Внимание! Федеральный закон «О персональных данных»
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор — Уполномоченный орган по защите прав субъектов персональных данных) информирует Вас, что в январе 2007 года вступил в силу Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В соответствии с требованиями пункта 2 статьи 3 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (т.
В соответствии с требованиями ч. 1 ст. 22 Федерального закона «О персональных данных» Операторы, которые осуществляют обработку персональных данных, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных Уведомление об обработке персональных данных. Официальные (информационные) сообщения о начале приема Уведомлений от операторов, осуществляющих обработку персональных данных были опубликованы в основных печатных изданиях, переданы по телевидению и размещены на сайте в сети Интернет.
С 1 сентября 2015 года вступил в силу Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», которым внесены изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» в части дополнения формы уведомления об обработке персональных данных сведениями о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации.
Оператор после 01.09.2015 обязан направить в территориальное управление Роскомнадзора уведомление с указанием, в том числе, места нахождения базы данных. В случае внесения изменений в имеющиеся сведения об операторе в реестре операторов должно быть направлено соответствующее информационное письмо.
Согласно части 1 статьи 23 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», пункта 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г. № 228, Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
На территории Краснодарского края и Республики Адыгея таким органом является Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Южному федеральному округу — (350001, г. Краснодар, ул. Маяковского, 158, тел. (861) 991-24-43).
Подробная информация по всему спектру деятельности Роскомнадзора в сфере защиты прав субъектов персональных данных размещена на сайте Роскомнадзора (http://rkn.gov.ru), на Портале персональных данных Уполномоченного органа по защите прав субъектов персональных данных (http://pd.rkn.gov.ru), на сайте Управления Роскомнадзора по Южному федеральному округу (http://23.rkn.gov.ru). Доступ к реестру операторов, осуществляющих обработку персональных данных, размещен на сайте Роскомнадзора (http://rkn.gov.ru/personal-data/register/).
Калифорнийский закон о конфиденциальности потребителей вступает в силу с 1 января 2020 года — Право на vc.
ruЕвгений Краснов из Buzko Legal рассказывает о главных положениях нового и пока единственного в своём роде в США закона о защите персональных данных потребителей.
4201 просмотров
Всем было известно об Общем регламенте по защите данных (General Data Protection Regulation, GDPR), принятом Европейским союзом, ещё задолго до того, как он вступил в силу 25 мая 2018 года.
Этот регламент существенно изменил ландшафт в сфере контроля над персональными данными между бизнесом и пользователями и послужил нескончаемым электронными письмами от компаний об изменении их политик о конфиденциальности, чтобы соответствовать новым обширным требованиям GDPR.
Но мало кто знает, что чуть больше месяца после того, как GDPR вступил в силу, примеру Европы последовал штат Калифорния, где 28 июня 2018 года был принят Калифорнийский закон о защите конфиденциальности потребителей (California Consumer Privacy Act или CCPA).
В нашей обзорной статье для основателей стартапов в США мы уже упоминали CCPA, но теперь хотим более подробно разобрать его положения в связи с надвигающейся датой вступления в силу — 1 января 2020 года.
TL;DR
- CCPA похож на GDPR.
- Будет применяться не только к компаниям с выручкой выше $25 млн, но и к тем, которые обрабатывают данные более 50 тысяч резидентов Калифорнии.
CCPA в контексте федеральной системы власти в США
Для начала немного вводной информации. В США власть распределена между федеральным правительством и штатами. Федеральный закон имеет преимущество перед законами штатов, но федеральное правительство ограничено Конституцией США в сферах, в которых оно может принимать законы.
Не вдаваясь в подробности, отметим, что федеральное правительство имеет полномочия регулировать персональные данные граждан, но закона, подобного CCPA, еще не приняло. Пока такая ситуация сохраняется, каждый штат вправе регулировать персональные данные, как ему захочется.
Так как закон каждого отдельного штата применяется только к субъектам этого штата, может показаться, что это не такое важное событие.
Но принятие CCPA в Калифорнии заслуживает внимания по, как минимум, двум причинам.
Во-первых, инициативы, принятые в Калифорнии, зачастую имеют масштабное влияние на США в целом. Это во многом объясняется размером штата: Калифорния имеет самую большую численность населения среди штатов (около 40 млн. человек), находится на третьем месте по территории и на первом месте с огромным отрывом – по размеру экономики.
