Закон о защите персональных данных с 1 июля 2020 консультант плюс: Статья 10. Специальные категории персональных данных \ КонсультантПлюс

Разное 

Содержание

Статья 10. Специальные категории персональных данных \ КонсультантПлюс

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 настоящей статьи.

(в ред. Федерального закона от 24.04.2020 N 123-ФЗ)

(см. текст в предыдущей редакции)

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;

(п. 2 в ред. Федерального закона от 30. 12.2020 N 519-ФЗ)

(см. текст в предыдущей редакции)

2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

(п. 2.1 введен Федеральным законом от 25.11.2009 N 266-ФЗ)

2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ «О Всероссийской переписи населения»;

(п. 2.2 введен Федеральным законом от 27.07.2010 N 204-ФЗ)

2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

(п. 2.3 введен Федеральным законом от 25.07.2011 N 261-ФЗ, в ред. Федерального закона от 21.07.2014 N 216-ФЗ)

(см. текст в предыдущей редакции)

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

(п. 3 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

(п. 6 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

(п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

7.1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;

(п. 7.1 введен Федеральным законом от 23.07.2013 N 205-ФЗ)

8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

(п. 8 в ред. Федерального закона от 25. 07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;

(п. 9 введен Федеральным законом от 25.07.2011 N 261-ФЗ)

10) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.

(п. 10 введен Федеральным законом от 04.06.2014 N 142-ФЗ)

2.1. Обработка персональных данных, касающихся состояния здоровья, полученных в результате обезличивания персональных данных, допускается в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года N 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных» и Федеральным законом от 31 июля 2020 года N 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», в порядке и на условиях, которые предусмотрены указанными федеральными законами.

(часть 2.1 введена Федеральным законом от 24.04.2020 N 123-ФЗ; в ред. Федерального закона от 02.07.2021 N 331-ФЗ)

(см. текст в предыдущей редакции)

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке \ КонсультантПлюс

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

(в ред. Федерального закона от 30.12.2020 N 515-ФЗ)

(см. текст в предыдущей редакции)

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

12. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

(часть 12 введена Федеральным законом от 14.07.2022 N 266-ФЗ)

13. Указанная в части 12 настоящей статьи информация (за исключением информации, составляющей государственную тайну) передается федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, в уполномоченный орган по защите прав субъектов персональных данных.

(часть 13 введена Федеральным законом от 14.07.2022 N 266-ФЗ)

14. Порядок передачи информации в соответствии с частью 13 настоящей статьи устанавливается совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных.

(часть 14 введена Федеральным законом от 14.07.2022 N 266-ФЗ)

Соблюдайте политики конфиденциальности потребителей CCPA и GDPR

Если у вашей компании есть клиенты в Калифорнии или Европейском союзе (ЕС), две политики конфиденциальности потребителей, скорее всего, повлияют на вашу деятельность:

  • Общий регламент ЕС по защите данных (GDPR)
  • Закон штата Калифорния о конфиденциальности потребителей (CCPA)

Это одни из самых заметных правил конфиденциальности, принятых по всему миру. Оба правила включают повышенные требования к защите личной информации клиентов, что означает, что вашей компании, возможно, потребуется принять дополнительные меры предосторожности, чтобы соответствовать требованиям.

Ниже мы рассмотрим требования CCPA и GDPR, что эти требования означают для вашей организации, а также важные шаги по соблюдению требований для предотвращения санкций и штрафов.

Общий регламент по защите данных

В апреле 2016 года Европейский парламент принял GDPR, который заменил устаревшую директиву о защите данных от 1995 года. Основные цели регламента:

  • Вернуть людям контроль над их личными данными
  • Упрощение нормативно-правовой базы для международного бизнеса
  • Унифицировать правила конфиденциальности в странах, входящих в Европейский Союз

С 25 мая 2018 г. организации должны доказать, что они соблюдают эти правила.

