Закон о сохранности персональных данных: » » 27.07.2006 N 152- ( ) /

так ли страшен черт, как его малюют? — Офтоп на vc.ru

1 июля 2017 года в силу вступили поправки к закону “О персональных данных” (152-ФЗ). Теперь операторы (так в законе названы государственные и муниципальные органы, юридические или физические лица, организующие и (или) осуществляющие обработку персональных данных) обязаны хранить и обрабатывать личные данные граждан РФ на территории страны, предварительно получив на это согласие субъектов персональных данных.

{«id»:31376,»url»:»https:\/\/vc.ru\/flood\/31376-zakon-o-personalnyh-dannyh-tak-li-strashen-chert-kak-ego-malyuyut»,»title»:»\u0417\u0430\u043a\u043e\u043d \u043e \u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445: \u0442\u0430\u043a \u043b\u0438 \u0441\u0442\u0440\u0430\u0448\u0435\u043d \u0447\u0435\u0440\u0442, \u043a\u0430\u043a \u0435\u0433\u043e \u043c\u0430\u043b\u044e\u044e\u0442?»,»services»:{«facebook»:{«url»:»https:\/\/www.facebook.com\/sharer\/sharer.php?u=https:\/\/vc.ru\/flood\/31376-zakon-o-personalnyh-dannyh-tak-li-strashen-chert-kak-ego-malyuyut»,»short_name»:»FB»,»title»:»Facebook»,»width»:600,»height»:450},»vkontakte»:{«url»:»https:\/\/vk.com\/share.php?url=https:\/\/vc.ru\/flood\/31376-zakon-o-personalnyh-dannyh-tak-li-strashen-chert-kak-ego-malyuyut&title=\u0417\u0430\u043a\u043e\u043d \u043e \u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445: \u0442\u0430\u043a \u043b\u0438 \u0441\u0442\u0440\u0430\u0448\u0435\u043d \u0447\u0435\u0440\u0442, \u043a\u0430\u043a \u0435\u0433\u043e \u043c\u0430\u043b\u044e\u044e\u0442?»,»short_name»:»VK»,»title»:»\u0412\u041a\u043e\u043d\u0442\u0430\u043a\u0442\u0435″,»width»:600,»height»:450},»twitter»:{«url»:»https:\/\/twitter.com\/intent\/tweet?url=https:\/\/vc.ru\/flood\/31376-zakon-o-personalnyh-dannyh-tak-li-strashen-chert-kak-ego-malyuyut&text=\u0417\u0430\u043a\u043e\u043d \u043e \u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445: \u0442\u0430\u043a \u043b\u0438 \u0441\u0442\u0440\u0430\u0448\u0435\u043d \u0447\u0435\u0440\u0442, \u043a\u0430\u043a \u0435\u0433\u043e \u043c\u0430\u043b\u044e\u044e\u0442?»,»short_name»:»TW»,»title»:»Twitter»,»width»:600,»height»:450},»telegram»:{«url»:»tg:\/\/msg_url?url=https:\/\/vc.ru\/flood\/31376-zakon-o-personalnyh-dannyh-tak-li-strashen-chert-kak-ego-malyuyut&text=\u0417\u0430\u043a\u043e\u043d \u043e \u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445: \u0442\u0430\u043a \u043b\u0438 \u0441\u0442\u0440\u0430\u0448\u0435\u043d \u0447\u0435\u0440\u0442, \u043a\u0430\u043a \u0435\u0433\u043e \u043c\u0430\u043b\u044e\u044e\u0442?»,»short_name»:»TG»,»title»:»Telegram»,»width»:600,»height»:450},»odnoklassniki»:{«url»:»http:\/\/connect.ok.ru\/dk?st.cmd=WidgetSharePreview&service=odnoklassniki&st.shareUrl=https:\/\/vc.ru\/flood\/31376-zakon-o-personalnyh-dannyh-tak-li-strashen-chert-kak-ego-malyuyut»,»short_name»:»OK»,»title»:»\u041e\u0434\u043d\u043e\u043a\u043b\u0430\u0441\u0441\u043d\u0438\u043a\u0438″,»width»:600,»height»:450},»email»:{«url»:»mailto:?subject=\u0417\u0430\u043a\u043e\u043d \u043e \u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445: \u0442\u0430\u043a \u043b\u0438 \u0441\u0442\u0440\u0430\u0448\u0435\u043d \u0447\u0435\u0440\u0442, \u043a\u0430\u043a \u0435\u0433\u043e \u043c\u0430\u043b\u044e\u044e\u0442?&body=https:\/\/vc.ru\/flood\/31376-zakon-o-personalnyh-dannyh-tak-li-strashen-chert-kak-ego-malyuyut»,»short_name»:»Email»,»title»:»\u041e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u044c \u043d\u0430 \u043f\u043e\u0447\u0442\u0443″,»width»:600,»height»:450}},»isFavorited»:false}

11 746 просмотров

Информационный ажиотаж, вызванный вступлением в силу поправок к закону “О персональных данных”, можно сравнить разве что с реакцией на оперативно разработанный и принятый летом 2016 года “пакет Яровой”. С той лишь разницей, что инициативой господина Озерова и госпожи Яровой остались недовольны преимущественно представители ИТ-компаний и операторы связи, вынужденные выделять из бюджета дополнительные средства на реализацию ТЗ. А вот закон “О персональных данных” коснулся огромного количества людей и организаций, взаимодействующих с гражданами России, — компаний, социальных сетей, государственных органов, визовых центров и даже обыкновенных блоггеров. Ведь многие владельцы блогов на том же WordPress даже не догадываются о том, что являются операторами персональных данных. Между тем, получить штрафные санкции за несоблюдение закона они могут уже завтра.

Что считать персональными данными?

Строгого их перечня в российской действительности не существует. Комментировать значение термина представители Минкомсвязи и Роскомнадзора отказываются в силу отсутствия полномочий. Поэтому всем заинтересованным приходится догадываться. Справедливости ради, Минкомсвязь разработало памятку по основным вопросам обработки персональных данных. Не сказать, что она вносит ясность в ситуацию, зато по ссылке любой желающий может задать экспертам уточняющий вопрос.

В “допоправочную” эпоху персональными данными признавались фамилия, имя, отчество, номер телефона, дата рождения, дата регистрации, номер паспорта, ИНН, данные трудового договора — в различных комбинациях, но не по отдельности.

Олег Ефимов, управляющий партнер правового партнерства “Ефимов и партнеры”, который консультировал ATLEX по практической стороне вопроса, уточнил, что достаточно сочетания имени и адреса электронной почты, чтобы Роскомнадзор признал указанные данные персональными.

Помимо прочего, к персональным данным относятся и специфические сведения, вроде информации об отпечатках пальцев, геноме человека или его здоровье.

Можно ли хранить и обрабатывать персональные данные за границей?

Новость о том, что теперь наши персональные данные должны храниться и обрабатываться внутри страны вызвала у моих коллег пару панических атак. Не менее взволнованы представители российского бизнеса, которые хостятся за рубежом. Для них размещение серверов за границей — вопрос принципиальный. Ведь иностранные хостинг-услуги зачастую дешевле отечественных, а релокация в ряде случаев может обеспечить непрерывность бизнес-процессов.

Так, перенос серверов за границу избавляет российские компании от возможных административных атак. Например, если на вашу компанию поступила жалоба (в том числе и необоснованная) о том, что на вашем сервере хранится запрещенная в РФ информация, то правоохранители должны и могут изъять оборудование из коммерческого дата-центра на экспертизу. В этой ситуации они могут навестить хостера без предупреждения (постановление суда им не требуется). Внеплановые проверки могут затянуться на несколько месяцев. Если нарушений не будет выявлено, оборудование вернут, но бизнес понесет серьезные финансовые и репутационные убытки.

Европейское (в частности чешское) законодательство более лояльно относится к хостерам и их клиентам. Оборудование провайдер выдаст исключительно по решению чешского суда — в том числе и по запросу российских правоохранительных органов.

Кроме того, многие российские компании арендуют у зарубежных хостинг-провайдеров вычислительные мощности под сервис восстановления данных после сбоев (Disaster Recovery). В случае выхода из строя основной площадки он позволяет восстановить функционирование ИТ-системы за пределами страны.

Можно, но осторожно

Если персональные данные россиян должны обрабатываться на родине, значит ли это, что оборудование нужно вернуть в Россию?

Этот вопрос Олег Ефимов прокомментировал так: “Закон “О персональных данных” обязывает размещать на территории страны основную, наиболее полную и актуальную базу персональных данных. За границей же можно держать ее копии или части. Причем разрешено (а точнее — не запрещено) как хранить, так и обрабатывать персональные данные россиян в дочерних базах — с тем лишь условием, что использоваться они будут в тех же целях, что и в основной базе данных”.

Таким образом, нет необходимости возвращать все оборудование в Россию. Достаточно размещения нескольких серверов в коммерческом дата-центре под основную базу персональных данных. В результате клиент получает географически распределенные ИТ-площадки, которые можно синхронизировать.

Отдельно стоит сказать об иностранных компаниях, которые работают на российском рынке. Для соблюдения закона им тоже придется разместить серверы на территории нашей страны. В противном случае их ждет судьба социальной сети LinkedIn.

Самоидентификация: как понять, что вы — оператор персональных данных

Вернемся к вопросу о получении согласия субъектов на обработку их персональных данных.

Прежде, чем оператор начнет производить с данными какие-либо действия, он должен получить согласие субъекта. Речь идет о сборе, использовании, обезличивании, блокировании, удалении и уничтожении данных.

Казалось бы, это требование соблюсти гораздо проще, чем перенести базы данных на территорию России. Однако здесь есть другая проблема: не каждый оператор персональных данных (а тем более, если он — физическое лицо) понимает и знает, что он является оператором. Но, как известно, незнание не освобождает от ответственности.

Если у вас есть сайт с формой регистрации или, скажем, обратной связи, — вы являетесь оператором персональных данных. А значит, вам необходимо подготовить документ (пользовательское соглашение, согласие на обработку персональных данных, договор, политику конфиденциальности — название не имеет значения), в котором будут прописаны условия обработки персональных данных пользователей (кто вы, какие данные и зачем собираете, как будете их обрабатывать и т.д.). Этот документ следует опубликовать на сайте в свободном доступе. После этого под каждой формой сбора персональных данных надо разместить поле, в котором посетитель сайта сможет оставить свое согласие.

Если вы — обычный пользователь, ведете в сети личный блог, где читатели могут зарегистрироваться (то есть оставить свои личные данные) и комментировать посты, то, с большой долей вероятности, вы — оператор персональных данных.

Не умеешь — научим, не хочешь — заставим

Подведем итоги. Поправки в силу вступили. Но трагедии не произошло. Хоть закон и обязывает хранить и обрабатывать основную базу персональных данных наших граждан на территории России, выносить отдельные части и копии за рубеж — можно. А значит, повода для паники нет: российский бизнес, который хостится за границей, может продолжать сотрудничать с иностранными провайдерами.

Для того, чтобы получить согласие на обработку персональных данных, достаточно разового общения с квалифицированными юристами и составления соответствующего документа. На мой взгляд, задача вполне выполнимая.

Не стоит забывать и то, что закон “О персональных данных“ призван в первую очередь защищать права физических лиц, то есть — нас с вами.

Принятие поправок также показало: необходимо повышать общий уровень цифровой грамотности пользователей. Например, с помощью таких ликбезов.

Соседи тоже стараются

В мае будущего года в силу вступает европейский регламент, регулирующий обработку персональных данных. Документ более четко, нежели российский аналог, прописывает, что такое персональные данные: “имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица”.

Кроме того, в европейском законодательстве прописаны схожие с российскими нормы обработки персональных данных, которые касаются вероисповедания, интимной жизни, политических взглядов и проч. — работать с ними разрешается только с отдельного согласия субъекта.

Совфед одобрил закон о защите персональных данных россиян

https://ria.ru/20201225/dannye-1590900890.html

Совфед одобрил закон о защите персональных данных россиян

Совфед одобрил закон о защите персональных данных россиян

Совет Федерации одобрил в пятницу закон о праве россиян требовать от любого оператора персональных данных удалять сведения из общего доступа без дополнительных… РИА Новости, 25.12.2020

2020-12-25T13:04

2020-12-25T13:04

2020-12-25T13:04

совет федерации рф

технологии

общество

/html/head/meta[@name=’og:title’]/@content

/html/head/meta[@name=’og:description’]/@content

https://cdn24.img.ria.ru/images/07e4/0b/12/1585165861_0:321:3071:2048_1920x0_80_0_0_cd509f14ece912b376ce8d9f6a043f79.jpg

МОСКВА, 25 дек — РИА Новости. Совет Федерации одобрил в пятницу закон о праве россиян требовать от любого оператора персональных данных удалять сведения из общего доступа без дополнительных условий.Документ предусматривает право субъекта персональных данных обратиться к любому оператору персональных данных с требованием удалить его персональные данные из общего доступа без дополнительных условий доказывания факта их неправомерной обработки.Законом также определено содержание требования от граждан в части, касающейся идентификации, аналогично требованиям, предусмотренным при направлении гражданином требований к оператору поисковой системы об удалении информации.Это позволит верифицировать субъекта персональных данных без проведения дополнительных процедур идентификации, а также исключает возможные случаи сбора оператором избыточных персональных данных.При этом закон оставляет без изменений обязательное условие получения согласия субъекта на обработку персональных данных, сделанных им общедоступными, с сохранением исключений в виде обработки персональных данных в государственных, общественных и иных публичных интересах.

https://ria.ru/20201210/putin-1588591835.html

https://ria.ru/20201215/mishustin-1589292596.html

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

2020

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

Новости

ru-RU

https://ria.ru/docs/about/copyright.html

https://xn--c1acbl2abdlkab1og.xn--p1ai/

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

https://cdn22.img.ria.ru/images/07e4/0b/12/1585165861_229:0:2960:2048_1920x0_80_0_0_165cd6ea2846cb97662efcd5924237ac.jpg

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

совет федерации рф, технологии, общество

МОСКВА, 25 дек — РИА Новости. Совет Федерации одобрил в пятницу закон о праве россиян требовать от любого оператора персональных данных удалять сведения из общего доступа без дополнительных условий.

Документ предусматривает право субъекта персональных данных обратиться к любому оператору персональных данных с требованием удалить его персональные данные из общего доступа без дополнительных условий доказывания факта их неправомерной обработки.

10 декабря 2020, 13:56

Путин призвал заняться вопросами защиты персональных данных россиян

Законом также определено содержание требования от граждан в части, касающейся идентификации, аналогично требованиям, предусмотренным при направлении гражданином требований к оператору поисковой системы об удалении информации.

Это позволит верифицировать субъекта персональных данных без проведения дополнительных процедур идентификации, а также исключает возможные случаи сбора оператором избыточных персональных данных.

При этом закон оставляет без изменений обязательное условие получения согласия субъекта на обработку персональных данных, сделанных им общедоступными, с сохранением исключений в виде обработки персональных данных в государственных, общественных и иных публичных интересах.