Как известно, если бы Калифорния была отдельным государством, она бы вошла в пятёрку крупнейших в мире по ВВП. Поэтому инициативы, принятые в Калифорнии, часто задают тон будущим переменам на федеральном уровне в США и, следовательно, в мире.
Во-вторых, позиция Калифорнии по регулированию персональных данных особенно важна, потому что Кремниевая долина является основным местом деятельности главных сборщиков таких данных в мире: Google и Facebook, а также многих других игроков этого рынка имеют свои штаб-квартиры именно там.
Таким образом, есть все основания полагать, что, когда придет время общенационального закона о персональных данных в США, его содержание будет во многом определяться CCPA и его последствиями.
Субъекты CCPA
CCPA действует в отношении коммерческих организаций, которые собирают личные данные потребителей. На компанию распространяются правила CCPA, если она: ведет коммерческую деятельность в штате Калифорния и соответствует хотя бы одному из следующих критериев:
- Имеет годовую выручку в размере не менее $25 млн.
- Ежегодно собирает, продает или передает в коммерческих целях персональные данные как минимум 50 тыс. потребителей или устройств.
- Получает как минимум 50% своей выручки от продажи персональных данных потребителей.
Месторасположение компании не играет роли. Если она соответствует указанным критериям, она обязана соблюдать CCPA при работе с персональными данными резидентов Калифорнии.
Нововведения CCPA
Основное новшество CCPA – наделение потребителей определенными правами в отношении их персональных данных и установление соответствующих обязанностей для компаний, подпадающих под действие закона.
Компании будут обязаны:
- Подробно раскрывать в своих политиках о конфиденциальности, как они собирают, обрабатывают, используют и продают персональные данные пользователей (право знать).
- Предоставлять пользователям способы обращаться с просьбой о получении доступа к их данным и об удалении этих данных (право на доступ и удаление).
- Уведомлять пользователей, если компания занимается продажей персональных данных, и предоставлять им способ отзыва согласия на продажу их данных (право на отказ).
- Внедрять и поддерживать разумные меры по защите персональных данных (право на безопасность данных и раскрытие информации о взломах).
Конкретные обязанности компаний по CCPA
Политика о конфиденциальности
CCPA обязывает всех подпадающих под его действие компаний опубликовать комплексную политику о конфиденциальности, описывающую практику сбора, использования, раскрытия и продажи персональных данных, а также права потребителей в отношении их данных.
Если у компании есть сайт или приложение, политика должна быть опубликована по заметной ссылке под названием «Конфиденциальность» (Privacy) на домашней странице сайта или посадочной странице приложения.
Способ отзыва согласия на продажу данных
CCPA также обязывает компании предоставлять потребителям конкретные способы для осуществления их прав. Например, если компания занимается продажей персональных данных, она обязана предоставлять своим пользователям интерактивную онлайн-анкету, заполнив которую пользователи могут отозвать свое согласие на продажу данных.
Анкета должна быть доступна через заметную ссылку под названием «Не продавайте мои персональные данные» (Do Not Sell My Personal Information) на сайте или в приложении компании.
Уведомления о сборе личной информации и финансовых стимулах
Компании также будут обязаны заметным способом уведомлять потребителей каждый раз, когда у потребителя запрашивается личная информация. Если компания предлагает какие-либо финансовые стимулы потребителям за право продавать их персональные данные, компания также будет обязана недвусмысленно уведомить потребителей об этом.
Закон постоянно обновляется – помните об исключениях
Важно, что подготовка регламента CCPA продолжается, и в законодательном органе Калифорнии регулярно появляются поправки к закону.
С момента принятия CCPA в прошлом году появилось немало исключений. Одним из главных является исключение из определения «персональных данных» анонимизированных и агрегированных данных, таких как IP-адреса и геолокация.
Таким образом, если ваша компания на первый взгляд подпадает под CCPA, необходимо тщательно проверить, применяются ли к ней какие-либо исключения.
Ответственность
Все в курсе про гигантские штрафы по GDPR, поэтому стоит отдельно сказать про ответственность по CCPA. Обязанность следить за соблюдением CCPA возложена на Генерального прокурора Калифорнии. Если Генпрокурор узнает, что компания нарушила CCPA, он обязан сначала дать ей 30 дней на устранение нарушения, а затем может оштрафовать ее от $2 500 до $7 500 за каждое нарушение.
CCPA также позволяет потребителям обращаться с частными исками против компаний в случае утечки персональных данных, вызванных ненадлежащими мерами по защите таких данных в компании.
Закон позволяет взыскать бóльшую из следующих сумм: от $100 до $750 на потребителя за каждое нарушение или реальный ущерб. Установление суммы ущерба для частных исков в законе является важным нововведением CCPA в сфере персональных данных: сейчас у потребителей, у которых нет объективных доказательств убытков от утечки данных, нет возможности отсудить деньги у нарушителей.
Заключение
Вступление в силу CCPA будет важным событием в американской правовой системе, так как в стране впервые появится комплексный закон о защите данных потребителей. Закон мало повлияет на практики обработки персональных данных самых крупных игроков технологического рынка, которые уже исполняют требования более строгого GDPR.
Вместе с тем существенная часть американских потребителей получат схожие с GDPR права, что определенно послужит введению аналогичных законов в других штатах, а затем и на федеральном уровне.
Поэтому независимо от того, подпадает ваша компания под действие CCPA или нет, следует провести аудит ваших практик обработки персональных данных и удостовериться, что они достоверно отражены в вашей политике о конфиденциальности.
Автор статьи — Евгений Краснов, партнер юридической фирмы Buzko Legal и лицензированный юрист по американскому праву.
Сравнительные таблицы: законы США и ЕС о конфиденциальности данных — но тонкие различия могут сбить с толку даже самых опытных специалистов по соблюдению требований. Здесь Bloomberg Law предлагает легко читаемое сравнение GDPR Европейского союза (ЕС) с новыми законами США о конфиденциальности данных в Калифорнии, Вирджинии и Колорадо.
Карта законов о конфиденциальности данных по штатам на апрель 2023 г.Каковы основы каждого закона о конфиденциальности?
| GDPR | CCPA | СРРА | ВЦДПА | СРА | |
| Имя | Общий регламент по защите данных | Закон штата Калифорния о конфиденциальности потребителей | Закон штата Калифорния о правах на неприкосновенность частной жизни | Закон о защите данных потребителей | Закон штата Колорадо о конфиденциальности |
| Цитата | ЕС/2016/679 | Кал. Гражданский Кодекс § 1798.100 и далее. | Кал. Гражданский Кодекс § 1798.100 и далее. | Вирджиния. Кодекс § 59.1-571 и след. | Colo. Rev. Stat. § 6-1-1301 и след. |
| Юрисдикция | Европейский Союз | Калифорния | Калифорния | Вирджиния | Колорадо |
| Модель | Подключиться | Отказ | Отказ | Отказ от участия | Отказ от участия |
| Сектор | Неотраслевой | Неотраслевой | Неотраслевой | Неотраслевой | Неотраслевой |
| Дата вступления в силу | 25 мая 2018 г. | 1 января 2020 г. | 16 декабря 2020 г.; 1 января 2023 г. | 1 января 2023 г. | 1 июля 2023 г. |
[ Загрузите полную таблицу для получения всей важной информации с первого взгляда.]
Чьи данные защищены GDPR по сравнению с законами США о защите данных? Какие типы данных защищены?
| GDPR | CCPA | СРРА | ВЦДПА | КПЕС | |
| Чьи данные защищены? | |||||
| Срок действия | Субъект данных | Потребитель | Потребитель | Потребитель | Потребитель |
| Определяется как | Физическое лицо в ЕС | Физическое лицо, являющееся резидентом ЦА | Физическое лицо, являющееся резидентом ЦА | Физическое лицо, являющееся резидентом Вирджинии | Физическое лицо, являющееся резидентом СО |
| Какие типы данных защищены? | |||||
| Срок действия | Персональные данные | Личная информация | Личная информация | Персональные данные | Персональные данные |
| Определяется как | Любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу | Информация, которая идентифицирует, относится, описывает, может быть обоснованно связана или может быть обоснованно связана, прямо или косвенно, с конкретным потребителем или домохозяйством | Информация, которая идентифицирует, относится, описывает, может быть обоснованно связана или может быть обоснованно связана, прямо или косвенно, с конкретным потребителем или домохозяйством | Любая информация, которая связана или может быть обоснованно связана с идентифицированным или идентифицируемым физическим лицом | Информация, которая связана или может быть обоснованно связана с идентифицированным или идентифицируемым лицом |
| Определение исключает обезличенные данные | GDPR использует термин «псевдонимизированный», а не «обезличенный». Согласно Декларации 26, персональные данные, подвергшиеся псевдонимизации, которые могут быть отнесены к физическому лицу путем использования дополнительной информации, должны считаться персональными данными | .Да, но см. положения, касающиеся повторной идентификации обезличенной информации — Cal. Гражданский Код §1798.148 | Да, но см. положения о повторной идентификации обезличенной информации. Кал. Гражданский Код §1798.148. Более того, CPRA уполномочивает генерального прокурора обновить определение «обезличенного» — Кэл. Гражданский Код §l798.l85(a) | Да, но к обезличенным данным применяются особые требования. См. Кодекс штата Вирджиния, § 59.1-581. | Да, но к обезличенным данным применяются особые требования. См. Colo. Rev. Stat.§ 6-1-1307. |
| Определение не включает общедоступную информацию | № | Да | Да | Да | Да |
| Определение исключает совокупную информацию | Не указано, но в пункте 162 указано, что GDPR применяется к обработке персональных данных в статистических целях | Да | Да | Не указано | Не указано |
[ Загрузите полную таблицу для быстрого просмотра всей важной информации.
]
Защита данных GDPR
Общий регламент по защите данных или GDPR определяет субъекта данных как физическое лицо в ЕС . Персональные данные, подпадающие под действие закона, определяются как любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Он исключает «псевдонимизированные» данные, но не исключает общедоступные данные. В преамбуле 162 указано, что GDPR применяется к обработке персональных данных в статистических целях.
Защита данных CCPA и CPRA
Закон штата Калифорния о конфиденциальности потребителей (CCPA) защищает потребителя, который определяется как физическое лицо, проживающее в Калифорнии. CCPA применяется к информации, которая идентифицирует, относится, описывает, может быть связана или может быть связана, прямо или косвенно, с конкретным потребителем или домохозяйством. CCPA исключает деидентифицированные данные, общедоступную информацию и агрегированную информацию.
Защита данных VCDPA
Закон штата Вирджиния о защите данных потребителей, или VCDPA, защищает потребителя, определяемого как физическое лицо, проживающее в Вирджинии.
Он защищает личную информацию, которая определяется как любая информация, которая связана или может быть обоснованно связана с идентифицированным или идентифицируемым физическим лицом. VCDPA исключает обезличенные данные и общедоступные данные. В нем не указывается, исключается ли совокупная информация.
Защита данных CPA
Закон о конфиденциальности штата Колорадо (CPA) защищает потребителя, определяемого как физическое лицо, проживающее в штате Колорадо. Он защищает персональные данные, которые определяются как информация, которая связана или может быть обоснованно связана с идентифицированным или идентифицируемым лицом. CPA исключает обезличенные данные и общедоступные данные. В нем не указывается, исключается ли совокупная информация.
Кто должен соблюдать GDPR и законы штата США о конфиденциальности данных?
| GDPR | CCPA | СРРА | ВЦДПА | СРА | |
| Порог юрисдикции | Обрабатывает персональные данные в контексте деятельности «учреждения» в ЕС или обрабатывает персональные данные физических лиц в ЕС, связанные с предложением им товаров и услуг или мониторингом их поведения | «Ведет бизнес» в Калифорнии | «Ведет бизнес» в Калифорнии | «Ведение бизнеса» в Вирджинии или производство продуктов или услуг, «ориентированных» на жителей Вирджинии | «Ведет бизнес» в Колорадо или производит или поставляет коммерческие продукты или услуги, «намеренно ориентированные» на жителей Колорадо |
| Порог дохода | Нет | Годовой валовой доход более 25 миллионов долларов США | Годовой валовой доход более 25 миллионов долларов США в предыдущем календарном году | Нет | Нет |
| Порог обработки | Нет | Данные 50 000 и более потребителей | Данные 100 000 или более потребителей | Данные 100 000 или более потребителей | Данные 100 000 или более потребителей |
| Брокерский порог | Нет | Не менее 50% дохода от продажи данных | Не менее 50% дохода от продажи или обмена данными | Данные 25 000 и более потребителей + не менее 50% выручки от продажи данных | Данные 25 000 или более потребителей + извлекает доход или получает скидку от продажи данных |
[ Загрузите полную таблицу для получения всей важной информации с первого взгляда.