GDPR содержит положения, требующие от компаний защищать личные данные и конфиденциальность всех, кто находится в ЕС во время сбора или обработки. Он ориентирован не только на граждан ЕС, но и на любое лицо, чьи данные собираются и обрабатываются. Любой, кто находится в стране ЕС или посещает ее, защищен GDPR.

Например, если гражданин США поехал в Германию, сделал покупку в магазине и должен был указать свое имя и адрес для выставления счета, его личные данные будут защищены в соответствии с обязательствами GDPR, и они будут предоставлены те же права и свободы, что и всем гражданам ЕС в соответствии с GDPR.

Персональные данные

GDPR применяется только к субъектам данных ЕС, поэтому понимание определения данных имеет решающее значение для соблюдения. Информация, не подпадающая под определение личные данные не подпадают под действие закона.

Персональные данные — это любая информация, которая может быть использована для прямой или косвенной идентификации физического лица, например:

  • Полное имя, дата рождения и фактический адрес
  • Адрес электронной почты, IP-адрес и файлы истории веб-браузера, известные как файлы cookie
  • Национальный идентификационный номер и номер паспорта
Конфиденциальные персональные данные

Эта информация также защищена GDPR. Конфиденциальные персональные данные — это особая категория персональных данных, которые подлежат дополнительной защите. Эти данные включают:

  • Расовое или этническое происхождение
  • Политические взгляды
  • Религиозные или философские убеждения
  • Информация о здравоохранении
  • Генетические или биометрические данные
Псевдонимные данные

GDPR вводит новую концепцию псевдонимных данных. Эти данные подвергаются технологическим мерам, таким как хеширование или шифрование, поэтому они не позволяют напрямую идентифицировать человека без использования дополнительной информации.

Псевдонимные данные по-прежнему считаются персональными данными и подпадают под действие требований GDPR. Однако организации, которые шифруют данные, выиграют от смягчения некоторых положений GDPR, в частности тех, которые связаны с требованиями уведомления об утечке данных. Это связано с тем, что потеря псевдонимизированных данных вряд ли создаст риск причинения вреда.

Закон штата Калифорния о защите прав потребителей

Закон о защите прав потребителей был подписан губернатором Джерри Брауном 28 июня 2018 г. и вступил в силу 1 января 2020 г. Закон о защите прав потребителей вступил в силу 1 июля 2020 г.

Этот закон регулирует, как организации могут собирать, использовать или делиться личной информацией жителей Калифорнии, и предоставляет потребителям Калифорнии определенные права, включая право:

  • Знать, какой личной информацией владеет компания
  • Запросить у бизнеса удаление этой информации
  • Отказаться от продажи или передачи личной информации

Действие CCPA распространяется на любую организацию, которая:

  • ведет бизнес в Калифорнии — независимо от местонахождения
  • Собирает личную информацию жителей Калифорнии
  • Определяет использование информации

Основные различия между GDPR и CCPA

Оба закона применяются к предприятиям, которые определяют «цели и средства обработки» данных. Однако между GDPR и CCPA есть несколько различий в отношении личного объема, материального объема, персональных данных, контролеров и обработчиков.

Персональная сфера действия

CCPA устанавливает пороговые значения, определяющие бизнес, подпадающий под действие закона, а GDPR — нет.

Критерии включения в CCPA

Только несколько типов компаний освобождены от CCPA, например предприятия с числом сотрудников менее 20 и финансовые учреждения, подпадающие под действие Закона штата Калифорния о конфиденциальности финансовой информации.

Компании, на которые распространяются требования CCPA, включают те, которые:

  • Имеют годовой валовой доход не менее 25 миллионов долларов США
  • Ежегодно получать, прямо или косвенно, личную информацию 50 000 или более жителей Калифорнии, устройств или домохозяйств
  • Получать 50% или более своего годового дохода от продажи личной информации о жителях Калифорнии

Важно отметить, что личная информация и продажа имеют расширенные определения в соответствии с CCPA, что значительно расширяет сферу деятельности, на которую распространяются требования CCPA.

