постоянно обновляется – помните об исключениях

Важно, что подготовка регламента CCPA продолжается, и в законодательном органе Калифорнии регулярно появляются поправки к закону.

С момента принятия CCPA в прошлом году появилось немало исключений. Одним из главных является исключение из определения «персональных данных» анонимизированных и агрегированных данных, таких как IP-адреса и геолокация.

Таким образом, если ваша компания на первый взгляд подпадает под CCPA, необходимо тщательно проверить, применяются ли к ней какие-либо исключения.

Ответственность

Все в курсе про гигантские штрафы по GDPR, поэтому стоит отдельно сказать про ответственность по CCPA. Обязанность следить за соблюдением CCPA возложена на Генерального прокурора Калифорнии. Если Генпрокурор узнает, что компания нарушила CCPA, он обязан сначала дать ей 30 дней на устранение нарушения, а затем может оштрафовать ее от $2 500 до $7 500 за каждое нарушение.

CCPA также позволяет потребителям обращаться с частными исками против компаний в случае утечки персональных данных, вызванных ненадлежащими мерами по защите таких данных в компании.

Закон позволяет взыскать бóльшую из следующих сумм: от $100 до $750 на потребителя за каждое нарушение или реальный ущерб. Установление суммы ущерба для частных исков в законе является важным нововведением CCPA в сфере персональных данных: сейчас у потребителей, у которых нет объективных доказательств убытков от утечки данных, нет возможности отсудить деньги у нарушителей.

Заключение

Вступление в силу CCPA будет важным событием в американской правовой системе, так как в стране впервые появится комплексный закон о защите данных потребителей. Закон мало повлияет на практики обработки персональных данных самых крупных игроков технологического рынка, которые уже исполняют требования более строгого GDPR.

Вместе с тем существенная часть американских потребителей получат схожие с GDPR права, что определенно послужит введению аналогичных законов в других штатах, а затем и на федеральном уровне.

Поэтому независимо от того, подпадает ваша компания под действие CCPA или нет, следует провести аудит ваших практик обработки персональных данных и удостовериться, что они достоверно отражены в вашей политике о конфиденциальности.

Автор статьи — Евгений Краснов, партнер юридической фирмы Buzko Legal и лицензированный юрист по американскому праву.

Правомерность распространения персональных данных участников закупок

Анонс:

Актуализация (пересмотр) распространения персональных данных участников закупочных процедур неопределенному кругу лиц в связи с принятием Федерального закона от 30.12.2020 N 519-ФЗ “О внесении изменений в Федеральный закон “О персональных данных”.

Согласно Федеральному закону от 30.12.2020 № 519-ФЗ “О внесении изменений в Федеральный закон “О персональных данных” статья 3 Федерального закона от 27.07.2006 № 152-ФЗ “О персональных данных” (далее – Закон о персональных данных) дополняется пунктом 1.1 следующего содержания: “персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;”, а также дополняется Закон статьей 10. 1 “Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения”.

С учетом введенной статьи 10.1 Закона о персональных данных распространение персональных данных, в том числе и размещение в сети Интернет, должно происходит путем получения согласия субъекта персональных данных.

В соответствии с Федеральными законами от 18.07.2011 № 223-ФЗ “О закупках товаров, работ, услуг отдельными видами юридических лиц” и от 05.04.2013 № 44-ФЗ “О контрактной системе в сфере закупок товаров, работ, услуг для государственных и муниципальных нужд” (далее – Закона о контрактной системе закупок ) участниками закупок передаются персональные данные, когда участниками закупочных процедур являются физические лица, в том числе индивидуальные предприниматели (при подаче заявок они передают заказчику информацию о себе: ФИО, адрес, ИНН и т.д.), а также при предоставлении участниками сведений о квалификации своих сотрудников. Это может быть как обязательным требованием к участникам, так и критерием оценки заявок. Обычно представляются документы об образовании или стаже работников, и документы, подтверждающие сами трудовые отношения, относящиеся к персональным данным.