] ” в ЕС или обрабатывает персональные данные физических лиц в ЕС, связанные с предложением им товаров и услуг или мониторингом их поведения. Не существует порога дохода, порога обработки или порога брокера.
Требования соответствия CCPA
CCPA применяется к организациям, которые «ведут бизнес» в Калифорнии и соответствуют следующим пороговым значениям:
- Годовой валовой доход превышает 25 миллионов долларов США.
- Обработка данных 50 000 или более потребителей.
- Не менее 50 % дохода поступает от продажи данных.
Требования соответствия CPRA
CPRA применяется к организациям, которые «ведут бизнес» в Калифорнии и соответствуют следующим пороговым значениям:
- Годовой валовой доход более 25 миллионов долларов США в предыдущем календарном году.
- Обработка данных 100 000 или более потребителей.
- Не менее 50 % дохода поступает от продажи или обмена данными.
Требования соответствия VCDPA
VCDPA применяется к организациям, которые «ведут бизнес» в Вирджинии или производят продукты или услуги, «ориентированные» на жителей Вирджинии.
Порога дохода нет, но закон применяется только к организациям, которые обрабатывают данные 100 000 или более потребителей или компаний, которые обрабатывают данные, или не менее 25 000 потребителей, получая при этом более 50 процентов валового дохода от продажи этих данных.
Требования соответствия CPA
CPA применяется к любому юридическому лицу, которое «ведет бизнес» в Колорадо или производит или поставляет коммерческие продукты или услуги, «намеренно ориентированные» на жителей Колорадо. Организации должны соответствовать одному из двух пороговых значений, чтобы подпадать под действие закона, и оба пороговых значения касаются минимального количества затронутых потребителей. Организации должны контролировать или обрабатывать (i) персональные данные не менее 100 000 потребителей или (ii) персональные данные не менее 25 000 потребителей, получая при этом доход или скидку от продажи этих данных.
Каковы последствия несоблюдения GDPR или законов штата США о конфиденциальности?
| GDPR | CCPA | СРРА | ВЦДПА | СРА | |
| Несоответствие | Административные штрафы в размере до 20 миллионов евро или 4% от общего мирового годового оборота за предыдущий финансовый год, в зависимости от того, что больше | По искам, возбужденным AG, предусмотрены гражданско-правовые санкции в размере до 7 500 долларов США за преднамеренное нарушение или 2 500 долларов США за непреднамеренное нарушение. В исках, возбужденных потребителями в связи с нарушениями безопасности, возмещение установленных законом убытков не менее 100 и не более 750 долларов США на одного потребителя за инцидент или фактический ущерб, в зависимости от того, что больше | Административные штрафы в размере до 7500 долларов США за преднамеренное нарушение или 2500 долларов США за непреднамеренное нарушение. В исках, возбужденных потребителями в связи с нарушениями безопасности, возмещение установленного законом ущерба не менее 100 долларов США и не более 750 долларов США на одного потребителя за каждый инцидент или фактический ущерб, в зависимости от того, что больше | Если контролер или обработчик продолжает нарушать VCDPA после периода исправления или нарушает прямое письменное заявление, предоставленное генеральному прокурору, генеральный прокурор может инициировать действие от имени государства и может добиваться судебного запрета на любые нарушения VCDPA и гражданские штрафы в размере до 7500 долларов США за каждое нарушение | Для целей исполнительного производства, возбужденного генеральным прокурором или окружным прокурором, нарушение CPA представляет собой обманную торговую практику |
[ Скачать Полная диаграмма для всей критической информации с первого взгляда.
]
Несоответствие GDPR. годовой оборот предыдущего финансового года, в зависимости от того, что больше.
Гражданские штрафы и возмещение ущерба, налагаемые Законом о защите гражданских прав (CCPA)
По искам, поданным генеральным прокурором, нарушителям Закона о соответствии законам CCPA грозит гражданский штраф в размере до 7 500 долларов США за преднамеренное нарушение или 2 500 долларов США за непреднамеренное нарушение. Последствиями исков, возбужденных потребителями в связи с нарушениями безопасности, являются предусмотренные законом убытки в размере не менее 100 и не более 750 долларов США на каждого потребителя за инцидент или фактические убытки, в зависимости от того, что больше.
Штрафы и пени за несоблюдение CPRA
Последствиями несоблюдения CPRA являются административные штрафы в размере до 7500 долларов США за преднамеренное нарушение или 2500 долларов США за непреднамеренное нарушение. В исках, возбужденных потребителями в связи с нарушениями безопасности, штрафом является установленный законом ущерб в размере не менее 100 и не более 750 долларов США на каждого потребителя за инцидент или фактический ущерб, в зависимости от того, что больше.
Гражданские санкции VCDPA
Если контролер или обработчик продолжает нарушать VCDPA после истечения периода исправления или нарушает прямое письменное заявление, предоставленное генеральному прокурору, генеральный прокурор может возбудить иск от имени штата и потребовать судебный запрет на ограничение любых нарушений VCDPA и гражданские штрафы в размере до 7500 долларов США за каждое нарушение.
Правоприменительные меры CPA
Для целей принудительных мер, возбужденных генеральным прокурором или окружным прокурором, нарушение CPA представляет собой мошенническую торговую практику.
Снизьте риски в области конфиденциальности и безопасности данных с помощью закона Bloomberg
Изменения происходят на границе конфиденциальности и безопасности данных. А с развитием технологий появляются новые риски и обязанности. Составьте план своей стратегии соблюдения конфиденциальности данных потребителей и будьте в курсе изменений GDPR с помощью важных новостей о конфиденциальности и безопасности данных, экспертного анализа и практических инструментов Bloomberg Law.
Наш внутренний форум 2022 года посвящен решениям, которые помогут всей вашей организации — от совета директоров до сотрудников — согласовать ключевые вопросы кибербезопасности и конфиденциальности, влияющие на ваш бизнес. Смотри.
Проблемы соблюдения конфиденциальности и безопасности данных реальны. Как и наши решения. Запросите демонстрацию, чтобы узнать больше.
Конфиденциальность и безопасность данных
Защита данных в ЕС
Основные права
В Хартии основных прав ЕС указано, что граждане ЕС имеют право на защиту своих личных данных.
Защита персональных данных
Законодательство
Пакет защиты данных, принятый в мае 2016 года, направлен на подготовку Европы к цифровому веку. Более 90 % европейцев говорят, что хотят иметь одинаковые права на защиту данных в ЕС и независимо от того, где обрабатываются их данные.
Общий регламент по защите данных (GDPR)
Регламент (ЕС) 2016/679 о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных.
Этот текст включает исправление, опубликованное в OJEU от 23 мая 2018 г.
Регламент является важным шагом для укрепления основных прав людей в цифровую эпоху и облегчения бизнеса путем уточнения правил для компаний и государственных органов на едином цифровом рынке. Единый закон также устранит нынешнюю фрагментацию в различных национальных системах и ненужную административную нагрузку.
Постановление вступило в силу 24 мая 2016 года и применяется с 25 мая 2018 года. Дополнительная информация для компаний и частных лиц.
Информация о включении Общего регламента по защите данных (GDPR) в Соглашение ЕЭЗ.
Уведомления государств-членов ЕС в Европейскую комиссию в соответствии с GDPR
Директива по обеспечению соблюдения законов о защите данных
Директива (ЕС) 2016/680 о защите физических лиц в отношении обработки персональных данных, связанных с уголовными правонарушениями или исполнением уголовных штрафы и на свободное перемещение таких данных.
Директива защищает основное право граждан на защиту данных всякий раз, когда личные данные используются правоохранительными органами по уголовным делам в правоохранительных целях. В частности, он обеспечит надлежащую защиту персональных данных жертв, свидетелей и подозреваемых в совершении преступлений и будет способствовать трансграничному сотрудничеству в борьбе с преступностью и терроризмом.
Директива вступила в силу 5 мая 2016 г., и страны ЕС должны были включить ее в свое национальное законодательство до 6 мая 2018 г.
СкачатьНациональные органы по защите данных со статьей 8(3) Хартии основных прав ЕС.
Европейский совет по защите данных
Европейский совет по защите данных (EDPB) — это независимый европейский орган, который должен обеспечивать последовательное применение правил защиты данных на всей территории Европейского Союза. EDPB был создан в соответствии с Общими правилами защиты данных (GDPR).
EDPB состоит из представителей национальных органов по защите данных стран ЕС/ЕЭЗ и Европейского инспектора по защите данных.
Европейская комиссия участвует в деятельности и заседаниях Совета без права голоса. Секретариат EDPB предоставляется EDPS. Секретариат выполняет свои задачи исключительно по указанию Председателя Совета.
Задачи EDPB состоят, прежде всего, в предоставлении общего руководства по ключевым понятиям GDPR и Директивы по обеспечению правопорядка, консультировании Европейской комиссии по вопросам, связанным с защитой персональных данных и новых предлагаемых законов в Европейском Союзе, и принятии обязательных решений в споры между национальными надзорными органами.
Защита данных в учреждениях и органах ЕС
Законодательство
Регламент 2018/1725 устанавливает правила, применимые к обработке персональных данных учреждениями, органами, офисами и агентствами Европейского Союза. Он соответствует Общему регламенту о защите данных и Директиве правоохранительных органов о защите данных. Он вступил в силу 11 декабря 2018 года.
Европейский надзорный орган по защите данных
Регламент 2018/1725 учредил Европейский надзорный орган по защите данных (EDPS).
EDPS является независимым органом ЕС, ответственным за контроль за применением правил защиты данных в европейских учреждениях и за расследование жалоб.
Сотрудник по защите данных в Европейской комиссии
Европейская комиссия назначила сотрудника по защите данных, который отвечает за мониторинг и применение правил защиты данных в Европейской комиссии. Сотрудник по защите данных самостоятельно обеспечивает внутреннее применение правил защиты данных в сотрудничестве с европейским надзорным органом по защите данных.
Стандартные договорные условия
После принятия в июне 2021 года двух наборов Стандартных договорных пунктов (SCC) (один для использования между контролерами и обработчиками в пределах Европейской экономической зоны (ЕЭЗ) и один для передачи персональных данных в страны за пределами ЕЭЗ), Европейская комиссия опубликовала 25 мая 2022 г. Вопросы и ответы (Q&A), чтобы предоставить практическое руководство по использованию SCC и помочь заинтересованным сторонам в их усилиях по соблюдению Общего регламента по защите данных (GDPR).
Эти вопросы и ответы основаны на отзывах, полученных от различных заинтересованных сторон об их опыте использования новых SCC в первые месяцы после их принятия. Вопросы и ответы предназначены для использования в качестве «динамического» источника информации и будут обновляться по мере возникновения новых вопросов.
Финансирование
Возможности финансирования и тендера (SEDIA)
Программа «Права, равенство и гражданство» (2014-2020)
Документы
- Главное управление юстиции и защиты прав потребителей
Новые договорные положения о защите данных на основе статьи 28 Общего регламента по защите данных и статьи 29 Регламента 2018/1725
- Связь
- Главное управление юстиции и защиты прав потребителей
Отчет о применении и функционировании Директивы о защите данных правоохранительных органов.
- Связь
- Главное управление юстиции и защиты прав потребителей
Правила защиты данных как основа расширения прав и возможностей граждан и подхода ЕС к цифровому переходу.
- Связь
- Главное управление юстиции и защиты прав потребителей
Дальнейшие действия по согласованию прежнего третьего компонента acquis с правилами защиты данных.
- Связь
- Главное управление юстиции и защиты прав потребителей
Правила защиты данных как средство обеспечения доверия в ЕС и за его пределами — подведение итогов.
- Связь
- Главное управление юстиции и защиты прав потребителей
Более сильная защита, новые возможности — Руководство Комиссии по прямому применению Общего регламента по защите данных от 25 мая 2018 г.