15 декабря 2020, 12:02

Мишустин призвал внимательно относиться к защите персональных данных

Верховный суд научил рассматривать иски о защите персональных данных

Куда идти с иском

Михаил Возин* подал заявление в управление Роскомнадзора по ДФО. Он указал, что в интернете без его разрешения компания с Багамских островов Whois Privacy Corp. распространяла его персональные данные. Роскомнадзор от его имени направил заявление в суд. Ведомство потребовало защитить права Возина как субъекта персональных данных и ограничить доступ к информации о нем.

В Центральном районном суде Хабаровска, куда было направлено исковое заявление, отказались его принять. Там решили, что требования заявителя по своей природе административные и не должны рассматриваться в порядке гражданского судопроизводства. В апелляции согласились с такой позицией и указали, что претензии Роскомнадзора связаны с административным регулированием правовой деятельности интернет-ресурса как СМИ, поэтому выводы первой инстанции о рассмотрении спора в административном порядке верны.

Судебная коллегия по гражданским делам Верховного суда под председательством судьи Асташова указала на ошибку нижестоящих коллег.

Коллегия напомнила, что Роскомнадзор имеет право обратиться в суд с иском в защиту субъектов персональных данных (в том числе неопределенного круга лиц – п. 5 ч. 3 ст. 23 закона «О персональных данных») и представлять их в суде. При этом по ч. 6 ст. 26 ГПК иски о защите прав субъекта персональных данных, в том числе об убытках или компенсации морального вреда, можно предъявлять в суд по месту жительства истца, указал ВС.

Заявление следовало рассмотреть в порядке гражданского судопроизводства, сказано в определении по делу (дело № 58-КГ20-2)

Сложности глазами эксперта

Алгоритм подачи иска о защите персональных данных обладает некоторыми характерными особенностями, отмечает Ксения Созина, юрист Федеральный рейтинг. группа Семейное и наследственное право группа Управление частным капиталом группа Арбитражное судопроизводство (крупные споры — high market) группа Банкротство (включая споры) группа Корпоративное право/Слияния и поглощения 18место По выручке 25-27место По количеству юристов 6место По выручке на юриста (более 30 юристов) × . Истцом в спорах о защите персональных данных обычно выступает гражданин, с персональными данными которого совершены незаконные, по его мнению, действия. В отдельных случаях предъявить в суд соответствующий иск может Роскомнадзор в силу полномочий, указанных в ч. 1 ст. 23 Закона № 152-ФЗ, в защиту прав субъекта персональных данных – гражданина, как это было в попавшем в ВС деле.

Ответчиком в спорах данной категории является оператор персональных данных или другое лицо, получившее доступ к персональным данным истца. «Встречное исковое требование по рассматриваемой категории споров обычно не заявляется. Кроме того, по спорам этой категории не предусмотрен обязательный досудебный претензионный порядок их разрешения. Однако зачастую до обращения в суд будущий истец направляет будущему ответчику требование прекратить обработку персональных данных, удалить данные, а в случае неполучения ответа на подобные запросы лицо обращается за защитой своих прав в суд», – рассказывает Созина. 

Так, в деле № 2-2794/18 истец обратился к администратору домена с требованием удалить с сайта профиль истца, содержащий его персональные данные, и отзывы пользователей, но в удовлетворении претензии ему было отказано, после чего последовало обращение в суд. Такие дела рассматриваются в качестве суда первой инстанции районным судом (ст. 24 ГПК), поясняет юрист. 

По общему правилу иск предъявляется в суд по месту жительства ответчика, иск к организации – в суд по ее адресу (ст. 28 ГПК). 

При этом иски о защите прав субъекта персональных данных, в том числе о возмещении убытков и (или) компенсации морального вреда, могут предъявляться и в суд по месту жительства истца (ч. 6.1 ст. 29 ГПК).

Если истец обосновывает свои требования нормами закона о защите прав потребителей, то иск можно предъявить по выбору истца в суд по месту нахождения ответчика-организации. А если ответчиком является индивидуальный предприниматель – по месту его жительства, по месту жительства или пребывания истца либо по месту заключения или исполнения договора (ч. 7, 10 ст. 29 ГПК, п. 2 ст. 17 закона «О защите прав потребителей»). 

Законодательство

Требования, связанные с нарушением прав на обработку персональных данных, рассматриваются в порядке гражданского судопроизводства на основании норм ГПК (например, апелляционное определение Московского городского суда от 02.08.2019 по делу № 33-35187/2019). 

Случаи административного производства – это скорее исключение при наличии определенных обстоятельств. 

«Несмотря на довольно специфический предмет требований и зачастую сложную конструкцию состава, в рамках исков о защите персональных данных экспертизы назначаются судом в исключительных случаях. Это означает, что суды самостоятельно оценивают, относится ли та или иная информация к персональным данным, подлежит ли она защите в указанном порядке, а это означает, что именно через призму судебного усмотрения формируется подход к защите персональных данных», – обращает внимание на важную деталь юрист юркомпании «S&K Вертикаль».

* – имена и фамилии участников спора изменены редакцией.

что нового в 2017 году.

Выбрать журналАктуальные вопросы бухгалтерского учета и налогообложенияАктуальные вопросы бухгалтерского учета и налогообложения: учет в сельском хозяйствеБухгалтер Крыма: учет в унитарных предприятияхБухгалтер Крыма: учет в сельском хозяйствеБухгалтер КрымаАптека: бухгалтерский учет и налогообложениеЖилищно-коммунальное хозяйство: бухгалтерский учет и налогообложениеНалог на прибыльНДС: проблемы и решенияОплата труда: бухгалтерский учет и налогообложениеСтроительство: акты и комментарии для бухгалтераСтроительство: бухгалтерский учет и налогообложениеТуристические и гостиничные услуги: бухгалтерский учет и налогообложениеУпрощенная система налогообложения: бухгалтерский учет и налогообложениеУслуги связи: бухгалтерский учет и налогообложениеОплата труда в государственном (муниципальном) учреждении: бухгалтерский учет и налогообложениеАвтономные учреждения: акты и комментарии для бухгалтераАвтономные учреждения: бухгалтерский учет и налогообложениеБюджетные организации: акты и комментарии для бухгалтераБюджетные организации: бухгалтерский учет и налогообложениеКазенные учреждения: акты и комментарии для бухгалтераКазенные учреждения: бухгалтерский учет и налогообложениеОплата труда в государственном (муниципальном) учреждении: акты и комментарии для бухгалтераОтдел кадров государственного (муниципального) учрежденияРазъяснения органов исполнительной власти по ведению финансово-хозяйственной деятельности в бюджетной сфереРевизии и проверки финансово-хозяйственной деятельности государственных (муниципальных) учрежденийРуководитель автономного учрежденияРуководитель бюджетной организацииСиловые министерства и ведомства: бухгалтерский учет и налогообложениеУчреждения здравоохранения: бухгалтерский учет и налогообложениеУчреждения культуры и искусства: бухгалтерский учет и налогообложениеУчреждения образования: бухгалтерский учет и налогообложениеУчреждения физической культуры и спорта: бухгалтерский учет и налогообложение

20192020

НомерЛюбой

Электронная версия

Закон Калифорнии о защите персональных данных потребителей (CCPA): вопросы и ответы

• 02.12.2020
• Чтение занимает 7 мин

В этой статье

Примечание

Эта тема предоставляется «как есть».This topic is provided «as-is.» Данные и мнения, содержащиеся в этой теме, включая URL-адреса, а также ссылки на другие веб-сайты, могут изменяться без предварительного уведомления.Information and views expressed in this topic, including URL and other Internet Web site references, may change without notice. Ответственность за использование этих данных несет пользователь.You bear the risk of using it. Эта статья была создана для справочных целей, и ее не следует рассматривать как юридическую консультацию.This topic has been created as a guide and should not be construed as legal advice. Вам необходимо проконсультироваться со своим юристом.You should consult with your own legal professionals. Эта статья не дает пользователям права интеллектуальной собственности на продукты Майкрософт.This topic does not provide you with any legal rights to any intellectual property in any Microsoft product. Разрешается копирование и использование данной статьи для внутренних, справочных целей.You may copy and use this topic for your internal, reference purposes.

Основные вопросы и ответыFast FAQs

Что такое CCPA?What is the CCPA?

Закон Калифорнии о защите персональных данных потребителей (CCPA) — это первый комплексный закон о конфиденциальности в США.The California Consumer Privacy Act (CCPA) is the first comprehensive privacy law in United States. Он был принят в конце июня 2018 г. и предоставляет различные права на конфиденциальность потребителям Калифорнии.It was signed into law at the end of June 2018 and provides a variety of privacy rights to California consumers. Организации, регулируемые CCPA, имеют ряд обязательств перед этими потребителями, в том числе в отношении предоставления информации, обеспечения прав, сходных с правами, предоставляемыми Общим регламентом по защите данных (GDPR), отказа от передачи данных в некоторых случаях и предоставления согласия для несовершеннолетних. Businesses regulated by the CCPA will have a number of obligations to those consumers, including disclosures, General Data Protection Regulation (GDPR)-like rights for consumers, an “opt-out” for certain data transfers and an “opt-in” requirement for minors.

Кому необходимо знать о CCPA?Who needs to know about the CCPA?

Закон CCPA применим только к компаниям, которые ведут коммерческую деятельность в Калифорнии, если для этих компаний ежегодно выполняется одно или несколько из следующих условий: (1) валовой доход компании составляет свыше 25 млн долларов США; (2) не менее 50 % годового дохода компании получено от продажи личных сведений потребителей; (3) компания покупает, продает или предоставляет доступ к личным сведениям более 50 000 потребителей.The CCPA only applies to companies doing business in California, which annually satisfy one or more of the following: (1) have a gross revenue of more than $25 million, (2) derive 50% or more of its annual revenue from the sale of consumer personal information, or (3) buys, sells, or shares the personal information of more than 50,000 consumers.

Когда закон CCPA вступает в силу?When will the CCPA come into effect?

CCPA вступает в силу 1 января 2020 г. The CCPA goes into effect on January 1, 2020. Тем не менее, Генеральный прокурор начнет осуществлять надзор за его выполнением не ранее 1 июля 2020 г.However, enforcement by the Attorney General (AG) will not begin until July 1, 2020.

Как CCPA повлияет на мою компанию?How will the CCPA affect my company?

Многие из прав, предоставляемых жителям Калифорнии по CCPA, являются аналогами прав, предоставляемых GDPR. Например, запросы на предоставление данных и запросы потребителей схожи с запросами на доступ, удаление и передачу данных в рамках права субъекта данных (DSR).Many of the CCPA’s rights afforded to Californians are similar to the rights the GDPR provides, including the disclosure and consumer requests similar to data subject right (DSR) requests, such as access, deletion, and portability. Таким образом, потребитель может использовать наши существующие решения GDPR, чтобы соответствовать требованиям CCPA.As such, customer can look to our existing GDPR solutions to help them with their CCPA compliance.

Чтобы приступить к применению CCPA, нужно выполнить пять основных шагов:To begin your CCPA journey, you should focus on five key steps:

• Поиск: определите, какие личные сведения у вас есть и где они хранятся. Discover: Identify what Personal Information you have and where it resides.
• Сопоставление: определите, каким образом третьим лицам предоставляется общий доступ к личным сведениям и распространяется ли на них исключение из положения CCPA об отказе от передачи данных.Map: Determine how you are sharing Personal Information with third parties and identify if the third party is subject to an exception from the CCPA opt-out requirements.
• Управление: управляйте использованием данных и доступом к ним.Manage: Govern how the data is used and accessed.
• Защита: установите элементы управления безопасностью для предотвращения и обнаружения уязвимостей и нарушений безопасности данных, а также реагирования на них. Protect: Establish security controls to prevent, detect, and respond to vulnerabilities and data breaches.
• Документирование: документируйте программу реагирования на нарушение безопасности данных и убедитесь в том, что к контрактам с соответствующими третьими лицами применимо исключение из положения об отказе от передачи данных.Document: Document a data breach response program and ensure your contracts with applicable third parties are able to take advantage of the opt-out exceptions.

Необходимо определить, каковы обязательства вашей организации по CCPA и как их выполнять, и корпорация Майкрософт готова помочь вам в этом.You need to understand what your organization’s specific obligations are under the CCPA and how you meet them, though Microsoft is here to help you on your journey.

Исчерпывающие вопросы и ответыComprehensive FAQs

Реализацию каких прав компании обязаны обеспечить в соответствии с CCPA?What rights must companies enable under the CCPA?

В соответствии с CCPA регулируемые предприятия, которые собирают, используют, передают и продают личные сведения, должны, помимо прочего: The CCPA requires regulated businesses that collect, use, transfer, and sell personal information to, among other things:

• предоставлять потребителям информацию о категориях и целях сбора данных до его осуществления;Provide disclosures to consumers, prior to collection, regarding the categories and purposes of collection.
• включать в политику конфиденциальности подробную информацию об источниках, бизнес-целях и категориях личных сведений, которые собираются, в том числе о продаже или передаче этих категорий данных другим юридическим лицам;Provide detailed disclosures in a privacy policy regarding the sources, business purposes, and categories of personal information that is collected, including how those categories are sold or transferred to other entities.
• предоставлять потребителям право на доступ, удаление и переносимость отдельных частей личных сведений, собранных вами;Enable Consumer rights relating to access, deletion, and portability of the specific pieces of personal information that has been collected by you.
• активировать элемент управления, позволяющий потребителям отказаться от продажи их данных.Enable a control that will permit consumers to opt out of the “sale” of the consumer’s data. Тем не менее, в некоторых случаях передача данных, например поставщику услуг, разрешена. However, certain transfers, like transfers to service providers, remain permitted.
• Для несовершеннолетних в возрасте до 16 лет активируйте процесс предоставления согласия, чтобы продажа их личных сведений не могла произойти без их явного согласия. For minors, under 16, enable an opt-in process so that no sale of the minor’s personal information can occur without actively opting in to the sale.
• Убедитесь, что потребители могут осуществлять все свои права по CCPA.Ensure that consumers are not discriminated against for exercising any of their rights under CCPA.

Какую информацию необходимо предоставить в соответствии с CCPA?What are the CCPA required disclosures?

В соответствии с CCPA необходимо предоставить следующую информацию:The CCPA requires disclosure of the following:

• категории личных сведений потребителя, которые были собраны;Categories of personal information of the consumer that have been collected.
• категории источников, используемых при сборе;Categories of sources used in collection.
• бизнес-цели или коммерческие цели сбора данных;The business or commercial purposes for collecting.
• категории третьих лиц, которым предоставляется общий доступ к личным сведениям;The categories of third parties with whom the personal information is “shared”.
• категории личных сведений, которые были проданы, и категории третьих лиц, которым была продана каждая категория личных сведений;Categories of personal information that has been “sold” and the categories of “third parties” to whom each category of personal information was sold.
• категории личных сведений, которые были раскрыты в коммерческих целях (т. е. переданы, но не проданы), и категории третьих лиц, которым была передана каждая категория личных данных;Categories of personal information that has been “disclosed for a business purpose” (that is, transferred but not a “sale”) and the categories of “third parties” to whom each category of personal information was transferred.
• отдельные части личных сведений, которые были собраны о потребителе.The specific pieces of personal information that has been collected about that consumer.

Как осуществляется продажа данных по CCPA?How is data “sold” under the CCPA?

Определение слова «продавать» в CCPA чрезвычайно широкое и включает «делать личные сведения доступными» для третьих лиц за денежное или другое надлежащее встречное удовлетворение. The definition of “sell” in the CCPA is incredibly broad, including “making personal information available to” a third party for monetary or other valuable consideration. Если потребитель решил отказаться от передачи данных, предприятию придется отключить поток личных сведений для третьего лица.Where a consumer has elected to “opt-out”, the business will be required to turn off the flow of personal information to any third party.

CCPA содержит ряд исключений в отношении элемента управления отказом от продажи. The CCPA does provide a number of carve-outs to this “sale” opt-out control. К трем основным исключениям относится передача данных (i) поставщику услуг, (ii) освобожденной компании или стороне договора и (iii) потребителю.The three primary carve-outs are transfers (i) to a Service Provider, (ii) to an “exempted entity” or “contractor”, and (iii) at the direction of the consumer. Даже в случае отказа потребителя передача личных сведений третьим лицам, которые подпадают под эти исключения, может быть продолжена.Even if a consumer has elected to “opt-out”, personal information can continue to transfer to third parties who fit into those carve-outs.

Чтобы воспользоваться первыми двумя исключениями,компании должны гарантировать, что передача сведений регулируется письменными договорами, содержащими определенные условия, которые требуются законом CCPA.To take advantage of the first two exemptions, businesses will have to ensure that the transfers are governed by written contracts containing the specific terms required by the CCPA.

Что термины предприятие и поставщик услуг означают в контексте CCPA?What do Businesses and Service Providers mean in the context of CCPA?

В контексте CCPA предприятие — это физическое или юридическое лицо, которое определяет цели и средства обработки персональных данных потребителя. Поставщик услуг — это физическое или юридическое лицо, которое обрабатывает информацию от имени предприятия.In the context of CCPA, Businesses are individuals or entities that determine the purposes and means of the processing of consumer’s personal data, and Service Providers are individuals or entities that process information on behalf of a business. Это приблизительные синонимы терминов контролер и обработчик, используемых в GDPR.These are broadly synonymous with the terms Controllers and Processors used in GDPR.

Какой штраф предусмотрен для компаний за несоблюдение требований?How much can companies be fined for noncompliance?

Частное право на иск в CCPA ограничено нарушением безопасности данных.The private right of action in the CCPA is limited to data breaches. В соответствии с этим правом убытки могут составлять от 100 до 750 долларов США за каждый инцидент на потребителя. Under the private right of action, damages can come in between $100 and $750 per incident per consumer. Кроме того, Генеральный прокурор Калифорнии может обеспечить выполнение CCPA в полной мере, наложив гражданско-правовые санкции в размере не более 2 500 долларов США за нарушение и 7 500 долларов США за преднамеренное нарушение закона.The California AG also can enforce the CCPA in its entirety with the ability to levy a civil penalty of not more than $2,500 per violation or $7,500 per intentional violation.

Что предпринимает корпорация Майкрософт, чтобы добиться соответствия требованиям CCPA?What is Microsoft doing to achieve CCPA compliance?

Поскольку корпорация Майкрософт в глобальном масштабе реализовала DSR, связанные с GDPR, сейчас у нас есть отличная база для соответствия требованиям CCPA.As Microsoft has implemented GDPR-related DSRs globally, we are currently in an excellent position to meet the related CCPA requirements. Мы также пересмотрели наши соглашения о совместном использовании данных с третьими лицами и позаботились о наличии необходимых условий соглашения, которые гарантируют, что мы не продаем личные сведения. We have also reviewed our third-party data sharing agreements and taken steps to establish that the necessary contractual terms are in place to ensure that we do not “sell” personal information.

Какие средства можно использовать при подготовке организации к CCPA?What are some tools that can help my organization to start preparing for CCPA?

• Начните использовать оценку GDPR в диспетчере соответствия требованиям в рамках вашей программы конфиденциальности, обеспечивающей выполнение CCPA. Start leveraging the GDPR assessment in Compliance Manager as part of your CCPA privacy program.
• Создайте процесс эффективного реагирования на запросы потребителей.Establish a process to efficiently respond to Consumer Requests.
• Настройте метку и политики, чтобы находить, классифицировать, помечать и защищать конфиденциальные данные с помощью Microsoft Information Protection.Set up label and policies to discover, classify & label, and protect sensitive data with Microsoft Information Protection.
• Используйте возможности шифрования электронной почты для дополнительного контроля конфиденциальной информации.Use email encryption capabilities to further control sensitive information.
• Дополнительные сведения см. в этой записи блога.Learn more in this blog post.

Чем различаются GDPR и CCPA?What are the differences between GDPR and CCPA?

Существует много различий.There are many differences. Легче заметить сходства, например:It’s easier to focus on the similarities, including:

• обязательства по прозрачности и предоставлению информации;Transparency/disclosure obligations.
• права потребителей на доступ, удаление и получение копии данных;Consumer rights to access, delete, and receive a copy of data.
• определение термина «поставщики услуг», аналогичное определению термина «обработчики» в GDPR со схожими договорными обязательствами;Definition of “service providers” that is similar to how GDPR defines “processors” with a similar contractual obligation.
• определение термина «предприятия», включающее определение термина «контролеры» в GDPR.Definition of “businesses” that encompasses the GDPR definition of “controllers”.

Наибольшим отличием CCPA является основное требование разрешить отказ от продажи данных третьим лицам (продажа, в широком понимании этого слова, включает предоставление общего доступа к данным за соответствующее встречное удовлетворение).The biggest difference in CCPA is the core requirement to enable an opt-out from sales of data to third parties (with “sale” broadly defined to include sharing of data for valuable consideration). Это более узкое и конкретное обязательство, чем широкое право GDPR на возражение против обработки данных, которое включает данный тип продаж, но не ограничивается данным типом предоставления общего доступа.This is a narrower and more specific obligation than the broad GDPR right to object to processing, which encompasses this type of “sale,” but is not specifically limited to covering this type of sharing.

Что означают термины обработчик и контролер?What are Processors and Controllers?

Контролер — это физическое или юридическое лицо, орган государственной власти, государственное ведомство или другое учреждение, которое самостоятельно или вместе с другими лицами определяет цели и способы обработки персональных данных.A controller is a natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data. Обработчик — это физическое или юридическое лицо, орган государственной власти, государственное ведомство либо другое учреждение, которое обрабатывает персональные данные по поручению контролера.A processor is a natural or legal person, public authority, agency, or other body that processes personal data on behalf of the controller.

Что именно считается личными сведениями?What specifically is deemed personal information?

Личные сведения — это любая информация, которая относится к идентифицированному или доступному для идентификации лицу.Personal information is any information relating to an identified or identifiable person. Частный, публичный или рабочий характер роли конкретного человека не имеет значения.There is no distinction between a person’s private, public, or work roles. Определение термина «личные сведения» в общих чертах совпадает с определением термина «персональные данные» в GDPR. The defined term “personal information” roughly lines up with “personal data” under GDPR. Кроме того, CCPA также распространяется на данные о семье и домашнем хозяйстве.However, CCPA also includes family and household data.

Вот некоторые примеры персональных данных.Examples of personal data include:

ИдентификацияIdentity

• ИмяName
• Домашний адресHome address
• Рабочий адресWork address
• Номер телефонаTelephone number
• Номер мобильного телефонаMobile number
• Адрес электронной почтыEmail address
• Номер паспортаPassport number
• Номер национального удостоверения личностиNational ID card
• Номер социального страхования (или его эквивалент)Social Security Number (or equivalent)
• Водительское удостоверениеDriver’s license
• Физическая, физиологическая или генетическая информацияPhysical, physiological, or genetic information
• Медицинские сведенияMedical information
• Культурная принадлежностьCultural identity

ФинансыFinance

• Банковские реквизиты и номера счетовBank details / account numbers
• Номер налогоплательщикаTax file number
• Номера кредитных и дебетовых картCredit/Debit card numbers
• Публикации в социальных сетяхSocial media posts

Артефакты в сетиOnline Artifacts

• Публикации в социальных сетяхSocial media posts
• IP-адрес (для региона ЕС)IP address (EU region)
• Местоположение и данные GPSLocation / GPS data
• Файлы cookieCookies

Как CCPA применяется к детям?How does the CCPA apply to children?

• CCPA вводит обязательное родительское согласие для детей в возрасте до 13 лет в соответствии с Законом о защите конфиденциальности детей в Интернете (COPPA).CCPA introduces parental consent obligations consistent with The Children’s Online Privacy Protection Act (COPPA) for children under the age of 13.
• В отношении детей от 13 до 16 лет CCPA налагает новое обязательство получения явного согласия ребенка на продажу его личных сведений. For children between 13 and 16 years old, CCPA imposes a new obligation to obtain opt-in consent from the child for any “sale” of their personal information.

Как насчет персональных данных сотрудников?What about personal data from my employees?

В октябре 2019 г. в закон CCPA было внесено несколько поправок.In October 2019, a number of amendments were passed to the CCPA. В одной из них объяснялось, что обязательства по CCPA не относятся к личным сведениям о сотрудниках предприятия.One amendment clarified that the CCPA obligations do not apply to the personal information of employees of the business. Однако для этой поправки установлен срок действия, равный одному году.However, legislators put a one-year sunset on that exemption. Ожидается, что в 2020 г. в Калифорнии будет принят новый закон о защите данных сотрудников.We expect California to legislate a new data protection law for employees in 2020.

Нужно ли мне как пользователю Майкрософт реализовать элемент управления отказом в отношении передачи данных в корпорацию Майкрософт?As a Microsoft customer, do I need to implement the opt-out control for transfers to Microsoft?

Нет.No. В качестве поставщика веб-служб мы предпринимаем шаги, чтобы соответствовать определению поставщика услуг по CCPA. As a provider of online services, we are taking steps to ensure that we qualify as a “Service Provider” under CCPA. Как было указано выше, передача личных сведений поставщикам услуг разрешена, даже если потребитель отказался от передачи данных.As noted above, transfers of personal information to service providers are permitted, even where a consumer has opted out.

Политика в отношении обработки персональных данных

АО «Аэропорт Рощино» (далее  — Общество) внесено в реестр операторов, осуществляющих обработку персональных данных 15.04.2014 (регистрационный номер 72-14-001214).

Назначение и область действия

Политика Общества в отношении обработки персональных данных (далее — Политика) публикуется на официальном сайте Общества в соответствии с требованиями части 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Она определяет основные направления деятельности Общества в области обработки и защиты персональных данных, соблюдения прав субъектов персональных данных.

Определения

Персональные данные —  любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К такой информации, в частности, относятся: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, а также другая информация.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) относятся: сбор,  запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Безопасность персональных данных — защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Цели обработки персональных данных

Обработка персональных данных Обществом осуществляется в целях:

• содействия работникам в трудоустройстве;
• обеспечения личной безопасности работников;
• контроля количества и качества выполняемой работы;
• обеспечения сохранности имущества работника и Общества;
• осуществления производственной деятельности в соответствии с полномочиями, возложенными на Общество законодательством Российской Федерации, а также Уставом Общества.

Общие положения

Понимая важность и ценность информации о человеке, а также заботясь о соблюдении конституционных прав субъектов персональных данных, Общество обеспечивает надежную защиту их персональных данных.

Обработка и обеспечение безопасности персональных данных в Обществе осуществляется в соответствии с требованиями Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных»), других определяющих случаи и особенности обработки персональных данных федеральных законов, подзаконных актов, руководящих и методических документов ФСТЭК России и ФСБ России.

Общество осуществляет обработку персональных данных смешанным способом (как автоматизированная, так и без использования средств автоматизации — неавтоматизированная).

Требования по обеспечению безопасности персональных данных при их обработке в информационных системах с использованием средств автоматизации, а также при неавтоматизированной обработке, установлены соответствующими инструкциями Общества.

Сроком или условием прекращения обработки персональных данных является прекращение деятельности Общества (ликвидация), изменение состава полномочий, возложенных на Общество, истечение сроков хранения, установленных законодательством Российской Федерации.

Принцип обработки персональных данных

Обработка персональных данных осуществляется на законной основе.

Обществом не раскрываются третьим лицам и не распространяются персональные данные без согласия субъекта персональных данных (если иное не предусмотрено действующим законодательством Российской Федерации).

Конкретные цели определяются до начала обработки персональных данных.

Осуществляется сбор только тех персональных данных, которые являются необходимыми и достаточными для заявленной цели обработки.

Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

Уничтожение персональных данных проводится по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Условия обработки персональных данных

Обработка персональных данных в Обществе осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Обработка персональных данных допускается в следующих случаях:

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
• обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
• осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Права субьектов персональных данных в части обработки их персональных данных

Субъект, персональные данные которого обрабатываются в Обществе, имеет право:

• требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отозвать свое согласие на обработку персональных данных;
• требовать устранения неправомерных действий Общества в отношении его персональных данных;
• обжаловать действия или бездействие Общества в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если гражданин считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона  «О персональных данных» или иным образом нарушает его права и свободы;
• на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

получать информацию:

• о подтверждении факта обработки персональных данных Обществом;
• о правовых основаниях и целях обработки персональных данных;
• о применяемых Обществом способах обработки персональных данных;
• о наименовании и местонахождении Общества;
• о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
• перечень обрабатываемых персональных данных, относящихся к гражданину, от которого поступил запрос, и информацию об источниках их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
• сведения о сроках обработки персональных данных, в том числе сроках их хранения;
• об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
• сведения о порядке осуществления гражданином прав, предусмотренных Федеральным законом «О персональных данных»;
• иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

Общество обязано сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

Сведения о наличии персональных данных предоставляются субъекту персональных данных в доступной форме, и в них не содержатся персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Сведения о реализуемых требованиях к защите персональных данных

Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

К таким мерам, в соответствии со статьями 18.1 и 19 Федерального закона  «О персональных данных», в частности, относятся:

• назначение лица, ответственного за организацию обработки персональных данных, и лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях;
• разработка и утверждение локальных актов по вопросам обработки и защиты персональных данных;
• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
• применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
• обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных;
• осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных», подзаконным нормативным актам и локальным актам Общества;
• соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих сохранность персональных данных;
• ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки и защиты персональных данных, и обучение работников Общества.

Заключительные положения

• Пересмотр положений настоящей Политики проводится в следующих случаях:
• при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
• при изменении целей обработки персональных данных;
• при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Общества;
• по результатам контроля выполнения требований по обработке и защите персональных данных;
• по решению руководства Общества.

 

Соглашение на обработку персональных данных

1. Общие положения

Настоящее Положение «О политике в отношении обработки и защиты персональных данных» (далее – Положение) является документом, действующим в отношении всех персональных данных, которые Оператор может получить от физических лиц, посещающих сайт: http://detalburg.ru (далее – Пользователи),  пользующихся сервисами, информацией, услугами и программами, расположенными на доменном имени: http://detalburg.ru (далее – Сайт). Положение определяет порядок сбора, обработки, хранения персональных данных Пользователей, а также сведения о реализуемых требованиях к защите персональных данных. Положение разработано в соответствии с нормами:

• Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»;
• Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Постановления Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказа ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Обработка персональных данных осуществляется Оператором на основе таких принципов как:

• законности и справедливости;
• добросовестности;
• в соответствии с выбранными и заранее определенными и законными целями;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• объем, характер и способы обработки персональных данных соответствуют целям их обработки;
• при обработке персональных данных обеспечивается точность, достаточность, а также актуальность в необходимых случаях по отношению к цели обработки персональных данных, в случае уточнения персональных данных или их удалении принимаются необходимые меры;
• хранение персональных данных в форме, позволяющей определить Пользователя, не дольше, чем этого требуют цели их обработки;
• уничтожения по достижению целей обработки персональных данных или в случае утраты в их достижении.

Настоящее Положение регулирует любой вид обработки персональных данных, в том числе информации личного характера, по которой можно установить личность, а также распространяется на обработку персональных данных, собранных любыми средствами, в том числе через Интернет, от лиц, находящихся в любой точке мира.

2. Цели сбора персональных данных

Оператор осуществляет обработку персональных данных в следующих целях:

• персональные данные иных Пользователей, в том числе посещающих сайт Оператора: http://detalburg.ru;
• выполнения обязательств Оператора перед Пользователями в отношении использования Сайта;
• проведение аудита, анализ данных и различных исследований в целях улучшения продуктов и услуг Оператора, а также в целях улучшения взаимодействия Оператора с Пользователями;
• Оператор может использовать персональные данные для отправки сообщений, содержащих информацию об изменениях положений, условий и политик Оператора. Так как данная информация необходима для взаимоотношений с Оператором, Пользователь не может отказаться от получения таких сообщений.

3. Сбор персональных данных.

С согласия субъекта персональных данных, Оператор осуществляет обработку персональных данных. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Оператор может запросить персональные данные в любой момент, когда Пользователь связывается с Оператором. Какие персональные данные собирает Оператор:

• фамилия, имя, отчество;
• адрес электронной почты;

Персональные данные также могут включать в себя дополнительные данные, предоставляемые Пользователем, в зависимости от цели выполнения Оператором обязательств перед Пользователем. Если по решению Оператора указанных данных будет достаточно для идентификации Пользователя и исключит злоупотребления и нарушения прав третьих лиц.

4. Хранение и использование персональных данных

Персональные данные Пользователей, посещающих сайт Оператора http://detalburg.ru хранятся на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства. Оператор проводит технические мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; защитные инструменты настроены на своевременное обнаружение фактов несанкционированного доступа к персональным данным. Оператор производит резервное копирование данных, с тем, чтобы иметь возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; осуществляет постоянный контроль за обеспечением уровня защищенности персональных данных. Период обработки и хранения персональных данных определяется в соответствии с Законом «О персональных данных». Обработка персональных данных начинается с момента поступления персональных данных в информационную систему персональных данных. Прекращение обработки персональных данных или их блокировка осуществляется в случае, если были выявлены неправомерные действия с персональными данными, либо, в случае невозможности устранения, уничтожить персональные данные. При этом Оператор уведомляет Пользователя, либо его законного представителя, либо орган, направивший запрос, об устранении нарушений, либо об уничтожении персональных данных. В случае отзыва Пользователем согласия на обработку персональных данных, Оператор прекращает их обработку, в случае, если сохранение данных не требуются для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий 3 (трех) рабочих дней.

5. Порядок уничтожение персональных данных.

За уничтожение персональных данных отвечает лицо, назначенное соответствующим приказом Оператора. В случае наступления любого из событий, повлекших за собой необходимость уничтожения персональных данных, ответственное лицо обязано:

• принять необходимые меры по уничтожению персональных данных в течение трех рабочих дней;
• уведомить Пользователя, либо его законного представителя, либо орган, в случае необходимости об уничтожении персональных данных.

Персональные данные Пользователей уничтожаются также при:

• при отзыве Пользователя согласия на обработку персональных данных;
• при удалении Оператором информации, размещаемой Пользователем, в случае, если это установлено гражданско-правовым договором.

6. Передача персональных данных

Персональные данные Пользователей не передаются каким-либо третьим лицам, за исключением случаев, прямо предусмотренных настоящими Правилами. Пользователь соглашается с тем, что Оператор вправе передавать персональные данные третьим лицам, а именно, разработчику сайта, осуществляющему продвижение сайта, курьерским службам, организациями почтовой связи, операторам электросвязи и т.д., исключительно для целей, указанных в разделе «2. Цели сбора персональных данных» настоящего Положения. Персональные данные Пользователя могут быть переданы по запросам уполномоченных органов только по основаниям и в порядке, установленным законодательством Российской Федерации, а также в судебном порядке.

7. Отзыв согласия на обработку персональных данных

Согласие на обработку персональных данных может быть отозвано Пользователем в любое время путем направления на адрес электронной почты [email protected] письменного заявления. В случае отзыва Пользователем согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия Пользователя при наличии оснований, установленных действующим законодательством РФ. В случае отзыва Пользователем согласия на обработку его персональных данных, оператор обязан прекратить их обработку. В случае, если сохранение персональных данных более не требуется для целей их обработки, уничтожить персональные данные в срок, не превышающий 3 (трех) рабочих дней с даты поступления указанного заявления.

8. Обязательства сторон

Пользователь обязан:

• предоставить информацию о персональных данных, необходимую для пользования Сайтом;
• в случае изменения данной информации обновить или дополнить предоставленную информацию о персональных данных.

Оператор обязан:

• полученные персональные данные использовать исключительно для целей, указанных в разделе 2 настоящего Положения;
• обеспечить хранение, использование, передачу персональных данных. в случаях установленных законодательством РФ;
• принимать меры по защите персональных данных;
• блокировать и уничтожать персональные данные с момента обращения Пользователя, в сроки, установленные настоящим Положением.

9. Ответственность сторон и порядок разрешения споров

Оператор, не исполнивший свои обязательства, несет ответственность в соответствии с действующим законодательством РФ. До обращения в суд с иском по спорам, возникающим из отношений между Оператором и Пользователем, сторона права которой по ее мнению нарушены обязана направить претензию в письменной форме по почте. Сторона, получившая претензию в течение 10 (десяти) рабочих дней с момента получения претензии обязана направить ответ с результатами рассмотрения претензии. При недостижении соглашения спор будет передан на рассмотрение в суд в соответствии с действующим законодательством РФ.

10. Идентификационные файлы (cookies)

Оператор может использовать идентификационные файлы cookies и иные технологии. Информация, собираемая файлами cookies и иными технологиями рассматривается Оператором как информация, не являющаяся персональной. Пользователь может отключить cookies в настройках используемого веб-браузера или мобильного устройства. При этом, в случае отключения cookies некоторые функции веб-сайта могут стать недоступными. Как и в случае большинства веб-сайтов, Оператор собирает некоторую информацию автоматически и хранит её в файлах статистики. Такая информация включает в себя адрес Интернет-протокола (IP-адрес), тип и язык браузера, информацию о поставщике Интернет-услуг, страницы отсылки и выхода, сведения об операционной системе, отметку даты и времени, а также сведения о посещениях. Данная информация не используется дл установления личности Пользователя, а используется для анализа, администрирования сайта, изучения поведения Пользователей на сайте. В некоторых сообщениях электронной почты оператор может использовать интерактивные ссылки на информацию, размещённую на сайте Оператора. Когда Пользователь проходит по таким ссылкам, прежде чем он попадает на страницу назначения на сайте Оператора, его запросы проходят отдельную регистрацию. Оператор отслеживает такие «проходные» данные, для того чтобы помочь определить интерес к отдельным темам и измерить их эффективность и необходимость. В том случае, если Пользователь предпочитает, чтобы его обращения не отслеживались подобным образом, Пользователь не должен проходить по текстовым или графическим ссылкам в сообщениях электронной почты, либо направить уведомление по средством обратной связи с указанием отказа от рассылки сообщений по электронной почте.

11. Защита персональных данных.

Оператор предпринимает все необходимые организационные и технические меры по обеспечению защиты персональных данных. В том числе правовые:

• назначены ответственные лица за организацию обработки, хранения, уничтожения и обеспечения безопасности персональных данных;
• ответственность за невыполнение требований норм, регулирующих обработку и защиту персональных данных определяется в соответствии с законодательством Российской Федерации;
• обеспечено хранение персональных данных, обработка которых осуществляется в соответствии с целями, указанными в разделе 2 настоящего Положения;

Помимо вышеуказанных мер, осуществляются меры технического характера:

• предотвращение несанкционированного доступа к системам, в которых хранятся персональные данные;
• резервирование и восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• иные меры безопасности.

12. Конфиденциальность

Оператор, получивший доступ к персональным данным, обязан не раскрывать третьим лицам и не распространять персональные данные без согласия Пользователя, за исключением случаев, прямо предусмотренных законодательством о защите персональных данных.

13. Заключительные положения.

Настоящее Положение подлежит изменению, дополнению в случае изменений законодательных актов и специальных нормативных документов по обработке и защите персональных данных. Положение является внутренним документом Оператора и подлежит размещению на сайте: http://detalburg.ru. Контроль за исполнением требований настоящего Положения осуществляется ответственным за обеспечение безопасности персональных данных. Во всем остальном, что не отражено напрямую в настоящем Положении оператор руководствуется нормами и положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Посетитель сайта Оператора, предоставляющий свои персональные данные и информацию, тем самым соглашается с условиями настоящего Положения. Оператор оставляет за собой право вносить любые изменения в Положение в любое время по своему усмотрению с целью приведения его в соответствие действующему законодательству, при этом обновленная версия Положения размещается на сайте с соответствующим уведомлением. Действие настоящего Положения не распространяется на действия других интернет-ресурсов.

Полное руководство по законам о конфиденциальности в США

Вопреки расхожему мнению, в США действительно есть законы о конфиденциальности данных. Действительно, нет центрального закона о конфиденциальности на федеральном уровне, такого как GDPR ЕС. Вместо этого есть несколько вертикально ориентированных федеральных законов о конфиденциальности, а также новое поколение законов о конфиденциальности, ориентированных на потребителя, исходящих из штатов.

Давайте познакомимся с законами США о конфиденциальности и познакомимся с окружающей средой. Если вы хотите узнать больше о правовом ландшафте США, загрузите наше замечательное The Essential Guide to US Data Protection Compliance and Rules.

Получите бесплатное основное руководство по соответствию и нормативным требованиям США по защите данных

Вертикально ориентированные законы США о конфиденциальности данных

Закон США о конфиденциальности 1974 г.

Еще в прошлом веке, когда базы данных были на пике компьютерных технологий, Конгресс и другие (справедливо) обеспокоены потенциальным неправомерным использованием личных данных, находящихся в распоряжении правительства. Конгресс принял знаковый Закон США о конфиденциальности 1974 года, который содержал важные права и ограничения на данные, хранящиеся в государственных учреждениях США, и должен быть хорошо знаком специалистам по данным в 2019 году.Я перечислю их здесь, потому что они являются первыми известными мне ссылками на все последующее:

• Право граждан США на доступ к любым данным государственных органов. И право копировать эти данные.
• Право граждан на исправление информационных ошибок
• Агентства должны следовать принципам минимизации данных при сборе данных — минимум информации, «актуальной и необходимой» для достижения своих целей.
• Доступ к данным ограничен по принципу служебной необходимости — например, для сотрудников, которым нужны записи для выполнения их должностных обязанностей.
• Обмен информацией между другими федеральными (и нефедеральными) агентствами ограничен и разрешен только при определенных условиях

Дополнительные баллы, если вы обратили внимание на принципы конфиденциальности, заложенные в этом новаторском законе о конфиденциальности 70-х годов!

HIPAA

Принятый в 1996 году Закон о переносимости и подотчетности медицинского страхования (HIPAA) стал важным законодательным актом, регулирующим медицинское страхование. Это очень сложный закон с множеством движущихся частей, но он включает разделы о конфиденциальности и безопасности.Часть защиты данных HIPAA находится в Правиле безопасности. HIPAA также установил требования к конфиденциальности данных, которые можно найти в Правиле конфиденциальности.

Если вы когда-либо заполняли форму в кабинете врача, позволяющую супругам и другим членам семьи просматривать или просматривать вашу медицинскую информацию — то, что HIPAA называет защищенной медицинской информацией (PHI), — вы видели правило конфиденциальности в действии. .

Правило конфиденциальности содержит запутанный список правил о том, кто имеет право видеть PHI.Но короче говоря, поставщик медицинских услуг или «покрываемая организация» более или менее имеет разрешение на использование данных пациента, если это связано с «лечением, оплатой и медицинскими операциями». Однако для использования данных в маркетинговых целях или продажи PHI требуется явное разрешение.

Минимальные необходимые требования

HIPAA являются хорошим примером принципов PbD, применяемых к совместному использованию PHI. В нем говорится, что подпадающие под действие организации, которые делятся данными в маркетинговых целях, отличных от упомянутых выше, должны ограничивать круг лиц, которые могут их увидеть.Предполагается, что медицинские организации оценивают свои данные и практику и принимают меры для ограничения «ненужного или несоответствующего» доступа к ЗМИ. Фактически, доступ к PHI на основе ролей.

COPPA

Еще на заре развития Интернета, примерно в 2000 году, Закон о защите конфиденциальности детей в Интернете (COPPA) сделал первый шаг в регулировании личной информации, собираемой от несовершеннолетних. Закон прямо запрещает онлайн-компаниям запрашивать PII у детей в возрасте 12 лет и младше, если нет поддающегося проверке согласия родителей.

Обновления нормативных правил COPPA несколько лет назад эффективно расширили сферу действия закона и расширили тип личной информации, которая должна быть защищена, включая псевдонимы, адреса электронной почты, имена в видеочатах, а также фотографии, аудиофайлы и улицу. горизонтальные географические координаты.

Эти обновления также распространяют защиту конфиденциальности и безопасности на третьи стороны, использующие данные детей. Оператор исходного веб-сайта должен принимать «разумные меры для раскрытия личной информации детей только компаниям, которые способны обеспечить ее безопасность и конфиденциальность.”

GLBA

Еще один закон конца 90-х, Закон Грэмма-Лича-Блайли (GLBA) — это огромный кусок банковского и финансового права, который похоронил в себе важные требования к конфиденциальности и безопасности данных. Его защита личной информации является значительным улучшением по сравнению с предыдущими законами о финансовых данных о потребителях — см. Закон о справедливой кредитной отчетности (FCRA).

В целом, Закон Грэмма-Лича-Блайли защищает непубличную личную информацию (NPI), которая определяется как любая «информация, собранная о физическом лице в связи с предоставлением финансового продукта или услуги, если эта информация не является общедоступной иным образом» — по сути, PII с исключение для любой широко доступной финансовой информации — например, записей об имуществе или определенной информации об ипотеке.

Возможно, вы заметили, что банки периодически рассылают по почте уведомления о конфиденциальности данных, в которых объясняются категории собираемых и распространяемых NPI, а также специальные инструкции по отказу от рассылки. Это связано с несколько ограниченной защитой конфиденциальности GLBA. Потребители могут отказаться, если они не хотят, чтобы эта информация была отправлена ​​«неаффилированной» третьей стороне.

Однако для сторонних компаний, аффилированных с банком или страховой компанией, которые являются частью «корпоративной семьи», потребители не имеют правового контроля конфиденциальности в рамках GLBA, чтобы ограничить совместное использование NPI.Это довольно большая лазейка, и GLBA никоим образом не является моделью закона о конфиденциальности эпохи Интернета.

Как обеспечивается конфиденциальность в Интернете?

Короткий ответ — нет! За пределами отраслевых федеральных законов США, описанных выше, Интернет — это дерегулируемая территория, где, в частности, технологические компании и компании, занимающиеся социальными сетями, придерживаются философии «чего угодно». Однако штаты США, наконец, вступают (см. Ниже) со своими собственными законами о конфиденциальности данных, и Калифорния играет ведущую роль.

Вам может быть интересно узнать, в соответствии с каким законодательством, если нет общих законов о конфиденциальности (и безопасности) потребителей, правительство США могло наложить огромные штрафы на Facebook, Uber и PayPal?

Отличный вопрос!

И ответ приведет нас, барабанной дроби, пожалуйста, в Федеральную торговую комиссию или Федеральную торговую комиссию США. Вкратце, в соответствии с Законом о Федеральной торговой комиссии 1914 года, положившим начало этому государственному учреждению, компаниям запрещено совершать «несправедливые или вводящие в заблуждение действия или методы» в соответствии с его полномочиями по Разделу 5.Давным-давно, в Америке середины века, FTC начала принимать — и это может шокировать некоторых — откровенно ложную или вводящую в заблуждение рекламу некоторых ведущих американских потребительских брендов.

Отсюда совсем немного до Федеральной торговой комиссии, которая рассматривает вводящие в заблуждение «заявления» ведущих технологических компаний и компаний в социальных сетях о конфиденциальности собираемых ею данных о потребителях. Как, например, Facebook, и очень смелым образом он сообщал пользователям в своих приложениях и уведомлениях о конфиденциальности, что не будет продавать их данные или что пользователи могут ограничить доступ к данным, если будут нажимать на определенные поля.

На самом деле, все было наоборот, и в 2012 году FTC подала жалобу по восьми пунктам против Facebook, которую согласилась урегулировать. За этой жалобой последовала более свежая и широко разрекламированная жалоба FTC — по некоторым из тех же самых нарушений — в которой Facebook согласился на компенсацию в размере 5 миллиардов долларов. Вы не можете придумать это.

Facebook не нарушал особый закон о конфиденциальности в Интернете, поскольку… его нет! Вместо этого он нарушил закон начала 20-го века, призванный помешать компаниям торговать продуктами из змеиного масла.Разве история не прекрасна?

Внимательный читатель мог понять, что если компания ничего не упоминает о конфиденциальности данных на своем веб-сайте, в своих продуктах или в рекламе, то FTC ничего не может сделать, по крайней мере, в соответствии с ее «практикой обмана или акты »полномочия. И это было бы правильно!

Это еще один способ сказать, что общий федеральный закон о конфиденциальности, подобный тому, что рассматривается здесь, заставит компании иметь политики конфиденциальности и соблюдать их, вместо того, чтобы проходить через косвенный (и несовершенный) механизм обеспечения конфиденциальности FTC.

Законы ЕС и США о конфиденциальности

Напомним, что в США (пока) нет общего закона о конфиденциальности данных потребителей на федеральном уровне, не говоря уже о законе о безопасности данных. В ЕС с его Общим регламентом по защите данных (GDPR) есть и то, и другое! Так что мы не можем сравнивать их.

Однако Калифорнийский закон о конфиденциальности потребителей (CCPA) действительно вплотную подошел к решению проблемы конфиденциальности данных потребителей, по крайней мере, для жителей Калифорнии, и это отличное упражнение для сравнения и сопоставления с GDPR, как то, что мы делаем ниже.

Короче говоря, и CCPA, и GDPR предоставляют потребителям право доступа, право на удаление и право отказаться от обработки в любое время. Они отличаются тем, что GDPR предоставляет потребителям право исправлять или исправлять неверные личные данные, в то время как CCPA этого не делает. GDPR также требует явного согласия — см. «Условие согласия» статьи 7 GDPR — в момент, когда потребители передают свои данные. Напротив, CCPA только просит, чтобы на веб-сайте было размещено уведомление о конфиденциальности, информирующее потребителей о том, что они имеют право отказаться от сбора определенных данных.

Если вышеперечисленное пощекотало вашего внутреннего законного орла, непременно обратитесь к этой всеобъемлющей сравнительной таблице GDPR и CCPA, составленной юридической фирмой BakerHostetler. Или посмотрите на нашу собственную прогулку по различиям, увиденными удивительной Сарой Хоспельхорн из Варониса!

Новый закон штата США о конфиденциальности данных

Учитывая отсутствие руководства в Вашингтоне, неудивительно, что другие штаты последовали примеру Калифорнии и разработали свои собственные законы о конфиденциальности. Прежде чем мы рассмотрим отдельные законы CCPA о «подражании» из Нью-Йорка, Массачусетса и других штатов, давайте сначала рассмотрим закон Калифорнии о конфиденциальности, которому позавидует вся нация.

Закон штата Калифорния о защите прав потребителей

В 2018 году был принят Закон Калифорнии о конфиденциальности потребителей (CCPA). Его цель — распространить защиту конфиденциальности потребителей на Интернет. Не будет преувеличением сказать, что CCPA является наиболее всеобъемлющим законодательством США о конфиденциальности данных в Интернете, не имеющим аналогов на федеральном уровне.

Согласно CCPA, потребители имеют право через запрос доступа к данным (DSAR) получать доступ к категориям и конкретным частям личной информации, хранящейся в покрываемых компаниях.Компании не могут продавать личную информацию потребителей, не предоставив веб-уведомление («четкую и заметную ссылку») и предоставив им возможность отказаться.

Как и GDPR, существует также «право удалять» — с некоторыми исключениями — личную информацию потребителей по запросу. CCPA также дает потребителям ограниченное право на подачу иска, если они стали жертвой утечки данных. У генерального прокурора штата есть более общая возможность подавать иски от имени жителей. Законодательство находится в стадии разработки, чтобы расширить частное право потребителей предъявлять иски по другим основаниям.

Еще одним поразительным нововведением в CCPA является очень широкое определение личной информации: «информация, которая идентифицирует, относится к, описывает, может быть связана или может быть разумно связана, прямо или косвенно, с конкретным потребителем или домохозяйством. ” Это охватывает множество вопросов и похоже на собственное расширенное представление GDPR о личных данных.

Чтобы вернуть его к «закону черной буквы», CCPA также содержит длинный список идентификаторов, которые он считает личной информацией, включая биометрические данные, геолокацию, электронную почту, историю просмотров, данные сотрудников и многое другое.

CCPA также вводит «вероятностные идентификаторы». Адвокаты будут обсуждать, что это означает, но похоже, что данные, дающие более 50% шансов на идентификацию кого-либо, будут обрабатываться так же, как детерминированный идентификатор. Возможно, сочетание, скажем, истории просмотров Netflix и данных геолокации может оказаться достаточным, чтобы склонить чашу весов. Кстати, другие государства подобрали вероятностный член в своих законах (см. Ниже).

Калифорния идет «мета» со своими вероятностными идентификаторами.

Несмотря на то, что основное внимание — и это справедливо — было уделено новым широким правам на конфиденциальность для потребителей, в CCPA также есть компонент безопасности данных. Закон призывает компании «внедрять и поддерживать разумные процедуры безопасности». Что это обозначает? Никто не уверен, хотя есть серьезные намеки на то, что правительство Калифорнии рассматривает 20 основных средств контроля Центра интернет-безопасности и структуру безопасности критической инфраструктуры (CIS) NIST в качестве основы.

Поскольку на горизонте нет федерального ответа на GDPR, несколько других штатов взяли страницу из книги Калифорнии, разработав свои собственные правила, чтобы предоставить гражданам больший контроль над своими личными данными.Хотя в большинстве этих законопроектов в качестве основы используется CCPA, между ними есть различия. В конце мы даже составили шпаргалку, чтобы сравнить различные предлагаемые законы штата. Давайте сначала посмотрим на два жестких предложения о конфиденциальности, исходящие от

Нью-Йорка и Массачусетса.

Закон штата Массачусетс о конфиденциальности данных

Предлагаемый Закон о конфиденциальности данных (S-120) во многом повторяет формулировки CCPA. Доступ потребителей к личной информации? Проверять. Право на удаление? Проверять. Явное уведомление о правах на конфиденциальность и возможность отказаться от продажи данных третьим лицам? Проверять.Широкое определение личной информации, включая вероятностные идентификаторы? Проверять.

Есть несколько важных отклонений от CCPA, которые включают право потребителей подавать в суд за любое нарушение предложенного закона штата Массачусетс. Потребители «не обязаны нести материальную или имущественную потерю в результате нарушения» для подачи иска.

Адвокаты

указывают на то, что компании из Массачусетса могут столкнуться с огромным потенциалом коллективных исков: истцы могут взыскать до 750 долларов на одного потребителя.Например, в 2017 году почти 400000 жителей Массачусетса пострадали от утечки данных, что, в случае если закон действовал, может привести к разложению почти 300 миллионов долларов за этот год.

Закон штата Нью-Йорк о конфиденциальности

Предложенный

Нью-Йорк S5642 (в настоящее время приостановлен) содержит некоторые отличительные черты CCPA. Есть право удалять и запрашивать личную информацию. Определение личной информации — «любая информация, относящаяся к идентифицированному или идентифицируемому лицу» — включает очень обширный список идентификаторов: биометрические, адреса электронной почты, сетевую информацию и многое другое.

В отличие от Калифорнии и аналогично Массачусетсу, закон Нью-Йорка имеет частное право на иск за любое нарушение закона! И закон применяется ко всем предприятиям без какого-либо порога дохода, который отличается от Калифорнии и других штатов. Это делает предлагаемый закон штата Нью-Йорк довольно строгим.

Нью-Йоркский законопроект, однако, требует, чтобы компании раскрывали потребителям только широкие категории информации, передаваемой третьим сторонам. При некоторых обстоятельствах потребители будут иметь право запрашивать копии определенной информации, которой они делятся.

Еще одно ключевое отличие заключается в том, что предлагаемый закон штата Нью-Йорк налагает роль фидуциара данных », вынуждая все предприятия штата Нью-Йорк нести юридическую ответственность за хранящиеся у них данные о потребителях. Закон штата Нью-Йорк придерживается очень широкого взгляда: «выполнять обязанность заботы, лояльности и конфиденциальности, ожидаемую от доверенного лица, в отношении защиты личных данных потребителя от риска нарушения конфиденциальности; и действует в лучших интересах потребителя, без учета интересов организации, контроллера или брокера данных ».Вкратце: данные принадлежат потребителям.

Закон штата Нью-Йорк также дает потребителям возможность исправлять неточную информацию, приближая ее по духу к GPDR ЕС. Ни один из других клонов, включая Калифорнию, не зашел так далеко!

Закон о защите конфиденциальности потребителей на Гавайях

SB 418

Hawaii аналогичен CCPA, предлагая все те же основные права и защиту (потенциально больше, исходя из текущей формулировки законопроекта). В то время как CCPA прямо применяется к веб-сайтам, ведущим свою деятельность в штате Калифорния, в законопроекте Гавайских островов SB 418 нет аналогичной статьи.Теоретически веб-сайты, расположенные в любой точке мира, могут нарушить закон, если они не обеспечат адекватную защиту, как указано в законопроекте. Однако законопроект, вероятно, будет изменен в более позднем проекте, чтобы сосредоточить внимание исключительно на гавайских веб-сайтах.

Закон штата Мэриленд о защите прав потребителей в Интернете

SB 613 штата Мэриленд

— еще один законопроект, который может расширить сферу действия CCPA в некоторых областях. Компании будут иметь аналогичные обязательства по раскрытию информации об использовании, но в меньшей степени, чем в соответствии с CCPA.И, как в Калифорнии и Массачусетсе, существует также использование «вероятностного идентификатора» для обозначения определенного типа личной информации. Вперед, Мэриленд!

Однако этот законопроект выходит за рамки CCPA, когда дело касается раскрытия информации о причастности третьих лиц. Согласно CCPA компании должны раскрывать информацию только в том случае, если потребительская информация продается третьей стороне, но в соответствии с SB 613 Мэриленда компании должны будут раскрывать любую информацию, которая передается третьим сторонам, даже если эти данные передаются бесплатно. .Этот закон также запрещает веб-сайтам сознательно раскрывать любую личную информацию, собранную о детях.

Северная Дакота

HB 1485

Северной Дакоты, который в настоящее время находится в Палате представителей штата, является самым легким законопроектом в этом списке. Единственный существенный пункт HB 1485 полностью запрещает веб-сайтам передавать любую информацию третьим лицам без согласия пользователей. Нет права на удаление или удаление информации после получения согласия.

Сравнение законов штата США о конфиденциальности

Государство	Право на удаление?	Право на доступ?	Право на исправление?	Частное право частного иска?	Широкое определение PII?	Охваченные предприятия	Статус
Калифорния	Есть	Есть	№	750 долл. США / потребитель (нарушения)	Да (вероятностный)	Выручка более 25 миллионов долларов	Действует: 01.01.2020
Нью-Йорк	Есть	Есть	Есть	750 долл. США / потребитель	Есть	Все	В ожидании
Мэриленд	Есть	Есть	№	№(Только через AG.)	Да (вероятностный)	Более 25 миллионов долларов	В ожидании
Массачусетс	Есть	Есть	№	750 долл. США / потребитель	Да (вероятностный)	Более 10 миллионов долларов США	В ожидании
Гавайи	Есть	Есть	№	№	Есть	Все	В ожидании
Северная Дакота	№	Есть	№	Limited	№	Более 25 миллионов долларов	В ожидании

Часто задаваемые вопросы и шпаргалка по конфиденциальности микроданных

Самая достойная коктейля болтовня о конфиденциальности из этого поста, сжатая в четыре вопроса!

Q: Есть ли в США единый закон о конфиденциальности потребителей в стиле GDPR?

А: Нет.Вместо этого в США действуют федеральные законы о конфиденциальности данных в сфере финансов (GLBA), здравоохранения (GLBA), данные о детях (COPPA), а также новая волна законов штата о конфиденциальности, среди которых наиболее важным является Закон Калифорнии о конфиденциальности потребителей (CCPA).

Причины этого лоскутного одеяла кроются в политических решениях США по стимулированию инноваций — «сломайте и посмотрите, что произойдет» — в технологиях, а не в других соображениях. Но в «наших лабораториях демократии» законы штатов наконец-то догоняют реальность и, в конечном итоге, будут вилять федеральной собакой.

Q: В каких штатах действуют законы о конфиденциальности?

A: Очень мало — всего три! Конечно, во всех 50 штатах теперь есть правило уведомления об утечке данных, которое обычно также требует разумной безопасности данных. Но на момент написания этой статьи законы о конфиденциальности действуют только в Калифорнии, Неваде и Мэн. В некоторых штатах (см. Выше) законы о конфиденциальности проходят через законодательные органы. Для получения текущего снимка статуса этих предлагаемых законов штата Международная ассоциация профессионалов в области конфиденциальности (IAPP) постоянно обновляет систему показателей.

Q: Что защищает Закон о конфиденциальности 1974 года?

A: Многие люди предполагают, что когда в 1970-х годах был принят Закон о конфиденциальности, он защищал данные потребителей в США. Ничто не может быть дальше от истины! Хотя Закон США о конфиденциальности был новаторским законодательством, включающим такие идеи, как минимизация данных, право на доступ и право на исправление, он ограничен данными, собранными правительством США от своих граждан. Это не влияет на частный сектор или, в частности, на данные, собираемые компаниями в Интернете.

Q: Влияют ли федеральные законы США и законы штата о конфиденциальности на иностранные компании?

A: Если иностранные компании имеют дочерние компании в США, они будут подчиняться всем законам США, включая, конечно, наши законы о безопасности данных и конфиденциальности. Настоящий вопрос заключается в том, есть ли в США экстерриториальный аспект своих законов о безопасности и конфиденциальности, таких как GDPR ЕС, который распространяется на организации за пределами его границ. И ответ на это нет.

Заключение мыслей о конфиденциальности и будущее законов о конфиденциальности данных

Поскольку штаты берут на себя инновации в этой области, возможно, принятие федерального закона, создающего равные условия игры, — это лишь вопрос времени.

А пока можно извлечь три урока из государственных экспериментов:

• PII будет определена как выходящая за рамки обычных идентификаторов и включающая вероятностные идентификаторы (или квази-PII), которые могут использоваться для косвенной идентификации потребителей.
• Право на удаление станет неотъемлемой частью законов о конфиденциальности. Будет ли это распространяться на более широкое «право на забвение» — маловероятно.
• В настоящее время регулирующие органы понимают, что потребители хотят знать всю информацию о них, имеющуюся у компаний, с правом просмотра и, возможно, исправления этих данных.

Предлагаемый закон о конфиденциальности от конгрессмена Эшу.

Куда все это идет? Если бы я мог прогнозировать, я бы сказал, что что-то близкое к недавно предложенным законам о конфиденциальности, предложенным конгрессменом Эшу или сенатором Кэнтуэлл, станет законом страны.

Иными словами, будущий закон США о конфиденциальности будет отражать некоторые ключевые идеи CCPA. Но, как мы видели в Калифорнии, скорее всего, будут исключения и смягчены требования, касающиеся прав сотрудников на конфиденциальность, запросов на доступ и удаление и, наконец, штрафов и штрафов.

Заинтригованы, обеспокоены или прямо напуганы тем, что происходит на пути к уединению? Запросите демонстрацию наших решений по обеспечению конфиденциальности и безопасности данных, чтобы узнать, чем мы можем помочь!

Защита данных в ЕС

Основные права

Хартия ЕС об основных правах гласит, что граждане ЕС имеют право на защиту своих личных данных.

Защита персональных данных

Законодательство

Пакет защиты данных, принятый в мае 2016 года, направлен на то, чтобы сделать Европу приспособленной к цифровой эпохе.Более 90% европейцев говорят, что им нужны одинаковые права на защиту данных во всем ЕС и независимо от того, где их данные обрабатываются.

Общие правила защиты данных (GDPR)

Регламент (ЕС) 2016/679 о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных. Этот текст включает исправление, опубликованное в OJEU от 23 мая 2018 года.

Регламент — важный шаг к укреплению основных прав людей в цифровую эпоху и облегчению ведения бизнеса путем уточнения правил для компаний и государственных органов на едином цифровом рынке.Единый закон также покончит с нынешней фрагментацией различных национальных систем и ненужным административным бременем.

Постановление вступило в силу 24 мая 2016 г. и применяется с 25 мая 2018 г. Дополнительная информация для компаний и частных лиц.

Информация о включении Общего регламента защиты данных (GDPR) в Соглашение о ЕЭЗ.

Уведомления государств-членов ЕС в Европейскую комиссию в соответствии с GDPR

Директива о защите данных

Директива (ЕС) 2016/680 о защите физических лиц в отношении обработки персональных данных, связанных с уголовными преступлениями или исполнением уголовных наказаний, и о свободном перемещении таких данных.

Директива защищает фундаментальное право граждан на защиту данных, когда личные данные используются уголовными правоохранительными органами в правоохранительных целях. Это, в частности, обеспечит надлежащую защиту личных данных потерпевших, свидетелей и подозреваемых в совершении преступлений и будет способствовать трансграничному сотрудничеству в борьбе с преступностью и терроризмом.

Директива вступила в силу 5 мая 2016 года, и страны ЕС должны были включить ее в свое национальное законодательство до 6 мая 2018 года.

Национальные органы по защите данных

В

странах ЕС созданы национальные органы, отвечающие за защиту персональных данных в соответствии со статьей 8 (3) Хартии основных прав ЕС.

Европейский совет по защите данных

Европейский совет по защите данных (EDPB) — это независимый европейский орган, который обеспечивает последовательное применение правил защиты данных на всей территории Европейского Союза. EDPB был учрежден Общим регламентом по защите данных (GDPR).

EDPB состоит из представителей национальных органов по защите данных стран ЕС / ЕЭЗ и Европейского надзорного органа по защите данных. Европейская Комиссия участвует в деятельности и заседаниях Совета без права голоса. Секретариат EDPB обеспечивает EDPS. Секретариат выполняет свои задачи исключительно по указанию Председателя Совета.

Задачи EDPB заключаются в основном в предоставлении общего руководства по ключевым концепциям GDPR и Директивы о правоприменении, консультировании Европейской комиссии по вопросам, связанным с защитой персональных данных и новым предлагаемым законодательством в Европейском союзе, и принятии обязательных решений в спорах. между национальными надзорными органами.

Защита данных в учреждениях и органах ЕС

Законодательство

Регламент

2018/1725 устанавливает правила, применимые к обработке персональных данных учреждениями, органами, офисами и агентствами Европейского Союза. Он соответствует Общему регламенту о защите данных и Директиве о защите данных. Подана в заявку 11 декабря 2018 года.

Европейский надзорный орган по защите данных

Регламент

2018/1725 учредил Европейский надзорный орган по защите данных (EDPS).EDPS — это независимый орган ЕС, отвечающий за мониторинг применения правил защиты данных в европейских учреждениях и за расследование жалоб.

Сотрудник по защите данных в Европейской комиссии

Европейская комиссия назначила сотрудника по защите данных, который отвечает за мониторинг и применение правил защиты данных в Европейской комиссии. Сотрудник по защите данных самостоятельно обеспечивает внутреннее применение правил защиты данных в сотрудничестве с европейским надзорным органом по защите данных.

Финансирование

Программа «Права, равенство и гражданство» на 2014-2020 годы

Что такое GDPR, новый закон ЕС о защите данных?

Что такое GDPR? Новый европейский закон о конфиденциальности и безопасности данных включает в себя сотни страниц новых требований для организаций по всему миру. Этот обзор GDPR поможет вам понять закон и определить, какие его части применимы к вам.

Общие правила защиты данных (GDPR) — это самый строгий в мире закон о конфиденциальности и безопасности.Хотя он был разработан и принят Европейским союзом (ЕС), он налагает обязательства на организации где угодно, если они нацелены или собирают данные, связанные с людьми в ЕС. Постановление вступило в силу 25 мая 2018 года. GDPR налагает суровые штрафы на тех, кто нарушает его стандарты конфиденциальности и безопасности, с штрафами, достигающими десятков миллионов евро.

В соответствии с GDPR Европа демонстрирует свою твердую позицию в отношении конфиденциальности и безопасности данных в то время, когда все больше людей доверяют свои личные данные облачным сервисам, а нарушения являются повседневным явлением.Само постановление является масштабным, далеко идущим и довольно легким в деталях, что делает соблюдение GDPR устрашающей перспективой, особенно для малых и средних предприятий (МСП).

Мы создали этот веб-сайт, чтобы служить для владельцев и менеджеров МСП ресурсом для решения конкретных проблем, с которыми они могут столкнуться. Хотя он не заменяет юридическую консультацию, он может помочь вам понять, на чем следует сосредоточить усилия по соблюдению GDPR. Мы также предлагаем советы по инструментам обеспечения конфиденциальности и способам снижения рисков. Поскольку GDPR продолжает интерпретироваться, мы будем держать вас в курсе новых передовых практик.

Если вы нашли эту страницу — «что такое GDPR?» — скорее всего, вы ищете ускоренный курс. Возможно, вы еще даже не нашли сам документ (подсказка: вот полный регламент). Может быть, у вас нет времени все это прочитать. Эта страница для вас. В этой статье мы пытаемся демистифицировать GDPR и, как мы надеемся, сделать его менее сложным для малых и средних предприятий, обеспокоенных соблюдением GDPR.

История GDPR

Право на неприкосновенность частной жизни является частью Европейской конвенции о правах человека 1950 года, которая гласит: «Каждый человек имеет право на уважение его частной и семейной жизни, его жилища и его корреспонденции.«Исходя из этого, Европейский Союз стремился обеспечить защиту этого права посредством законодательства.

По мере развития технологий и изобретения Интернета ЕС осознал необходимость современных средств защиты. Поэтому в 1995 г. была принята Европейская директива о защите данных, устанавливающая минимальные стандарты конфиденциальности и безопасности данных, на основе которых каждое государство-член основывало свой собственный имплементирующий закон. Но Интернет уже трансформировался в данные, которыми он является сегодня. В 1994 году в сети появилась первая баннерная реклама.В 2000 году большинство финансовых учреждений предлагали онлайн-банкинг. В 2006 году Facebook открылся для публики. В 2011 году пользователь Google подал в суд на компанию за сканирование ее электронной почты. Через два месяца после этого европейский орган по защите данных заявил, что ЕС необходим «комплексный подход к защите личных данных», и началась работа по обновлению директивы 1995 года.

GDPR вступил в силу в 2016 году после принятия Европейского парламента, и с 25 мая 2018 года все организации должны были соответствовать.

Объем, штрафы и ключевые определения

Во-первых, если вы обрабатываете личные данные граждан или резидентов ЕС, или вы предлагаете товары или услуги таким людям, то GDPR применяется к вам, даже если вы не в ЕС . Подробнее об этом мы поговорим в другой статье.

Во-вторых, штрафов за нарушение GDPR очень высокие . Существует два уровня штрафов, максимальный размер которых составляет 20 миллионов евро или 4% от глобального дохода (в зависимости от того, что больше), плюс субъекты данных имеют право требовать компенсации за ущерб.Мы также поговорим о штрафах GDPR.

GDPR определяет множество юридических терминов. Ниже приведены некоторые из наиболее важных из них, на которые мы ссылаемся в этой статье:

Персональные данные — Персональные данные — это любая информация, относящаяся к физическому лицу, которое может быть прямо или косвенно идентифицировано. Имена и адреса электронной почты, очевидно, являются личными данными. Информация о местоположении, этническая принадлежность, пол, биометрические данные, религиозные убеждения, веб-файлы cookie и политические взгляды также могут быть личными данными.Псевдонимные данные также могут подпадать под это определение, если по ним относительно легко идентифицировать кого-либо.

Обработка данных — Любое действие, выполняемое с данными, автоматическое или ручное. Примеры, приведенные в тексте, включают сбор, запись, организацию, структурирование, хранение, использование, стирание… так что практически все.

Субъект данных — Лицо, данные которого обрабатываются. Это ваши клиенты или посетители сайта.

Контроллер данных — Лицо, которое решает, почему и как будут обрабатываться личные данные.Если вы владелец или сотрудник своей организации, который обрабатывает данные, это вы.

Обработчик данных — Третья сторона, которая обрабатывает персональные данные от имени контроллера данных. GDPR имеет особые правила для этих лиц и организаций. Они могут включать облачные серверы, такие как Tresorit, или поставщиков услуг электронной почты, таких как ProtonMail.

О чем говорится в GDPR…

В оставшейся части этой статьи мы кратко объясним все ключевые положения GDPR.

Принципы защиты данных

Если вы обрабатываете данные, вы должны делать это в соответствии с семью принципами защиты и подотчетности, изложенными в Статье 5.1-2:

1. Законность, справедливость и прозрачность — Обработка должна быть законной, справедливой и прозрачно для субъекта данных.
2. Ограничение цели — Вы должны обрабатывать данные в законных целях, явно указанных субъекту данных при их сборе.
3. Минимизация данных — Вы должны собирать и обрабатывать столько данных, сколько абсолютно необходимо для указанных целей.
4. Точность — Вы должны поддерживать точность и актуальность личных данных.
5. Ограничение хранения — Вы можете хранить личные данные только столько времени, сколько необходимо для указанной цели.
6. Целостность и конфиденциальность — Обработка должна выполняться таким образом, чтобы обеспечить надлежащую безопасность, целостность и конфиденциальность (например, с использованием шифрования).
7. Подотчетность — Контроллер данных несет ответственность за возможность продемонстрировать соответствие GDPR всем этим принципам.

Подотчетность

GDPR говорит, что контроллеры данных должны иметь возможность продемонстрировать, что они соответствуют GDPR. И это не то, что вы можете сделать постфактум: если вы считаете, что соблюдаете GDPR, но не можете показать, как это сделать, значит, вы не соответствуете GDPR. Это можно сделать одним из способов:

• Назначьте обязанности по защите данных своей команде.
• Вести подробную документацию о данных, которые вы собираете, о том, как они используются, где хранятся, кто за них отвечает и т. Д.
• Обучите свой персонал и внедрите технические и организационные меры безопасности.
• Заключите договор об обработке данных с третьими сторонами, которые будут обрабатывать данные за вас.
• Назначьте сотрудника по защите данных (хотя не всем организациям он нужен — подробнее об этом в этой статье).

Безопасность данных

От вас требуется безопасное обращение с данными с помощью «соответствующих технических и организационных мер».

Технические меры означают все, что угодно, от требования к вашим сотрудникам использовать двухфакторную аутентификацию в учетных записях, где хранятся личные данные, до заключения контрактов с поставщиками облачных услуг, которые используют сквозное шифрование .

Организационные меры — это такие вещи, как обучение персонала , добавление политики конфиденциальности данных в справочник сотрудника или ограничение доступа к персональным данным только тем сотрудникам в вашей организации, которые в этом нуждаются.

Если у вас есть утечка данных, у вас есть 72 часа, чтобы сообщить об этом субъектам данных или понести наказание. (Это требование об уведомлении может быть отменено, если вы используете технологические меры безопасности, такие как шифрование, чтобы сделать данные бесполезными для злоумышленника.)

Защита данных по умолчанию и по умолчанию

С этого момента все, что вы делаете в своей организации, должно, «по замыслу и по умолчанию», учитывать защиту данных. На практике это означает, что вы должны учитывать принципы защиты данных при разработке любого нового продукта или деятельности. GDPR охватывает этот принцип в статье 25.

Предположим, например, вы запускаете новое приложение для своей компании. Вы должны подумать о том, какие личные данные приложение может собирать от пользователей, а затем подумать о способах минимизировать объем данных и о том, как вы защитите их с помощью новейших технологий.

Когда вам разрешено обрабатывать данные

В статье 6 перечислены случаи, в которых обработка личных данных является законной. Даже не думайте касаться чьих-либо личных данных — не собирайте их, не храните, не продавайте рекламодателям — если только вы не можете обосновать это одним из следующих:

1. Субъект данных предоставил вам конкретное, недвусмысленное согласие на обработку данных. (Например, они подписались на ваш список рассылки по электронной почте.)
2. Обработка необходима для выполнения или подготовки для заключения договора , стороной которого является субъект данных.(Например, вам необходимо выполнить проверку биографических данных, прежде чем сдавать недвижимость в аренду потенциальному арендатору.)
3. Необходимо обработать его , чтобы выполнить ваше юридическое обязательство . (например, вы получили постановление суда в вашей юрисдикции.)
4. Вам необходимо обработать данные , чтобы спасти чью-то жизнь . (Например, вы, вероятно, знаете, когда это применимо.)
5. Обработка необходима для выполнения задачи в общественных интересах или для выполнения некоторых официальных функций.(например, вы — частная компания по сбору мусора.)
6. У вас есть законный интерес для обработки чьих-либо личных данных. Это наиболее гибкая законная основа, хотя «основные права и свободы субъекта данных» всегда имеют приоритет над вашими интересами, особенно если это данные ребенка. (Сложно привести здесь пример, потому что существует множество факторов, которые вам необходимо учитывать при рассмотрении вашего дела. Офис комиссара по информации Великобритании предоставляет здесь полезные рекомендации.)

После того, как вы определили законное основание для обработки ваших данных, вам необходимо задокументировать это основание и уведомить субъекта данных (прозрачность!). И если вы позже решите изменить свое обоснование, у вас должна быть веская причина, задокументировать эту причину и уведомить субъекта данных.

Согласие

Существуют новые строгие правила относительно того, что представляет собой согласие субъекта данных на обработку своей информации.

• Согласие должно быть «добровольным, конкретным, информированным и недвусмысленным.»
• Запросы о согласии должны быть« четко отличаться от других вопросов »и представлены« ясным и понятным языком ».
• Субъекты данных могут в любой момент отозвать ранее данное согласие, и вы должны выполнить их решение. Вы не можете просто изменить правовое основание обработки на одно из других обоснований.
• Дети до 13 лет могут давать согласие только с разрешения родителей.
• Необходимо иметь документальное подтверждение согласия.

Сотрудники по защите данных

Вопреки распространенному мнению, не каждому контроллеру данных или процессору необходимо назначать сотрудника по защите данных (DPO). Есть три условия, при которых вы должны назначить DPO:

1. Вы являетесь органом государственной власти, а не судом, действующим в судебном качестве.
2. Ваша основная деятельность требует систематического и регулярного крупномасштабного мониторинга людей. (например, вы Google.)
3. Ваша основная деятельность — это крупномасштабная обработка особых категорий данных, перечисленных в статье 9 GDPR, или данных, касающихся обвинительных приговоров и правонарушений, указанных в статье 10.(например, у вас медицинский кабинет.)

Вы также можете назначить DPO, даже если от вас это не требуется. Есть преимущества в том, чтобы кто-то занимал эту роль Их основные задачи включают понимание GDPR и то, как он применяется к организации, консультирование людей в организации об их обязанностях, проведение тренингов по защите данных, проведение аудитов и мониторинг соблюдения GDPR, а также поддержание связи с регулирующими органами.

Мы подробно рассмотрим роль DPO в другой статье.

Права людей на неприкосновенность частной жизни

Вы являетесь контролером и / или обработчиком данных. Но как человек, пользующийся Интернетом, вы также являетесь субъектом данных. GDPR признает ряд новых прав на неприкосновенность частной жизни для субъектов данных, цель которых — предоставить людям больший контроль над данными, которые они ссужают организациям. Организации важно понимать эти права, чтобы обеспечить соответствие GDPR.

Ниже приводится краткое изложение прав субъектов данных на конфиденциальность:

1. Право на получение информации
2. Право доступа
3. Право на исправление
4. Право на удаление
5. Право на ограничение обработки
6. Право на переносимость данных
7. Право на возражение
8. Права в отношении автоматизированного принятия решений и профилирования.

Заключение

Мы только что рассмотрели все основные положения GDPR, используя чуть более 2000 слов. Сама инструкция (не считая сопутствующих директив) составляет 88 страниц. Если вы подпадаете под действие GDPR, мы настоятельно рекомендуем, чтобы кто-нибудь из вашей организации прочитал его и проконсультировался с юристом, чтобы убедиться, что вы соблюдаете GDPR.

Общий регламент по защите данных (GDPR) — Официальный юридический текст

Добро пожаловать на gdpr-info.eu. Здесь вы можете найти официальный PDF-файл Регламента (ЕС) 2016/679 (Общие правила защиты данных) в текущей версии OJ L 119, 04.05.2016; кор. OJ L 127, 23.5.2018, как аккуратно организованный веб-сайт. Все статьи GDPR связаны с подходящими выступлениями. Европейское постановление о защите данных применяется с 25 мая 2018 года во всех государствах-членах для гармонизации законов о конфиденциальности данных во всей Европе. Если вы найдете страницу полезной, не стесняйтесь поддержать нас, поделившись проектом.

Быстрый доступ

Ключевые проблемы

Содержание

Глава 1 Общие положения

Глава 2 Принципы

Глава 3 Права субъекта данных

Раздел 1 Прозрачность и условия

Раздел 2 Информация и доступ к персональным данным

Раздел 3 Подтверждение и стирание

Раздел 4 Право на возражение и автоматизированное принятие индивидуальных решений

Раздел 5 Ограничения

Глава 4 Контроллер и процессор

Раздел 1 Общие обязательства

Раздел 2 Защита персональных данных

Раздел 3 Оценка воздействия на защиту данных и предварительная консультация

Раздел 4 Сотрудник по защите данных

Раздел 5 Кодексы поведения и сертификации

Глава 5 Передача персональных данных в третьи страны или международные организации

Глава 6 Независимые надзорные органы

Раздел 1 Независимый статус

Раздел 2 Компетенция, задачи и полномочия

Глава 7 Сотрудничество и согласованность

Раздел 1 Сотрудничество

Раздел 2 Согласованность

Раздел 3 Европейский совет по защите данных

Глава 8 Средства правовой защиты, ответственность и штрафы

Глава 9 Положения, относящиеся к конкретным ситуациям обработки

Глава 10 Делегированные акты и исполнительные акты

Глава 11 Заключительные положения

Сравнение законов штата США о конфиденциальности

Последнее обновление: 8 марта 2021 г.

На государственном уровне импульс всесторонних законопроектов о конфиденциальности находится на рекордно высоком уровне.После того, как в 2018 году был принят Закон Калифорнии о конфиденциальности потребителей, несколько штатов предложили аналогичный закон для защиты потребителей в своих штатах. Исследовательский центр IAPP Westin составил нижеприведенный список предложенных и введенных в действие всеобъемлющих законопроектов о конфиденциальности со всей страны, чтобы помочь нашим членам не отставать от меняющегося ландшафта конфиденциальности штата.

Хотя многие законопроекты, включенные в таблицу, не станут законом, сравнение ключевых положений каждого законопроекта может помочь понять, как конфиденциальность развивается в Соединенных Штатах.Законопроекты, отклоненные или умершие в комитете, не будут немедленно удалены, потому что их включение помогает проиллюстрировать, как штаты думают о конфиденциальности. Мы определили 16 положений, которые обычно встречаются во всеобъемлющих законах о конфиденциальности, и поместили «x» в соответствующий столбец, если это положение включено в конкретный законопроект. 16 общих положений о конфиденциальности разбиты на две категории — права потребителей и деловые обязанности — и описаны под таблицей.

В таблицу включены законопроекты, предназначенные для комплексных подходов к регулированию использования личной информации в государстве — отраслевые, информационные или узконаправленные (например.g., законопроекты о защите данных) не включаются, если они не имеют сопутствующего законодательного акта, который в совокупности создает комплексную структуру, применимую к отрасли, имеющей центральное значение для экономики совместного использования данных (например, поставщикам интернет-услуг или технологическим компаниям).

Исследовательский центр Westin будет периодически обновлять эту таблицу. Если вам известно о предлагаемом государственном законопроекте (с официально представленной формулировкой), которого нет в нашем списке, сообщите об этом исследовательскому центру Westin, research @ iapp.орг.

---

• Законодательный процесс — Законодательный орган каждого штата имеет уникальный законодательный календарь и различные законодательные процедуры; этот набор столбцов обобщает эти различные законодательные процедуры на шесть категорий:
  • Внесено — законопроект внесен на рассмотрение законодательной палаты, но еще не внесен в комитет.
  • In Committee — Законопроект проходит через различные комитеты в палате, откуда он был принят.
  • Пересеченная палата — законопроект прошел голосование в своей исходной палате и перемещен в противоположную палату законодательного органа (e.г., государственная палата представителей приняла закон, и он был передан в сенат штата).
  • Cross Committee — Законопроект проходит через различные комитеты в палате, не являющейся исходной.
  • Принято — Обе палаты законодательного органа приняли закон.
  • Подпись — губернатор подписал законопроект, и теперь он является законом.
• На заседании — Список законодательных собраний штата, которые в настоящее время заседают или находятся только на временном (по сравнению с расширенным) перерывом.

16 общих положений о конфиденциальности включают следующее:

• Право на доступ к личной информации, собранной или переданной — Право потребителя на доступ от бизнес-контроллера / контроллера данных к информации или категориям информации, собранной о потребителе, информации или категориям информации, переданной третьим сторонам, или конкретные третьи стороны или категории третьих лиц, которым была предоставлена ​​информация; или некоторая комбинация аналогичной информации.
• Право на исправление — Право потребителя требовать исправления неверной или устаревшей личной информации, но не удаления.
• Право на удаление — Право потребителя требовать удаления личной информации о потребителе при определенных условиях.
• Право на ограничение обработки — Право потребителя ограничивать способность компании обрабатывать личную информацию о потребителе.
• Право на переносимость данных — Право потребителя запрашивать раскрытие личной информации о потребителе в общем формате файла.
• Право отказаться от продажи личной информации — Право потребителя отказаться от продажи личной информации о потребителе третьим лицам.
• Право против исключительно автоматизированного принятия решений — Запрещение бизнесу принимать решения в отношении потребителя исключительно на основе автоматизированного процесса без участия человека.
• Частное право потребителя на предъявление иска — Право потребителя требовать от компании возмещения гражданского ущерба за нарушение закона.
• Строгое согласие на продажу личной информации потребителя младше определенного возраста. — Ограничение, наложенное на компанию, чтобы обращаться с потребителями младше определенного возраста с отказом от подписки на продажу их личной информации по умолчанию.
• Уведомление / требования к прозрачности — Обязательство, возложенное на бизнес, по уведомлению потребителей об определенных методах обработки данных, операциях по обеспечению конфиденциальности и / или программах обеспечения конфиденциальности.
• Уведомление о нарушении данных — Обязанность компании уведомлять потребителей и / или правоохранительные органы о нарушении конфиденциальности или безопасности.
• Обязательная оценка рисков — Обязательство, возложенное на бизнес, проводить официальную оценку рисков проектов или процедур конфиденциальности и / или безопасности.
• Запрет на дискриминацию потребителя при реализации права — Запрещение бизнесу обращаться с потребителем, который реализует право потребителя, иначе, чем с потребителем, который не пользуется правом.
• Ограничение цели — Ограничительная структура в стиле Общего регламента ЕС по защите данных, запрещающая сбор личной информации, кроме как для определенной цели.
• Ограничение обработки — Ограничительная структура в стиле GDPR, которая запрещает обработку личной информации, за исключением определенной цели.
• Фидуциарная обязанность — Обязательство, возложенное на бизнес / контролера, выполнять обязанности по обеспечению осторожности, лояльности и конфиденциальности (или аналогичные) и действовать в наилучших интересах потребителя.

Просмотр элементов таблицы

---

Предыдущие издания

Здесь вы можете найти архивные издания Всеобъемлющего сравнения законов штата США о конфиденциальности с документами, сгруппированными по годам внесения законопроектов.

---

Исчерпывающий справочник законов о конфиденциальности по штатам

AK, AL, AR, AS, AZ, CA, CO, CT, DC, DE, FL, GA, HI, IA, ID, IL, IN, KS, KY, LA, MA, MD, ME, MI, MN , MO, MS, MT, NC, ND, NE, NH, NJ, NM, NV, NY, OH, OK, OR, PA, RI, SC, SD, TN, TX, UT, VA, VT, WA, WI , WV, WY

Просмотрите составные части этих законов и их сравнение, обратившись к таблице сравнения законов штата IAPP о полной конфиденциальности.

Активные счета

Статут / законопроект: HB 216 (щелкните для просмотра)
Общее название: Алабама Закон о конфиденциальности потребителей
Законодательный процесс: Комитет

---

Чтобы просмотреть больше новостей и ресурсов IAPP по Алабаме, щелкните здесь.

Активные счета

Статут / законопроект: HB 2865 (щелкните для просмотра)
Законодательный процесс: Комитет

---

Чтобы просмотреть больше новостей и ресурсов IAPP по Аризоне, щелкните здесь.

Принятые законы

Закон / законопроект: AB 375 / SB 1121 (щелкните, чтобы просмотреть)
Общее название: Закон о конфиденциальности потребителей Калифорнии

---

Закон / Законопроект: Предложение 24 (щелкните, чтобы просмотреть)
Законодательный процесс: Вступает в силу с января 2023 года.

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Калифорнии, щелкните здесь.

Активные счета

Статут / законопроект: SB 893 (щелкните для просмотра)
Законодательный процесс: Комитет

---

Чтобы просмотреть больше новостей и ресурсов IAPP в Коннектикуте, щелкните здесь.

Активные счета

Статут / законопроект: HB 969 (щелкните для просмотра)
Законодательный процесс: Комитет

---

Закон / законопроект: HB 1734 (щелкните для просмотра)
Общее название: Закон о защите конфиденциальности Флориды
Законодательный процесс: Комитет

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Флориде, щелкните здесь.

Активные счета

Закон / закон: HB 3910 (щелкните для просмотра)
Общее название: Закон о конфиденциальности потребителей
Законодательный процесс: Комитет

---

Чтобы просмотреть больше новостей и ресурсов IAPP по Иллинойсу, щелкните здесь.

Активные счета

Статут / законопроект: HB 408 (щелкните для просмотра)
Законодательный процесс: Комитет

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Кентукки, щелкните здесь.

Активные счета

Закон / законопроект: SB 0930 (щелкните для просмотра)
Общее название: Закон штата Мэриленд о защите прав потребителей в Интернете
Законодательный процесс: Введено

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Мэриленде, щелкните здесь.

Активные счета

Закон / законопроект: SD 1726 (щелкните для просмотра)
Общее название: Закон о конфиденциальности информации штата Массачусетс
Законодательный процесс: Введено

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Массачусетсе, щелкните здесь.

Активные счета

Закон / закон: HF 1492 (щелкните для просмотра)
Общее название: Закон Миннесоты о конфиденциальности данных потребителей
Законодательный процесс: Комитет

---

Закон / Закон: HF 36 (щелкните для просмотра)
Законодательный процесс: Комитет

---

Чтобы просмотреть больше новостей и ресурсов IAPP по Миннесоте, щелкните здесь.

Невыполненные счета

Статут / законопроект: SB 2612 (щелкните для просмотра)
Общее название: Закон штата Миссисипи о защите прав потребителей

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Миссисипи, щелкните здесь.

Принятые законы

Устав / Законопроект: SB 220 / Ch. 603A (нажмите для просмотра)

---

Чтобы просмотреть больше новостей и ресурсов IAPP по Неваде, щелкните здесь.

Активные счета

Закон / закон: A 680 (щелкните, чтобы просмотреть)
Общее название: Закон о конфиденциальности Нью-Йорка
Законодательный процесс: Комитет

---

Закон / Закон: SB 567 (щелкните, чтобы просмотреть)
Законодательный процесс: Комитет

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Нью-Йорке, щелкните здесь.

Невыполненные счета

Устав / закон: HB 1330 (щелкните для просмотра)

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Северной Дакоте, щелкните здесь.

Активные счета

Закон / закон: HB 1602 (щелкните для просмотра)
Общее название: Закон штата Оклахома о конфиденциальности компьютерных данных
Законодательный процесс: Crossed Chamber

---

Чтобы просмотреть больше новостей и ресурсов IAPP по Оклахоме, щелкните здесь.

Невыполненные счета

Закон / законопроект: SB 200 (щелкните для просмотра)
Общее название: Закон о конфиденциальности потребителей

---

Чтобы просмотреть больше новостей и ресурсов IAPP по Юте, щелкните здесь.

Принятые законы

Закон / закон: HB 2307 (щелкните для просмотра)
Общее название: Закон о защите данных потребителей

---

Чтобы просмотреть больше новостей и ресурсов IAPP по Вирджинии, щелкните здесь.

Активные счета

Статут / законопроект: HB 1433 (щелкните для просмотра)
Общее название: Закон о неприкосновенности частной жизни
Законодательный процесс: В Комитете

---

Статут / законопроект: SB 5062 (щелкните для просмотра)
Общее название: Закон штата Вашингтон о конфиденциальности 2021 года
Законодательный процесс: Cross Committee

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Вашингтоне, щелкните здесь.

---

Посмотрите на китайский проект Закона о защите личной информации

Китай представил свой проект Закона о защите личной информации для общественных слушаний 21 октября 2020 г. При внимательном рассмотрении проекта PIPL легко увидеть, что многие положения в нем основаны на Общем регламенте ЕС по защите данных.

Проект PIPL, который содержит 70 статей и огромные штрафы, после его вступления в силу станет первым всеобъемлющим законом Китая о защите личных данных.Несомненно, это окажет значительное влияние на компании, ведущие операции в Китае или ориентированные на Китай как рынок, несмотря на отсутствие бизнеса в Китае.

Проект PIPL также конкретно предусматривает различные принципы защиты данных, включая прозрачность, справедливость, ограничение цели, минимизацию данных, ограниченное хранение, точность данных и подотчетность.

Экстерриториальное применение закона

Проект PIPL применяется к обработке личных данных физических лиц, которая происходит в Китае, независимо от национальности таких лиц.В отличие от Закона КНР о кибербезопасности, который предусматривает ограниченное экстерриториальное применение, проект PIPL предлагает четкое и конкретное экстерриториальное применение заграничным организациям и физическим лицам, которые обрабатывают персональные данные субъектов данных в Китае (1) с целью предоставления продуктов и / или услуги для субъектов данных в Китае; (2) для анализа или оценки поведения субъектов данных в Китае; или (3) при других обстоятельствах, предусмотренных китайскими законами и постановлениями.

Учитывая определенное сходство этого положения со статьей 3 (2) GDPR, в будущем не будет сюрпризом, если китайские регулирующие органы рассмотрят нормативный подход, проиллюстрированный в Руководстве 1/2018 Европейского совета по защите данных по территориальному охвату.«

Определение «личные данные» и «обработка» в проекте PIPL почти такое же широкое, как и его эквивалентный термин в GDPR. Организации или отдельные лица за пределами Китая, которые подпадают под действие проекта PIPL, должны будут создать специальную организацию или назначить представителя в Китае, а также сообщить соответствующую информацию о своей внутренней организации или представителе китайским регулирующим органам.

Больше ясности в классификации ролей для обработки данных

В отличие от GDPR, проект PIPL не делает различий между контроллером данных и обработчиком данных, вместо этого распределяет ответственность и требования соответствия только «обработчику персональных данных», который в соответствии с проектом PIPL относится к организациям или частным лицам, которые независимо определяют цель и объем и средства обработки персональных данных.Обработчик персональных данных согласно проекту PIPL аналогичен контроллеру данных согласно GDPR.

Проект PIPL не предлагает конкретных обязательств для стороны, которой обработчик персональных данных (аналогично обработчику данных в соответствии с GDPR) поручил обрабатывать персональные данные, за исключением случаев, когда такая доверенная третья сторона должна обрабатывать персональные данные в соответствии с соглашения об обработке данных с обработчиком персональных данных и отказ от дальнейшей передачи третьим лицам без согласия обработчика персональных данных.

Совместные обработчики персональных данных должны в соответствии с проектом PIPL определять свои соответствующие права и обязанности между собой посредством соглашения и нести солидарную ответственность перед субъектами данных.

Более законные основания для обработки персональных данных помимо согласия

В проекте PIPL, наконец, рассматривается один широко обсуждаемый вопрос в CSL, а именно согласие субъекта данных как единственное законное основание для обработки личных данных. Проект PIPL предусматривает следующую законную основу, за исключением законного интереса:

1. Согласие субъекта данных.
2. Необходимо для заключения или выполнения договора, стороной которого является субъект данных.
3. Необходим для выполнения установленных законом обязанностей или обязательств.
4. Необходимо для реагирования на инциденты со здоровьем или необходимо для защиты жизни, здоровья и имущества субъекта данных или других лиц в экстренных случаях.
5. В разумных пределах для журналистики или надзора за СМИ в общественных интересах.
6. Прочие обстоятельства, предусмотренные китайскими законами и постановлениями.

Долгожданная ясность в отношении требования о согласии также предусмотрена в проекте PIPL, т.е. согласие должно быть осознанным, конкретным, свободно предоставленным указанием на пожелания субъекта данных. Помимо этого, существуют более конкретные требования к согласию в различных контекстах:

1. Для обработки конфиденциальных личных данных требуется отдельное согласие на участие, которое включает, помимо прочего, расу, этническую группу, религиозные убеждения, личные биометрические данные, данные о здоровье, данные финансового счета и данные о местоположении.
2. Согласие родителей требуется для обработки персональных данных несовершеннолетних младше 14 лет, если обработчик персональных данных знает или должен был знать, что он обрабатывает данные ребенка.
3. Конкретное раскрытие информации в уведомлении о конфиденциальности и отдельное согласие требуется для передачи или совместного использования личных данных, механизмов автоматического принятия решений и т. Д. Следует иметь в виду, что на практике означает «раздельное согласие».

Требования к уведомлению о конфиденциальности в соответствии с проектом PIPL не сильно отличаются от текущих правил, предусмотренных в CSL и руководствах других регулирующих органов.

Более широкие требования к локализации данных и более четкие правила трансграничной передачи персональных данных

Проект PIPL предлагает более широкие требования к локализации данных по сравнению с существующими требованиями к локализации данных, применяемыми к операторам критически важной информационной инфраструктуры в рамках CSL. Обработчик персональных данных, который обрабатывает персональные данные в определенных объемах в КНР и CIIO, подчиняется требованиям локализации данных в соответствии с проектом PIPL, и любая трансграничная передача данных подлежит оценке безопасности, которую проводят китайские регулирующие органы.После обнародования закона Администрация киберпространства Китая установит пороговое значение числа.

Варианты механизмов трансграничной передачи персональных данных предусмотрены в проекте PIPL. Отдельное согласие субъектов данных требуется независимо от того, какой механизм трансграничной передачи данных используется. Для обработчиков персональных данных и CIIO, которые подпадают под требование локализации данных, требуется завершение оценки безопасности, организованной CAC.Другие обработчики персональных данных могут использовать любой из следующих механизмов:

1. Получение сертификата, выданного организацией, уполномоченной CAC.
2. Подписание соглашения о трансграничной передаче данных с зарубежными получателями данных.
3. Другие механизмы, предусмотренные другими законами и постановлениями.

Трансграничная передача персональных данных иностранным властям требует предварительного одобрения китайских регулирующих органов в соответствии с проектом PIPL. Это соответствует проекту Закона о безопасности данных и недавно измененному Закону о ценных бумагах Китая, который в определенной степени проливает свет на точку зрения китайских регулирующих органов в этом отношении.

Дополнительные права субъекта данных

В проекте PIPL предлагались различные права субъектов данных, в том числе право на информацию и разъяснения по обработке данных, право на доступ и запрос копии личных данных, право на исправление, право на обработку возражений, право на отзыв согласия и право на удаление. Право на удаление подлежит меньшим ограничениям в соответствии с проектом PIPL, в отличие от того же права, предусмотренного CSL.

Дополнительные защитные обязательства по защите персональных данных

Проект PIPL предусматривает различные меры управления и безопасности, которые не определены исчерпывающе с целью усиления защиты персональных данных на протяжении всего жизненного цикла персональных данных, например регулярные аудиты соответствия, оценка рисков, периодическое обучение сотрудников, записи обработки персональных данных действия, протоколы для ответа на запросы субъектов данных, отчеты о нарушениях данных, меры по исправлению нарушений в данных и назначение ответственного за защиту данных (пороговое значение числа будет дополнительно предоставлено CAC).

Хотя в некотором смысле проект PIPL включал существующие правила, разбросанные по различным законам и постановлениям о кибербезопасности и защите данных, проект PIPL требует, чтобы обработчики персональных данных приняли целостную программу соблюдения требований по защите данных для защиты персональных данных.

Усиленная юридическая ответственность за нарушение проекта PIPL и судебный процесс о конфиденциальности

Серьезные нарушения проекта PIPL, такие как незаконная обработка персональных данных или непринятие необходимых мер для защиты персональных данных, могут быть оштрафованы на сумму до 50 000 000 юаней (7 долларов США.4 миллиона) или до 5% от выручки предыдущего года.

При расчете штрафа в проекте PIPL ничего не говорится о том, будет ли «обработчик персональных данных» конкретным юридическим лицом или группой аффилированных юридических лиц во всем мире или в Китае, которые участвуют в обработке данных, а также о том, будет ли доход от предыдущий год будет глобальным или просто китайским. Стоит следить за пробелом, если законодатель может учесть аналогичное понятие «обязательство» согласно GDPR при расчете штрафа.

Что касается личной ответственности в контексте нарушения проекта PIPL, персонал, который несет прямую ответственность за обработку персональных данных, может быть оштрафован на сумму до 1 миллиона юаней.

Существует также некоторое сходство со статьей 82 GDPR, где проект PIPL предполагает, что обработчик персональных данных виноват, когда против него предъявляются претензии субъектом (-ами) данных или представлением субъектов данных, если только обработчик персональных данных не может доказать, что это так. не виноват. Это положение, по-видимому, переложило бремя доказывания на обработчика персональных данных по сравнению с вступающим в силу Гражданским кодексом Китая, который предусматривает правила о деликтных правонарушениях, связанных с нарушением права на защиту данных.Поскольку обработчик персональных данных не полностью «освобожден от ответственности», но по-прежнему подлежит усмотрению суда, даже если обработчик персональных данных может доказать, что он не виноват, это кажется более строгим, чем статья 82 GDPR.

Партнер Fangda Partners Катарина Чжан также внесла свой вклад в это обновление законодательства.

Фото Лиама Рида на Unsplash

Защита персональных данных — обзор

Рисунок 2.2. Составление нормативной базы ЕС по защите персональных данных в интеллектуальных сетях.

^a Статья 29 Рабочая группа, Мнение 12/2011 по интеллектуальным счетам , Брюссель, 4 апреля 2011 г., 00671/11 / EN, WP 183.

^b Европейский надзорный орган по защите данных, Мнение о Рекомендации Комиссии по подготовке к развертыванию систем интеллектуального учета. , Брюссель, 8 июня 2012 г.

^c Европейское агентство сетевой и информационной безопасности (ENISA), Smart Grid Security. Рекомендации для Европы и государств-членов , 1 июля 2012 г .; idem, Соответствующие меры безопасности для интеллектуальных сетей.Руководство по оценке сложности реализации мер безопасности , 6 декабря 2012 г.

^d Рабочая группа, статья 29, Заключение 04/2013 о шаблоне оценки воздействия на защиту данных для интеллектуальных сетей и интеллектуальных систем учета («Шаблон DPIA» ) подготовлено группой экспертов 2 Целевой группы Комиссии по интеллектуальным сетям, Брюссель, 22 апреля 2013 г., 00678/13 / EN, WP205.

^e Статья 29 Рабочая группа, Заключение 07/2013 о шаблоне оценки воздействия на защиту данных для интеллектуальных сетей и интеллектуальных систем учета («Шаблон DPIA»), подготовленного группой экспертов 2 Целевой группы Комиссии по интеллектуальным сетям , Брюссель, 4 декабря 2013 г., 2064/13 / EN, WP209.

^f Европейская комиссия, рекомендация от 10 октября 2014 г. о шаблоне оценки воздействия защиты данных для интеллектуальных сетей и интеллектуальных систем учета , 2014/724 / EU, OJ L 300, 18.10.2014, стр. 63– 68 (, далее : Рекомендация 2014 г.).

^g Европейская комиссия, Совместный вклад DG ENER и DG INFSO в цифровую повестку дня, действие 73: Набор общих функциональных требований к интеллектуальному счетчику , Брюссель, октябрь 2011 г.

No related posts.