Сфера действия материалов

Сфера применения материалов достаточно согласуется между обоими законами.

GDPR применяется к обработке персональных данных автоматизированными средствами или неавтоматизированными средствами, если данные являются частью файловой системы. CCPA конкретно не определяет существенную сферу, но его обязательства охватывают сбор, продажу или обмен личной информацией.

Определение персональных данных в CCPA частично совпадает с определением персональных данных в GDPR. Тем не менее, CCPA предусматривает несколько исключений из сферы его применения, которых нет в GDPR, таких как медицинская и защищенная медицинская информация.

Как CCPA, так и GDPR не применимы к правоохранительным органам и национальной безопасности, хотя они могут применяться к компаниям, предоставляющим услуги правоохранительным органам или агентствам национальной безопасности.

Персональные данные

Эти два закона достаточно согласуются друг с другом, когда речь идет о личных данных. Однако персональных данных в соответствии с GDPR и персональных данных в соответствии с CCPA имеют широкое определение.

Любая информация

CCPA определяет термин любая информация и поясняет, что домашние хозяйства и отдельные лица считаются идентифицированными или идентифицируемыми лицами.

Определение персональных данных в GDPR прямо относится только к физическим лицам, но обсуждения и правоприменительные меры в Европе показали, что персональные данные, как они определены в законе, могут также охватывать домашние хозяйства.

Выводы

Хотя GDPR прямо не рассматривает выводы — в отличие от CCPA — к компаниям ЕС могут применяться требования в отношении выводов, если они связаны с идентифицированными или идентифицируемыми лицами, в соответствии с определением персональных данных .

Конфиденциальные данные

В отличие от CCPA, GDPR определяет конфиденциальные данные, также известные как специальные категории данных.

Компаниям запрещено обрабатывать эти данные, если не применяется конкретное исключение.

CCPA предоставляет определение для биометрических данных . Это определение включает в себя элементы определения GDPR для специальных категорий данных, таких как ДНК, отпечатки пальцев и сканирование радужной оболочки глаза.

Тем не менее, CCPA не создает более надежного режима защиты для этой категории данных. В то время как GDPR обеспечивает более высокий уровень защиты данных, связанных со здоровьем, CCPA исключает медицинскую информацию из своих категорий защиты.

Контроллеры и процессоры

Эти категории довольно согласуются между двумя законами. Контроллеры в соответствии с GDPR имеют сходство с

предприятиями в соответствии с CCPA; оба несут ответственность за соблюдение обязательств в соответствии с соответствующими законами.

Однако некоторые обязательства GDPR также применяются к процессорам . Это организации, которые обрабатывают персональные данные от имени и под руководством контролеров. Хотя процессоры в соответствии с GDPR имеют сходство с поставщиков услуг в соответствии с CCPA, GDPR налагает более подробные обязательства на обработчиков.

Например, GDPR требует заключения подробного договора между контролерами и обработчиками, в котором излагаются условия отношений между контролером и обработчиком. Точно так же CCPA требует, чтобы личная информация раскрывалась поставщикам услуг в соответствии с письменным договором.

Права в соответствии с законодательством

Права, предусмотренные CCPA и GDPR, включают следующее:

  • Право на получение информации
  • Право доступа
  • Право на переносимость данных
  • Право на удаление — право на стирание для GDPR
  • Право на возражение — право отказаться от GDPR
  • Право не подвергаться дискриминации — право не подвергаться дискриминации при осуществлении прав
Право на получение информации

Как GDPR, так и CCPA содержат директивные положения, касающиеся информации, которую организации должны предоставлять физическим лицам при сборе и обработке личной информации.

В частности, оба законодательных акта предписывают, когда и какая информация должна предоставляться физическим лицам.

В отличие от GDPR, CCPA не делает различия между уведомлением о сборе информации непосредственно от физических лиц и уведомлением о получении информации из других источников.

Согласно CCPA существует особое требование, чтобы потребители получали явное уведомление, когда третье лицо намеревается продать их личную информацию. Кроме того, в CCPA указано, что политика конфиденциальности и уведомление компании должны обновляться каждые 12 месяцев.

Право на доступ

Как GDPR, так и CCPA устанавливают право на доступ, которое позволяет отдельным лицам полностью просматривать данные о них, хранящиеся в организации.

В этих двух законах есть некоторые различия, например процедуры, которым организации должны следовать, чтобы выполнить запрос человека. В соответствии с GDPR запросы субъектов данных должны выполняться без «неоправданной задержки в течение одного месяца с момента получения запроса». В то время как CCPA заявляет, что ответ требуется в течение 45 дней.

 Эти ответы соответствуют тем же требованиям, что и те, которые указаны для права на стирание .

Право на переносимость данных

Право на переносимость данных достаточно согласуется между двумя законами. CCPA считает переносимость данных частью права на доступ, в то время как GDPR предоставляет отдельное и отличительное право. В нем говорится, что субъекты данных имеют право получать свои данные в «структурированном, широко используемом и машиночитаемом формате».

CCPA предусматривает, что всякий раз, когда доступ предоставляется потребителям в электронном виде, информация должна быть в переносимом и удобном для использования формате, который позволяет потребителю передавать информацию другому лицу.

Также применимо то же время отклика, что и для права на удаление и права на доступ.

Право на стирание

Право на стирание одинаково в обоих законодательных актах, но с различиями в сфере применения, применимости и исключениях.

Как GDPR, так и CCPA разрешают физическим лицам запрашивать удаление их личной информации, если не применяются исключения. Исключения включают свободу слова, данные исследований, которые могут нанести ущерб целям исследования, или осуществление юридических требований.

В обоих законах установлен крайний срок для ответа на запрос об удалении данных. Ответы должны быть получены в течение одного месяца для запросов на удаление GDPR и в течение 45 дней для запросов CCPA.

Право на возражение

Как GDPR, так и CCPA гарантируют право отдельных лиц просить организации прекратить обработку и продажу их данных.

В соответствии с CCPA потребители могут отказаться только от продажи личных данных, но не от сбора или другого использования, не подпадающего под определение продажи. Напротив, физические лица могут возражать против любого типа обработки персональных данных в соответствии с GDPR — либо просто отзывая согласие, либо возражая против обработки на основании законных интересов или необходимости выполнения задачи в общественных интересах.

Право CCPA на отказ от личной информации является абсолютным, в то время как общее право на возражение GDPR имеет конкретное исключение, когда контролер демонстрирует законные основания для обработки данных, которые преобладают над правами и интересами субъекта данных.

Право не подвергаться дискриминации

CCPA вводит право не подвергаться дискриминации при осуществлении прав. Это означает, что потребители не должны взимать другую плату или отказываться от услуг.

Это право прямо не включено в GDPR, но некоторые положения основаны на том же принципе, что люди должны быть защищены от последствий дискриминации.

Правоприменение

GDPR имеет органы по защите данных и надзорные органы в каждой стране, в то время как генеральный прокурор Калифорнии оценивает нарушения с CCPA.

В ноябре 2020 года избиратели Калифорнии приняли Предложение 24, также известное как Калифорнийский закон о правах на неприкосновенность частной жизни (CPRA), которое направлено на усиление защиты конфиденциальности потребителей и усовершенствование CCPA. Одним из существенных изменений в рамках CPRA является создание Калифорнийского агентства по защите конфиденциальности, которое станет регулятором конфиденциальности, обеспечивающим и реализующим законы о конфиденциальности потребителей и налагающим административные штрафы.

Как GDPR, так и CCPA допускают денежные штрафы в случае несоблюдения. Однако суммы штрафов, характеры и процедуры существенно различаются.

Соответствие

Ваша компания может определить свои требования соответствия, выполнив следующие действия.

  1. Определите деловую активность, связанную со сбором или обработкой персональных данных.
  2. Оцените тип собранных данных.
  3. Определите, как данные собираются, распространяются, обрабатываются и хранятся, а также как они могут быть удалены из систем.
  4. Выясните, передаются ли данные обработчику данных или поставщику услуг, оцените контракты и убедитесь, что присутствуют средства защиты, соответствующие GDPR или CCPA.
  5. Оцените свои требования к уведомлению о нарушениях — существуют различия между GDPR и CCPA, и каждый из них имеет свои собственные требования к уведомлению о нарушениях.
Шаги для обеспечения соответствия

После определения основных требований соответствия ваша компания может предпринять следующие шаги:

  1. Ответственность за соблюдение требований. Делегируйте обязанности по соблюдению требований CCPA или GDPR знающему сотруднику или команде.
  2. Политика конфиденциальности. Поддерживать и регулярно обновлять корпоративную политику конфиденциальности
  3. Безопасность. Внедрять и поддерживать лучшие практики информационной безопасности.
  4. Запросы потребителей. Создание и поддержание процедур ответа на запросы на доступ к персональным данным, удаление персональных данных, отказ от продажи персональных данных.
  5. Контракты с поставщиками . Обновите договоры с поставщиками, чтобы они соответствовали GDPR или CCPA
    6. .
  6. Информация о несовершеннолетних. Поддерживать процедуры сбора и использования личной информации несовершеннолетних, если применимо
  7. Обучение конфиденциальности. Провести соответствующий тренинг по конфиденциальности для персонала в зависимости от их должностных функций
  8. Соответствие всей организации. Оценка потребности аффилированных лиц в соблюдении GDPR или CCPA и внедрение требований соответствия в масштабах всей организации
Политика конфиденциальности

Политика конфиденциальности вашей организации должна пересматриваться ежегодно, быть написана понятным языком и включать следующее:

  • Сторонняя информация. Названия сторонних организаций, получающих личную информацию 
  • Права потребителей. Перечень указанных выше прав потребителей.
  • Ссылка для отказа. Укажите, что личная информация может быть продана, и предоставьте ссылку, которая позволит потребителям отказаться.
  • Запрос ресурсов. Предоставление потребителям способов подачи запросов, таких как веб-сайт, бесплатный номер или адрес электронной почты

Мы здесь, чтобы помочь

Несмотря на то, что разъяснения по CCPA все еще выпускаются, на организации, не соблюдающие требования, налагаются штрафы. Точно так же органы по защите данных взимают штрафы за нарушения GDPR, и ожидается, что эти штрафы будут продолжаться.

Если ваша организация не выполняет эти требования, самое время начать. Чтобы получить помощь в анализе ваших бизнес-процессов и определении того, где осуществляется управление, хранение или передача личной информации, обратитесь к специалисту Moss Adams.

| Страница 4 из 11

Они заявляют, что прямой сбор персональных данных компаниями, не входящими в ЕС, не является «передачей данных» в соответствии с GDPR. 18 ноября 2021 г. первый раз — уточнить понятие «передача данных». Отклоняясь от общего понимания, EDPB определил, что передача данных не осуществляется … Продолжить чтение 27 октября 2021 г. Федеральная торговая комиссия (FTC) опубликовала окончательное правило, обновляющее Правило о гарантиях Закона Грэмма-Лича-Блайли (Окончательное правило). Это окончательное правило было принято после того, как Федеральная торговая комиссия запросила комментарии к предложенным изменениям в Правиле о гарантиях в 2019 году.и провел публичный семинар в 2020 году.… Продолжить чтение 13 октября 2021 г. французский орган по защите данных (CNIL) выпустил краткую заметку («Примечание» на французском языке) о таких технологиях, как снятие отпечатков пальцев, уникальные идентификаторы и групповой таргетинг, разработанных для замены традиционных сторонних файлов cookie. . Хотя CNIL признает, что некоторые из этих технологий менее нарушают конфиденциальность, чем сторонние файлы cookie, он подчеркивает, что согласие… Продолжить чтение С 27 сентября 2021 года компании, использующие Стандартные договорные условия (SCC) для передачи персональных данных за пределы Европейского союза (ЕС), должны использовать новые Стандартные договорные условия (New SCC) при подписании соглашений об обработке данных. В результате пришло время обновить шаблоны соглашений об обработке данных, чтобы ваша компания могла выполнить это… Продолжить чтение 15 июня 2021 г. Суд Европейского Союза (CJEU) подтвердил[1], что неведущие надзорные органы (SA) могут инициировать национальные судебные разбирательства в отношении трансграничной обработки данных в двух случаях:[2] i) когда есть «неотложная необходимость» действовать, или ii) если дело имеет локальные последствия.… Продолжить чтение Недавно Генеральная прокуратура Калифорнии объявила о трех крупных обновлениях, которые 1) добавили правила отказа от продажи личной информации в соответствии с Законом о конфиденциальности потребителей Калифорнии (CCPA), 2) упростили для потребителей участие в обеспечении соблюдения CCPA, и 3) раскрыл другие основные направления правоприменительной деятельности CCPA.… Продолжить чтение Обзор 25 июня 2021 г. Верховный суд США принял решение по делу TransUnion против Рамиреса, в котором было указано, что даже в случае нарушения закона, а этот закон предоставляет частное право на иск, истцам по-прежнему требуется конкретный ущерб, чтобы иметь право на подать иск в федеральный суд. При этом нормативная база … Продолжить чтение 20 мая 2021 г. Бельгийский надзорный орган (Belgian SA) утвердил Кодекс поведения в сфере облачных вычислений ЕС (EU Cloud CoC).[1] Это первый случай, когда надзорный орган утвердил транснациональный общеотраслевой кодекс поведения в соответствии с Общим регламентом по защите данных (GDPR).[2] Поставщики облачных услуг (CSP) смогут полагаться на свои… Продолжить чтение 4 июня 2021 года Европейская комиссия опубликовала долгожданный новый набор стандартных договорных условий для аутсорсинговой обработки данных (DPA SCC). Эти DPA SCC представляют собой шаблон контракта, который организации могут использовать для соблюдения правил Общего регламента по защите данных (GDPR) в отношении аутсорсинговой обработки данных.… Продолжить чтение 12 мая 2021 года надзорный орган Нидерландов (Autoriteit Persoonsgegevens или AP) выпустил пресс-релиз о штрафе в размере 525 000 евро в отношении Locatefamily.com за то, что он не назначил представителя ЕС, с ожидаемыми дополнительными штрафными выплатами, если нарушение будет сохраняться. Пресс-релиз доступен на английском языке здесь, а решение доступно на голландском языке … Продолжить чтение 15 марта 2021 г. Баварский надзорный орган (SA)[1] принял решение об использовании стандартных договорных условий (SCC) для передачи персональных данных из ЕС в США без дополнительных мер безопасности. СА признало передачу данных в данном случае незаконной, хотя и не наложило административного штрафа. … Продолжить чтение Надзорный орган Нидерландов (Autoriteit Persoonsgegevens или AP) наложил санкции на платформу онлайн-бронирования путешествий Booking.com BV (Booking) со штрафом в размере 475 000 евро за то, что она не уведомила AP об утечке данных в течение 72 часов после того, как об этом стало известно. в соответствии с требованиями Общего регламента ЕС по защите данных (GDPR). Решение доступно … Продолжить чтение 10 февраля 2021 года Совет Европейского Союза (ЕС) согласовал свою версию проекта Регламента о конфиденциальности в электронной среде (Позиция Совета). Долгожданный Регламент ePrivacy, который отменит существующую Директиву ePrivacy, пересматривает правила в отношении файлов cookie и регулирует использование данных электронных коммуникаций и доступ к ним. … Продолжить чтение Вирджиния готова стать вторым штатом США, принявшим широкое законодательство о конфиденциальности потребителей. В то время как законодательство проводит некоторые параллели с Калифорнийским законом о конфиденциальности потребителей (CCPA) и предстоящим Калифорнийским законом о правах на конфиденциальность (CPRA), Закон Вирджинии о защите данных потребителей (VCDPA) вводит новые требования, выходящие за рамки этих законов, такие как согласие на сбор … Продолжить чтение 2 февраля 2021 года Европейский совет по защите данных (EDPB) выпустил руководство по обработке персональных данных в исследовательских целях в ответ на вопросы, поставленные Европейской комиссией (Документ). Документ призван прояснить применение Общего регламента по защите данных (GDPR) к научным исследованиям в области здравоохранения. В частности, Документ… Продолжить чтение 18 января 2021 года Европейский совет по защите данных (EDPB), в состав которого входят все национальные надзорные органы (SA) Европейского союза, опубликовал проект рекомендаций по уведомлению об утечке данных1 (Руководство). Руководство дает полезную информацию о том, как регулирующие органы применяют правила уведомления об утечке персональных данных Общего регламента по защите данных (GDPR). В частности, они описывают шесть распространенных типов… Продолжить чтение 12 января 2021 года Окружной суд округа Колумбия стал последним судом, удовлетворившим ходатайство о принуждении к предоставлению судебно-медицинского заключения, подготовленного сторонней консалтинговой фирмой по вопросам безопасности, в рамках судебного разбирательства по утечке данных.1 Это дело касалось кибератаки на юридической фирмы, что привело к публичному распространению конфиденциальной информации … Продолжить чтение Судьи рассмотрели законность некоторых денежных средств правовой защиты, навязанных судом. В среду, 13 января 2021 г., Верховный суд США заслушал аргументы в долгожданном деле AMG против FTC, которое оспаривает полномочия Федеральной торговой комиссии (FTC) по получению денежных средств. помощь в суде в соответствии с разделом 13 (b) Закона о FTC. Решение суда, вероятно, окажет значительное… Продолжить чтение 15 декабря 2020 года Европейская комиссия (ЕК) обнародовала ряд предложений по регулированию цифровых платформ. Законопроекты включают антимонопольные требования, предусмотренные Законом о цифровых рынках (DMA), и более общие нормативные требования, предусмотренные Законом о цифровых услугах (DSA). Пакет DMA/DSA будет применяться ко всем цифровым сервисам, включая социальные сети, онлайн… Продолжить чтение 24 декабря 2020 года Европейская комиссия (ЕК) и правительство Великобритании объявили о долгожданном Соглашении о торговле и сотрудничестве между ЕС и Великобританией (Соглашение о Brexit), в котором изложены будущие отношения между ЕС и Великобританией. В случае одобрения Соглашение о Brexit вступит в силу 1 января 2021 года и будет иметь следующие последствия:… Продолжить чтение Apple недавно объявила, что разработчики приложений должны отметить ряд флажков «да/нет», которые будут генерировать сводку в стиле «метки питания» о методах конфиденциальности приложения. Эта новая сводка, официально именуемая «Конфиденциальность приложений», будет показана пользователям в App Store до того, как они установят приложение. Это последний шаг в постоянных усилиях Apple по созданию… Продолжить чтение 8 декабря 2020 г. Верховный суд заслушал спор по делу Facebook, Inc. против Дугида1, касающемуся разногласий между федеральными окружными судами относительно того, что представляет собой «автоматическая система набора номера», которую часто называют «автодозвонщиком». — в соответствии с Законом о защите прав потребителей телефонных услуг (TCPA).2 Решение суда может значительно снизить риск судебного разбирательства по TCPA, направленного против онлайн-платформ… Продолжить чтение В совете по безопасности на прошлых выходных компания SolarWinds сообщила, что ее системы подверглись очень сложной атаке на цепочку поставок версий ее продуктов для мониторинга сети Orion, выпущенных в период с марта по июнь 2020 года. The New York Times сообщила, что весьма вероятно, что российская разведка подразделение, известное как Cozy Bear или A.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *