Закон о персональных данных с 1 января 2020 с комментариями: Федеральный закон от 30 декабря 2020 г. N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»»

Федеральный закон от 30 декабря 2020 г. N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»»

Принят Государственной Думой 23 декабря 2020 года

Одобрен Советом Федерации 25 декабря 2020 года

Статья 1

Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; 2010, N 31, ст. 4173, 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, 4243; 2016, N 27, ст. 4164; 2017, N 27, ст. 3945; N 31, ст. 4772; 2018, N 1, ст. 82; 2019, N 52, ст. 7798; 2020, N 17, ст. 2701) следующие изменения:

1) статью 3 дополнить пунктом 1¹ следующего содержания:

«1¹) персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;»;

2) пункт 10 части 1 статьи 6 признать утратившим силу;

3) статью 9 дополнить частью 9 следующего содержания:

«9. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.»;

4) пункт 2 части 2 статьи 10 изложить в следующей редакции:

«2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10¹ настоящего Федерального закона;»;

5) дополнить статьей 10¹ следующего содержания:

«Статья 10¹. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

4. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

1) непосредственно;

2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

7. Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

8. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

10. Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

11. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

13. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи.

14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

15. Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.»;

6) пункт 3 части 4 статьи 18 изложить в следующей редакции:

«3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10¹ настоящего Федерального закона;»;

7) пункт 4 части 2 статьи 22 изложить в следующей редакции:

«4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10¹ настоящего Федерального закона;».

Статья 2

1. Настоящий Федеральный закон вступает в силу с 1 марта 2021 года, за исключением абзаца десятого пункта 5 статьи 1 настоящего Федерального закона.

2. Абзац десятый пункта 5 статьи 1 настоящего Федерального закона вступает в силу с 1 июля 2021 года.

Президент Российской Федерации В. Путин

152-ФЗ о персональных данных с изменениями на 2021 год — PDMaster.ru

Для избежания ситуаций несанкционированного разглашение личной информации необходимо ее обезопасить. Июль 2019 года принёс следующее: государство приняло решение приравнять генетический материал к личной информации. Главная цель такого изменения заключается в сохранности полной информации, которая касается любой генетической информации физического лица.

16 февраля 2019 года стало известно о том, что государство приняло конкретные правила по контролю за любой обработкой личных данных. Согласно ним, весь контроль за передачей и обработкой информации будет осуществляться посредством Роскомнадзора и его органов. Под этим подразумевается проведение различных мер по проявлению нарушений со стороны операторов, а также их устранение и профилактика выявления нарушений.

Кроме того, операторы по обработке могут быть предупреждены о приближающейся проверке за три рабочих дня, а в случае, если необходимо внепланово — за сутки. Описан свод правил, по которому может осуществляться проверка, как правильно заполнять документацию после проведения контроля, а также обо всех досудебных обжалованиях.

20 января 2019 года появилась информация, что Роскомнадзор начал заводить дела в от отношении корпораций Twitter и Facebook, поскольку они не соблюдают все правила, которые прописаны в законодательстве о защите конфиденциальной информации.

Таким образом, можно сделать вывод, что право человека на полную защиту его персональных данных полностью охраняются законодательством РФ. При любом нарушении мошенников ждет административная либо уголовная ответственность. За любое действие по передаче индивидуальной информации ответственность несет только оператор.

Обращаем внимание, если Вы все еще сомневаетесь в актуальности закрепленных процессов по работе с персональными данными или у Вас есть вопросы по разработке документов —  Вы всегда можете обратиться за консультацией в форме ниже.

7 законопроектов, за которыми мы будем следить в 2020 году

1. Борьба с домашним насилием

Законодательная инициатива уходящего года будет столь же обсуждаемой в следующем. Проект федерального закона «О профилактике семейно-бытового насилия в Российской Федерации» был опубликован Советом Федерации в конце осени, его постигла участь предыдущих версий – за месяц он уже успел подвергнуться критике и юристов, и обычных граждан. Среди критикуемых положений законопроекта – само определение «семейно-бытового насилия», нераспространение действия закона на тех, кто не зарегистрировал отношения официально, и исключение из-под действия закона физического насилия.

Если в СовФеде целью поставили сохранение семьи, то правозащитники и депутаты Государственной Думы сконцентрировались на защите жертв бытового насилия – они готовят собственный вариант законопроекта, который планируют представить в январе 2020 года. Чья позиция окажется сильнее и как оценит изменения российская общественность – узнаем в ближайшие несколько месяцев.

 

2. Защита генетических данных

Законопроект о внесении изменений в 152-ФЗ «О персональных данных» уже прошел первое чтение в Госдуме, однако его финальную версию мы увидим только в 2020 году. Депутаты надеются, что новая норма поможет устранить пробел в защите данных и приравнять биометрическую информацию к защищенной. Под действие будущего закона попадают «данные о состоянии здоровья, образе жизни, поведенческих особенностях, чувствительности к лекарствам и аллергенам, другие индивидуальные характеристики».

Подробнее о персональных данных в эпоху постправды – в материале «Сферы».

3. Розыск – по телефону

Инициатива предполагает возможность получить данные геолокации пропавших у операторов мобильной связи без решения суда – полиции достаточно будет просто запросить эти сведения. Общественные организации по поиску горячо поддержали новую норму, но правозащитники опасаются, что подобный закон даст полиции больший простор для злоупотреблений. Пока проект принят Госдумой в первом чтении.

4. Вывод бизнеса из ОПГ

Изменения статьи 210 Уголовного кодекса РФ неоднократно обсуждались в 2019 году, а в декабре соответствующий законопроект внес на рассмотрение Госдумы президент страны. Проект предполагает не применять к бизнесменам, нарушающим закон, норму о создании преступного сообщества по формальным признакам. Президент, депутаты и даже Верховный Суд отмечают, что органы следствия иногда злоупотребляют соответствующей статьей, чтобы добиться ареста, его продления или более серьезного наказания. Законопроект планируется в приоритетном порядке рассмотреть уже в январе и принять в весеннюю сессию. 

Какие законы вступили в силу с 1 января 2020 года – в материале «Сферы».

5. Искусство – не только 18+

Депутаты Госдумы серьезно задумались об отмене возрастной маркировки вплоть до 16+ – чтобы не мешать подрастающему поколению наслаждаться искусством и классической литературой. Издатели, кинопрокатчики и организаторы мероприятий по замыслу авторов законопроекта потенциально смогут воспользоваться фразами, а не цифрами.

Например: «для семейного чтения», «для семейного просмотра», «для семейного посещения», «для дошкольников», «для детей младшего школьного возраста», «для детей среднего школьного возраста», «для детей старшего школьного возраста», «не рекомендовано для детей». Насколько широко будет трактоваться буква закона – вопрос открытый. 

6. Бой с пропагандой наркотиков

Законопроект, разработанный МВД РФ, предполагает внести новые изменения в Уголовный кодекс и наказывать за склонение к потреблению наркотических средств, а также пропаганду запрещенных веществ в интернете. В случае принятия поправок за эти действия гражданам грозит срок заключения до 2 лет, исправительные работы или штраф. Проект подготовили по поручению президента России Владимира Путина, сейчас он проходит стадию общественных обсуждений. Однако стоит ожидать, что, с учетом доработок, поправки могут принять уже в 2020 году.

7. Никотиновые проблемы

Сразу несколько законопроектов, посвященных никотиносодержащей продукции, рассмотрит парламент в новом году. Первое чтение уже прошел законопроект, приравнивающий электронные сигареты, вейпы и кальяны к обычной табачной продукции – на них, по замыслу авторов инициативы, будут распространяться те же ограничения. Еще один проект подразумевает запрет на торговлю некурительных табачных изделий, вроде снюса или насвая. Совет Федерации также предложил запретить продукцию, содержащую никотин, – жевательные «конфеты», на которые часто жалуются родители российских школьников. Такая активность свидетельствует о том, что антитабачное законодательство ждут существенные изменения в ближайшем будущем.

О главных законодательных итогах 2019 года – в материале «Сферы».

База знаний

17Ноября2017

Налоговое право: Учебник / Под ред. С.Г. Пепеляева. — М.: Пепеляев Групп, 2020 На основе обобщения и анализа российского и зарубежного опыта налогообложения рассматриваются основные понятия, принципы, институты налогового права. Теоретические положения иллюстрированы примерами из судебно-арбитражной практики. Изучение курса облегчают приведенные в учебнике схемы, контрольные вопросы и тесты, списки рекомендуемой литературы.

27Ноября2017

Двухтомник «Налоговое право»

1) Налоговое право: Учебник / Под ред. С.Г. Пепеляева. — М.: 2020 
2) Налоговое право. Особенная часть / Под общ. ред. С.Г. Пепеляева. — М.: 2017

10Февраля2021

Банкротство: MustRead, выпуск 55

Примерное время чтения: 7 мин.

В новом дайджесте по банкротству:

• Будущее за обязательными электронными аукционами?
• Обзор судебной практики по делам о банкротстве гражданина
• Самый гуманный суд на свете или еще раз про единственное жилье
• Изменения НК РФ и вычет по НДС при банкротстве поставщика
• Судебный контроль за примирением

08Февраля2021

Конкуренция и право: события недели. Выпуск № 4, за 1–7 февраля 2021 г.

Примерное время чтения: 7 мин.

Почему бизнес-объединения хотят вернуть под действие пятого антимонопольного пакета поисковики, соцсети и мессенджеры? Как ФАС предлагает регулировать тарифы на размещение оборудования связи на госинфраструктуре? Чем «большую тройку» мобильных операторов не устраивает идея регулировать их тарифы? Ищите ответы в новом выпуске обзора.

08Февраля2021

Обзор налоговых событий за 1 – 7 февраля 2021 г.

Примерное время чтения: 10 мин.

Главные новости: утилизационный сбор готов к повышению; ФНС и Минфин запустили электронную систему мониторинга налоговых льгот; ФНС планирует создать систему обратной связи с налогоплательщиками.

05Февраля2021

«Медведю» сложно в Петербурге: норильский ретейлер столкнулся с проблемами

Примерное время чтения: 1 мин.

Норильская сеть «Медведь», занявшая часть площадей обанкротившегося ТД «Интерторг», не может закрепиться на петербургском рынке. К компании подана серия исков от поставщиков из–за неисполнения или ненадлежащего исполнения обязательств поставки. Младший юрист петербургской корпоративной практики «Пепеляев Групп» Екатерина Баранова отмечает, что экономические споры с поставщиками в целом редко заканчиваются мирным соглашением. 

05Февраля2021

Обзор судебной практики по налоговым спорам, выпуск 12/2020 ПЛАТНЫЙ ОБЗОР
Юристами «Пепеляев Групп» подготовлен Обзор судебной практики по налоговым спорам, выпуск 12/2020 г.

Ключевые судебные решения

1. Налогоплательщик не имеет права на вычет, если он участвовал в согласованных действиях, направленных на неправомерное уменьшение налоговой обязанности за счет искусственного наращивания стоимости товаров (работ, услуг) без формирования источника вычета (возмещения) налога, или знал о действиях иных лиц, уклоняющихся от уплаты НДС в процессе обращения товаров (работ, услуг) (Определение СКЭС ВС РФ от 25. 01.2021 № А76-2493/2017 АО «Уралбройлер»)
2. Списание непогашенной задолженности по кредитам, включая проценты, с баланса банка не является ее аннулированием, а взыскание ее по исполнительному документу не свидетельствует о прощении долга банком. У должника не возникла экономическая выгода и подлежащий налогообложению доход (Определение СКАД ВС РФ от 16.12.2020 № 49-КАД20-2-К6 В.Н. Калитенко)
3. Получение лизинговой компанией иных доходов помимо лизинговых платежей не означает, что ею одновременно велась иная экономическая деятельность, а соответствующие доходы – результат ее ведения. Отказ инспекции от применения правил определения коэффициента капитализации (применение делителя 3 вместо 12,5) не должен быть произвольным (Определение СКЭС ВС РФ от 15.01.2021 по делу № А40-123840/2019 ООО «Де Лаге Ланден Лизинг»)
4. Нормы п. 7 ст. 431 НК РФ не связывают возврат инспекцией расчета по страховым взносам с наличием в нем ошибок, безусловно влекущих неправильность исчисления подлежащих уплате сумм (Постановление АС СКО от 04. 12.2020 по делу № А63-23274/2019 ООО «Март-Лайн»)
5. НК РФ не предусматривает право проверяемого налогоплательщика на ознакомление с документами, не отраженными в акте проверки (Постановление АС МО от 07.12.2020 по делу № А40-296804/2019 ООО «НелидовПрессМаш»).

05Февраля2021

Обзор судебной практики. Топ антимонопольных споров. Выпуск № 2/2021.

Примерное время чтения: 5 мин.

Считает ли Суд по интеллектуальным правам, что лекарства и БАДы реализуются на одном товарном рынке? Можно ли признать использование неохраняемых элементов товарного знака антимонопольным нарушением? Ответы на эти вопросы – в новом дайджесте судебной практики. Для его подготовки изучены материалы 272 судебных дел.

04Февраля2021

Может ли юрист не быть политиком?

Примерное время чтения: 1 мин.

В юбилейный выпуске на канале ANTONIVANOV.RU управляющий партнер «Пепеляев Групп» Сергей Пепеляев и ординарный профессор, научный руководитель Факультета права и член Ученого совета НИУ ВШЭ Антон Иванов рассуждают на тему «Может ли юрист не быть политиком?». 

04Февраля2021

Корпоративные споры в практике ВС РФ: MustRead. Выпуск 13

Примерное время чтения: 6 мин.

В этом выпуске:

• Увеличение уставного капитала общества должно быть экономически обоснованным
• Согласие участников на заключение ДДУ не распространяется на продажу готовых квартир этим обществом
• Исключение участника из ООО не может быть способом разрешения корпоративного конфликта

04Февраля2021

Дайджест – «Цифровая экономика» 25-31 января

Примерное время чтения: 9 мин.

Некоторые новости:

• «Путешествую без COVID-19»
• Будет создан реестр правовых режимов в области цифровых инноваций
• Вступил в силу закон о регуляторных песочницах
• Программа ИИ в клиниках будет расширяться
• Беспилотные автомобили могут выйти на дороги в этом году

03Февраля2021

Банкротство: MustRead, выпуск 54

Примерное время чтения: 6 мин.

В новом дайджесте по банкротству:

• Стандарты обеспечения при кредитовании группы
• Машино-места передадут, вне зависимости от их площади!
• Кому платить за банкротство
• Залоговые требования банка против единственного жилья: устанавливаем рамки социальной справедливости

02Февраля2021

Дайджест – «Телекоммуникации, медиа, IT» за 31 декабря 2020 г. — 31 января 2021 г. Президент РФ подписал закон, уточняющий порядок заключения, прекращения договоров об оказании услуг связи и внесения в них изменений дистанционным способом; Проект федерального закона, направленный на упрощение доступа операторов связи к инфраструктуре МКД в целях размещения в них сетей связи на принципах НДД, будет внесен в Госдуму; Утверждён перечень российского ПО для предустановки; В Госдуму внесен законопроект о штрафах за использование иностранных спутниковых систем; Минцифры разработало проект о генсхеме развития сетей связи и инфраструктуры хранения и обработки данных.

Для получения доступа к Обзорам судебной практики по налоговым спорам необходимо оформить подписку.

Я уже подписчик

Необходимо авторизоваться чтобы получить доступ

Авторизоваться

По вопросам подписки обращайтесь, пожалуйста, к Маргарите Завязочниковой
E-mail: m. [email protected]
Nел. +7 (495) 767 00 07

: Технологии и медиа :: РБК

Согласно законопроекту начало эксперимента в Москве запланировано на 1 июля 2020 года. Он должен продлиться пять лет и предусматривает следующее.

• В эксперименте смогут участвовать компании, включенные в специальный реестр. Это должны быть юрлица или индивидуальные предприниматели, зарегистрированные в Москве и участвующие в разработке или обороте технологий искусственного интеллекта, а также товаров и услуг, сделанных на его основе.
• Мэрия сможет определять условия, требования и порядок разработки, создания, внедрения и реализации технологий искусственного интеллекта. Какими они будут, в законопроекте не уточняется. Указано лишь, что мэрия будет определять порядок и случаи передачи изображений собственниками городских фото- и видеокамер, а также контролировать обработку обезличенных персональных данных участниками эксперимента. При этом оговаривается, что обезличенные персональные данные, полученные в ходе эксперимента, нельзя передавать не участвующим в нем лицам. Эти данные должны храниться на территории Москвы.
• За стратегию и механизмы реализации экспериментального правового режима будет отвечать координационный совет, положение о котором принимается Москвой по согласованию с правительством.
• По результатам проведения эксперимента совет должен подготовить и представить правительству «предложения о целесообразности или нецелесообразности внесения изменений» в российское законодательство.

Читайте на РБК Pro

Источник РБК пояснил, что цель эксперимента — кардинально упростить условия для компаний — разработчиков искусственного интеллекта и «установить понятные и четкие правила развития технологий на его основе». «Искусственный интеллект легко работает с огромными массивами данных, в том числе помогая принимать решения и освобождая людей от рутинных задач. При этом многие аспекты применения технологии законодательно не урегулированы», — указывает собеседник РБК. Учитывая, что искусственный интеллект способен к самообучению и делает это быстрее, чем человек, скорость появления новых цифровых решений будет только увеличиваться. «В будущем мы обязательно столкнемся с необходимостью правового регулирования искусственного интеллекта, и, если сейчас не начать работу в этом направлении, мы можем отстать от таких стран, как Китай, США или Япония», — заключил источник РБК, близкий к столичному правительству.

Москва выбрана для проведения эксперимента как «лидер по внедрению высоких технологий в России», поясняет он, отмечая, что внедрение искусственного интеллекта происходит во многих сферах: с его помощью, например, в столице уже тестировали возможность выявления рака легких у пациентов. Предполагается, что в дальнейшем искусственный интеллект будет помогать анализировать дорожную обстановку и регулировать светофоры, управлять городским освещением и др.

Кто будет участвовать в проекте

По словам источника РБК, тестирование позволит бизнесу и программистам понять, какие разработки возможны и какие требования предъявляет к ним государство. Он отметил, что интерес к участию в эксперименте ранее проявили «Лаборатория Касперского», «Яндекс», резиденты «Сколково» и другие компании.

Представитель «Яндекса» заявил, что компания поддерживает введение специальных режимов в Москве, поскольку это необходимое условие для развития таких сервисов, как беспилотные автомобили. «Важно, чтобы создаваемый режим был прозрачным, эффективным и позволял тестировать новые технологии в реальных условиях. Мы, как и другие участники рынка, внесли предложения при разработке проекта на основании наших знаний и опыта», — отметил представитель «Яндекса».

По словам директора департамента развития и планирования фонда «Сколково» Сергея Израйлита, ему показывали одну из предыдущих версий законопроекта, однако текущую редакцию (Израйлит ознакомился с ней по просьбе РБК) он ранее не видел. Израйлит отметил, что поддерживает инициативу, поскольку видит значительный интерес со стороны бизнеса, однако уверен, что документ «ждет нелегкая судьба в связи с юридическими трудностями». «Во-первых, авторы используют понятие «обезличенные персональные данные». Оно было в нашей устаревшей версии законопроекта и уже получило отрицательное заключение от государственно-правового управления президента. Во-вторых, у обезличенных данных нет территориального признака», — объяснил он.

Представитель МТС поддерживает идею создания механизмов для дальнейшего развития искусственного интеллекта. «Наличие регулирующих механизмов позволит ускорить внедрение инновационных решений. Логично, что именно Москва как одна из наиболее передовых мировых столиц с развитой цифровой инфраструктурой станет территорией для первого тестирования правовых нововведений в России», — сказал он. Представитель Сбербанка (у организации есть аналогичные разработки) отказался от комментариев. Представитель «Лаборатории Касперского» не ответил на вопросы РБК.

Что знают россияне об искусственном интеллекте

О технологии искусственного интеллекта знают большинство россиян, однако суть ее понимают меньше трети, следовало из недавнего опроса ВЦИОМа и проектного офиса по реализации нацпрограммы «Цифровая экономика» Аналитического центра при правительстве России. При этом 12% респондентов не слишком доверяют искусственному интеллекту, опасаясь непредсказуемых последствий. С осторожностью к технологии относятся около половины представителей бизнеса: 43% опрошенных компаний не используют в своей работе искусственный интеллект и не планируют делать это в ближайшее время, поскольку не испытывают такой потребности или не имеют о нем достаточных знаний.

Авторы

Владислав Скобелев, Анна Балашова, Петр Канаев

Закон о тахографах — изменения, комментарии, штрафы.

Во исполнение постановления Правительства Российской Федерации от 23 ноября 2012 г. N 1213 «О требованиях к тахографам, категориях и видах оснащаемых ими транспортных средств, порядке оснащения транспортных средств тахографами, правил их использования, обслуживания и контроля их работы» с 28.02.2014 исключены следующие виды транспортных средств:

 

ПАССАЖИРСКИЙ ТРАНСПОРТ

Пассажирские и грузовые троллейбусы

 

СПЕЦТЕХНИКА

Автобетононасосы, автобетоносмесители, автогудронаторыв, автокраны и транспортные средства, оснащенных кранами-манипуляторами, автомобили скорой медицинской помощи, автоэвакуаторы, пожарные автомобили, транспортные средства для коммунального хозяйства и содержания дорог, транспортныые средства для обслуживания нефтяных и газовых скважин, транспортные средства для перевозки денежной выручки и ценных грузов, транспортные средства, оснащенные подъемниками с рабочими платформами, медицинские комплексы на шасси транспортных средств, автолавки, автобусы для ритуальных услуг, автомобили-дома, бронированные транспортные средства, самоходные сельскохозяйственные машины, передвижные лаборатории и мастерские, передвижные репортажных телевизионных студий;

ВОЕННАЯ ТЕХНИКА

— транспортные средства, зарегистрированные военными автомобильными инспекциями или автомобильными службами федеральных органов исполнительной власти, в которых федеральным законом предусмотрена военная служба;

— транспорт Технадзора и силовых государственных органов РФ;

— транспортные средства органов, осуществляющих оперативно-розыскную деятельность;

— транспортных средств, зарегистрированных органами, осуществляющими государственный надзор за техническим состоянием самоходных машин и других видов техники;

 

СТАРЫЙ ТРАНСПОРТ

транспортные средства, включенные в перечень видов и категорий колесных транспортных средств, с года выпуска которых прошло 30 и более лет, которые не предназначены для коммерческих перевозок пассажиров и грузов, имеют оригинальный двигатель, кузов и раму (при наличии), сохранены или отреставрированы до оригинального состояния, и в отношении которых утилизационный сбор не уплачивается, утвержденный постановлением Правительства Российской Федерации от 30 августа 2012 г. N870 «Об утилизационном сборе в отношении колесных транспортных средств»*;

 

АВТОБУСЫ

автобусы, находящиеся в эксплуатации, с числом мест более 20 и грузовых автотранспортных средств с полной массой свыше 15 тонн, предназначенных для междугородных и международных перевозок, оснащенных до 8 ноября 2013 г. при изготовлении тахографами в соответствии с постановлением Правительства Российской Федерации от 3 августа 1996 г. N 922 «О повышении безопасности междугородных и международных перевозок пассажиров и грузов автомобильным транспортом».».

Государственная экспертиза и проверка достоверности определения сметной стоимости будут объединены в одну процедуру

17 января 2020 года вступает в силу постановление Правительства Российской Федерации от 31 декабря 2019 года № 1948 «О внесении изменений в некоторые акты Правительства Российской Федерации и признании утратившими силу некоторых актов и отдельных положений некоторых актов Правительства Российской Федерации», которое, в том числе, предусматривает упрощение процедуры проведения государственной экспертизы и внедрение института экспертного сопровождения проектов.  

Основные изменения 

Наиболее значимыми в сфере компетенции Главгосэкспертизы России являются изменения, внесенные в Положение об организации и проведении государственной экспертизы проектной документации и результатов инженерных изысканий, утвержденное постановлением Правительства Российской Федерации от 5 марта 2007 года № 145. Эти изменения предусматривают: 

— включение процедуры проверки достоверности определения сметной стоимости строительства в предмет государственной экспертизы проектной документации; 

— закрепление предмета экспертного сопровождения и процедур его проведения, порядка заключения договора на экспертное сопровождение; 

— исключение упоминания услуги по выдаче заключения в отношении модифицированной проектной документации, в связи с тем, что институт модифицированной проектной документации исключен из Градостроительного кодекса Российской Федерации; 

— уточнение перечня документов, представляемых на государственную экспертизу; 

— установление перечня документов, представляемых в экспертную организацию для экспертного сопровождения; 

— регламентацию сроков экспертного сопровождения.  

Законодательные основания 

Постановление подготовлено в развитие Федерального закона от 3 августа 2018 года № 342-ФЗ «О внесении изменений в Градостроительный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации» и Федерального закона от 27 июня 2019 года № 151-ФЗ «О внесении изменений в Федеральный закон «Об участии в долевом строительстве многоквартирных домов и иных объектов недвижимости и о внесении изменений в некоторые законодательные акты Российской Федерации» и отдельные законодательные акты Российской Федерации». 

В связи с принятием Федерального закона № 342-ФЗ, предусматривающего включение в предмет экспертизы проектной документации проверки достоверности определения сметной стоимости строительства, Постановлением предусмотрено объединение процедур по проведению государственной экспертизы проектной документации и проверке достоверности определения сметной стоимости строительства.  

В связи с принятием Федерального закона № 151-ФЗ, предусматривающим внесение изменений в Градостроительный кодекс Российской Федерации в части упрощения процедуры организации и проведения повторной экспертизы проектной документации в случаях внесения изменений в проектную документацию после получения положительного заключения экспертизы (статья 49 Градостроительного кодекса Российской Федерации дополнена частями 3.8–3.11), в Постановлении предусмотрены нормы, регламентирующие порядок организации и проведения государственной экспертизы в форме экспертного сопровождения. 

Экспертное сопровождение 

Внедрение института экспертного сопровождения направлено на упрощение процедур, связанных с рассмотрением и оценкой экспертными организациями изменений, внесенных в проектную документацию, ранее получившую положительное заключение экспертизы. 

Экспертное сопровождение будет осуществляться экспертными организациями, ранее проводившими экспертизу проектной документации, в которую внесены изменения, на основании договора об экспертном сопровождении.  

Договор об экспертном сопровождении заключается на 1 год с возможностью его пролонгации по инициативе заявителя на такой же срок (неограниченное количество раз). 

В период действия договора об экспертном сопровождении застройщик вправе в случае необходимости представлять внесенные в проектную документацию изменения в экспертную организацию, которая в течение короткого срока (10-20 рабочих дней – в зависимости от объема вносимых изменений) будет рассматривать такие изменения и выдавать соответствующее заключение, что позволит застройщику более оперативно принимать решения о реализации указанных изменений в ходе строительства. 

Застройщик не будет ограничен в количестве изменений, вносимых в рамках экспертного сопровождения в проектную документацию, и их объеме. 

Помимо изменений, внесенных в постановление Правительства Российской Федерации от 5 марта 2007 года № 145, Постановлением внесены изменения, обусловленные включением проверки достоверности определения сметной стоимости строительства в предмет экспертизы проектной документации и внедрением экспертного сопровождения, в том числе, в следующие акты Правительства Российской Федерации: 

— постановление Правительства Российской Федерации от 24 июля 2017 года № 878 «О порядке формирования единого государственного реестра заключений экспертизы проектной документации объектов капитального строительства и внесении изменений в постановление Правительства Российской Федерации от 5 марта 2007 г. № 145»; 

— постановление Правительства Российской Федерации от 31 марта 2017 года № 389 «О порядке признания проектной документации повторного использования экономически эффективной проектной документацией повторного использования»; 

— постановление Правительства Российской Федерации от 12 ноября 2016 года № 1159 «О критериях экономической эффективности проектной документации»; 

— постановление Правительства Российской Федерации от 31 марта 2012 года № 272 «Об утверждении Положения об организации и проведении негосударственной экспертизы проектной документации и (или) результатов инженерных изысканий»; 

— постановление Правительства Российской Федерации от 19 января 2006 года № 20 «Об инженерных изысканиях для подготовки проектной документации, строительства, реконструкции объектов капитального строительства». 

Постановлением признается утратившим силу постановление Правительства Российской Федерации от 18 мая 2009 года № 427 «О порядке проведения проверки достоверности определения сметной стоимости строительства, реконструкции, капитального ремонта объектов капитального строительства, финансирование которых осуществляется с привлечением средств бюджетов бюджетной системы Российской Федерации, средств юридических лиц, созданных Российской Федерацией, субъектами Российской Федерации, муниципальными образованиями, юридических лиц, доля Российской Федерации, субъектов Российской Федерации, муниципальных образований в уставных (складочных) капиталах которых составляет более 50 процентов».  

Ознакомиться с текстом постановлением можно здесь.

законов о конфиденциальности данных: что нужно знать в 2020 году

Большинство веб-сайтов собирают информацию о своих пользователях, которая либо отправляется пользователями, либо собирается автоматически с помощью файлов cookie и других технологий. Владельцы бизнеса нуждаются в информации для доставки своих продуктов, рекламы своих услуг, общения с клиентами и потенциальными покупателями, а также для улучшения функциональности своих веб-сайтов. Клиенты и посетители вашего сайта, естественно, обеспокоены тем, что происходит с их личной информацией — как она хранится, у кого есть к ней доступ и какие меры защиты обеспечивают их конфиденциальность.

Практически каждая страна приняла какие-то законы о конфиденциальности данных, чтобы регулировать, как собирается информация, как информируются субъекты данных и как субъект данных имеет контроль над своей информацией после ее передачи. Несоблюдение применимых правил конфиденциальности данных может привести к штрафам, судебным искам и даже запрету на использование сайта в определенных юрисдикциях. Навигация по этим законам и постановлениям может быть сложной, но все операторы веб-сайтов должны быть знакомы с законами о конфиденциальности данных, которые влияют на их пользователей.Некоторые из них включают:

Законы США о конфиденциальности данных

В США нет единого всеобъемлющего федерального закона, регулирующего конфиденциальность данных. Существует сложная мозаика из законов, относящихся к конкретным секторам и средам, включая законы и постановления, которые касаются телекоммуникаций, медицинской информации, кредитной информации, финансовых учреждений и маркетинга.

Закон о Федеральной торговой комиссии (15 USC § 41 et seq. ) имеет широкую юрисдикцию над коммерческими организациями, находящимися в его ведении, с целью предотвращения несправедливой или «обманчивой торговой практики». «Хотя FTC прямо не регулирует, какая информация должна быть включена в политику конфиденциальности веб-сайтов, она использует свои полномочия для принятия нормативных актов, обеспечения соблюдения законов о конфиденциальности и принятия принудительных мер для защиты потребителей. Например, FTC может принимать меры против организаций, которые. ..

• Несоблюдение и поддержание разумных мер безопасности данных.
• Несоблюдение каких-либо применимых принципов саморегулирования в отрасли.
• Несоблюдение опубликованной политики конфиденциальности.
• Передача личной информации способом, не раскрытым в политике конфиденциальности.
• Делать неточные заявления о конфиденциальности и безопасности (ложь) потребителям и в политике конфиденциальности.
• Неспособность обеспечить достаточную безопасность личных данных.
• Нарушение прав потребителей на конфиденциальность данных путем сбора, обработки или обмена информацией о потребителях является нарушением системы конфиденциальности FTC или национальных законов и постановлений о конфиденциальности.
• Использование вводящей в заблуждение практики рекламы.

Другие федеральные законы, регулирующие сбор информации в Интернете, включают:

Законы о конфиденциальности государственных данных

В дополнение к федеральным законам и постановлениям в США действуют сотни законов о конфиденциальности и безопасности данных в штатах, территориях и населенных пунктах. В настоящее время 25 генеральных прокуроров штатов США контролируют законы о конфиденциальности данных, регулирующие сбор, хранение, защиту, удаление и использование личных данных, собранных у их жителей, особенно в отношении уведомлений об утечке данных и безопасности номеров социального страхования.Некоторые применяются только к государственным организациям, некоторые — только к частным организациям, а некоторые — к обоим.

Закон штата Калифорния о конфиденциальности потребителей (CCPA)

Самым полным на сегодняшний день законодательством штата о конфиденциальности данных является Закон Калифорнии о конфиденциальности потребителей (CCPA), подписанный 28 июня 2018 г. и вступивший в силу 1 января 2020 г. CCPA — это межотраслевой закон, который вводит важные определения и широкие индивидуальные права потребителей и налагают существенные обязанности на организации или лиц, которые собирают личную информацию о жителях Калифорнии или от них.Эти обязанности будут включать информирование субъектов данных о том, когда и как собираются данные, а также предоставление им возможности доступа, исправления и удаления такой информации. Эта информация должна быть раскрыта в политике конфиденциальности, отображаемой на веб-сайте организации, собирающей данные.

Закон штата Нью-Йорк SHIELD

В июле 2019 года в Нью-Йорке был принят Закон о запрещении взломов и повышении безопасности электронных данных (SHIELD). Этот закон вносит поправки в существующий закон штата Нью-Йорк об уведомлении об утечке данных и устанавливает дополнительные требования к безопасности данных для компаний, которые собирают информацию о жителях Нью-Йорка.По состоянию на март 2020 года закон полностью подлежит исполнению. Этот закон расширяет сферу конфиденциальности потребителей и обеспечивает лучшую защиту жителей Нью-Йорка от утечки их личной информации.

Другие законы о конфиденциальности данных на государственном уровне

Калифорния и Нью-Йорк — первые штаты, которые приняли широкое законодательство, оказывающее влияние на всю страну, но многие другие штаты США также рассматривают законы о конфиденциальности данных. Они не будут выглядеть так же, как CCPA или SHIELD Act, но они, скорее всего, будут содержать аналогичные требования для конкретных нужд государства.

Как вы понимаете, улей государственных и федеральных законов о конфиденциальности в США слишком сложен, чтобы их можно было полностью описать. Вряд ли мы скоро увидим всеобъемлющий федеральный закон (хотя его поддержка растет). Следовательно, как организации, которая собирает и обрабатывает персональные данные, важно сотрудничать с такой службой, как Osano, чтобы вы соответствовали требованиям в этой сложной среде.

Международный закон о конфиденциальности данных: GDPR

Самый важный закон о защите данных, принятый на сегодняшний день, — это Общий регламент по защите данных (GDPR).Он регулирует сбор, использование, передачу и безопасность данных, полученных от жителей любой из 28 стран-членов Европейского Союза. Закон распространяется на всех жителей ЕС, независимо от местонахождения организации, собирающей персональные данные. На организации, не соблюдающие GDPR, могут быть наложены штрафы в размере до 20 миллионов евро или 4% от общего мирового оборота. Некоторые важные требования GDPR включают:

Согласие

Субъектам данных должно быть разрешено дать явное, недвусмысленное согласие перед сбором персональных данных.Персональные данные включают информацию, собранную с помощью файлов cookie. Некоторая информация, которая обычно не считается «личной информацией» в США, например IP-адрес компьютера пользователя, считается «личными данными» в соответствии с GDPR.

Уведомление о нарушении данных

Организации должны уведомлять надзорные органы и субъектов данных в течение 72 часов в случае утечки данных, затрагивающей личную информацию пользователей в большинстве случаев.

Права субъектов данных

Субъекты данных (люди, данные которых собираются и обрабатываются) имеют определенные права в отношении своей личной информации.Эти права должны быть доведены до сведения субъектов данных в четкой и доступной политике конфиденциальности на веб-сайте организации.

1. Право на получение информации. Субъекты данных должны быть проинформированы о сборе и использовании их личных данных при их получении.
2. Право на доступ к своим данным. Субъект данных может запросить копию своих личных данных через запрос субъекта данных. Контроллеры данных должны объяснять средства сбора, что обрабатывается и кому они передаются.
3. Право исправления. Если данные субъекта данных неточны или неполны, они имеют право попросить вас исправить их.
4. Право стирания. Субъекты данных имеют право потребовать удаления связанных с ними персональных данных по определенным основаниям в течение 30 дней.
5. Право на ограничение обработки. Субъекты данных имеют право требовать ограничения или подавления их личных данных (хотя вы все равно можете их хранить).
6. Право на переносимость данных. Субъекты данных могут безопасно и надежно передавать свои данные из одной электронной системы в другую в любое время, не нарушая ее удобство использования.
7. Право на возражение. Субъекты данных могут возражать против использования их информации в целях маркетинга, продаж или не связанных с услугами. Право на возражение не применяется, если выполняются юридические или официальные полномочия, задача выполняется в общественных интересах или когда организации необходимо обработать данные, чтобы предоставить вам услугу, на которую вы подписались.

Важность политики конфиденциальности в законах о конфиденциальности данных

Любой веб-сайт должен иметь политику конфиденциальности, объясняющую пользователям, какая информация собирается, как она используется, как она может быть передана и как она защищена. Чтобы полностью соответствовать американским и европейским законам о защите данных, все субъекты данных должны иметь возможность дать согласие на сбор личной информации. Хотя большая часть информации о пользователях предоставляется добровольно, когда они подписываются на информационные бюллетени, заполняют формы или отправляют запросы по электронной почте, информация, полученная от третьих лиц и с помощью файлов cookie, также должна быть раскрыта, и пользователям должна быть предоставлена ​​возможность дать свое согласие на: заблокировать или отключить файлы cookie.

Обеспечение соответствия вашей компании законам о конфиденциальности данных

Даже если ваша компания находится в юрисдикции, которая не внедрила всеобъемлющее законодательство о конфиденциальности данных, важно учитывать, где могут проживать ваши потенциальные пользователи и какие правила применяются. Если вы намереваетесь вести бизнес в Калифорнии, Нью-Йорке или Европейском Союзе, вы должны быть знакомы с требованиями CCPA, Закона SHIELD и GDPR. В большинстве случаев для вашей организации проще и дешевле придерживаться этих стандартов для всех клиентов, чем применять разные правила в зависимости от местоположения.

Защита данных становится все более важной и будет влиять на решения пользователей о том, где они будут просматривать и делать покупки в Интернете. Репутация компании в отношении ответственного обращения с личными данными все чаще становится активом, который может привести к увеличению посещаемости веб-сайта, конверсии и положительному влиянию на прибыль.

Если вы готовы серьезно относиться к своим законам о конфиденциальности данных, зарегистрируйтесь в Osano. Osano — это простая в использовании платформа для обеспечения конфиденциальности данных, которая мгновенно приводит ваш веб-сайт в соответствие с CCPA, Законом SHIELD, GDPR и другими законами о конфиденциальности. Osano — это «соответствие в коробке», которое немедленно помогает вашему веб-сайту соблюдать законы о конфиденциальности данных. Получите соответствие сейчас.

Новаторский закон Калифорнии о конфиденциальности вступает в силу в январе. Что оно делает? | Калифорния

В прошлом году Калифорния приняла важный закон о конфиденциальности, который дает потребителям больше контроля над своими данными. Законодательство дает резидентам беспрецедентные права контролировать, какую информацию о них собирают компании и как она используется.

Закон о конфиденциальности потребителей Калифорнии вступит в силу 1 января 2020 года, предоставив жителям штата целый новый арсенал инструментов для защиты своих данных и личной информации в Интернете — и возложив на бизнес гораздо больше ответственности.

Вот все, что вам нужно знать о новом «революционном» законе Калифорнии о конфиденциальности.

Что такое закон?

Закон о конфиденциальности потребителей Калифорнии, принятый в 2018 году, по мнению Американской ассоциации адвокатов, является «наиболее полным» законодательством о конфиденциальности, которое должно быть принято в США на сегодняшний день.

В соответствии с новыми правилами жители Калифорнии смогут требовать от компаний раскрытия информации о них и запрашивать копию этой информации.

Компании будут вынуждены удалять данные потребителей по запросу, и им будет запрещено продавать информацию, если клиент даст им указание с помощью обязательной ссылки «не продавать» на веб-сайте компании.

Потребители также будут иметь право «получать равные услуги и цену независимо от того, реализуют они свои права на конфиденциальность или нет», или, другими словами, компании не смогут относиться к пользователю иначе, потому что они запросили их данные.

Когда он вступит в силу?

Закон вступает в силу 1 января — это означает, что потребители могут отправлять запросы на предоставление своих данных, начиная с этой даты.Генеральная прокуратура Калифорнии не будет принимать никаких принудительных мер в отношении компаний, которые не соблюдают требования до 1 июля 2020 года.

На какие предприятия это влияет?

Компании будут обязаны соблюдать новые правила, если они имеют годовой валовой доход, превышающий 25 миллионов долларов, получают 50% или более своего годового дохода от продажи личной информации потребителей или ежегодно покупают, получают, продают или передавать личную информацию более чем 50 000 потребителей, домохозяйств или устройств в коммерческих целях.

Это означает, что не менее 500 000 предприятий должны будут соблюдать новый закон, согласно некоммерческой организации International Association of Privacy.

На кого еще это влияет?

Новый закон самым непосредственным образом коснется потребителей Калифорнии. Однако, по словам Питера Яреда, основателя и главного исполнительного директора компании по управлению данными InCountry, даже люди, которые не живут в Калифорнии, могут видеть волновые эффекты.

«Подобные законы действуют во всем мире, поэтому все больше компаний создаются для получения и обработки таких запросов данных», — сказал он.

Я живу в Калифорнии — как я могу получить свои данные?

Потребители могут получить копию своих данных, отправив бизнесу «поддающийся проверке запрос потребителя». Затем компания должна выполнить запрос в течение 45 дней с момента получения. В некоторых случаях компании могут продлить этот период времени максимум на 90 дней.

Потребители могут запрашивать информацию только два раза в год и только в течение 12-месячного периода обзора.

Что произойдет, если компания не предоставит мне мои данные?

Компании могут быть подвергнуты штрафам в размере от 2500 до 7500 долларов за нарушение нового закона, если нарушение будет признано преднамеренным.Тем не менее, CCPA также предоставляет компаниям 30-дневный период для устранения нарушения после получения запроса потребителя. Закон соблюдается генеральным прокурором Калифорнии.

Чем отличается CCPA от других законов о конфиденциальности?

Калифорнийский закон о конфиденциальности потребителей часто называют «облегченным GDPR», что имеет сходство с Общим регламентом ЕС по защите данных, вступившим в силу в мае 2018 года. , в то время как CCPA применяется только к компаниям с валовой выручкой более 25 миллионов долларов, более 50 000 клиентов или чей доход составляет 50% или более на основе пользовательских данных.

CCPA предоставляет более явные варианты «отказа» для пользователей, которые не хотят, чтобы их личные данные продавались. Согласно CCPA, компании должны размещать ссылку «Не продавать мою личную информацию» на четком и видном месте на своих веб-сайтах. Для сравнения, согласно GDPR, предприятиям не обязательно нужно согласие человека на сбор и использование данных.

Правила также различаются подходами к сбору данных о детях. Согласно GDPR, родители должны дать согласие на обработку данных детей в возрасте до 16 лет.CCPA требует, чтобы компании получали согласие родителей детей в возрасте 13 лет и младше, в то время как дети старше 13 лет могут давать свое согласие.

Что дальше?

Хотя CCPA — самый обширный закон о конфиденциальности, который еще не был принят в США, некоторые его сторонники говорят, что он не идет достаточно далеко. Перед закрытием периода комментариев по закону 6 декабря некоммерческая организация Electronic Frontier Foundation и другие защитники конфиденциальности подали запрос на усиление регулирования.

Закон в том виде, в каком он написан, не позволяет решить проблему сбора данных, сказала Хейли Цукаяма, юридический адвокат EFF, и в Калифорнии мало ресурсов для обеспечения соблюдения закона в 2020 году.

«Вы имеете право обращаться в компании, которые иметь ваши данные и просить их вернуть, но им не обязательно приходить к вам, чтобы просить их в первую очередь », — сказала она. «Это то, что мы называем включением, а не отказом».

Компании, нарушающие закон, также будут иметь «право на лечение», то есть они могут изменить свою политику нарушения после задержания.

«Мы рассматриваем это как карту освобождения от тюрьмы», — сказал Цукаяма.

Пожалуйста, больше конфиденциальности — январь 2021 г. | Форель перец

Хотите простой способ быть в курсе важных изменений конфиденциальности? Избегайте бессонных ночей, задаваясь вопросом, пропустили ли вы лежачий полицейский или выбоину между ежегодными обновлениями? Больше не беспокойтесь. Troutman Pepper с радостью представляет More Privacy Please , ежемесячный информационный бюллетень, в котором рассказывается о важных отраслевых и юридических событиях, а также о тенденциях в области кибербезопасности, управления информацией и конфиденциальности.

ЗАКОНЫ И ПОСТАНОВЛЕНИЕ США

• California AG выпускает четвертый набор предлагаемых измененных правил CCPA. 10 декабря 2020 года генеральный прокурор Калифорнии выпустил четвертый набор предлагаемых изменений в правила реализации Закона Калифорнии о конфиденциальности потребителей (CCPA). В случае принятия предлагаемые изменения потребуют (1) от компаний, которые продают личную информацию, собранную в автономном режиме, информировать потребителей (автономным способом) об их праве отказаться и о том, как подать запрос на отказ, и (2) возобновить эту возможность. для бизнеса использовать кнопку отказа для онлайн-отказа, в дополнение к размещению уведомления о праве на отказ и ссылки «Не продавать мою личную информацию».Поскольку CCPA и правила его реализации продолжают меняться — в последний раз с принятием Закона о правах конфиденциальности в Калифорнии 2020 года — предприятиям следует продолжать отслеживать события, связанные с CCPA, включая любые дополнительные изменения в правилах и руководствах генерального прокурора Калифорнии. . Для получения дополнительной информации о последних предлагаемых правилах CCPA см. Статью Troutman Pepper « California AG выпускает четвертый набор предлагаемых изменений в правила CCPA ».”

• Новые требования CCPA в соответствии с AB-713 вступают в силу 1 января 2021 года. В сентябре 2020 года AB-713 внес поправки в CCPA, чтобы они лучше соответствовали стандартам деидентификации в соответствии с федеральным законом о переносимости медицинского страхования 1996 года (HIPAA). Важно отметить, что начиная с 1 января 2021 года AB-713 требует, чтобы любой контракт на продажу или лицензию на обезличенную информацию, где одной из сторон является лицо, проживающий или ведущий бизнес в Калифорнии, должен включать (1) заявление о том, что — идентифицированная информация, продаваемая или лицензируемая, включает обезличенную информацию о пациенте, (2) заявление о том, что повторная идентификация и попытка повторной идентификации обезличенной информации покупателем или лицензиатом информации запрещены, и (3) ) требование о том, что, если иное не требуется по закону, покупатель или лицензиат обезличенной информации не может в дальнейшем раскрывать обезличенную информацию какой-либо третьей стороне, если третья сторона не связана договорными обязательствами такими же или более строгими ограничениями и условиями. Для получения дополнительной информации, связанной с AB-713, см. Статьи Troutman Pepper «Поправка CCPA дополнительно гармонизирует с HIPAA и предоставляет дополнительные исключения » и «Требования AB-713 CCPA вступают в силу с 1 января 2021 года для использования неустановленных медицинских данных. Наборы данных ».

• HHS предлагает внести изменения в правило конфиденциальности HIPAA. 10 декабря 2020 года Министерство здравоохранения и социальных служб США (HHS) объявило о предложенных изменениях в Правиле конфиденциальности HIPAA, чтобы поддержать участие людей в их лечении, устранить препятствия для скоординированного ухода и снизить нормативную нагрузку на здоровье. индустрия ухода.Ключевые изменения, содержащиеся в Уведомлении о предлагаемом нормотворчестве, включают сокращение времени, в течение которого охваченные юридические лица предоставляют физическим лицам доступ к своей ЗМИ, до не позднее 15 календарных дней после запроса, снижение бремени идентификации лиц, осуществляющих свое право на доступ, расширение возможностей Системы EHR, создающие исключения из «минимально необходимого» стандарта для индивидуального уровня координации медицинской помощи и использования и раскрытия информации по ведению пациентов, а также устранение требования о получении письменного подтверждения от лица о получении Уведомления о соблюдении конфиденциальности поставщика услуг прямого лечения. Общественные комментарии по предлагаемым изменениям должны быть предоставлены через 60 дней после публикации Уведомления о предлагаемых правилах в Федеральном реестре .

• Закон о кибербезопасности Интернета вещей 2020 г. Подписан закон. 4 декабря 2020 года президент Трамп подписал двухпартийный Закон о повышении кибербезопасности Интернета вещей (IoT) 2020 года (Закон). Закон наделяет Национальный институт стандартов и технологий (NIST) полномочиями по разработке стандартов кибербезопасности для подключенных к Интернету устройств, приобретаемых и используемых федеральными агентствами.В частности, Закон предусматривает, что стандарты кибербезопасности должны включать минимальные требования безопасности для управления рисками кибербезопасности для устройств IoT и должны учитывать безопасную разработку, управление идентификацией, исправление и управление конфигурацией. Стандарты, в конечном итоге разработанные NIST в соответствии с этим законом, будут представлять особый интерес для производителей устройств Интернета вещей. Государственные подрядчики, предоставляющие устройства IoT, будут оцениваться на предмет их соответствия таким стандартам, которые вступят в силу через два года после их принятия.

• Должны быть предоставлены ежегодные обновления Политики конфиденциальности для предприятий, регулируемых CCPA. Напоминаем, что CCPA требует от компаний, на которые распространяется действие закона, ежегодно обновлять свои политики конфиденциальности. Для тех организаций, которые обновили политику конфиденциальности, чтобы она совпала с датой вступления в силу CCPA 1 января 2020 года, сейчас необходимо обновить политику конфиденциальности. Поскольку мы переключаем наше внимание с праздничного настроения на резолюции 2021 года, предприятиям будет полезно обновить свои политики конфиденциальности, поскольку устаревшая политика является публичным — и очевидным — признаком несоблюдения CCPA

U.S. СУДЕБНОЕ РАЗБИРАТЕЛЬСТВО И ИСПОЛНЕНИЕ

• Нарушение безопасности SolarWinds. Недавно обнаруженный обнаружил кибератаки против многочисленных правительственных ведомств США и тысяч организаций государственного и частного секторов с помощью скомпрометированного программного обеспечения SolarWinds, что справедливо потрясло мир ИТ и безопасности. Происходящие еще в марте 2020 года и предположительно совершенные Россией, атаки скомпрометировали программную «подпись» программного обеспечения для мониторинга сети Orion компании SolarWinds — процесс, который использует шифрование для обеспечения целостности обновления программного обеспечения — и распространяли вредоносное ПО в виде обновления программного обеспечения.Затем вредоносная программа тайно похитила ценную интеллектуальную собственность, конфиденциальные и проприетарные данные, электронные письма и другую важную информацию из систем жертв. Компрометация была неизвестна до тех пор, пока известная компания по кибербезопасности FireEye, также пострадавшая от атак, не обнаружила вредоносное ПО, а сообщил о об атаках 13 декабря 2020 года. мог загрузить обновление Orion в период с марта по июнь 2020 года, которое, вероятно, включало вредоносное ПО.Групповые иски множества истцов и фирмы по защите прав инвесторов уже объявили о расследовании дела SolarWinds, и на данный момент судебный процесс кажется предрешенным. Взлом SolarWinds подчеркивает важность управления рисками поставщиков ИТ и безопасности. Организациям следует рассмотреть вопрос о включении в контракты со сторонними поставщиками положений, обязывающих уведомлять об инцидентах, связанных с безопасностью данных поставщика, о возмещении убытков и затрат, связанных с утечкой данных поставщика, и исключении инцидентов, связанных с безопасностью данных, из пределов ответственности.

• Dish Network Урегулирование в размере 210 миллионов долларов за нарушения телемаркетинга. Dish Network недавно согласилась выплатить 210 миллионов долларов для урегулирования десятилетнего судебного процесса, поданного правительством США и четырьмя штатами по поводу обвинений в том, что от имени Dish потребителям в реестре Do Not Call были совершены миллионы незаконных телемаркетинговых роботов-звонков. Урегулирование произошло после того, как Диш подал апелляцию в Апелляционный суд седьмого округа, который оставил в силе решение и судебный запрет суда низшей инстанции, но отменил присужденные компенсации за ущерб и штрафы.Согласно Постановлению о денежно-кредитном решении от 4 декабря 2020 года, США получат 126 миллионов долларов, а Калифорния, Иллинойс, Северная Каролина и Огайо разделят оставшиеся 84 миллиона долларов. Кроме того, урегулирование потребовало от Диша нанять специалиста по соблюдению требований телемаркетинга и продемонстрировать соблюдение различных правил телемаркетинга.

• SkyMed International заключает соглашение о согласии с FTC. 16 декабря 2020 года SkyMed International, Inc. заключила соглашение о согласии с Федеральной торговой комиссией (FTC), чтобы разрешить обвинения в том, что SkyMed совершает несправедливые и вводящие в заблуждение действия или действия в нарушение Раздела 5 Закона FTC посредством (1) размещение печати HIPAA на каждой странице своего веб-сайта, что, как утверждала FTC, ложно «сигнализировало потребителям о том, что государственное учреждение или другая третья сторона изучили информационную практику SkyMed и определили, что они соответствуют требованиям HIPAA»; (2) неспособность обеспечить разумную безопасность собранной личной информации; и (3) предоставление потребителям ложной информации о том, содержит ли общедоступная база данных информацию о здоровье и получила ли третья сторона неправомерный доступ к этим данным. В соответствии с предлагаемым соглашением об урегулировании SkyMed должен проводить оценку рисков, внедрять и поддерживать меры безопасности для защиты личной информации, получать раз в два года оценки своей программы безопасности от третьей стороны, одобренной FTC, и предоставлять ежегодную сертификацию высшего руководства о соответствии SkyMed расчетные требования.

МЕЖДУНАРОДНОЕ РЕГУЛИРОВАНИЕ И ПРИМЕНЕНИЕ

• Торговая сделка между ЕС и Великобританией сохраняет потоки личных данных открытыми без необходимости дополнительных мер защиты. 24 декабря 2020 года Европейский Союз (ЕС) и Великобритания (Великобритания) достигли принципиального соглашения по долгожданному и историческому соглашению о торговле и сотрудничестве между ЕС и Великобританией (Соглашение). После официального принятия Соглашение будет регулировать отношения между ЕС и Великобританией, начиная с 1 января 2021 года — окончания переходного периода Brexit. Хотя Соглашение не содержит определения того, что Великобритания обеспечивает адекватный уровень защиты личных данных, оно включает дополнительный переходный период продолжительностью до шести месяцев, чтобы Европейская комиссия могла завершить оценку соответствия U. Законы К. о защите данных. Между тем, персональные данные могут продолжать свободно перемещаться между ЕС и Великобританией, поскольку такие передачи не считаются передачей персональных данных в третью страну и, следовательно, не запрещены Общим регламентом защиты данных (GDPR).

• IAB Europe выпускает руководство DPIA по цифровой рекламе в соответствии с GDPR. IAB Europe — организация, предоставляющая анализ и руководство по правилам ЕС в отношении конфиденциальности и защиты данных, применимых к сектору цифровой рекламы, — выпустила « Оценка воздействия на защиту данных GDPR (DPIA) для цифровой рекламы в соответствии с GDPR » (Руководство).Хотя универсального метода не существует, в Руководстве указывается, кто в организации (или требуемые третьи стороны) должен быть вовлечен в процесс, как установить / идентифицировать цели и контекст обработки, конфиденциальность по дизайну и методы минимизации, способы оценки и оценки рисков и соображения по их снижению. Кроме того, в Руководстве представлен неисчерпывающий список общих рисков, связанных с обработкой, чтобы помочь организациям определить потенциальные вредные воздействия, которые могут возникнуть в результате обработки личной информации субъектов данных.

• Бразильский орган по защите данных выпустил первое руководство по общему закону о защите личных данных. 8 декабря 2020 года Управление по защите данных Бразилии выпустило руководство по часто задаваемым вопросам (FAQ) (FAQ), доступное только на португальском языке, которое предлагает руководство по Общему закону о защите персональных данных (LGPD). Часто задаваемые вопросы содержат рекомендации относительно применимости LGPD, правовой основы для обработки персональных данных, прав субъектов данных и действий, которые государственные и частные организации должны предпринять для соблюдения LGPD.

ПРЕДСТОЯЩИЕ ВЕБИНАРЫ

• Пять ключевых изменений в сфере конфиденциальности и безопасности данных в 2020 году и пять прогнозов на 2021 год — вторник, 26 января 2021 года, 15:00 по московскому времени. ET / 12:00 вечера PT. Поскольку 2020 год теперь благополучно позади, присоединяйтесь к нашей группе экспертов по конфиденциальности и лидеров мнений, чтобы обсудить пять наиболее важных изменений в сфере конфиденциальности и безопасности данных в 2020 году и их мнения о возможных изменениях в 2021 году. Чтобы узнать больше и зарегистрироваться нажмите здесь .

• Ежегодные обновления eDiscovery — среда, 27 января 2021 г., 12:00 ET / 15:00 PT. Присоединяйтесь к членам команды eMerge , поскольку они анализируют ключевые решения, разработки и технические инновации, влияющие на открытия в 2020 году, и выделяют тенденции на 2021 год. Мы обсудим практические соображения по уравновешиванию юридических требований с быстро развивающимися технологиями, включая использование платформ для совместной работы и приложений для обмена сообщениями, машинного обучения и искусственного интеллекта, а также анализа структурированных данных.Чтобы узнать больше и зарегистрироваться, нажмите здесь .

CCPA в Калифорнии скоро появится 1 января 2020 г.

вторник, 3 декабря 2019 г.

Закон о конфиденциальности потребителей Калифорнии от 2018 года (CCPA) должен вступить в силу 1 января 2020 года. Аплодисменты многих потребителей и защитников конфиденциальности, широкомасштабное законодательство накладывает новые обременительные требования и ограничения на предприятия, которые собирают и продают личную информацию в Калифорнии. жители.Информация относительно основных требований CCPA доступна в Глобальном обновлении закона о конфиденциальности .

Поправки

11 октября 2019 года губернатор Калифорнии Гэвин Ньюсом подписал пять поправок к CCPA (AB 25, 874, 1146, 1355 и 1564), а также поправку к закону Калифорнии о защите данных (AB 1130). Примечательно, что эти поправки не затрагивают большинство основных аспектов закона. Вкратце:

• AB 25 временно исключает информацию о трудоустройстве (и аналогичную) из многих требований CCPA до 1 января 2021 года, что особенно примечательно для коммерческих компаний, которые иным образом не взаимодействуют с личной информацией потребителей Калифорнии.Тем не менее, исключение , а не , применяется к 1798.100 (b), что означает, что предприятия с сотрудниками-резидентами Калифорнии, соискателями работы, владельцами, должностными лицами, подрядчиками, директорами или медицинским персоналом по-прежнему должны уведомлять жителей Калифорнии о том, сбор личной информации в точке сбора или до нее и информирование этих лиц о категориях личной информации, которая должна быть собрана, почему она собирается и как она будет использоваться.Исключение также относится к , а не , к частному праву на иск, которое CCPA предоставляет потребителям в случае нарушения их личной информации, что означает, что сотрудники будут иметь основание для иска против своих работодателей в случае нарушения данных.

• AB 874 избавляется от предварительных условий относительно того, что составляет «общедоступную информацию», и поясняет, что «личная информация» не не включает обезличенную или агрегированную информацию о потребителях.

• AB 1146 освобождает от «права на отказ» данные о транспортном средстве и владении, сохраняемые или передаваемые для целей ремонта транспортного средства, на которые распространяется гарантия или отзыв транспортного средства, и освобождает от «права требовать удаления» личную информацию, необходимую для выполнять условия письменной гарантии или отзыва продукта.

• AB 1355 допускает дифференцированный подход к потребителю, который разумно связан с ценностью, предоставляемой бизнесу данными потребителя, и поясняет, что политика конфиденциальности компании должна раскрывать право запрашивать определенные части информации в целом, и категории продаваемой личной информации для каждой категории третьей стороны, а не «каждой третьей стороны. ”

• AB 1564 изменяет методы, которые компания должна предоставить потребителям для подачи запросов на освобождение предприятий, которые работают исключительно в Интернете, от требования иметь бесплатный номер телефона.

• AB 1130 пересматривает определение личной информации, включая уникальные биометрические данные и налоговые идентификационные номера, номера паспортов, военные идентификационные номера и уникальные идентификационные номера, указанные в правительственном документе.Он также разрешает уведомление о нарушении, связанном с биометрическими данными, чтобы включать инструкции о том, как уведомить другие организации, которые использовали тот же тип биометрических данных, чтобы они больше не полагались на данные для целей аутентификации.

Предлагаемые правила
10 октября 2019 года Генеральный прокурор Калифорнии опубликовал долгожданный проект правил для CCPA. Хотя предлагаемые правила предоставляют компаниям некоторые практические рекомендации о том, как Генеральный прокурор интерпретирует и будет обеспечивать соблюдение ключевых положений CCPA, они не обеспечивают той ясности, которую хотели бы многие компании.Фактически, правила также устанавливают дополнительные основные юридические требования, в том числе:

• Новые требования к раскрытию информации для политик конфиденциальности в отношении методов подачи запросов на осуществление прав в соответствии с CCPA

• Новые требования к раскрытию информации для предприятий, которые собирают личную информацию от более чем четырех миллионов потребителей

• Компании должны подтвердить получение запросов потребителей в течение 10 дней

• Компании должны удовлетворить запросы «Не продавать» в течение 15 дней и сообщить третьим лицам, получившим личную информацию о запросе, в течение 90 дней.

• Компании должны получить согласие потребителя на использование личной информации в целях, не разглашаемых во время сбора.

Проект нормативных актов содержит пять основных компонентов, три из которых особенно важны для предприятий, обеспечивающих соблюдение CCPA: (1) уведомления потребителей, (2) обработка запросов потребителей и (3) требования проверки. Ниже приводится обзор основных положений проекта правил.

Извещение для потребителей

Статья 2 проекта правил (страницы с 3 по 10) предоставляет дополнительную информацию относительно определенных уведомлений, которые должны быть предоставлены потребителям, включая уведомление о категориях личной информации, которая должна быть собрана, и целях, для которых она будет использоваться, право на отказаться от продажи личной информации и финансовых стимулов, которые компания может предложить в обмен на личную информацию потребителей.

Все уведомления, направляемые потребителям, должны соответствовать следующим требованиям:

• Легко читается и понятно среднему потребителю

• Избегайте технического или юридического жаргона

• Быть в заметном и читаемом формате, в том числе на экранах меньшего размера, если применимо

• Быть доступным на всех языках, на которых компания предоставляет потребителям контракты, заявления об отказе от ответственности, объявления о продаже и другую информацию.

• Быть доступным для потребителей с ограниченными возможностями или, как минимум, предоставлять информацию о том, как потребитель с ограниченными возможностями может получить доступ к уведомлению в альтернативном формате

• Включите всю необходимую информацию или ссылку на раздел политики конфиденциальности, который содержит необходимую информацию.

Уведомление при сборе Категории собираемой личной информации и цель (§ 998.305).
Во время или до момента сбора компании должны проинформировать потребителей о категориях собираемой личной информации, а также о деловых или коммерческих целях, для которых она будет использоваться. Кроме того, компания, которая продает личную информацию, должна предоставить ссылку под названием «Не продавать мою личную информацию», которая ведет к уведомлению о праве потребителя на отказ.Компания должна предоставить новое уведомление, если оно намеревается собрать дополнительные категории информации, не включенные в исходное уведомление. Идя еще дальше, правила требуют, чтобы бизнес, который планирует использовать информацию для ранее нераскрытой цели, отправил новое уведомление и получил явное согласие от потребителя на использование информации для новой цели.

Примечательно, что предлагаемые нормативные акты исключают обязанность компании предоставлять уведомление, если организация не , а собирает информацию непосредственно от потребителя.Однако, если компания будет перепродавать личную информацию, она должна либо напрямую связаться с потребителем, чтобы предоставить уведомление и возможность отказа, либо связаться с источником информации, чтобы получить подписанное свидетельство, подтверждающее, что источник предоставил соответствующее уведомление, и получить образец уведомление.

Уведомление о праве отказаться от продажи личной информации (§ 998.306)

Как отмечалось выше, компания, которая продает личную информацию, должна предоставить ссылку «Не продавать мою личную информацию» во время или до момента сбора, что приводит потребителя к уведомлению об отказе. Уведомление об отказе должно содержать описание права на отказ, веб-форму, которая будет использоваться при отправке запроса на отказ, инструкции для любого другого метода, с помощью которого потребитель может отправить свой запрос, любые доказательства, необходимые, когда потребитель использует уполномоченного агента для реализации своего права на отказ и ссылку на политику конфиденциальности компании. Компания, которая не продает личную информацию, должна указать в своей политике конфиденциальности, что она не продает и не будет продавать личную информацию.

Уведомление о финансовом поощрении (§ 998.307)

Компания, предлагающая финансовый стимул в обмен на сохранение или продажу личной информации потребителя, должна предоставить уведомление и объяснить такой стимул, чтобы потребитель мог принять осознанное решение о том, участвовать ли. Уведомление должно включать краткое изложение предлагаемого поощрения, описание существенных условий поощрения, объяснение того, как потребитель может принять участие в поощрении, уведомление о праве потребителя отказаться от поощрения в любое время и как чтобы воспользоваться этим правом, и объяснение того, почему поощрение разрешено CCPA, i. е., добросовестная оценка ценности данных потребителя для бизнеса и описание метода, используемого бизнесом для вычисления ценности данных.

Содержание и формат политики конфиденциальности (§ 999.308)

Предлагаемые правила позволят политике конфиденциальности заменить подробные уведомления, упомянутые выше, при условии, что политика конфиденциальности содержит весь контент, необходимый для этих уведомлений, и соответствующие части политики конфиденциальности доступны в требуемое время для каждого уведомления.В любом случае политика конфиденциальности должна быть размещена в Интернете по заметной ссылке со словом «конфиденциальность» на главной странице веб-сайта компании или на странице загрузки или на целевой странице мобильного приложения.

Политика конфиденциальности должна включать, среди прочего, следующую информацию:

• Объяснение права потребителя знать собранную личную информацию, право требовать удаления, право отказаться от продажи и право на недискриминацию

• Инструкции по отправке запросов потребителей на раскрытие и удаление, процесс проверки этих запросов, включая информацию, которая потребуется, и как назначить уполномоченного агента для выполнения таких запросов от имени потребителя (примечание: эти требования выходят за рамки текста CCPA)

• Категории личной информации, которую компания собрала, раскрыла или продала за предыдущие 12 месяцев, а также источники информации, цели ее сбора и категории третьих сторон, которым эта информация передается

• Заявление о том, продает ли компания личную информацию несовершеннолетних до 16 лет без положительного разрешения

• Контактное лицо для вопросов или опасений по поводу политики конфиденциальности, использующее метод, обычно используемый в бизнесе для взаимодействия с потребителями

• Дата последнего обновления политики конфиденциальности.

Как отмечалось выше, предлагаемые правила вводят раскрытие информации о конфиденциальности, выходящее за рамки того, что указано в тексте CCPA. В дополнение к указанным выше, еще одно новое раскрытие политики конфиденциальности распространяется на организации, которые собирают личную информацию четырех миллионов или более потребителей. Такие организации должны раскрывать определенные показатели, касающиеся количества полученных запросов потребителей и среднего времени ответа.

Обработка запросов потребителей

В Статье 3 предлагаемые правила содержат подробные инструкции о том, как потребители должны иметь возможность осуществлять свои права на получение информации, запросы на удаление и отказ от рассылки, и как предприятия должны отвечать на эти запросы, включая два новых требования к срокам, которые отсутствуют в CCPA.В этом разделе также вводятся обязанности по обучению сотрудников и ведению документации в отношении запросов потребителей.

Способы подачи запросов (§ 999.312, § 999.315)

Компании должны предоставить потребителям как минимум два назначенных метода для отправки запросов на получение сведений и удаление, один из которых «должен отражать способ, которым компания в первую очередь взаимодействует с потребителем». В настоящее время предлагаемые правила вступают в противоречие с одной из недавно принятых поправок, требующей от всех предприятий предоставления бесплатного номера телефона.Как указано в Разделе 1 выше, AB 1564 освобождает компании, работающие исключительно в Интернете, от требования иметь бесплатный номер телефона. В предлагаемые поправки почти наверняка будут внесены поправки, отражающие AB 1564. В любом случае бизнес, который управляет веб-сайтом, должен предоставить потребителям интерактивную веб-форму для подачи запроса на получение информации.

Предлагаемые правила также требуют, чтобы бизнес, который получает запрос на получение информации или удаление с помощью метода, который не является одним из назначенных методов, обрабатывать запрос так, как если бы он был отправлен в соответствии с назначенным бизнесом способом, или предоставлять потребителю конкретное руководство о том, как подать запрос.

Для запросов на отказ от продажи личной информации компании снова должны предоставить два или более назначенных метода для отправки запросов, включая, как минимум, «интерактивную веб-форму», доступную через «четкую и заметную ссылку под названием« Сделать ». Не продавать мою личную информацию »или« Не продавать мою информацию »на своем веб-сайте или в мобильном приложении.

Ответ на запросы потребителей (§ 999.313, § 999.315)

Для начала, предлагаемые правила вводят несколько новых требований к срокам ответа предприятий на запросы потребителей.Во-первых, в течение 10 дней с момента получения запроса на информацию или удаления компания должна подтвердить получение и объяснить потребителю процедуры проверки личности и обработки запроса, а также время, когда потребитель может ожидать получения ответа по существу. Во-вторых, компания должна ответить на запрос потребителя отказаться от продажи личной информации в течение 15 дней с даты получения.

• Запросы о предоставлении информации. Предлагаемые правила решают проблемы безопасности, связанные с ответом на запрос потребителя.Например, если компания не может подтвердить личность потребителя, она «не должна раскрывать запрашивающей стороне какие-либо конкретные части личной информации и должна проинформировать потребителя о том, что она не может подтвердить их личность». Вместо этого бизнес должен рассматривать запрос как запрос категорий информации с более слабым стандартом проверки. Кроме того, в соответствии с предлагаемыми правилами, покрываемые компании не могут раскрывать конфиденциальные данные, такие как номера социального страхования, водительские права или другие государственные идентификационные номера; номера финансовых счетов; медицинские страховки или медицинские идентификационные номера; пароли учетных записей или контрольные вопросы и ответы — в их ответе на запрос потребителя о предоставлении определенной личной информации.

  В правилах также четко указано, что компании должны предоставлять индивидуальный ответ на запросы о категориях собираемой личной информации, категориях источников и / или категориях третьих сторон, а не полагаться на общие положения политики конфиденциальности компании. Однако, если его ответ будет одинаковым для всех потребителей, компания может направить потребителей к политике конфиденциальности при условии, что политика конфиденциальности содержит всю информацию, необходимую для ответа на запрос о категориях собираемой и раскрываемой информации.

• Запросы на удаление . Правила обеспечивают столь необходимую ясность относительно того, как бизнес может отвечать на запросы на удаление, позволяя бизнесу выбирать между одним из следующих вариантов: (1) постоянное удаление из существующих систем, за исключением систем архивирования или резервного копирования, ) обезличивание личной информации или (3) агрегирование личной информации. Примечательно, что правила позволяют бизнесу отложить удаление личной информации из архивных или резервных систем до следующего обращения к системе или ее использования.Компания может отклонить запрос на удаление, если не может проверить личность потребителя, но при этом должна сообщить потребителю причину, а затем, что немаловажно, рассматривать запрос на удаление как запрос на отказ от продажи.

• Запросы на отказ от продажи. В частности, нормативные акты налагают обязательство, отсутствующее в CCPA, требуя от компаний, которые продают личную информацию, направлять любые запросы об отказе любым третьим лицам, которым они продавали личную информацию в течение предыдущих 90 дней.Компания должна дополнительно подтвердить у потребителя, что этот шаг будет завершен. Сторонний покупатель может продолжать использовать информацию, но не может ее продать. В нормативных актах также четко указано, что запрос на отказ не обязательно должен быть поддающимся проверке запросом потребителя, хотя предприятия могут отказать в удовлетворении запросов, если у них есть «добросовестное, разумное и документально подтвержденное убеждение», что запрос является мошенническим, и проинформировать отправителя запроса. этой веры.

  Если потребитель желает снова отказаться от продажи личной информации, компании должны использовать двухэтапный процесс, при котором потребитель делает первоначальный запрос на подписку, а затем отдельно подтверждает свой выбор.

Поставщики услуг (§ 999.314)

Правила, по-видимому, противоречат CCPA, в котором говорится, что поставщики услуг не должны отвечать на запрос о правах потребителя, требуя от поставщиков услуг предоставления основания для отказа в таких запросах и информирования потребителя о том, что он должен отправлять запросы непосредственно в бизнес для который поставщик услуг обрабатывает информацию. В нормативных актах также уточняется, что организация может быть поставщиком услуг, если она собирает информацию о потребителях по указанию другой организации.

Обучение и делопроизводство (§ 999.317)

В этом разделе изложены конкретные требования к обучению и ведению документации, которые демонстрируют соответствие компании запросам потребителей. В частности, предлагаемые правила требуют, чтобы лица, которым поручено обрабатывать запросы, связанные с практикой конфиденциальности бизнеса или соблюдением CCPA, были обучены всем аспектам CCPA, включая предлагаемые правила и способы побудить потребителей осуществлять свои права в соответствии с CCPA и нормативными актами.

Чтобы продемонстрировать соответствие CCPA, предлагаемые правила также определяют требования к ведению документации, когда необходимая документация не должна использоваться для каких-либо других целей. Как правило, покрытые компании должны документировать все полученные запросы потребителей, связанные с CCPA, и все ответы на такие запросы в течение как минимум 24 месяцев. Эта запись может быть в различных форматах (включая форму заявки или журнала), но должна включать следующее:

• Дата запроса

• Характер запроса ( e.г. , знать, удаление, отказ)

• Способ, которым был сделан запрос ( например, , лично, онлайн)

• Дата ответа компании

• Характер ответа ( например, , выполнено, отклонено, частично отклонено)

• Если отказано, причина отказа в запросе.

Проверка запросов

Пожалуй, самое полезное руководство из предлагаемых правил. Статья 4 предоставляет подробное руководство по проверке для предприятий, получающих запросы потребителей в соответствии с CCPA.

Для начала, статья 4 требует от покрываемой компании разработки письменного плана проверки, в котором документируются методы, которые компания будет использовать для проверки личности лиц, которые подают запросы на получение или удаление личной информации. В целом предлагаемые правила объясняют, что строгость метода проверки должна отражать конфиденциальность запрашиваемой информации. С этой целью предлагаемые правила содержат некоторые общие рекомендации, которые компании должны учитывать при внедрении процедур проверки, в том числе:

• Сопоставление идентифицирующей информации, предоставленной потребителем, с личной информацией, которая уже хранится в компании, где это возможно, и избежание сбора новой личной информации в процессе проверки

• Предотвращение сбора личной информации, такой как номер социального страхования или номер водительского удостоверения

• Принимая во внимание тип, конфиденциальность и ценность личной информации, хранящейся у потребителя, риск причинения вреда потребителю в результате несанкционированного доступа или удаления, а также вероятность того, что запрос является мошенническим или злонамеренным.

Проверка учетных записей, защищенных паролем (§ 998.324)

Если компания поддерживает учетную запись потребителя, защищенную паролем, предлагаемые правила позволяют бизнесу проверять личность потребителя с помощью существующих методов аутентификации для учетной записи потребителя, но должны требовать от потребителя повторной аутентификации другим способом. с типом, конфиденциальностью и ценностью информации для потребителя.Однако, если компания подозревает мошенническую деятельность, она должна требовать дополнительной проверки.

Проверка для лиц, не являющихся держателями счетов (§ 998.325)

• Запросы о предоставлении информации . Правила предусматривают, что более строгий процесс проверки должен применяться к более конфиденциальной информации. То есть компании не должны разглашать конфиденциальную информацию, не будучи полностью уверенными в личности человека, запрашивающего информацию. Например, процедуры проверки для запросов на получение информации категорий личной информации должны иметь только «разумную степень уверенности», которая «может включать сопоставление по меньшей мере двух точек данных, предоставленных потребителем» с надежными точками данных, поддерживаемыми бизнесом.

  Запросы конкретных частей личной информации, с другой стороны, требуют, чтобы компании подтвердили личность потребителя с «достаточно высокой степенью уверенности». В нормативных актах приводится пример того, что может представлять собой «достаточно высокую степень уверенности»: (а) сопоставление трех частей личной информации, предоставленной потребителем, с личной информацией, хранящейся в компании, а также (б) получение подписанной декларации под штрафом лжесвидетельства о том, что запрашивающий является потребителем, чья личная информация является предметом запроса.(Компании должны хранить все такие подписанные декларации в рамках своих обязанностей по ведению документации. )

• Запросы на удаление . Для запросов на удаление предприятия должны использовать «разумную» или «высокую» степень уверенности в зависимости от конфиденциальности личной информации и риска причинения вреда потребителю в результате несанкционированного удаления. В качестве примера правила объясняют, что запрос на удаление семейных фотографий потребует «высокого» уровня достоверности, в отличие от запроса на удаление истории просмотров, который потребует «разумного» уровня достоверности.

  Если компания приходит к выводу об отсутствии «разумного метода», с помощью которого она может проверить личность потребителя с требуемой степенью уверенности, компания должна заявить об этом в ответ на запрос. Если у компании никогда не будет разумного метода проверки запросов потребителей, она должна объяснить, почему у нее нет разумного метода, с помощью которого она может проверить личность отправителя запроса, в своей политике конфиденциальности. Это означает, что если компания собирает только определенную ограниченную техническую информацию о посетителях сайта и не может сопоставить эту информацию с конкретными отдельными потребителями, она может указать это в своей политике конфиденциальности и в ответ на запросы потребителей в соответствии с CCPA.Бизнес должен пересматривать этот вывод ежегодно.

• Уполномоченные агенты. Правила не предоставляют подробных указаний по уровням проверки, требуемой от уполномоченных агентов. Скорее, в отсутствие агента, имеющего действительное доказательство доверенности, в правилах просто говорится, что бизнес может потребовать от потребителя подтвердить свою личность напрямую с бизнесом, даже если он хочет использовать уполномоченного агента. Предприятия могут также потребовать от агентов предоставить письменное подтверждение авторизации и могут отклонить запрос агента, если они этого не сделают.

Основные выводы

Несмотря на то, что поправки и предлагаемые правила заполняют некоторые серьезные пробелы в CCPA, к сожалению, остается много вопросов без ответа. Однако, учитывая быстро приближающуюся дату вступления в силу, предприятиям следует начать сравнивать свои текущие программы соответствия с предложенными правилами и пятью поправками, чтобы определить, соответствуют ли их программы требованиям CCPA или необходимы обновления.В частности, предприятия, не имеющие письменной процедуры проверки или специальной политики обучения CCPA, должны оценить процедуры и обучение, необходимые под руководством генерального прокурора, и начать разработку соответствующих политик и процедур, которые можно легко корректировать и адаптировать, поскольку CCPA продолжает изменяться.

Регламент не окончательный. Генеральный прокурор назначил публичные слушания на 2 декабря (Сакраменто), 3 декабря (Лос-Анджелес), 4 декабря (Сан-Франциско) и 5 ​​декабря (Фресно), чтобы заслушать комментарии.Письменные комментарии принимаются генеральным прокурором до 17:00. PT 6 декабря 2019 г. Заинтересованные стороны могут направлять письменные комментарии по электронной почте на адрес PrivacyRegulations@doj. ca.gov или по почте координатору правил конфиденциальности, Офис генерального прокурора Калифорнии, 300 South Spring Street, First Floor, Los Angeles, CA

.

Ожидается, что окончательные правила будут опубликованы в начале 2020 года, а с июля 2020 года они будут введены в действие Генеральной прокуратурой.

законов о защите данных во всем мире в 2021 году

2020 принес несколько серьезных изменений в мир законодательства о защите данных.В частности, в январе в Соединенных Штатах вступил в силу Закон Калифорнии о конфиденциальности потребителей (CCPA), и Суд Европейского Союза (CJEU) постановил по делу Schrems II, что решение Европейской комиссии о соответствии требованиям ЕС — Политика защиты конфиденциальности США была недействительной, что фактически положило конец свободным потокам данных между США и ЕС.

По мере того, как мы приближаемся к 2021 году, тень этих серьезных событий нависает над ландшафтом конфиденциальности данных, поскольку решение CJEU Schrems II показало, что узаконивание передачи конфиденциальных личных данных за пределы ЕС — это не просто бумажная работа.

Между тем, в этом году Китай намерен принять свой первый комплексный закон о защите данных, одним из основных направлений которого также являются трансграничные переводы. Несколько других стран намерены ввести в действие или пересмотреть свои законы о конфиденциальности данных в 2021 году, а Великобритания потеряла свои привилегии на бесплатный поток данных в Европе. Давайте подробнее рассмотрим эти события и то, что мы можем ожидать от них в будущем году.

Новые СКК для трансграничных переводов ЕС в 2021 году

Стандартизация и регуляризация трансграничной передачи данных в соответствии с Общим регламентом ЕС по защите данных (GDPR), похоже, стоит в повестке дня многих европейских организаций.

В ноябре 2020 года Европейский совет по защите данных (EDPB) выпустил проект рекомендаций по правилам, которым должны следовать предприятия для законной передачи конфиденциальных персональных данных из Европейской экономической зоны (ЕЭЗ) в страны за ее пределами. Основываясь на руководстве EDPB, Европейская комиссия выпустила проект набора новых стандартных договорных положений (SCC) и проект реализации решения, внося важные изменения в текст положений, чтобы привести их в соответствие с GDPR.

Эти изменения, наряду с постановлением Schrems II, повлияют на многие международные компании, собирающие и обрабатывающие личную информацию граждан ЕС, что приведет к более строгим требованиям соответствия для трансграничной передачи данных.

Ответ Китая на GDPR

Постоянный комитет Всекитайского собрания народных представителей Китая опубликовал первый проект своего Закона о защите личной информации (PIPL) для общественного обсуждения 21 октября 2020 года. Объединяя существующие китайские законы о конфиденциальности данных под одной крышей, PIPL также добавляет несколько важных новых разработок в защита персональных данных в Китае. Среди них высокие штрафы, экстерриториальная применимость, необходимость в сотрудниках по защите данных и новые правила, регулирующие трансграничные переводы.

PIPL укрепит новые права, полученные субъектами данных, проживающими в Китае, независимо от их национальности, например право на удаление и право отзыва согласия на сбор данных. Компании, обрабатывающие большой объем личной информации, также должны будут назначить сотрудника по защите данных, ответственного за обработку личных данных. Обработка конфиденциальной личной информации за границей будет подлежать порогу в соответствии с PIPL. Если компания превысит его, ей нужно будет локализовать свою деятельность по обработке данных.

Хотя PIPL, вероятно, будет дополнительно пересмотрен после публичных комментариев, очевидно, что Китай полон решимости пойти по стопам GDPR и принять новый всеобъемлющий закон о защите данных, который в первую очередь принесет пользу субъектам данных.

Защита конфиденциальности в Великобритании после Брексита

В конце 2020 года подошел к концу переходный период для выхода Великобритании из Европейского Союза, а вместе с ним и применение GDPR в стране и свободный поток личной информации из Великобритании в Европу. Однако, хотя GDPR может больше не применяться, его требования были включены в национальное законодательство Великобритании посредством Закона о защите данных (DPA) в 2018 году.

Основным последствием Brexit является то, что Великобритания официально стала третьей стороной для всех государств-членов ЕЭЗ, что означает, что ей необходимо подать заявку на решение о достаточности от Европейской комиссии, прежде чем данные снова смогут свободно передаваться через границу. Независимо от того, будет ли это плавный процесс или Великобритания не сможет принять решение о достаточности, предприятиям страны необходимо обеспечить наличие соответствующих механизмов передачи данных между государствами-членами ЕЭЗ и Великобританией в 2021 году.

Новые законы о защите данных вступят в силу в 2021 году

Начиная с 2021 года во всем мире вступит в силу ряд новых законов о защите данных. При неожиданном повороте событий, после ряда неудач и задержек, бразильский лейтенант Лей Гераль де Протесао де Дадос (LGPD) стал первым крупным органом по защите данных в Латинской Америке. Закон вступил в силу в сентябре 2020 года. Однако регулирующие органы не ожидают, что его административные санкции будут применены регулирующими органами до августа 2021 года. Поскольку бразильские компании и поставщики услуг, обрабатывающие конфиденциальную информацию бразильских субъектов данных, стремятся достичь соответствия, 2021 год станет испытанием основание для того, как орган по защите данных Бразилии, Autoridade Nacional de Proteção de Dados (ANPD), будет обеспечивать соблюдение LGPD.

В конце 2020 года Сингапур внес поправки в свой Закон о защите персональных данных (PDPA), введя, среди прочего, обязательные уведомления об утечке данных, расширение рамок предполагаемого согласия, исключения из согласия для законных интересов и усиление штрафов за несоблюдение . В 2021 году эти изменения будут применены на практике.

Законы о защите данных пересматриваются в 2021 году

Ожидается, что в 2021 году будет завершена обширная проверка Закона Австралии о конфиденциальности 1988 года. В ответ на отчет Австралийской комиссии по конкуренции и защите прав потребителей (ACCC), посвященный цифровым платформам, 12 декабря 2019 года правительство Австралии объявило, что проведет пересмотр Закона о конфиденциальности. На данный момент он опубликовал проблемный документ, в котором излагаются и запрашиваются отзывы о Законе о конфиденциальности, а также о других законах Австралии, защищающих личную информацию. Прием заявок завершился в конце ноября, и ожидается, что первый проект обзора будет опубликован в 2021 году.

17 ноября 2020 года министр информации, науки и экономического развития Канады представил Закон о внедрении цифровой хартии (DCIA).В случае его принятия DCIA заменит действующий в Канаде закон о защите данных для частного сектора — Закон о защите личной информации и электронных документах (PIPEDA). DCIA внесет несколько интересных изменений в законодательство о конфиденциальности в Канаде, в том числе частное право на иск и штрафы, которые могут превышать таковые, предусмотренные Общим регламентом защиты данных. В 2021 году DCIA будет рассмотрен комитетами и, как ожидается, пройдет консультации и слушания заинтересованных сторон.

В США избиратели из Калифорнии одобрили Закон о правах на конфиденциальность в Калифорнии (CPRA) посредством голосования в ноябре 2020 года.CPRA внесет поправки в CCPA, предоставив жителям Калифорнии дополнительный контроль над своей личной информацией и налагая дополнительные обязательства на предприятия, подпадающие под действие CCPA. Хотя большинство положений CPRA вступят в силу только с июля 2023 года, ожидается, что его принятие вызовет новую волну законодательных действий в других штатах или на федеральном уровне.

Заключение

2021 год должен стать захватывающим для законодательства о защите конфиденциальности, поскольку несколько важных законов о конфиденциальности вступят в силу, а некоторые другие будут соответствовать новому международному стандарту, установленному GDPR.Трансграничные передачи, вероятно, будут одной из серьезных проблем, связанных с соблюдением нормативных требований, которыми будут заниматься законодательные органы и органы по защите данных, чтобы обеспечить упорядочение и нормализацию передачи данных между странами.

объяснитель-c_compliant-промышленность

Подробное руководство для всех предприятий о том, как обеспечить соответствие GDPR и как Endpoint Protector DLP может помочь в этом процессе.

Закон о конфиденциальности потребителей Калифорнии вступил в силу с 1 января 2020 г.

Закон Калифорнии о конфиденциальности потребителей (CCPA), вступивший в силу в 2018 году, вступил в силу с 1 января 2020 года.Он «создает новые права потребителей, касающиеся доступа, удаления и обмена личной информацией, собираемой предприятиями». Закон обязывает предприятия выполнять определенные обязательства в отношении доступа потребителей к данным и дает жителям Калифорнии больший контроль над своими данными.

Калифорния — пятая по величине экономика в мире, где расположено множество предприятий, которые монетизируют личные данные, согласно отчету об оценке воздействия генерального прокурора штата Калифорния. Закон штата обеспечит защиту личных данных на сумму более 12 миллиардов долларов, используемых для рекламы в Калифорнии каждый год. Хотя закон применяется как к онлайн, так и к офлайн-бизнесу, в отчете об оценке воздействия говорится, что около 35 миллионов интернет-пользователей в Калифорнии будут в первую очередь бенефициарами.

Законодательный орган ссылается на поправку 1972 года к Конституции Калифорнии, которая включает право на неприкосновенность частной жизни в качестве «неотъемлемого» права. В нем говорится о том, что штат является «одним из мировых лидеров» в области развития технологий, но также о том, что законодательство Калифорнии не смогло справиться с последствиями, которые эти быстрые изменения могут иметь для вопросов конфиденциальности.

Приведение в исполнение Генеральным прокурором (AG) начнется с 1 июля 2020 года, что означает, что по истечении этого периода AG будет иметь право налагать штрафы за несоблюдение. Закон был открыт для публичных комментариев, чтобы граждане могли высказать свое мнение о его положениях, и было проведено 7 общественных форумов в масштабе штата.

Какие права сейчас у потребителей?

Новый закон гарантирует потребителям следующие права:

1. Право знать , какая личная информация собирается, используется, передается, продается, будь то в категориях или в отдельных частях информации.
2. Право на удаление любой личной информации о потребителе, собранной компанией. Помимо удаления информации из своих собственных записей, предприятия, получившие этот запрос, также должны будут указать поставщикам услуг удалить информацию из своих записей.
   • В определенных случаях предприятиям может не потребоваться выполнить запрос потребителя об удалении информации. К ним относятся записи контракта между бизнесом и потребителем, инциденты безопасности, соблюдение других юридических обязательств и т. Д.
3. Право отказа от продажи личной информации. Потребители имеют право попросить компании не продавать их личные данные третьим лицам.
   • Право на участие : Если компания знает, что потребителю меньше 16 лет, она не может продавать личную информацию, если это лицо не санкционировало.
   • Для детей младше 13 лет родители или опекуны должны дать согласие на продажу личной информации.
4. Право на недискриминацию с точки зрения обслуживания или цены, если потребитель пользуется правом в соответствии с законом. Это право не позволяет предприятиям прибегать к дискриминационной практике, такой как отказ в услугах или иное взимание платы, если потребители используют свои права.

Что такое бизнес?

Для того, чтобы квалифицироваться как бизнес, компания должна соответствовать следующим критериям:

• Он должен иметь годовой валовой доход более 25 миллионов долларов .
• Он должен получать 50 процентов или более годового дохода от продажи личной информации.
• Он должен ежегодно покупать, продавать, делиться или получать личную информацию 50 000 или более потребителей, домашних хозяйств или устройств.

Кто такой потребитель?

Закон определяет потребителя как жителя Калифорнии, «как это определено в разделе 17014 раздела 18 Калифорнийского свода правил… как бы то ни было, в том числе по любому уникальному идентификатору».Согласно Калифорнийскому кодексу правил резидентом является физическое лицо:

1. «который находится в штате не с временной или переходной целью, и»
№
2. «проживающий в государстве, находящийся за пределами государства с временной или переходной целью».

Что вы подразумеваете под сбором информации?

Согласно закону, сбор «означает покупку, аренду, сбор, получение, получение или доступ к любой личной информации, имеющей отношение к потребителю, любыми способами».Сюда входит информация от потребителя, полученная активно или пассивно, а также путем наблюдения за поведением потребителя.

Какие обязательства сейчас есть у бизнеса?

• Компании, которые собирают личную информацию, должны информировать потребителей о категориях личной информации, которая будет собираться, и цели, для которой она собирается, до или в точке сбора. Никакая другая информация не может быть собрана, кроме единственного согласия.
• Компания может предлагать потребителям финансовые стимулы в качестве компенсации за сбор личной информации. Они должны уведомить потребителя, если предлагают такое положение.

Осуществление прав должно быть легко доступным для потребителей.

• Компании должны предоставить потребителям доступные методы для запроса раскрытия личной информации. Например, для этого требуется как минимум бесплатный номер, а в случае веб-сайтов — положение внутри веб-сайта.
• При получении запроса потребителя о доступе к личной информации предприятия должны будут бесплатно раскрыть и доставить информацию по почте или в электронном виде.
• Компании должны предоставить запрошенную информацию в течение 45 дней с момента получения запроса от потребителя. Раскрытие информации должно охватывать 12-месячный период, предшествующий получению запроса потребителя.
• Компании должны разместить на своей домашней странице в Интернете «четкую и заметную» ссылку «Не продавать мою личную информацию». Эта ссылка предоставит потребителю возможность отказаться от продажи своей информации. Более того, потребителей нельзя попросить создать учетную запись для отправки таких запросов.

Сколько могут быть оштрафованы предприятия?

• В законе есть положение о частном праве на иск, которое ограничивается утечкой данных. Частное право иска позволяет частному лицу отстаивать свои права в соответствии с законом. Согласно CCPA, такой ущерб может подпадать под действие CCPA в размере от 100 до 750 долларов США за инцидент на одного потребителя.
• Генеральный прокурор может потребовать от предприятий, нарушающих закон, наложить гражданский штраф в размере не более 2500 долларов за нарушение и 7500 долларов за умышленное нарушение.

Закон Калифорнии о конфиденциальности потребителей (CCPA) вступает в силу 1 января 2020 г. — Готова ли ваша компания соблюдать требования?

Первый и самый полный в стране закон о конфиденциальности потребителей скоро вступит в силу в Калифорнии, пятой по величине экономике мира.

Если ваша компания ведет бизнес в Калифорнии или даже в какой-то мере взаимодействует с личными данными жителя Калифорнии, НА ВАС БУДЕТ ВЛИЯТЬ!

Готовы ли вы подчиниться?

Адвокаты PLLC

Marashlian & Donahue определили 10 основных операционных последствий CCPA в приведенной ниже статье.Мы просим наших клиентов просмотреть список и определить, действительно ли ваш бизнес готов соблюдать требования на оперативном уровне. Клиенты, у которых есть вопросы или опасения относительно применимости CCPA к их конкретному бизнесу или которым требуются рекомендации по реализации мер соответствия, должны связаться с Линдой Г. Макрейнольдс, эсквайр, [email protected] или (703) 714-1318. Г-жа Макрейнольдс является сертифицированным специалистом по обеспечению конфиденциальности информации (CIPP / США) и возглавляет практику компании по обеспечению конфиденциальности, безопасности данных и защиты потребителей, а также готова помочь клиентам подготовиться к соблюдению требований CCPA.

10 основных последствий действия Закона о конфиденциальности потребителей Калифорнии

Закон штата Калифорния о конфиденциальности потребителей (CCPA) изменит методы сбора, использования, хранения, раскрытия и иного обращения с личной информацией клиентов предприятиями. CCPA может повлиять на ваш бизнес, если ваш бизнес, любая из его дочерних компаний или его материнская компания собирает или получает личную информацию от жителей Калифорнии: даже если ваш бизнес расположен за пределами Калифорнии и не нацелен конкретно на клиентов из Калифорнии.https://www.ocregister.com/2019/09/03/california-consumer-privacy-act-will-impact-busshops-that-collect-and-receive-personal-data/. CCPA вступает в силу 1 января 2020 года, и покрытые компании должны соблюдать его до 1 июля того же года. Несоблюдение требований может привести к большим штрафам, которые могут быстро накапливаться. Полный текст CCPA доступен здесь.

Кроме того, генеральный прокурор Калифорнии недавно выпустил проект правил, разъясняющих конкретные обязанности застрахованных предприятий. Генеральный прокурор примет публичные комментарии к предлагаемым правилам до 6 декабря 2019 г., что совпадает с завершением нескольких общественных слушаний по выработке правил.Предлагаемые правила можно найти здесь.

Вот 10 основных вещей, которые вам нужно знать / делать, чтобы подготовиться к переходу:

1. CCPA выходит за пределы Калифорнии

CCPA охватит компании в США и за рубежом. С учетом ряда исключений, CCPA будет применяться к бизнесу, если этот бизнес, его материнская компания или любая из его дочерних компаний собирает или получает личную информацию от жителей Калифорнии, прямо или косвенно, и соответствует одному или нескольким из следующих трех критериев :

• имеет годовой валовой доход, превышающий 25 миллионов долларов;
• ежегодно получает, покупает, продает или делится, прямо или косвенно, личной информацией 50 000 или более жителей Калифорнии, домохозяйств или устройств; или
• половина или более его годового дохода поступает от продажи личной информации о потребителях в Калифорнии.

Из-за большого населения Калифорнии в сочетании с растущей межгосударственной и глобальной экономикой, CCPA окажет огромное влияние как на калифорнийские, так и на другие компании. https://www.forbes.com/sites/allbusiness/2019/09/07/california-consumer-privacy-act-could-affect-your-business/#5fa62db936ac. Сюда входят не только предприятия, которые работают в основном в других штатах США, но и иностранные компании, которые имеют доступ к личной информации потребителей в Калифорнии.У Marashlian & Donahue есть опытные адвокаты, которые могут помочь вам определить, покрывается ли ваш бизнес.

2. Штрафы за несоблюдение

Несоблюдение CCPA может оказаться очень дорогостоящим для вашего бизнеса. CCPA допускает штрафы в размере до 2500 долларов США за нарушение или 7500 долларов США за умышленное нарушение, и не устанавливает ограничения на общую сумму штрафов, которые могут быть начислены в результате несоблюдения. https://www. ocregister.com/2019/09/03/california-consumer-privacy-act-will-impact-busshops-that-collect-and-receive-personal-data/.Так, например, непреднамеренное нарушение, затрагивающее потребителей Калифорнии, может повлечь за собой штраф в размере 25 миллионов долларов, в то время как умышленное нарушение, затрагивающее такое же количество потребителей Калифорнии, может стоить вашему бизнесу целых 75 миллионов долларов. Следовательно, крайне важно, чтобы застрахованные организации понимали и выполняли свои обязанности CCPA.

3. Обновление уведомлений и политик конфиденциальности

CCPA потребует, чтобы покрытые компании «в момент или до момента сбора» уведомляли потребителей, информируя их о категориях личной информации, которую компания собирает, и о том, для какой цели эта информация используется компанией.В уведомлении также должны быть четко указаны категории личной информации, которая собирается, раскрывается или продается, и что потребители имеют право отказаться от продажи своей информации. Кроме того, покрываемым компаниям необходимо будет обновить свои политики конфиденциальности, включив в них описание других прав потребителей, предоставляемых CCPA. https://www.dickinson-wright.com/news-alerts/californias-data-privacy-law. Компания Marashlian & Donahue рада работать с вами, чтобы обеспечить соответствие вашей новой политики конфиденциальности CCPA.Мы также можем сообщить о преимуществах и недостатках создания универсальной политики конфиденциальности по сравнению с отдельными политиками для Калифорнии и других юрисдикций.

4. Обновить инвентаризацию данных, бизнес-процессы и стратегии обработки данных

Охватываемые компании должны будут вести базу данных для отслеживания своей деятельности по обработке данных, включая бизнес-процессы, третьи стороны, продукты, устройства и приложения, которые обрабатывают личные данные потребителей.Эта база данных должна иметь возможность отслеживать все запросы прав потребителей, такие как отслеживание проверенных запросов на информацию, и должна постоянно обновляться. https://www.dickinson-wright.com/news-alerts/californias-data-privacy-law.

5. Внедрение протоколов для защиты прав потребителей

Компании, на которые распространяется действие страхового покрытия, должны будут принять внутренние процедуры, чтобы потребители из Калифорнии могли пользоваться всеми правами, гарантированными CCPA, включая:

• право на уведомление;
• право доступа / право запроса;
• право знать;
• право на удаление;
• право отказаться;
• право на уведомление о материальном поощрении; и
• право на недискриминацию при реализации своих прав CCPA.

Мы будем рады объяснить эти права и по запросу проконсультировать по их вероятным практическим последствиям для вашего бизнеса.

6. Сделать обновления безопасности

CCPA требует, чтобы компании, на которые распространяется действие страховки, обеспечивали «разумную» безопасность личной информации. «На практике этот стандарт побудил компании применять подход, основанный на оценке рисков, для устранения угроз конфиденциальности, целостности и доступности личных данных. Они оценивают угрозы данным, ранжируют риски обнаруженных уязвимостей и в первую очередь устраняют пробелы с высоким уровнем риска.»Https://www.dickinson-wright.com/news-alerts/californias-data-privacy-law.

7. Обновление соглашений со сторонними процессорами

Компаниям, которые нанимают другие компании для обработки своих данных, необходимо будет обновить свои контракты с третьими сторонами, чтобы они соответствовали CCPA, включая «добавление формулировки стандартных договорных положений; требование инвентаризации данных поставщиков; использование анкет комплексной проверки; предоставление записей обработки; требование синхронизации процессов ответа потребителей; требование оценки и аудита на месте; и требование сопоставления конкретных элементов данных, совместно используемых с каждой третьей стороной, включая обозначение тех передач, которые квалифицируются как «продажа».https://www.dickinson-wright.com/news-alerts/californias-data-privacy-law. Наши юристы имеют большой опыт подготовки и рассмотрения таких договоров и всегда рады помочь.

8. Обучение

CCPA требует, чтобы сотрудники, обрабатывающие запросы потребителей, были проинформированы обо всех его требованиях. https://www.dickinson-wright.com/news-alerts/californias-data-privacy-law. По словам консультанта по конфиденциальности данных Джея Клайна, «больше всего пострадают компании, готовящиеся к большим объемам запросов, поскольку теперь им придется обучать свой персонал требованиям CCPA.»Https://www.linkedin.com/pulse/seven-new-proposed-ccpa-regulations-biggest-impact-jay-cline. Однако, поскольку юридические последствия несоблюдения требований настолько серьезны, мы рекомендуем дополнительное обучение в дополнение к обязательному обучению. Наши юристы с удовольствием подготовят индивидуальные учебные материалы, адаптированные к уникальным потребностям вашего бизнеса, а также окажут помощь в обучении CCPA.

9. Удаление личной информации

CCPA предоставляет потребителям право требовать удаления их личной информации.Хотя компании, как правило, должны выполнять такие запросы после получения подтвержденного запроса, они не обязаны этого делать при определенных обстоятельствах, например, когда им нужна личная информация для предоставления товара или услуги, запрошенной потребителем, или когда они должны сохранять ее для выполнения. с другими законами. Более того, предлагаемые правила поясняют, что если компания не может проверить личность запрашивающего лица, желающего удалить личную информацию, компания может отклонить запрос и вместо этого должна рассматривать запрос на удаление как запрос на отказ от продажи личной информации.§ 999.313 (d) (1). Marashlian & Donahue может помочь вашей компании справиться с различными исключениями из требования удаления личной информации, чтобы предотвратить случайное «чрезмерное соблюдение» и / или непреднамеренное нарушение других законов в результате неправомерного выполнения запроса на удаление.

10. Сосуществование с другими законами о конфиденциальности

CCPA имеет сложные отношения с другими законами о конфиденциальности. Например, CCPA не распространяется на информацию, которая уже регулируется федеральными законами о конфиденциальности, такими как Закон о переносимости и подотчетности в медицинском страховании, Закон Грэмма-Лича Блайли, Закон о справедливой кредитной отчетности или Закон о защите конфиденциальности водителей.Однако даже если ваш бизнес обрабатывает личную информацию, подпадающую под действие этих или других законов о конфиденциальности, которые отменяют CCPA, CCPA может по-прежнему применяться к вашей компании в той степени, в которой она собирает и обрабатывает другие данные потребителей. Поэтому консультация с опытным юристом имеет решающее значение для соблюдения правильного закона (законов).

Последние поправки

Хотя не ожидается, что обязательства CCPA существенно изменятся, законодательный орган Калифорнии недавно принял шесть поправок, которые внесут незначительные изменения.Эти поправки включают исключение информации о сотрудниках и определенных коммуникаций и транзакций между предприятиями в течение одного года, устранение бесплатного номера телефона как одного из двух методов для потребителей отправлять запросы для предприятий, которые работают исключительно в Интернете, и предоставление генеральный прокурор Калифорнии, дополнительный нормотворческий орган в отношении проверяемых запросов потребителей. https://www.natlawreview.com/article/california-ccpa-amendment-update-here-s-what-passed. Губернатор Калифорнии Гэвин Ньюсом подписал поправки к закону в пятницу, 11 октября 2019 г.https://www.adlawaccess.com/2019/10/articles/ccpa-update-california-governor-signs-six-amendments-to-the-ccpa/.

Заключение

Как указано выше, требования CCPA обширны и сложны: они охватывают предприятия далеко за пределами Калифорнии. Поскольку законодательные органы Калифорнии и министерство юстиции штата в настоящее время уделяют пристальное внимание усилению контроля потребителей над их личной информацией, крайне важно, чтобы охваченные ими компании знали о своих новых обязательствах и соблюдали их.