Получение заказчиками заявок, их рассмотрение, оценивание, хранение, являются обработкой персональных данных участников закупок и (или) их сотрудников. В связи с этим возникает вопрос, в каких случаях требуется получать согласие на их обработку персональных данных, в том числе на разрешенных субъектом персональных данных на распространение.

Как и ранее, до введения статьи 10.1 Закона о персональных данных, заказчиками обрабатывались персональные данные и размещались в в открытом доступе в ЕИС (в ЕРУЗ, протоколах, реестрах договоров и контрактов).

При этом согласие на обработку персональных данных участников закупок не требовалось на основании пункта 11 части 1 статьи 6 Закона о персональных данных, которая гласит: “осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. ”.

Данный вывод подтверждался письмом Роскомнадзора России от 21.09.2018 № 08-77473.

В соответствии со статьей 4 Закона о контрактной системе закупок в целях информационного обеспечения контрактной системы в сфере закупок создается и ведется единая информационная система, которая обеспечивает формирование, обработку, хранение и предоставление данных (в том числе автоматизированные) участникам контрактной системы в сфере закупок и содержит информацию о закупках, предусмотренная настоящим Федеральным законом, об исполнении контрактов, реестр контрактов, заключенных заказчиками, единый реестр участников закупок, в том числе иную информацию и документы, размещение которых в единой информационной системе предусмотрено настоящим Федеральным законом, Федеральным “законом” от 18 июля 2011 года N 223-ФЗ “О закупках товаров, работ, услуг отдельными видами юридических лиц” и принятыми в соответствии с ними иными нормативными правовыми актами.

Таким образом, персональные данные участников закупок обрабатываются в соответствии с законодательством и без предоставления согласия на обработку персональных данных, в том числе и при введении статьи 10. 1 Закона о персональных данных, т.к. согласно ее части 11, устанавливающая исключение, а именно: “установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации”.

Законодатель, ужесточая условия обработки персональных данных, разрешенных субъектом персональных данных для распространения, сделал исключение в части раскрытия информации и размещения персональных данных участников в единой информационной системе (далее – ЕИС).

Однако, информация о квалификации работников участников не публикуются в ЕИС в открытом доступе (а если публикуются – должны быть обезличены).

Следовательно, заказчик обязан требовать в составе заявки согласие на обработку персональных данных, выданное каждым работником, чьи сведения представляются. Наличие такого согласия напрямую предусмотрено статьей 88 Трудового кодекса Российской Федерацией, что подтверждается письмом Минэкономразвития России от 02.10.2015 №ОГ-Д28-12951.

автор Рамис Гибатдинов, заместитель председателя Общественного совета при Агентстве госзакупок Ульяновской области, замдиректора МУП «Ульяновская городская электросеть», член Ассоциации «RPPA».

Прокомментировать

Закон штата Калифорния о конфиденциальности потребителей (CCPA): что нужно знать для соблюдения

Функция

Новый закон о конфиденциальности Калифорнии, AB 375, может не обременять безопасность так сильно, как GDPR, но детали могут быть изменены.

Соавтор, ОГО |

Веронаа / Шульц / Getty Images Содержание
  • Что такое CCPA?
  • На какие компании распространяется CCPA?
  • Когда моя компания должна соблюдать CCPA?
  • Что произойдет, если моя компания не соблюдает CCPA?
  • Какие данные охватывает CCPA?
  • Каковы ключевые положения о конфиденциальности в CCPA?
  • Что CCPA означает для безопасности?

Показать больше

В конце июня 2018 года Калифорния приняла AB 375, закон о конфиденциальности потребителей, который может иметь более серьезные последствия для американских компаний, чем Общий регламент ЕС по защите данных (GDPR), вступивший в силу в мае 2018 года. некоторые из самых обременительных требований GDPR, такие как узкое 72-часовое окно, в течение которого компания должна сообщить о нарушении. Однако в других отношениях дело идет еще дальше.

CCPA имеет более широкое, чем GDPR, представление о том, что представляют собой частные данные. Таким образом, задача безопасности состоит в том, чтобы найти и защитить эти личные данные.

Что такое CCPA?

Закон штата Калифорния о конфиденциальности потребителей (CCPA) — это закон, который позволяет любому потребителю из Калифорнии требовать просмотра всей информации, которую компания сохранила о нем, а также полного списка всех третьих лиц, которым передаются данные. Кроме того, закон Калифорнии позволяет потребителям подавать в суд на компании в случае нарушения принципов конфиденциальности, даже если нарушения нет.

На какие компании распространяется CCPA?

Все компании, которые обслуживают жителей Калифорнии и имеют годовой доход не менее 25 миллионов долларов, должны соблюдать закон. Кроме того, под действие закона подпадают компании любого размера, располагающие персональными данными не менее чем о 50 000 человек или получающие более половины своих доходов от продажи персональных данных. Компании не обязательно должны базироваться в Калифорнии или иметь там физическое присутствие, чтобы подпадать под действие закона. Они даже не должны базироваться в Соединенных Штатах.

Поправка, внесенная в апреле, освобождает «страховые учреждения, агентов и вспомогательные организации», поскольку они уже подпадают под действие аналогичных правил в соответствии с Законом Калифорнии о страховой информации и защите конфиденциальности (IIPPA).

Когда моя компания должна соблюдать CCPA?

Закон вступил в силу 1 января 2020 г., но его применение началось 1 июля.

Что произойдет, если моя компания не соблюдает CCPA?

У компаний есть 30 дней на соблюдение закона после того, как регулирующие органы уведомят их о нарушении. Если проблема не будет решена, взимается штраф в размере до 7500 долларов США за запись. «Если вы думаете о том, сколько записей пострадало в результате взлома, то оно действительно очень быстро увеличивается», — говорит Дебра Фарбер, старший директор по стратегии конфиденциальности в BigID. Поскольку законопроект был составлен и принят всего за неделю, в него, вероятно, будут внесены некоторые поправки, добавляет она. «Такие вещи, как сумма штрафа, скорее всего, изменятся».

Есть еще один потенциальный финансовый риск, говорит Фарбер. «Законопроект впервые предусматривает право человека на подачу иска, — говорит она. «И это позволяет подавать коллективные иски о возмещении ущерба».

Опять же, есть 30-дневное окно, которое начинается, когда потребители письменно уведомляют компанию о том, что, по их мнению, их права на неприкосновенность частной жизни были нарушены. «Если болезнь не вылечить и генеральный прокурор откажется возбуждать уголовное дело, они могут подать коллективный иск», — говорит Фарбер. «И дело не только в нарушениях».

Например, закон определяет, что компании должны иметь четко видимый нижний колонтитул на веб-сайтах, предлагающих потребителям возможность отказаться от обмена данными. Если этот нижний колонтитул отсутствует, потребители могут подать в суд. Они также могут подать в суд, если не смогут выяснить, как была собрана их информация, или получить копии этой информации. «Это может быть связано с чем угодно», — говорит Фарбер.

Закон устанавливает конкретные санкции в случае несанкционированного доступа, будь то в результате взлома, эксфильтрации, кражи или «разглашения в результате нарушения предприятием обязанности по внедрению и обслуживанию разумные процедуры и методы обеспечения безопасности». Как написано в настоящее время, AB 375 допускает штрафы в размере от 100 до 750 долларов США на потребителя за каждый инцидент или фактический ущерб, в зависимости от того, что больше.

«Добавьте все другие расходы, связанные с утечкой — реагирование на ИТ, судебную экспертизу и восстановление, юридические услуги, уведомление и т. д. — и это может превратить нарушение в сферу реальной угрозы для многих предприятий», — говорит Крис Прево. , руководитель отдела архитектуры решений безопасности во время выполнения в Imperva.

В общем, если компания предприняла шаги, необходимые для соблюдения GDPR, то она почти полностью соответствует Закону Калифорнии о конфиденциальности потребителей. По крайней мере, это ближе, чем если бы он не был готов к GDPR, говорит Эрик Дитрих, руководитель практики конфиденциальности данных в Focal Point Data Risk, LLC. «Некоторые транснациональные корпорации внесли изменения для своих европейских рынков, но, возможно, не распространили их на деятельность в США, поэтому могут быть изменения в области охвата», — говорит он.

Какие данные охватывает CCPA?

Закон Калифорнии использует более широкий подход к тому, что составляет конфиденциальные данные, чем GDPR. Например, охватывается обонятельная информация, а также история просмотров и записи взаимодействий посетителя с веб-сайтом или приложением. Вот что AB 375 считает «личной информацией»:

  • Идентификаторы, такие как настоящее имя, псевдоним, почтовый адрес, уникальный личный идентификатор, сетевой идентификатор, IP-адрес, адрес электронной почты, имя учетной записи, номер социального страхования, номер водительского удостоверения, номер паспорта. или другие подобные идентификаторы
  • Характеристики защищенных классификаций в соответствии с Калифорнийским или федеральным законом
  • Коммерческая информация, включая записи о личном имуществе, продуктах или услугах, приобретенных, полученных или рассматриваемых, или другие истории или тенденции покупок или потребления
  • Биометрическая информация
  • Информация об активности в Интернете или другой электронной сети, включая, но не ограничиваясь этим, историю просмотров, историю поиска и информацию о взаимодействии потребителя с веб-сайтом, приложением или рекламой
  • Данные геолокации
  • Звуковая, электронная, визуальная, тепловая, обонятельная или аналогичная информация
  • Профессиональная или связанная с работой информация
  • Информация об образовании, определяемая как информация, которая не является общедоступной информацией, позволяющей установить личность (PII), как определено в Законе о правах семьи на образование и неприкосновенность частной жизни (20 U. S.C., раздел 1232g, 34 CFR, часть 99)
  • Выводы, сделанные на основе любой информации, указанной в этом подразделе, для создания профиля потребителя, отражающего предпочтения, характеристики, психологические тенденции, предпочтения, предрасположенности, поведение, установки, интеллект, способности и склонности потребителя

Поправка AB 874, которая в настоящее время ожидает подписи губернатора, освобождает общедоступную, деидентифицированную и совокупную информацию о потребителях от классификации как PII. Общедоступная информация определяется как данные, доступные и хранящиеся в государственных архивах.

Изначально CCPA распространялся на данные как о сотрудниках, так и о потребителях. Однако поправка, принятая в апреле, освобождает данные сотрудников от регулирования. Другая поправка, AB 25, частично исключает личную информацию, собираемую соискателями, владельцами, директорами, должностными лицами, медицинским персоналом и подрядчиками. Срок действия этого исключения истекает 1 января 2021 года. На момент написания этого документа AB 25 ожидал подписи губернатора.

Каковы основные положения о конфиденциальности в CCPA?

Компании должны разрешить потребителям отказаться от передачи своих данных третьим лицам. Это означает, что компании теперь должны иметь возможность разделять собираемые данные в соответствии с предпочтениями пользователей в отношении конфиденциальности.

Кроме того, хотя компания не может отказать пользователям в равном обслуживании, она может предлагать поощрения пользователям, которые предоставляют личную информацию. «Это положение может быть изменено, но, как было заявлено сегодня, оно дает вам возможность предлагать скидки людям, которые хотят, чтобы их данные были переданы или проданы третьим лицам», — говорит Дитрих. «Традиционно системы не разрабатываются таким образом, чтобы ваша структура ценообразования могла меняться в зависимости от вашего выбора конфиденциальности. Это новая концепция, которая имеет очень технические последствия».

Еще одно важное отличие от GDPR заключается в том, что закон Калифорнии предоставляет клиентам гораздо более широкий доступ к своим записям, говорит Субра Рамеш, старший вице-президент по продуктам в Dataguise. Потребитель из Калифорнии имеет право узнать, какую информацию о нем собирает компания. У большинства компаний возникнут проблемы со сбором этой информации воедино. «Во-первых, объем данных, которые они собирают, уже огромен и продолжает расти, часто от сотен до тысяч терабайт, а организации корпоративного уровня обрабатывают петабайты данных», — говорит он.

Эти данные содержатся на нескольких платформах хранения в разное время файла. «Большинству инструментов поиска файлов не хватает возможности поиска в современных экосистемах файловых хранилищ, столь распространенных сегодня, — говорит Аарон Ганек, генеральный директор Cloudtenna. они разбросаны по разным репозиториям». Кроме того, проблемы соответствия связаны со сбором данных, говорит он. «Устаревшие корпоративные инструменты изо всех сил пытаются соблюдать разрозненные разрешения и модели безопасности, нарушая те самые законы и правила, для соблюдения которых они используются».

Тогда ограничение по времени. «После запроса на доступ у компании есть 45 дней, чтобы предоставить им исчерпывающий отчет о том, какой тип информации у них есть, была ли она продана и кому, и если она была продана третьим лицам за последние 12 месяцев, она должна предоставить имена и адреса третьих лиц, которым продаются данные», — говорит Джон Цопанис, менеджер по продуктам конфиденциальности в 1touch.io. «Вы не можете сделать это в Европе».

Поскольку правило распространяется на записи за предыдущие 12 месяцев, компании должны начать соблюдать правила через шесть месяцев, говорит он. Затем, 1 января 2020 года, каждая компания должна раскрыть информацию обо всех остальных компаниях, которым они продают данные. «Это навсегда изменит ландшафт конфиденциальности в Америке», — говорит Цопанис.

Что CCPA означает для безопасности?

AB 375 не содержит требований к безопасности и реагированию на нарушения по сравнению с GDPR. Как указывалось ранее, закон устанавливает санкции для компаний, которые раскрывают данные потребителей из-за нарушения или нарушения безопасности. Он также позволяет судам предлагать «судебный запрет или декларативное средство правовой защиты» или «любое другое средство судебной защиты, которое суд сочтет надлежащим».

Предприятия не обязаны сообщать о нарушениях в соответствии с AB 375, а потребители должны подавать жалобы до того, как будут наложены штрафы. Таким образом, лучший способ действий для обеспечения безопасности — узнать, какие данные AB 375 определяет как частные данные, и предпринять шаги для их защиты. Опять же, любой организации, которая соблюдает GDPR, вероятно, не нужно предпринимать дальнейшие действия для соблюдения AB 375 с точки зрения защиты данных.

Требования AB 375 к отслеживанию, доступу и хранению данных означают, что группам безопасности необходимо будет тесно сотрудничать с администраторами баз данных, говорит Терри Рэй, старший вице-президент и научный сотрудник Imperva, поставщика кибербезопасности. Любые инструменты, выбранные для работы с AB 375, должны будут не только обеспечивать полную видимость данных, хранящихся во всей разнородной корпоративной среде, но и обеспечивать надлежащую защиту доступа к этим данным. «Наконец, им потребуются эти инструменты для взаимодействия с новым потребительским порталом путем обмена конкретными потребительскими данными с поддающимся проверке потребителем, запрашивающим их», — говорит он.

Если данные хранятся у облачных провайдеров, проблема только усугубляется. Например, сотрудники могут настроить учетную запись для обмена файлами, чтобы отслеживать контакты по маркетингу или продажам. «Неудивительно, что крупные технологические компании, такие как Google и Facebook, выступили против законопроекта», — говорит Кевин Бочек, вице-президент по стратегии безопасности и анализу угроз в Venafi. «Управление конфиденциальностью и личной информацией, которая передается между машинами, невероятно сложно и является серьезной проблемой для всех предприятий».

Идет работа

Законопроект был подготовлен всего за семь дней, потому что законодатели хотели избежать голосования и принять еще более строгий закон, против которого выступали многие технологические компании. «Сейчас многие положения и определения противоречат друг другу», — говорит Энди Дейл, главный юрисконсульт и вице-президент SessionM по глобальной конфиденциальности.

Одной из проблемных областей является то, может ли компания взимать с потребителей разные цены в зависимости от их настроек конфиденциальности. Например, у многих компаний есть вариант, при котором потребитель может перейти на платный уровень, при котором он не видит никакой рекламы. Здесь закон в том виде, в каком он написан в настоящее время, немного противоречив.

«Если потребитель реализует свои права в соответствии с законодательством, предприятия не могут предоставлять потребителю другой уровень или качество продукта, товаров или услуг», — говорит Правин Котари, генеральный директор CipherCloud. «С другой стороны медали, в соответствии с постановлением, предприятиям не запрещается взимать с потребителя другую цену или ставку или предоставлять потребителю товары или услуги другого уровня или качества, если эта разница разумно связана с ценности, предоставляемой потребителю данными потребителя».

Похоже, Калифорния пытается определить структуру, в которой потребители могли бы получать деньги за обмен своими данными, говорит Котари. «В этой области законодательство несколько дальновидно, — говорит он. «Посмотрим на практике, как это на самом деле сработает».

Подробнее о CCPA:

  • 9 вопросов CCPA, на которые должен быть готов ответить каждый директор по информационной безопасности
  • CCPA — это возможность привести в порядок вашу систему безопасности данных
  • Что такое «разумная безопасность»? И как выполнить требование
  • Серьезно отнеситесь к защите данных потребителей
  • Как право собственности граждан на данные влияет на развитие бизнеса

Связанный:

  • Конфиденциальность
  • Постановление
  • Безопасность
  • Новая реальность

Мария Королев освещает новые технологии и развивающиеся рынки в течение последних 20 лет.

Copyright © 2020 IDG Communications, Inc.

7 горячих тенденций кибербезопасности (и 2 уходят в тень)

Сенатор Моран представляет законопроект о создании четкого федерального стандарта конфиденциальности потребительских данных — пресс-релизы

ВАШИНГТОН – Сенатор США Джерри Моран (республиканец от штата Канзас) сегодня повторно представил Закон о конфиденциальности и безопасности данных потребителей , чтобы усилить законы, регулирующие личные данные потребителей, и создать четкие стандарты и правила для американских предприятий, которые собирают, обрабатывают и использовать личные данные потребителей.

«Все больше и больше американцев осознают необходимость четкого федерального стандарта конфиденциальности данных, который гарантирует им возможность определять, как используются их личные данные», — сказал сенатор Моран. «Американцы должны иметь возможность рассчитывать на серьезные базовые обязательства, которые предприятия должны соблюдать при сборе, обработке и защите информации, позволяющей установить их личность. Без действий со стороны Конгресса потребители будут по-прежнему уязвимы перед будущими угрозами в отношении их личных данных, а новаторы и создатели рабочих мест будут страдать от неопределенности регулирования, возникающей из-за растущего лоскутного одеяла государственных законов. Ясно, что Конгрессу необходимо действовать, и я призываю своих коллег поддержать Consumer Data Privacy and Security Act в качестве федерального стандарта всеобъемлющего законодательства о конфиденциальности».

На этой неделе результаты опроса показали, что подавляющее большинство американцев считают, что необходим национальный стандарт конфиденциальности и что конфиденциальность данных должна быть важным приоритетом для Конгресса.

Закон о конфиденциальности и безопасности данных потребителей :

  • Устанавливает четкий федеральный стандарт защиты конфиденциальности данных, предоставляя предприятиям единый стандарт, а не лоскутное одеяло из запутанных законов штата.
  • Предоставление потребителям контроля над своими данными для доступа, исправления и удаления их личных данных.
  • Требовать от компаний, собирающих и обрабатывающих значительный объем персональных данных, принятия дополнительных мер предосторожности для защиты и ответственной обработки этих данных.
  • Запретить компаниям собирать данные без согласия потребителей с ограниченными и конкретными исключениями.
  • Требовать от предприятий разработки и внедрения надежных программ обеспечения безопасности данных для защиты личных данных от несанкционированного доступа и раскрытия.
  • Наделить Федеральную торговую комиссию (FTC) и генеральных прокуроров штатов полномочиями единообразно применять федеральные меры защиты конфиденциальности потребителей, предоставив FTC ресурсы, необходимые для выполнения этих полномочий.

Несколько ведущих коммерческих организаций и организаций, занимающихся вопросами конфиденциальности, поддерживают Закон о конфиденциальности и безопасности данных потребителей , в том числе Национальная федерация розничной торговли, Коалиция по защите конфиденциальности Мейн-стрит, BSA — The Software Alliance, NTCA — The Rural Broadband Association, Garmin и Канзас-Сити. Технический совет.

Нажмите здесь для обзора этого законодательства .

Нажмите здесь для подробного ознакомления с разделом этого закона .

Нажмите здесь , чтобы загрузить полный текст счета.

Хронология работы сенатора Морана по разработке федерального законопроекта о конфиденциальности данных:

  • 8 ноября 2017 г. — сенатор Моран принял участие в полном слушании Комитета Сената по торговле, посвященном реакции отрасли на данные Yahoo! за 2013 г. утечка данных и утечка данных Equifax в 2017 году.
  • 27 ноября 2017 г. — сенатор Моран (а также сенаторы Тьюн, Хэтч и Кэссиди) отправили письмо в Uber Technologies, касающееся сообщений об утечке данных, связанных с личными данными миллионов клиентов.
  • 12 декабря 2017 г. — Сенатор Моран успешно принял свой Закон о модернизации государственных технологий (MGT) в рамках NDAA 2018 финансового года, который направлен на поощрение федеральных агентств к модернизации своей государственной ИТ-инфраструктуры в интересах защиты государственных данных ( включая личную информацию налогоплательщиков и федеральных служащих).
  • 6 февраля 2018 г. — Сенатор Моран председательствовал на слушаниях подкомитета Сената по торговле по программам раскрытия уязвимостей, используемым субъектами отрасли, уделяя особое внимание утечке данных Uber и использованию его программы вознаграждения за обнаружение ошибок для сокрытия инцидента.
  • 22 марта 2018 г. — сенаторы Моран и сенатор Блюменталь направили письмо Александру Когану с просьбой предоставить дополнительную информацию о том, как личные данные 50 миллионов пользователей Facebook были переданы в Cambridge Analytica.
  • 10 апреля 2018 г. — сенатор Моран участвовал в совместном слушании, проведенном сенатским комитетом по торговле и судебной системе, на котором генеральный директор Facebook Марк Цукерберг дал показания. Сенатор Моран задал ряд вопросов, касающихся положений (тогдашнего) указа FTC о согласии Facebook и того, как утверждения о его совместном использовании третьими лицами не противоречат таким положениям.
  • 13 июня 2018 г. — Сенатор Моран председательствовал на слушаниях подкомитета Сената по торговле после совместного слушания полного комитета с генеральным директором Facebook Цукербергом, чтобы сосредоточиться на сборе и использовании данных социальных сетей и связанных с этим проблемах конфиденциальности. Свидетельские показания дали Александр Коган из Кембриджского университета и Ашкан Солтани, бывший технолог FTC.
  • 20 сентября 2018 г. — сенатор Моран (а также сенаторы Блюменталь, Викер и Шац) отправили письмо министру торговли Россу, чтобы призвать министерство включить Конгресс в любые обсуждения проектов, касающихся национальной системы обеспечения конфиденциальности.
  • 26 сентября 2018 г. — Сенатор Моран принял участие в полном слушании Комитета Сената по торговле для изучения политики конфиденциальности ведущих технологических и коммуникационных компаний, включая AT&T, Amazon, Google, Twitter, Apple и Charter Communications.
  • 10 октября 2018 г. — сенатор Моран принял участие в полном слушании Комитета Сената по торговле для изучения уроков, извлеченных из Общего регламента Европейского Союза о защите данных и Закона Калифорнии о конфиденциальности потребителей . На этом слушании присутствовали показания председателя Европейского совета по защите данных доктора Андреа Елинек и автора калифорнийского закона Аластера Мактаггарта.
  • 27 ноября 2018 г. — Сенатор Моран председательствовал на слушаниях в подкомитете Сената по торговле для осуществления надзора за Федеральной торговой комиссией, которая выступает в качестве ведущего федерального органа по борьбе с нарушением конфиденциальности и безопасности данных потребителей. Присутствовали все пять комиссаров.
  • 27 февраля 2019 г. — сенатор Моран принял участие в полном слушании в Сенатском комитете по торговле, на котором он задал конкретные вопросы заинтересованным сторонам отрасли, касающиеся положений, которые могут быть включены в законодательство о конфиденциальности, таких как нормотворческий орган Федеральной торговой комиссии, первый орган по гражданским санкциям, и ресурсы.
  • 26 марта 2019 г. — Сенатор Моран председательствовал на слушаниях подкомитета Сената по торговле, чтобы обсудить перспективы малого бизнеса в отношении федеральной системы обеспечения конфиденциальности. Среди свидетелей на панели были защитники прав потребителей и представители отрасли из различных секторов, в том числе Райан Вебер из Технического совета KC.
  • 30 апреля 2019 г. — сенатор Моран принял участие в слушаниях подкомитета Сената по торговле по вопросам кибербезопасности Интернета вещей (IoT), в ходе которых были представлены показания CTA, Торговой палаты США, Rapid7, USTelecom и NIST.
  • 1 мая 2019 г. — сенатор Моран участвовал в полном слушании Комитета Сената по торговле, на котором присутствовали показания Хелен Диксон из Комиссии по защите данных Ирландской Республики (которая говорила о реализации GDPR ЕС) вместе с другими представителями защиты прав потребителей. такие группы, как ACLU, Future of Privacy Forum и Common Sense Media.
  • 4 декабря 2019 г. — сенатор Моран принял участие в полном слушании Комитета Сената по торговле для изучения законодательных предложений по защите конфиденциальности потребителей, которые включали показания различных заинтересованных сторон отрасли и защитника прав потребителей из Центра демократии и технологий.
  • 12 марта 2020 г. — Сенатор Моран представил знаковое законодательство о конфиденциальности данных — Закон о конфиденциальности и безопасности потребительских данных.
  • 29 июля, 2020 — Сенатор Моран принял участие в полном слушании в Банковском комитете Сената, на котором он задал вопрос бывшему директору Бюро финансовой защиты потребителей Кэти Кранингер относительно защиты данных потребителей в связи с компаниями, работающими в сфере финансовых технологий.
  • 5 августа 2020 г. Сенатор Моран принял участие в полном слушании Комитета Сената по торговле для изучения вопросов политики, связанных с FTC, включая внутренние и международные законы о конфиденциальности.
  • 28 августа 2020 г. — Сенатор Моран призвал FTC решить проблемы конфиденциальности, связанные с мобильным приложением «Premom», после расследования того, что компания предоставила данные своих пользователей без их согласия.
  • 23 сентября 2020 г. — Сенатор Моран принял участие в полном слушании Комитета Сената по торговле, посвященном пересмотру необходимости принятия законодательства о конфиденциальности данных с руководителями Федеральной торговой комиссии. Он задал вопрос нынешним и бывшим экспертам правоохранительных органов в области конфиденциальности данных о том, что должно содержаться в законодательстве о конфиденциальности данных, в том числе о том, следует ли считать «постоянные идентификаторы» информацией, подлежащей регулированию.
  • 28 октября 2020 г. — сенатор Моран принял участие в полном слушании Комитета по торговле Сената, где он задал генеральным директорам крупных технологий вопросы о конфиденциальности данных федерального правительства и правоохранительных органах Федеральной торговой комиссии.

    No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *